Цифровая безопасность: защита персональных данных в 2025 году

@companies.rbc
#Политика#Право#Интернет

Куда идет закон в эпоху четвертой промышленной революции и кибервойн: что можно делать с чужими персональными данными россиян, а что нельзя

Цифровая безопасность: защита персональных данных в 2025 году

КоАП и Уголовный кодекс ужесточили работу с персональными данными россиян. Принятые законы устанавливают административные и уголовные наказания. Виновным лицам могут быть назначены штрафы, принудительные работы и даже лишение свободы.  Рассказываем, как сегодня — в эпоху четвертой промышленной революции и кибервойн — цифровая безопасность и борьба с утечками персональных данных россиян качественно отражаются в законах.

Цифры и факты

Кибератаки на российские компании и IT-подразделения госсектора, продажа баз данных в даркнете и криминальные схемы. Мишенями хакеров и мошенников становятся платформы банков, маркетплейсов, телеканалов, социальных сервисов, мобильных операторов.

Ежегодно количество совершенных киберпреступлений увеличивается в разы. В 2024 году в Сеть утекло 710 млн персональных данных россиян. Это самый крупный инцидент, зарегистрированный Роскомнадзором. Реальная цифра скомпрометированных персональных данных больше, так как многие компании скрывают «свои» утечки и их последствия.

По данным InfoWatch, чаще всего утекают персональные данные (50%), реже — платежная информация (30%) и коммерческая тайна (27%) (см. исследование «Оценка ущерба от утечек информации и затрат на ликвидацию последствий»). При этом «львиная доля» утечек в России носит умышленный характер — более 99%. 

Цифровая безопасность: защита персональных данных в 2025 году

Меры повышенной ответственности

Информационная безопасность сегодня касается каждого: значительная часть персональных данных россиян выложена в открытый доступ, что объясняется массовыми утечками. В качестве примера приведем популярный сервис доставки еды, который включает как платежные данные, так и личную информацию.

Чтобы создать надежную систему защиты информации, то есть обеспечить безопасность граждан и бизнеса, компании-разработчики систем защиты информации улучшают решения по информационной безопасности, а государство совершенствует законодательную базу.

Экспертное заключение по итогам сессии ВЭФ-2024 «Цифровая безопасность и ответственность бизнеса»:

Одним из способов противодействия утечкам данных является формирование четкой государственной политики в сфере кибербезопасности, включающей разработку нормативных правовых норм и национальных программ, направленных на защиту данных и инфраструктуры. Государство проводит инициативы как со стороны развития методов защиты персональных данных, так и методов предотвращения киберпреступлений.

Основной документ, который содержит ключевые аспекты обеспечения безопасности в области информационных технологий, это «Доктрина информационной безопасности Российской Федерации» (утверждена Указом Президента РФ № 646 от 5 декабря 2016 года).

Базовыми федеральными законами, которые регламентируют область кибербезопасности, считаются: «О персональных данных», «Об информации, информационных технологиях и о защите информации». Так, Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (ред. от 08.08.2024) устанавливает порядок работы — принципы и условия обработки персональных данных (далее ПДн).

Персональными данными считается любая информация, относящаяся прямо или косвенно к определенному физическому лицу.  Другими словами, это личные сведения о человеке: от ФИО, биометрии, состояния здоровья до информации об имущественном статусе, активах, судимости. К основным ПДн относятся:

  • фамилия, имя и отчество;
  • дата и место рождения;
  • пол;
  • паспортные данные;
  • место регистрации (жительства);
  • номера СНИЛС и ИНН;
  • контактные данные (телефон, электронная почта);
  • сведения об образовании.

Данный Федеральный закон выступает одним из средств защиты рассматриваемой информации, так как он устанавливает:

  • основные принципы и условия обработки ПДн;
  • меры по обеспечению безопасности ПДн при их обработке;
  • а также указывает на тот факт, что лицо, виновное в нарушении требований данного Федерального закона, несет предусмотренную законодательством РФ ответственность: дисциплинарную, материальную, гражданско-правовую, административную или уголовную.

Вопрос защиты персональных данных остается актуальным и достаточно важным для государства и всего общества в целом. В связи с указанными обстоятельствами законодателем в ноябре 2024 года были приняты Федеральные законы, вносящие ряд изменений в УК РФ и КоАП РФ.

Новые законы повышают ответственность за нарушение требований законодательства. Поправки к КоАП РФ предусматривают, в частности, штрафы за утечки персональных данных, а поправки к УК РФ устанавливают, в том числе, ответственность за незаконное использование и оборот персональных данных.

Цифровая безопасность: защита персональных данных в 2025 году

Поправки в уголовный кодекс

30 ноября 2024 года Президентом РФ был подписанФедеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации». Так, УК РФ пополнился статьей 272.1, согласно которой уголовная ответственность устанавливается за незаконное использование, передачу, сбор, хранение компьютерной информации, содержащей ПДн. Данная статья — это самое серьезное нововведение.

Преступным деянием признается и незаконное создание, обеспечение функционирования информационных ресурсов, предназначенных для незаконного хранения, распространения информации, содержащей ПДн.

Иллюстративный пример — Telegram-боты, которые предоставляют за денежное вознаграждение конфиденциальную информацию о человеке без его ведома. Предполагается, что источником информации для такого чат-бота служат именно утечки, которые допускают компании, имеющие доступ к личным данным россиян.

Интересный факт — в день опубликования данного ФЗ сообщалось, что многие из таких информационных ресурсов прекратили свою деятельность. Почему? Потому что ст. 272.1 УК РФ предусматривает довольно серьезную уголовную ответственность, в том числе в виде лишения свободы на срок до 10 лет!

Жертвами аферистов становятся не только организации, но и самые обычные люди, которые не в курсе, что кто-то оформил на них фирму, микрозайм, кредит или крупный долг, взломав аккаунты на «Госуслугах», к примеру.  Украденные данные попадают в «нужные» руки. 

Форумы, на которых торгуют персональными данными, предлагают купить досье на человека: паспортные данные, ИНН, декларацию о доходах, аккаунты в социальных сетях и тд. Пользователи услуг ботов для поиска информации о людях оформляют подписку на день, неделю или месяц.

В Сети работают сайты с красноречивыми заголовками в духе «Топ подборка лучших ботов Telegram для пробива…». Подборки «популярных» ботов для поиска слитой информации о человеке находятся в свободном доступе, но теперь, в связи с ужесточением законодательства, имеют приписку: «Использование ботов для «пробива» Telegram без согласия людей, о которых вы ищете информацию, является незаконным в России».

Обращаем внимание, что к уголовной ответственности ст. 272.1 УК РФ могут привлечь исключительно за незаконный оборот персональных данных. Виновные в нарушении, наказываются лишением свободы на следующие сроки:

  • ч. 1 — лишение свободы на срок до четырех лет;
  • ч. 2 — лишение свободы на срок до пяти лет;
  • ч. 3 — лишение свободы на срок до шести лет;
  • ч. 4 — лишение свободы на срок до восьми лет;
  • ч. 5 — лишение свободы на срок до десяти лет;
  • ч. 6 — лишение свободы на срок до пяти лет;

Стоит отметить, что некоторые сведения находятся в свободном доступе и их использование не повлечет за собой никаких уголовно-правовых последствий: банк данных ФНС России (www.nalog.gov.ru), банк данных исполнительных производств (www.fssp.gov.ru), сайты судов общей юрисдикции, картотека арбитражных дел (www.kad.arbitr.ru), сервис для детальной проверки надежности контрагентов «Контур.Фокус» (www.focus.kontur.ru).

Например, с помощью «Контур.Фокус» можно узнать информацию о наличии или отсутствии исполнительных производств у потенциального контрагента, о его судебных спорах и так далее. Приведенные сведения являются общедоступными, их оборот не запрещен, поэтому использовать их можно спокойно, без переживаний относительно потенциальной уголовной ответственности.

Поправки в КоАП

В КоАП РФ также был разработан целый ряд масштабных изменений, но в законную силу они вступят только 30 мая 2025 года. Дополнения касаются должностных лиц, которых можно привлечь к административной ответственности за следующие правонарушения:

  • отказ в предоставлении информации (ст. 5.39 КоАП РФ);
  • нарушение законодательства РФ в области персональных данных (ст. 13.11 КоАП РФ);
  • нарушение правил защиты информации (ст. 13.12 КоАП РФ);
  • незаконная деятельность в области защиты информации (ст. 13.13 КоАП РФ);
  • разглашение информации с ограниченным доступом (ст. 13.14 КоАП РФ);
  • непредоставление сведений (информации) (ст. 19.7 КоАП РФ).

Несмотря на довольно обширный перечень нормативных положений, за нарушение которых могут привлечь к тому или иному виду административной ответственности, необходимо понимать, что по большей части из них привлечь могут только должностных лиц.

В завершение обращаем внимание на необходимость оставаться предельно внимательными и предусмотрительными. Если вы сомневаетесь в правомерности использования того или иного сервиса или сведений, находящихся на них, лучше проконсультироваться с юристом.

Больше актуальных новостей права, рекомендации и разъяснения по правовым вопросам читайте в авторских блогах наших адвокатов и юристов в социальных сетях: блог Романа Розы для адвокатов по уголовным делам, РОКА «Советник» в Telegram,  РОКА «Советник» в ВК.

Данные о правообладателе фото и видеоматериалов взяты с сайта «РБК Компании», подробнее в Условиях использования
Анализ
×
Организации
Рейтинг организаций
804
804
145
145
99
99
РОКА "СОВЕТНИК"
Организации
Места
Рейтинг мест
4 258
4 258
Законы
Рейтинг законов
39
39
33
33
32
32
Технологии
Рейтинг технологий
243
243
62
62
57
57
38
38
12
12