не досматривается содержимое накопителей в мобильных телефонах.
Сейчас на 'рынке' баз больший интерес вызывают данные не абонентов, а заемщиков, появление которых было обусловлено введением кредитных историй. О первом случае утечки стало известно в августе прошлого года, когда на адреса нескольких банков и бюро кредитных историй пришел спам. Неизвестные предлагали базу на 700 тысяч людей, бравших потребительские кредиты. Помимо контактных данных, записи содержат сведения о покупке и выданном кредите с указанием суммы, размера ежемесячного платежа, просрочек и наложенных на должника санкций. За все это великолепие продавцы просили 90 тысяч рублей. В сентябре представитель Национального бюро кредитных историй заявил, что утечка произошла из двух или трех банков, названия которых озвучены не были.
Через пару недель после инцидента на Митинском радиорынке появилась база данных о трех тысячах неблагонадежных заемщиков банка 1 ОВК (в настоящее время приобретен Росбанком), которую можно было купить за 900 рублей. Интересно, что продавцы обещали вскоре предложить своим клиентам базу о 3 млн. заемщиков, которую уже успели окрестить 'Антикредит'. Свое слово митинские распространители сдержали. В чужие руки попала почти треть всех российских кредитных историй. 'Антикредит' оказался не только в несколько раз больше по объему, но и более подробным, чем первые базы. Были указаны имена заемщиков, контактные телефоны, домашние адреса, места работы, причины попадания в черный список, такие как просрочка по кредиту или отказ в его выдаче, а также (sic!) банки- источники информации. Стоила база ненамного дороже - 2 тысячи рублей.
Интересно, что теоретически в утечке заинтересованы и сами банки, которым выгоднее пользоваться нелегально добытой базой, нежели делать платные запросы в бюро кредитных историй и несколько дней ждать ответа.
Самим заемщикам, абонентам, клиентам, налогоплательщикам, автолюбителям и пр., в общем, нам с вами, увы, практически нереально призвать к ответственности компании или госучреждения, которые не смогли уберечь наши личные данные и сделали их объектом свободной купли-продажи. Хотя законодательство признает пострадавшими лиц, чьи данные не были защищены должным образом, и допускает обращение в суд с требованием возместить ущерб. Но выиграть такое дело непросто, поскольку для этого нужно, во-первых, предоставить документ, в котором организация обязалась не распространять вверенные ей персональные данные, а достать его во многих ситуациях проблематично, а во-вторых, надо доказать, что виновником утечки является именно ответчик. Сделать это, разумеется, тоже сложно и дорого.
Недавно вступивший в силу закон закрепляет обязательства каждой организации, владеющей персональными данными, по обеспечению их конфиденциальности. Нельзя сказать, что этот нормативный акт привнес что-то кардинально новое, скорее он унифицировал ранее разрозненные требования к защите личных данных. Лица, нарушившие эти требования, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. При нарушении положений закона любая компания может быть лишена лицензии на свою деятельность и подвергнута судебному преследованию со стороны пострадавших. Но все это можно было проделать и раньше, однако почему-то не делалось.
Правда, теперь можно привлекать и продавцов персональных данных, так как распространение тоже становится подсудным делом. К тому же закон заставил чиновников и бизнесменов зашевелиться, поскольку устанавливает некие нормативы обеспечения безопасности данных, требующих интеграции новых программных продуктов и изменения организационных процедур при работе с конфиденциальной информацией. Тем не менее закону не достает конкретики. В нем, например, сказано, что организация должна 'принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства' для того, чтобы защитить персональные данные от таких действий, как 'неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение'. Более четкие требования будут разработаны позднее Федеральной службой по техническому и экспортному контролю РФ (ФСТЭК). Это же ведомство займется проверкой исполнения закона в организациях.
Еще одно новшество - это ограничения длительности хранения приватных сведений. Держать их можно не дольше, чем требуют цели обработки данных, после чего информация подлежит уничтожению в течение трех дней. Имеются в виду именно персонифицированные данные. Информация, которую нельзя сопоставить с конкретным человеком, может храниться и дальше - например, для статистических целей. Некоторые представители банков и других организаций уже заявили, что положения закона трудновыполнимы, но обойти их вряд ли удастся.
Лицо, занимающееся сбором и обработкой персональных данных, должно уведомить о своих действиях контролирующий орган, объяснив преследуемые цели. Перечень держателей персональных данных должен быть открытым, и любой гражданин имеет право осведомиться у той или иной организации, что она о нем знает. Упоминается в законе и то, что для получения данных следует заручиться согласием лица, их предоставившего.
Интересно, что этот закон был одним из немногих (если не единственным) российских нормативных актов, непосредственно связанных с приватностью граждан, который не вызвал возмущения у правозащитников. Правда, когда законопроект только поступил на рассмотрение в Думу, депутаты были настроены куда менее благодушно. Они протестовали против двух пунктов закона, предусматривающих создание единой системы персонального учета населения (СПУН), в которую должны были быть занесены, помимо всего прочего, и биометрические данные. Но президент порекомендовал эти положения из закона исключить, и во втором чтении о них речи уже не шло. Правда, единая база в России все же будет. Для такого дела в Госдуме обещают со временем принять отдельный закон. Только теперь говорят не СПУН, а госрегистр, и фигурирует в проекте не девятнадцать параметров, а только шесть: ФИО, пол, дата, год рождения. Но все это о нас можно разузнать и сегодня из баз, украденных в госведомствах, так что хуже уже не будет.
Потенциальных источников утечки данных о заемщиках летом прошлого года было предостаточно. Помимо банков, эта информация имелась у розничных сетей, бюро кредитных историй, коллекторских агентств, а также в Центральном каталоге кредитных историй в ЦБ. Представители последнего, правда, постарались откреститься от причастности к столь масштабному хищению конфиденциальных данных, заявив, что в Банк России поступает не вся информация; а та, что доходит, хранится в зашифрованном виде. Хотя, конечно, памятуя о прошлых инцидентах с российским ЦБ, безоговорочно отметать причастность к делу его сотрудников сложно.
Почти сразу отпали бюро кредитных историй, которые не так долго работают, чтобы собрать данные о 700 тысячах клиентов. Вне подозрений оказались и коллекторские агентства, владеющие только списками должников, тогда как в базе имелись данные и о добросовестных плательщиках. Таким образом, среди потенциальных источников утечки остались крупные банки, специализирующиеся на рынке потребительского кредитования, среди которых Инвестсбербанк, Росбанк, Русский Стандарт, Хоум Кредит и др.
ОГОРОД КОЗЛОВСКОГО: Кода, пуля и звезды
После 'Голубятни' про Висту ('Как я кормил обезьяну') нарисовалась серьезная непонятка, на которую читатели разом затыкали пальцем по мылу в личку (во фраза, а?!). Во избежание недопониманса вношу ясность в скользкие моменты.
