Утечки информации: анализ юридической ответственности

Исследование RTM Group

Выводы

  1. Утечки данных в различных масштабах происходят практически ежедневно, однако лишь единицы случаев влекут за собой реальную ответственность.
  2. Наказание за утечку зависит от типа информации: персональные данные, коммерческая/государственная тайна и т.д. Виновные лица могут привлекаться как к административной, так и к уголовной ответственности.
  3. В 2022 году количество официально признанных утечек растет, но несущественно. В первом полугодии 2022 года утечек стало на 14 случаев больше, чем за тот же период 2021 года (134 и 120 инцидентов соответственно). Во втором полугодии 2021 года выявлено 137 случаев утечек.
  4. Политическая ситуация влияет и на статистику инцидентов с утечками данных. Во втором полугодии 2022 года и первом полугодии 2023 года ожидается незначительный рост числа утечек: на уровне 140 – 150 инцидентов за полугодие.
  5. Соотношение внешних и внутренних виновников утечек остается неизменным: 30% инцидентов происходит по вине злоумышленников, не имеющих отношения к потерпевшим организациям, а остальные 70% случаев связаны с действиями (или бездействием) сотрудников пострадавших организаций.
  6. Для привлечения работников компании к ответственности за утечки, в организации должна быть документация о перечне конфиденциальной информации и порядке работы с ней. С такими документами сотрудник должен быть ознакомлен под подпись.

За неоднократное или однократное грубое нарушение порядка сотрудник может быть уволен (к примеру, за пересылку сообщений с рабочей на личную почту, или за выгрузку корпоративных данных на облачное хранилище без разрешения).

  1. Многие утечки данных так и остаются нераскрытыми, поэтому судебная практика по многим статьям КоАП РФ или УК РФ по данной тематике скудна. К примеру, по ст. 13.14 КоАП РФ в первой половине 2021 года было вынесено 99 судебных акта, во второй половине 2021 года — 47 актов, а в первой половине 2022 года —всего 13.

Объясняться это может латентностью данных правонарушений, а также сложностями с выявлением виновных лиц.

  1. Самые резонансные случаи утечек персональных данных касаются популярных клиентских сервисов (Орифлейм, Гемотест, Яндекс Еда и т.д.). Ответственность операторов в настоящее время кажется минимальной: эти крупные корпорации получили штрафы в 30 000 руб. или 60 000 руб. при миллиардных оборотах.

Несоразмерность ответственности за инциденты с ущербом, вызываемых утечками, провоцирует халатность лиц и компаний по отношению к надлежащей защите конфиденциальных данных.

  1. В ближайшее время планируется ввести в законодательство оборотные штрафы, которые будут в тысячи раз больше, чем ныне существующие штрафы по КоАП РФ. К примеру, если бы в 2021 году этот вид ответственности уже существовал, то ООО «Орифлэйм Косметикс» с оборотом в 15,06 млрд руб. могло быть привлечено к уплате штрафа в 3 012 000 руб. за утечку персональных данных клиентов. В то время как суд назначил 30 000 руб.
  2. Последняя крупная утечка данных произошла с DNS. Оборот компании в 2021 году достиг 562,3 млрд руб., поэтому, в случае признания компании виновной, штраф мог бы составить около 112 460 000 руб. При этом максимальный штраф для юридических лиц по части 1 ст. 13.11 КоАП РФ на данный момент составляет 100 000 руб.
  3. Особую категорию утечек представляют собой преступления, связанные с неправомерным воздействием на критическую информационную инфраструктуру Российской Федерации (ст. 274.1 УК РФ).

Пока таких дел — единицы, но постепенно их становится все больше. В первом полугодии 2021 года было вынесено 3 приговора. Во всех трех случаях подсудимые были признаны виновными. Во втором полугодии 2021 года выявлено уже 10 приговоров. В 9 из 10 случаев лица были признаны виновными. В первом полугодии 2022 года — 14 приговоров (во всех случаях был вынесен обвинительный приговор).

Таким образом, количество вынесенных приговоров исчисляется лишь десятками, и оправдание в суде по такой категории минимально.

  1. Самыми распространенными субъектами КИИ, в отношении которых выявлены преступления по ст. 274.1 УК РФ, являются организации связи и здравоохранения. Также часто встречается совокупность преступлений по ст. 274.1 и 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений). Потерпевшими становятся не только сами субъекты КИИ, но и клиенты таких организаций (например, если из базы данных оператора связи копируются и продаются паспортные данные абонентов).
  2. Таким образом, как в судебной практике, так и в законодательстве складывается тенденция к ужесточению регулирования использования данных и повышению ответственности за правонарушения в данной сфере.

 

Введение

Данный отчет содержит анализ законодательства и судебной практики по делам, связанным с различными категориями конфиденциальной информации:

  • Персональные данные;
  • Коммерческая тайна;
  • Государственная тайна;
  • Данные, связанные с критической информационной инфраструктурой РФ.

Проводится анализ гражданско-правовой, административной и уголовной ответственности за утечки данных. Отчет был подготовлен экспертами департамента по правовым вопросам компании RTM Group.

О компании

RTM Group (https://rtmtech.ru/) — группа экспертных и юридических компаний, специализирующихся на правовых и технических вопросах в области информационных технологий и информационной безопасности. Первый на российском рынке исполнитель судебных нормативно-технических ИТ и ИБ экспертиз.

 

Методика

В целях подготовки настоящего отчета проанализированы данные из опубликованных актов судов общей юрисдикции и арбитражных судов (Caselook, Консультант Плюс, Гарант, sudact.ru) и сведения, полученные из иных источников (законопроекты Минцифры; данные об утечках информации из СМИ).

Анализ судебной практики проведен по опубликованным данным, доступным по состоянию на 15.09.2022 года. Для корректного сравнения судебной практики статистика приводится по полугодиям (2021 и 2022 годов).

Статистика основывается исключительно на анализе судебных актов судов общей юрисдикции. При этом акты и решения, изготовленные, но не опубликованные до 15.09.2022 года или измененные после 15.09.2022 года в общую статистику не включены.

Дела были проанализированы и включены в статистику исследования на основе следующих критериев:

  1. В судебном акте по делу имеются ссылки на ст. 13.11 и 13.14 КоАП РФ, а также на ст. 183, 274.1, 283 УК РФ;
  2. Текст документа содержит ключевые слова: «утечки информации», «неправомерная обработка персональных данных», «разглашение конфиденциальной информации», «воздействие на критическую информационную систему»;
  3. Судебные акты принадлежат к различным категориям, включая:
    • Гражданско-правовые нарушения;
    • Административные правонарушения;
    • Уголовные преступления в данной сфере.

Каждое дело проанализировано экспертами RTM Group на предмет соответствия критериям. Составлен общий реестр дел с выделением следующих атрибутов:

  • Категория дела;
  • Номер дела;
  • Дата решения;
  • Суд;
  • Обстоятельства правонарушения/состав преступления;
  • Исход рассмотрения.

 

Цель исследования

  • Рассмотреть крупные случаи утечек информации и проанализировать соразмерность ответственности за них;
  • Выявить виды ответственности за неправомерное разглашение конфиденциальной информации;
  • Проанализировать судебную практику по неправомерному воздействию на КИИ РФ;
  • Рассмотреть законопроекты в данной сфере и выявить тенденции регулирования.

IP

Расширенная версия настоящего отчета подготовлена для внутреннего использования компанией RTM Group и имеет отметку «ДСП».

Настоящий отчет является сокращенной версией и может быть использован неограниченным кругом лиц в научных, учебных, практических, полемических целях.

В случае использования данных из отчета третьими лица обязательна ссылка на источник.

 

Основная часть

 

I. Актуальность и содержание понятия утечек информации

В настоящее время утечки информации происходят регулярно. Самые крупные из них (когда речь идет о тысячах пользователей) связаны с заказом еды и иных сервисов. Например, самыми громкими случаями разглашения данных в 2022 году стали массовые утечки персональных данных клиентов Деливери Клаб и Яндекс Еда.

Однозначного определения утечек данных не существует как минимум потому, что такие случаи касаются широкого круга правонарушений:

  • Неправомерное разглашение персональных данных (в том числе биометрических);
  • Разглашение конфиденциальной информации (в том числе, коммерческой и банковской тайны);
  • Разглашение государственной тайны.

В основном СМИ освещают случаи утечек именно персональных данных клиентов крупных компаний, пользователей различных сайтов, сервисов, т.д. Между тем, их разглашение может нанести существенный вред субъектам персональных данных, поскольку тысячам людей становится доступной информация о месте жительства человека, его доходах и имуществе, наличии у него заболеваний и т.д.

Отдельной категорией инцидентов является доступ и/или разглашение информации, связанной с критической информационной инфраструктурой РФ.

 

II. Общее количество утечек информации

Основываясь на запросах в RTM Group по расследованию утечек, мы приходим к выводу, что число происшествий снова начало расти. Спад подобных инцидентов в 2021 году был обусловлен принятием мер информационной безопасности после перехода на удаленную работу, в то время как основные инциденты были связаны именно с неподготовленной отправкой сотрудников на изоляцию.

Сравнение количества утечек за 2021 год и за I половину 2022 года

Сравнение количества утечек за 2021 год и за I половину 2022 года. Предполагаемый прогноз на 2022-2023 года.

В ближайшее время мы предполагаем незначительный рост числа утечек. Следует учитывать тот факт, что текущая политическая ситуация влияет и на криминальный «рынок». Часть хакеров перенаправляет свое внимание на решение политических задач, например, на оказание воздействия на государственные структуры РФ или иных государств.

Виновники утечек

По расследованным инцидентам соотношение внешних и внутренних виновников классическое: 30% — хакеры и иные лица, не имеющие отношения к потерпевшим организациям; 70% — сами работники компаний (умышленно или случайно). Полагаем, что данная тенденция сохранится. Многие организации все еще не уделяют достаточно внимания информационной безопасности, что приводит к негативным последствиям в виде утечек конфиденциальной информации.

 

III. Cудебная практика

Широкое понимание утечек приводит к появлению разных категорий дел, в рамках которых возможна:

  • Административная ответственность за разглашение персональных данных и иной конфиденциальной информации;
  • Уголовная ответственность за незаконное разглашение сведений;
  • Гражданско-правовая ответственность;
  • Дисциплинарная (в рамках трудовых правоотношений между работодателем и работником).

 

Административная ответственность

 

  1. За разглашение ПДн.

В настоящее время за произошедшие утечки операторы данных привлекаются к административным штрафам, установленным КоАП РФ. Это представляется малоэффективным и несоразмерным реально нанесенному ущербу от происшествия.

Пример:

В 2022 году Замоскворецкий районный суд привлек ООО «Яндекс еда» к административному штрафу в размере 60 000 руб. за утечку ПДн клиентов (по ч. 1 ст. 13.11 КоАП РФ). Инцидент затронул данные около 7 миллионов пользователей. При этом выручка ООО «Яндекс Еда» за 2021 год составила 13,29 млрд руб. (на 2022 год данных пока нет).

По той же статье и в том же размере (60 000 руб.) была оштрафована Лаборатория «Гемотест» (дело № 05-0564/287/2022). Выручка Гемотест за 2021 год составила 25,28 млрд руб. В решении суда оператору персональных данных вменяется в вину необеспечение конфиденциальности и допущение несанкционированного доступа неустановленного лица к базе данных о клиентах. Суд усмотрел нарушение в способе доступа к базе данных, который был осуществлён через действующую учётную запись общества. 

Привести статистику привлечения к ответственности конкретно по разглашению ПДн не представляется возможным, поскольку к правонарушениям по ч. 1 ст. 13.11 относятся различные случаи неправомерной обработки ПДн, связанные не только с утечками данных.

Что происходит с ресурсами, на которых выставляются «слитые» данные пользователей?
Они по решению суда вносятся в реестр нарушителей прав субъектов персональных данных и блокируются Роскомнадзором. Проверить ресурс можно по ссылке на сайте Роскомнадзора.

 

  1. За разглашение информации с ограниченным доступом* (ст. 13.14 КоАП РФ).
*
К такой информации относятся коммерческая тайна, налоговая, банковская и т.д.

Судебная практика по этой категории дел является малораспространенной и имеет тенденцию к снижению. За первую половину 2021 года (01.01.2021-30.06.2021) было вынесено 99 судебных актов, в 30% лица были привлечены к административной ответственности. В 5% случаев было полностью отказано в привлечении к ответственности, а в остальном — оставлено без рассмотрения.

Во второй половине 2021 года вынесено 47 судебных актов. В 47% лица привлечены к ответственности, в 17% — отказано.

В первой половине 2022 года число судебных актов значительно снизилось: было вынесено всего 13. В 40% случаев лицам назначили административное наказание, в 38% — отказали. Такое снижение количества судебных актов можно объяснить переключением внимания на другие дела, а также тем, что суд предпочитает урегулировать нарушения во внесудебном или в судебном, но гражданско-правовом порядке.

 

Уголовная ответственность

 

  1. За незаконное разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (ч. 2 ст. 183 УК РФ).

Описание преступления созвучно административному правонарушению по ст. 13.14 КоАП РФ, однако касается случаев, когда утечка производится непосредственно «руками» уполномоченных лиц. Например, когда работник банка из собственных интересов передает информацию, содержащую банковскую тайну.

Количество расследованных дел по данной статье минимально: 41 человек был осужден по частям 1-4 ст. 183 УК РФ, а непосредственно по ч. 2 – 15 человек.

  1. За неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации* (ст. 274.1).
*
Критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов (п.6 ст. 2 ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации”).

Иными словами, это совокупность информационных систем и телекоммуникационных сетей, критически важных для работы ключевых сфер жизнедеятельности государства и общества: здравоохранения, промышленности, связи, транспорта, энергетики, финансового сектора и городского хозяйства. Данная статья распространяется на случаи неправомерного воздействия на критическую информационную инфраструктуру РФ. Она охватывает нарушения работников, чья деятельность связана с объектами КИИ, а также сторонних лиц, совершивших намеренный или непреднамеренный доступ к компьютерной информации, содержащейся в КИИ РФ.

Судебных дел по данной категории — единицы. В первом полугодии 2021 года было вынесено 3 приговора. Во всех трех случаях подсудимые были признаны виновными. Во втором полугодии 2021 года выявлено уже 10 приговоров. В 9 из 10 случаев лица были признаны виновными. В первом полугодии 2022 года — 14 приговоров (во всех случаях вынесен обвинительный приговор).

По данной категории дел основными пострадавшими являются операторы сотовой связи (Вымпелком, МТС, Т2Мобайл и др.) и организации здравоохранения.

В связи с коронавирусными ограничениями распространились случаи внесения в базы фальшивых сведений о вакцинации (см. приговор Кизилюртовского городского суда Республики Дагестан от 23.12.2021 по делу N 1-148/2021; приговор Магарамкентского районного суда Республики Дагестан от 16.03.2022 по делу N 1-57/2022, др.).

Если преступление совершается в сфере связи (ст. 274.1 УК РФ), то часто вменяется по совокупности со ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений).

Пример из судебной практики
Подсудимая являлась сотрудником коммерческой организации, предоставляющей услуги связи. В силу своего служебного положения она имела доступ к сведениям, составляющим тайну телефонных переговоров граждан, именно:

  • к сведениям о телефонных переговорах;
  • персональных данных;
  • адресах абонентов;
  • адресах установки оконечного оборудования;
  • к сведениям баз данных систем расчёта за оказанные услуги связи;
  • к сведениям о соединениях, трафике и платежах абонентов, пользователей.

За денежное вознаграждение она согласилась передавать конфиденциальные данные клиентов другому лицу. Суд привлек ее к уголовной ответственности в виде 3 лет 6 месяцев условного лишения свободы, а также запретил ей в течение 1 года заниматься деятельностью в сфере предоставления услуг связи. (Приговор Краснооктябрьского районного суда г. Волгограда Волгоградской области от 18.03.2021 по делу N 1-108/2021).

 

Пример из судебной практики
Работник оборонного предприятия, являющегося объектом КИИ, скачал себе на рабочий компьютер программу-активатор для Microsoft Office Word. Суд указал, что такие программы априори созданы для преодоления защиты и нелицензионного использования ПО. Из-за скачивания программы-активатора на рабочий компьютер подсудимого, был занесен вирус. После этого, с его рабочего компьютера два раза в день (при включении и выключении) в малом объеме уходили данные в американский сегмент сети “Интернет”.  Непосредственный вред предприятию нанесен не был, но, по мнению работодателя, таким действием была создана угроза сохранности конфиденциальной информации предприятия. В итоге суд оправдал сотрудника (по ч. 4 ст. 274.1 УК РФ), так как обязательным признаком состава данного преступления является последствие в виде причинения вреда КИИ.

«Факт передачи неустановленной по содержанию и характеру информации сам по себе не свидетельствует о причинении существенного ущерба безопасности информации, а также причинения какого-либо иного значимого ущерба интересам потерпевшего».

Также суд установил, что по делу не установлен адресат, которому передана информация неопределенного характера. Суд не обнаружил умысла подсудимого на причинение в результате своих действий вредоносных последствий КИИ.

«Совершенное лицом деяние, повлекшее утечку информации, является неосторожным и не подпадает под признаки преступления, предусмотренного ст. 274.1 УК РФ».

(Приговор Кировского районного суда г. Перми Пермского края от 07.07.2021 по делу N 1-181/2021).

 

  1. Разглашение государственной тайны (ст. 283 УК РФ)

Субъект данного преступления — лицо, имеющее доступ к государственной тайне. Преступление считается совершенным, когда сведения, составляющие гостайну, стали известны посторонним лицам. Данная категория дел рассматривается практически всегда в закрытом режиме, подробности разбирательств не разглашаются. В 2021 году по ч. 1 ст. 283 УК РФ было осуждено 58 человек, 5 из которых приговорены к реальному лишению свободы. По ч. 2 данной статьи, касающейся наступления тяжких последствий в результате деяния, никто осужден не был.

 

Гражданская ответственность

 

  1. Утечки информации могут существенно навредить гражданам: нанести как моральный, так и материальный вред. В связи с этим пострадавшие лица могут подать коллективный иск к операторам данных, которые не обеспечили сохранность конфиденциальной информации. Такие иски поданы в отношении Яндекс Еды и СДЭК, однако пока успешных случаев удовлетворения таких требований не встречается.

В качестве компенсации вреда возможно подавать иски о компенсации морального ущерба, однако судебная практика показывает, что итоговые суммы компенсаций по данной категории дел являются незначительными: в основном, до 10 000 руб.

  1. К гражданско-правовой ответственности стороны договорных отношений могут быть привлечены при наличии отдельного соглашения о конфиденциальности (которое также называется соглашением о неразглашении, NDA), или соответствующего раздела в договоре. Режим конфиденциальности вводится согласно требованиям законодательства (ст. 10 ФЗ «О коммерческой тайне»).

В случае неправомерного разглашения конфиденциальной информации возможно произвести взыскание неустойки, возмещение убытков и реализовать другие меры гражданско-правовой ответственности.

В рамках судебного разбирательства стороны могут взыскать материальную компенсацию за причинённый ущерб или упущенную выгоду. Для привлечения к ответственности заявителю необходимо доказать:

  • Факт несанкционированного разглашения;
  • Вину ответчика в получении доступа к конфиденциальной информации;
  • Причинно-следственную связь;
  • Факт наступления негативных последствий.

Разглашение конфиденциальной информации имеет место также и в рамках трудовых отношений.

Пример из судебной практики (https://rtmtech.ru/research/rtm-research-rp/)
Бывший сотрудник организации после увольнения перешел на другое место работы и распространил информацию о продвижении продукции, идентичной разработанной в первоначальном месте работы. Истец (бывший работодатель) утверждал, что ответчик (бывший сотрудник) нарушил приказ о неразглашении коммерческой тайны путем передачи технической и конструкторской документации третьим лицам. Истец требовал взыскать с ответчика упущенную выгоду в размере 1 300 000 евро.

Суд посчитал, что истец так и не смог предоставить достоверных сведений о разглашении конфиденциальной информации (апелляционное определение СК по гражданским делам Московского городского суда от 16.09.2021 по делу N 33-37645/2021).

 

Дисциплинарная ответственность

 

За разглашение конфиденциальной информации сотрудника могут уволить, если он:

  1. Разгласил персональные данные коллег:
  • Работник разместил ПДн коллег на сайте федеральной электронной торговой площадки в сети Интернет (определение Седьмого кассационного суда общей юрисдикции от 01.07.2021 по делу N 88-8488/2021);
  1. Разгласил ПДн клиентов или контрагентов:
  • Работник выгружал данные о клиентах компании из системы администрирования. Согласно внутренним трудовым актам компании, такие сведения относятся к коммерческой тайне (определение Второго кассационного суда общей юрисдикции от 27.02.2020 N 88-3355/2020);
  • Работник неоднократно перенаправлял файлы, которые отнесены к коммерческой тайне, с корпоративной почты на личную почту (определение Третьего кассационного суда общей юрисдикции от 18.08.2021 N 88-10853/2021 по делу N 2-976/2020);
  • Сотрудница на своем рабочем месте сканировала документы клиентов и передавала данные в другую компанию. Доказательством нарушения стали результаты служебной проверки: у работника выявлены документы, не относящиеся к документам работодателя (определение Шестого кассационного суда общей юрисдикции от 14.01.2021 по делу N 88-567/2021).
  1. Вывел конфиденциальную информацию из-под контроля работодателя:
  • Работник переместил данные о банковских и кассовых операциях, бухгалтерские отчетности, выписки со счетов и т.д. на свою личную флешку (определение Первого кассационного суда общей юрисдикции от 07.04.2022 N 88-7521/2022);
  • Работник выгрузил данные с рабочего компьютера на облачное хранилище (апелляционное определение Санкт-Петербургского городского суда от 05.05.2021 N 33-1290/2021 по делу N 2-253/2020).

Во всех рассмотренных случаях лица были уволены.

Таким образом, судом в первую очередь проверяется наличие правильно составленной документации о конфиденциальной информации, а также ознакомление сотрудника с этими правилами. При соблюдении такого порядка и наличии нарушения суд признает дисциплинарное наказание сотрудника (замечание, выговор или увольнение) законным.

 

IV. Перспективы регулирования

В настоящий момент Минцифры занимается разработкой законопроекта об ужесточении ответственности за утечку персональных данных, который вводит оборотные штрафы. По предварительным данным, такой штраф может достичь 1% от годового оборота, а при повторных случаях — 3%. Особенно серьезной ответственность может стать для крупных корпораций.

К примеру, в 2021 году у Орифлейм произошла крупная утечка ПДн клиентов. Суд привлек компанию к административной ответственности в размере 30 000 руб. по ст. 13.11 КоАП РФ. Если бы в 2021 году уже взымали бы оборотные штрафы, то ООО «Орифлэйм Косметикс» с оборотом в 15,06 млрд руб. могло быть привлечено к уплате штрафа в 3 012 000 руб. за утечку персональных данных клиентов.

Также можно привести примеры крупных утечек в 2022 году. Как уже было рассмотрено ранее, компании «Яндекс Еда» и «Гемотест» были привлечены к административным штрафам в 60 000 руб. Оборотные штрафы могли были составить в случае Яндекса: около 71 240 000 руб., а в случае Гемотеста — 1 402 000 руб. (основываясь на данных об обороте компаний за 2021 год). Такие штрафы были бы в 4 333 и 8 333 раза больше.

Последняя крупная утечка данных произошла с DNS. Оборот компании в 2021 году достиг 562,3 млрд руб., поэтому в случае признания компании виновной, штраф мог бы составить около 112 460 000 руб. Максимальный штраф для юридических лиц по части 1 ст. 13.11 КоАП РФ на данный момент составляет 100 000 руб.

Таким образом, оборотные штрафы в тысячи раз больше, чем те, что предусмотрены сегодня по КоАП РФ. Такая мера ответственности могла бы мотивировать организации вкладывать средства в развитие системы информационной безопасности и страхования рисков. В настоящий момент компаниям выгоднее заплатить незначительные по размеру штрафы, чем регулярно выделять средства на обеспечение системы защиты информации.

Еще одним направлением ужесточения ответственности является возможное введение уголовной ответственности за утечки информации, повлекшие тяжкие последствия (смерть или причинение вреда здоровью потерпевшего). Соответствующий проект также разрабатывает Минцифры.

 

Выводы с учётом опыта RTM Group

Таким образом, обобщая результаты проведенного исследования и опыт работы экспертов RTM Group с различными категориями конфиденциальной информации, предлагаем краткие выводы и экспертные рекомендации. Судебная практика по данной узкой категории споров постепенно становится более распространенной и устойчивой.

  1. Утечки данных в различных масштабах происходят практически ежедневно, однако лишь единицы случаев влекут за собой реальную ответственность.
  2. Наказание за утечку зависит от типа информации: персональные данные, коммерческая/государственная тайна и т.д. Виновные лица могут привлекаться как к административной, так и к уголовной ответственности.
  3. В 2022 году количество официально признанных утечек растет, но несущественно. В первом полугодии 2022 года утечек стало на 14 случаев больше, чем за тот же период 2021 года (134 и 120 инцидентов соответственно). Во втором полугодии 2021 года выявлено 137 случаев утечек.
  4. Политическая ситуация влияет и на статистику инцидентов с утечками данных. Во втором полугодии 2022 года и первом полугодии 2023 года ожидается незначительный рост числа утечек: на уровне 140 – 150 инцидентов за полугодие.
  5. Соотношение внешних и внутренних виновников утечек остается неизменным: 30% инцидентов происходит по вине злоумышленников, не имеющих отношения к потерпевшим организациям, а остальные 70% случаев связаны с действиями (или бездействием) сотрудников пострадавших организаций.
  6. Для привлечения работников компании к ответственности за утечки, в организации должна быть документация о перечне конфиденциальной информации и порядке работы с ней. С такими документами сотрудник должен быть ознакомлен под подпись.

За неоднократное или однократное грубое нарушение порядка сотрудник может быть уволен (к примеру, за пересылку сообщений с рабочей на личную почту, или за выгрузку корпоративных данных на облачное хранилище без разрешения).

  1. Многие утечки данных так и остаются нераскрытыми, поэтому судебная практика по многим статьям КоАП РФ или УК РФ по данной тематике скудна. К примеру, по ст. 13.14 КоАП РФ в первой половине 2021 года было вынесено 99 судебных акта, во второй половине 2021 года — 47 актов, а в первой половине 2022 года —всего 13.

Объясняться это может латентностью данных правонарушений, а также сложностями с выявлением виновных лиц.

  1. Самые резонансные случаи утечек персональных данных касаются популярных клиентских сервисов (Орифлейм, Гемотест, Яндекс Еда и т.д.). Ответственность операторов в настоящее время кажется минимальной: эти крупные корпорации получили штрафы в 30 000 руб. или 60 000 руб. при миллиардных оборотах.

Несоразмерность ответственности за инциденты с ущербом, вызываемых утечками, провоцирует халатность лиц и компаний по отношению к надлежащей защите конфиденциальных данных.

  1. В ближайшее время планируется ввести в законодательство оборотные штрафы, которые будут в тысячи раз больше, чем ныне существующие штрафы по КоАП РФ. К примеру, если бы в 2021 году этот вид ответственности уже существовал, то ООО «Орифлэйм Косметикс» с оборотом в 15,06 млрд руб. могло быть привлечено к уплате штрафа в 3 012 000 руб. за утечку персональных данных клиентов. В то время как суд назначил 30 000 руб.
  2. Последняя крупная утечка данных произошла с DNS. Оборот компании в 2021 году достиг 562,3 млрд руб., поэтому, в случае признания компании виновной, штраф мог бы составить около 112 460 000 руб. При этом максимальный штраф для юридических лиц по части 1 ст. 13.11 КоАП РФ на данный момент составляет 100 000 руб.
  3. Особую категорию утечек представляют собой преступления, связанные с неправомерным воздействием на критическую информационную инфраструктуру Российской Федерации (ст. 274.1 УК РФ).

Пока таких дел — единицы, но постепенно их становится все больше. В первом полугодии 2021 года было вынесено 3 приговора. Во всех трех случаях подсудимые были признаны виновными. Во втором полугодии 2021 года выявлено уже 10 приговоров. В 9 из 10 случаев лица были признаны виновными. В первом полугодии 2022 года — 14 приговоров (во всех случаях был вынесен обвинительный приговор).

Таким образом, количество вынесенных приговоров исчисляется лишь десятками, и оправдание в суде по такой категории минимально.

  1. Самыми распространенными субъектами КИИ, в отношении которых выявлены преступления по ст. 274.1 УК РФ, являются организации связи и здравоохранения. Также часто встречается совокупность преступлений по ст. 274.1 и 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений). Потерпевшими становятся не только сами субъекты КИИ, но и клиенты таких организаций (например, если из базы данных оператора связи копируются и продаются паспортные данные абонентов).
  2. Таким образом, как в судебной практике, так и в законодательстве складывается тенденция к ужесточению регулирования использования данных и повышению ответственности за правонарушения в данной сфере.

Рекомендации при работе с конфиденциальной информацией:

  1. Последствия от утечек информации являются существенными как для лиц, чьи данные были неправомерно распространены, так и для операторов таких данных. Это, как минимум, репутационные потери, а также штрафы, которые вскоре могут стать значительными. Поэтому необходимо вкладывать средства в создание и совершенствование систем защиты информации.
  2. Необходимо обеспечить не только технические меры защиты информации конфиденциального характера, но и организационно-правовую защиту.
  3. Следует создать режим максимальной защиты информации: ввести режим конфиденциальности внутри предприятия (в том числе, для защиты коммерческой тайны и после увольнения сотрудников); заключить соглашение о неразглашении NDA с внешними контрагентами (в котором детально определить содержание защищаемой информации и ответственность за нарушение).

 

Для введения режима конфиденциальности необходимо:
  • Создать перечень конфиденциальной информации;
  • Ограничить доступ к таким данным (установив порядок обращения с ними и контроль за его соблюдением);
  • Вести учет лиц, получивших доступ к конфиденциальной информации, и (или) лиц, которым она была предоставлена или передана;
  • Разработать пакет документации, регламентирующей использование конфиденциальной информации работниками и контрагентами компании (трудовой договор с условием о неразглашении конфиденциальной информации, NDA и т.д.);
  • Наносить на материальные носители или документы, содержащие такую информацию, грифов с указанием обладателя данных и предпринимать др. меры.

 

Разглашение данных может произойти по вине сотрудника организации.

Для привлечения к ответственности работника судом проверяются следующие обстоятельства:
  • Наличие допуска работника к сведениям, составляющим охраняемую законом тайну;
  • Разгласил ли работник сведения, составляющие государственную, коммерческую, служебную или иную тайну, персональные данные других работников;
  • Данная информация стала известна работнику в связи с исполнением им трудовых обязанностей;
  • Отнесение разглашенной информации к охраняемой законом тайне.

При этом работник должен быть ознакомлен с порядком работы с такой информацией, что обязывает его не разглашать такие сведения. Для этого работодатель должен под подпись ознакомить сотрудника с положениями трудового договора о конфиденциальной информации, а также с положением о защите персональных данных, перечнем информации, составляющей коммерческую тайну, положением о защите коммерческой тайны.

 

RTM Group

RTM Group — группа экспертных и юридических компаний, специализирующихся на правовых и нормативно-технических вопросах в области информационных технологий и информационной безопасности.

В RTM Group работает Центр судебных экспертиз, проводящий нормативные и нормативно-технические экспертизы, а также правовое подразделение, осуществляющее сопровождение клиентов при возникновении конфликтов, включая судебные, в области реализации банковской деятельности.

Компании группы обладают необходимыми лицензиями ФСТЭК России и ФСБ России.

Сотрудники компаний имеют большой опыт экспертной, а также правовой работы и специализируются на проведении следующих видов работ:

  • Помощь в разрешении споров, управлении рисками, ответные действия на заявления о злоупотреблении данными;
  • Подготовка судебных и досудебных экспертиз по вопросам информационных технологий, информационной безопасности и защиты информации;
  • Проведение исследований о соответствии IT-проекта требованиям законодательства (или правовой аудит);
  • Сопровождение IT-проекта (подготовка и согласование документов/договоров, положений и т. п.);
  • Структурирование и систематизация бизнес-процессов IT-компаний;
  • Помощь в выборе договорных конструкций для реализации IT-проекта;
  • Помощь в выборе подходящего режима налогообложения с учетом условий реализации IT-проекта;
  • Оформление трудовых отношений с работниками, создающими объекты интеллектуальной собственности;
  • Обеспечение безопасности интеллектуальной собственности;
  • Минимизация рисков судебных претензий;
  • Защита интересов клиента в суде, максимально возможное снижение штрафа, неустойки;
  • Представление интересов по обжалованию решений и действий Роскомнадзор, ИФНС, УФАС, прокуратуры, полиции и иных контролирующих органов;
  • Сопровождение при проверках контролирующих органов, предоставление мотивированных пояснений.

Эксперты компании обладают признанными Национальными и Международными сертификациями, такими как CISA, CISM, CISSP, СТО БР ИББС, 27001 и пр.

RTM Group является первым на российском рынке исполнителем судебных нормативно-технических экспертиз в области информационных технологий и информационной безопасности.

Задать вопрос эксперту