CC BY
49
УДК 349 ББК 67.404.9
ПРОБЛЕМА НЕЗАКОННОГО ОБОРОТА ПЕРСОНАЛЬНЫХ ДАННЫХ В США И РОССИЙСКОЙ ФЕДЕРАЦИИ
ГОЛИНКА А.В., ПИЩУЛИНА Т.В. ОУВО ЮУТУ, Челябинск, Россия e-mail: a.golinka@inbox.ru
Аннотация
В статье рассмотрены проблемные аспекты правового регулирования оборота персональных данных в США и Российской Федерации.
Сделаны выводы из диаграмм, которые представлены в виды соотношений персональных данных. Проанализировано законодательство в данной сфере. Анализ законодательства помогает выявить недочеты в регулировании оборота персональных данных.
Ключевые слова: персональные данные, неправомерное использование, информация, незаконный оборот, кибератаки.
Актуальность. Данная проблема является актуальной, т.к. в нашем современном информационном обществе персональные данные все чаще находятся в зоне риска. Эти данные имеют большой интерес для злоумышленников, которые преследуют свою личную выгоды в виде незаконного обогащения. Законодательство в данной сфере должно совершенствоваться, чтобы предотвращать данный незаконный оборот персональных данных.
Цель работы. Рассмотреть незаконный оборот персональных данных в США и Российской Федерации, а также проанализировать законодательство РФ в данной сфере. Выдвинуть предложения по решению данной проблемы.
Материалы и методы. Нормативно-правовые акты, материалы периодической печати глобальной сети интернет, данные, опубликованные в статьях, монографиях и публикациях, проанализированные и обобщенные в работе. Статистический, формально-юридический, системно-
структурный, сравнительно-правовой метод, контент-анализ и др.
Результаты исследования. Нами было проанализировано законодательство
Российской Федерации в сфере оборота персональных данных и рассмотрены статистические данные, которые помогают ясно отобразить сложившуюся ситуацию.
Личная информация граждан, в том числе их персональные данные, все чаще стали
использоваться в незаконном обороте. Это обусловлено тем, что в современном постиндустриальном обществе ценность информации достаточно высока. Британский политический деятель Черчилль У. лаконично заметил: "Кто владеет информацией, тот владеет миром". Информация в настоящий момент является не только способом достижения цели в области образования, культуры, науки, но и двигателем прогресса. Но, к сожалению, она стала коммерчески выгодным товаром, который можно обменять, продать или с выгодой приобрести и даже перепродать. Правило рынка таковы, что если существует спрос, то обязательно будут и предложения.
К персональным данным, прежде всего, относятся биографические и опознавательные данные, личные характеристики, сведения о семейном положении, профессии, служебном и финансовом положении, состоянии здоровья и т.д. Такая информация может помочь идентификации личности и нахождению имущества или места проживания человека.
Необходимо отметить, что теоретики, а также практикующие юристы определяют
персональные данные как информацию (зафиксированную на любом материальном носители) о конкретном человеке, которая отожествлена или может быть отожествлена с ним. К сожалению, можно констатировать факт, что личная информация граждан стала источником и объектом преступных посягательств злоумышленников на
персональные данные, чему свидетельствует
неуклонный рост обращений граждан в правоохранительные органы в случае кражи таких данных и неправомерные использования данной информации [1].
Институт защиты персональных данных является довольно молодым, это объясняется тем, что информационные технологии начали развиваться сравнительно недавно.
Эти данные чаще всего используют злоумышленники, преследуя личную выгоду, но чаще всего покупкой персональных данных граждан интересуются продавцы,
предоставляющие различные товары и услуги с целью последующего предложения им собственной продукции. Такая практика является незаконной [2].
Российский рынок продажи и покупки персональных данных в теневом секторе Интернет не очень хорошо исследован, более подробная информация в данной сфере собрана на рынке США, в котором данные консолидируются с помощью агентств,
специализированных на этом. Тем не менее информация с американском рынка более-менее помогает составить картину российского рынка, конечно, с учетом меньших масштабов происходящего.
Так, американская компания Metric Labs подробно рассматривает стоимость информации на рынке. Например, большой пакет персональных данных будет стоить около 1200 долларов, номер полиса медицинского страхования уже не более 1 доллара. В пакет персональных данных также входят сведения о кредитной карте и счетах, информация, полученная при помощи анкет, которые заполнялись пользователями в интернет-сервисах, социальных сетях и интернет-магазинах. Довольно дорогой будет информация о номере и пароле электронных кошельков, популярных в США. Например, данные из PayPal на черном рынке будут стоить до 274 долларов. Самыми дешевыми являются адреса и пароли от электронных почт.
Электронная почта 8%
Интернет-магазины Социальные сети
Электронные кошельки ■ Электронная почта
Данные идентификации личности ■ Другие данные
Рис. 1. Составляемое пакета, содержащего персональные данные, стоимостью 1200 долларов
Согласно данным, указанным на рисунке 1, самыми "востребованными" данными в данной сфере являются данные кредитных карт и счетов, так цены на их продажу составляют 10% от имеющегося на них баланса. Также в финансовых данных указано имя владельца, его адреса, номера социального страхования, дата рождения и другие всевозможные данные.
Не менее предпочтительными данными для злоумышленников являются данные из
интернет-магазинов и данные идентификации личности, так как эта информация открывает большие возможности для всевозможных махинаций.
Данные социальных сетей пользователя очень выгодно можно продать. Например, вход в социальную сеть Facebook стоит около 5,20 долларов. К слову, это в 2 раза дороже, чем стоимость данных других социальных сетей.
Цены на данные электронных почт очень низкие, это обусловлено тем, что взламывать их легко. Хотя получение доступа к электронной почте пользователя часто является критическим аспектом для злоумышленников, он не так полезен, как другие учетные записи. В почте не хранятся детали кредитной карты, а поиск личной информации, конечно же, довольно неудобен.
К другим данным уже относятся данные с сайтов знакомств, сайтов доставок и развлечений и т.д.
На наиболее популярных ресурсах черного рынка существует огромное количество
предложений по продаже персональных данных различных видов. Информация может стать средством шантажа, хищения средств с интернет-кошельков и с кредитных карт, иных покушениях на гражданина [6].
Еще при президенте США Бараке Обаме был введен закон, который запрещал интернет-операторам продавать данные своих клиентов третьим лицам без получения на это согласия самих пользователей, но ныне действующий президент - Дональд Трамп подписал поправку, которая отменила этот закон. Это чревато тем, что теперь данные этих пользователей могут быть проданы третьим лицам и уже дальше по порядку.
Сделав анализ рынка оборота персональных данных в США, можно представить примерную картину в данной сфере в Российской Федерации.
В России с каждым годом увеличивается число несанкционированных проникновений в базы данных компаний с целью хищения и последующей перепродажи персональных данных граждан.
"Рост числа инцидентов, связанных с намеренной компрометацией персональных данных, объясняется тем, что Россия постепенно встраивается в мировую парадигму всеобщей "цифровизации", одним из необходимых признаков которой является наличие среды для предоставления услуг в электронном виде, -объясняет аналитик ГК Info Watch Сергей Хайрук. - "Цифровизация" позволяет "оторвать" реальную личность от электронного профиля. Очевидно, что такая возможность порождает спрос на чужие персональные данные, "привязанные" к различным электронным сервисам - будь то аккаунты в приложениях каршеринга, личные кабинеты систем кадастрового учета, даже зарегистрированные
SIM-карты. В самом простом случае механизм использования чужих данных выстроен так, что услугу получает злоумышленник, укравший данные, а платит за нее "владелец" данных, человек, "от имени" которого действует нарушитель".
Еще несколько лет назад в России довольно легко можно было купить:
- базы данных ГИБДД;
- базы данных Росреестра;
- базы данных налоговых органов.
Все базы данных перечисленные выше содержат данные, способные причинить ущерб владельцам при попадании в руки злоумышленников. Позже с появлением требований об установке защищенного программного обеспечения таких предложений о покупке стало меньше, но тем не менее поток кибератак, для похищения персональных данных с целью их перепродажи, не снизился. Кибератаки осуществляются разными путями:
- путем заражением устройства вредоносным ПО;
- путем использованием подбора паролей от аккаунтов;
- путем социальной инженерии.
Путь социальной инженерии один из самых простых для злоумышленников, т.к. в этом способе используются "человеческие слабости". Например, злоумышленник отправляет фишинговое письмо по электронной почте пользователя с уверенностью в том, что средний человек ответит на него, тем самым предоставляя доступ к своим персональным данным. Из этого следует отметить проблему правовой грамотности населения в данной сфере. Иногда сами пользователи интернета и не подозревают, что выставленная ими информация в сети практически сразу становится навсегда доступной для любых третьих лиц и автоматически считается общедоступной с момента размещения этим самым субъектом персональных данных. А такие общедоступные персональные данные, согласно закону о персональных данных, не нуждаются в правовой защите, также и в защите конфиденциальности [5].
Для защиты персональных данных российских граждан от продажи и покупки депутаты Госдумы, в то числе Андрей Луговой, внесли законопроект, в котором излагается о том, что все интернет-сервисы, которые осуществляют обработку персональных данных граждан, обязаны обрабатывать эти данные на
серверах, расположенных на территории РФ. данных". В эту систему включаются все
Частично это обезопасило информацию от операторы, которые учувствуют в перепродаже
несанкционированного хищения ее персональных данных пользователей, благодаря
держателями хостингов с целью дальнейшей чему теперь можно узнать и проверить
перепродажи. Вместе с этим произошло надёжность оператора, чтобы не стать жертвой. создание автоматизированной системы "Реестр нарушителей прав субъектов персональных
Карты
Электронные кошельки
Лицевые счета
Хэши паспортов
Номера телефонов
Рис. 2. Сообщения о признаках несанкционированных операций, переданные в ФинЦерт, по состоянию на 31.08.2019
Из данных на рисунке 2 можно сделать вывод о том, что больше всего несанкционированных операций проводятся с картами и хэшами паспортов.
За период с 1 января по 30 июня 2019 г. -обнаружено 12,903 тыс. предложений о покупке или продаже персональных баз данных, сообщается в отчете банка России. При этом всего лишь 12% относились к базам данных кредитных организаций, остальные -персональные данные россиян.
Глава Роскомнадзора, выступая на международной конференции по защите персональных данных в Москве, предложил внести соответствующие положения в Кодекс об административных правонарушениях.
Ведомство предлагает предусмотреть административную ответственность не только за распространение персональных данных, которые были незаконно получены, но также за их приобретение и последующее использование.
В федеральном законе "О персональных данных" проблема защиты этих данных рассматривается с точки зрения обработки данных. Под этим понимаются все возможные действия с персональными данными в сети Интернет, а именно: сбор, систематизация, накопление, хранение, уточнение,
использование, распространение и др. Из этого можно сделать вывод о том, что действия по непосредственной защите законом не рассматриваются [3].
Очень часто информация личного характера пользователей в социальных сетях получает распространение без их согласия, поэтому требуется особенная законодательная проработка в сфере защиты персональных данных в сети Интернет. Очевидно, что закон " О персональных данных" нуждается в доработке и в дополнении нормами, которые обеспечивали бы конфиденциальность персональных данных граждан на просторах сети Интернет. В законе есть прямое указание на то, что персональные
данные граждан представляют собой конфиденциальную информацию, но одновременно с этим порядок их защиты поверхностен.
На данный момент лицам, которые нарушили требование закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и дисциплинарная [4].
Борьба со злоумышленниками, которые похищают персональные данные граждан, производится в рамках Уголовного кодекса, в котором предусмотрена ст. 272 "Неправомерный доступ к компьютерной информации"". Практика ее применения пока еще недостаточно хороша, но приговоры за возмездное оказание услуги в виде неправомерного доступа к логину и паролю потерпевшего являются частыми. Например, случаи единичного хищения и продажи персональных данных наказываются на практике 1-2 годами ограничения свободы.
Защита персональных данных гражданина, которые передаются оператору для обработки, также предусмотрена некоторыми нормативно-правовыми актами. Например, ст. 24 конституции РФ, предусматривающая недопустимость распространения информации о частной жизни человека. Это понятие не совсем совпадает с предоставленным в законодательстве о персональных данных, которое запрещает любую обработку этой информации без согласи субъекты и не в соответствии с изначально заявленным Роскомнадзору целями ее сбора. Но и при наличии согласия продажа персональных данных, передача их третьим лицам оператором персональных данных за деньги должна преследоваться, прежде всего, как использование чужого имущества с целью получения собственной выгоды незаконно [7].
Ст. 137 УК РФ, в которой излагается о запрете нарушения неприкосновенности частной жизни, и деятельность Роскомнадзора, который обязан
привлекать к административной
ответственности лиц, являются основными. Также должны работать нормы ст. 13.11 КоАП РФ, которые предусматривают ответственность за использование персональных данных в целях, противоречащих тем, с которыми они собирались. Максимальная ответственность по этой статье составляет всего 75 тысяч рублей, что иногда несоизмеримо с полученным ущербом. Да, и активность Роскомнадзора не всегда в полной степени справляется с данной проблемой [8].
Мы считаем, что именно развитие нормативно-правовой базы должно
предотвратить продажи и покупки персональных данных граждан, что, безусловно, существенно снизит уровень незаконного оборота персональных данных.
Выводы. Данная проблема является одной из важнейших проблем в информационной сфере и взаимоотношениях государства, юридических и физических лиц, требующих определенных подходов и решений. Несоблюдение требований законодательства в области защиты персональных данных в интернете может нанести существенный ущерб по многим сферам жизнедеятельности человека. Необходимо совершенствовать законодательство в сфере защиты персональных данных, чтобы незаконный оборот этих данных предотвращался. Мы предлагаем:
- дополнить закон "О персональных данных" нормами, которые обеспечивали бы конфиденциальность персональных данных граждан на просторах сети Интернет;
- осуществление мер по повышению правовой грамотности населения и квалификации операторов, осуществляющих обработку персональных данных;
- введение в УК РФ нового состава преступления, который с точностью описывал бы противоправные деяния и уголовную ответственность за совершение этих деяний в сфере защиты персональных данных в сети Интернет.
Список литературы
1. Бачило И.Л. Информационное право: учебник для академического бакалавриата /И.Л. Бачило. - М., 2019. - 419 с.
2. Горелов Н.А. Развитие информационного общества: цифровая экономика: учеб. пособие для вузов /Н.А. Горелов. -М.: Москва, 2019. - 241 с.
3. Крюкова Д.Ю. Актуальные проблемы правового регулирования оборота и защиты персональных данных в России / Д.Ю. Крюкова, Ю.В. Мокрецов //Юридически науки. - 2017. - №5. - С. 34-35.
4. Полякова Т.А. Организационное и правовое обеспечение информационной безопасности: учебник и практикум для бакалавриата и магистратуры / Т.А. Полякова. М.: Москва, 2019. - 325 с.
5. Рассолов И.М. Информационное право: учебник и практикум для академического бакалавриата / И.М. Рассолов. -М.: Москва, 2019. - 347 с.
6. Рузанова В.Д. Законодательство в области персональных данных как институт информационного законодательства /В.Д. Рузанова //Право. - 2019. - №2. - С. 12-15.
7. Стукалина Е.Ф. Анализ законодательства по персональным данным / Е.Ф. Стукалина, Л.М. Опоева //Компьютерные и информационные технологии. - 2015. - №5. - С. 62-64.
8. Фастович Г.Г. Правовое регулирование отношений в области обработки персональных данных /Г.Г. Фастович, А.С. Жикулина, Н.А. Рахвалова //Юриспруденция. - 2019. - №3. - С. 199-201.
THE PROBLEM OF ILLEGAL TRAFFICKING OF PERSONAL DATA IN THE UNITED STATES OF AMERICA AND THE RUSSIAN FEDERATION
GOLINKA A.V., PISHULINA T. V. EI HE SUUT, Chelyabinsk, Russia e-mail: a.golinka@inbox.ru
Abstract
The article deals with the problematic aspects of legal regulation of personal data turnover in the United States and the Russian Federation.
Conclusions are drawn from the diagrams, which are presented in the form of personal data ratios. The legislation in this sphere is analyzed. Analysis of the legislation helps to identify shortcomings in the regulation of personal data turnover.
Keywords: personal data, misuse, information, trafficking, cyber attacks.
