Персональные данные граждан — лакомый товар, и их незаконный оборот с годами только растет. Последствия этого для граждан могут быть разными: от назойливой рекламы и возможности «пробить» человека до мошенничества в банковской и других сферах. Но сейчас российское законодательство не готово адекватно ответить на растущие вызовы.
Фото: из личного архива
Владельцы Telegram-ботов, позволяющих за плату получить данные о конкретном человеке, с юридической точки зрения занимаются обработкой персональных данных. Таким образом, и клиенты таких ботов, и их владельцы выступают операторами персональных данных. Но законно обрабатывать их они могут лишь при согласии гражданина, то есть субъекта персональных данных. Получение и распространение информации без его согласия — нарушение закона.
Конечно, российское законодательство формально позволяет пострадавшим защитить себя, если данные распространяются без их ведома: можно взыскать моральный вред или убытки. Но на практике взыскать убытки не удавалось пока никому, поскольку невозможно доказать причинно-следственную связь, которая к этим потерям привела. В случае с анонимными ботами и ответчика-то найти зачастую невозможно.
Пострадавший может обратиться в Роскомнадзор, который вправе начать проверку и, если найдет владельца бота, может оштрафовать его и обратиться в суд. Но штрафы от таких разбирательств идут в бюджет, а не гражданину.
Наконец, остается вариант обратиться в правоохранительные органы. Но уголовных дел, в которых фигурируют Telegram-боты, еще не было. В целом по простым делам с утечками данных виновные, как правило, отделываются незначительным штрафом или условным сроком.
Получается, что у наших граждан фактически нет эффективных инструментов защиты своих прав в случае утечки и распространения персональных данных. А у российских операторов, обрабатывающих такие данные, нет стимула их защищать. Но россияне понимают, что так быть не должно: по данным ВЦИОМа, увеличение штрафов для интернет-площадок за нарушения, допущенные при обработке персональных данных, одобряют 58% опрошенных.
В отличие от России, действующее в Евросоюзе законодательство по защите персональных данных сформировало прозрачный оборот данных граждан на практике и стимулирует операторов данных их защищать. Это стало возможным, поскольку над нарушителями закона фактически висит «дамоклов меч» в виде штрафов до 4% от оборота компании.
Российская система ответственности за такие нарушения, на мой взгляд, нуждается в кардинальных реформах с опорой на европейский опыт. Административным штрафам необходима прогрессивная шкала, а граждане должны иметь право взыскивать фиксированную компенсацию за утечку их данных. Наказание должно учитывать характер нарушения, масштаб оператора данных и принимаемые им меры для их защиты.
Ключевую роль будет играть правоприменение, поэтому для таких дел нужен специальный суд, ведь масштабы незаконной добычи «новой нефти», то есть данных, с годами будут лишь расти. Параллельно следует совершенствовать законодательство о регулировании подобных ботов, которые уже в ближайшее время могут стать главным оружием киберпреступников. Первые шаги для этого должны быть сделаны со стороны государства.