К сожалению, ускоренное развитие цифровых сервисов в России все чаще приводит к «сливам» целых баз с персональными данными их пользователей, причем от таких ситуаций не застрахована ни одна сфера. Так, еще в 2019 году по вине высокопоставленного сотрудника Сбербанка в Сети оказались данные по кредитным картам клиентов организации. Схожая история в следующем году произошла с данными сотрудников и пользователей языковой онлайн-школы SkyEng, а зимой того же года в Сеть утекла база с записями о переболевших коронавирусом москвичах.
Самая громкая история этого года на данный момент — утечка персональных данных сервиса доставки «Яндекс.Еда». И в этом случае некоторые его пользователи решили наказать компанию за недостаточную защиту этой информации: суды уже начали регистрировать соответствующие иски. Так, в Замоскворецком районном суде в настоящий момент лежат как минимум два: групповой и одиночный, в которых выставлены аналогичные требования — компенсация в размере 100 тыс. рублей на каждого пользователя. Но, как считают опрошенные «Известиями» юристы, перспективы таких дел весьма туманные.
Говоря о возможных вариантах для подачи подобных исков в суд, партнер коллегии адвокатов Pen & Paper Екатерина Токарева уточняет, что у лица, персональные данные которого утекли в открытый доступ, есть две гражданско-правовые формы защиты своих прав в судебном порядке. Это возмещение убытков либо компенсация морального вреда. При этом субъект персональных данных может обращаться одновременно с двумя этими претензиями.
Однако первый вариант, по мнению руководителя практики интеллектуальной собственности и информационного права Maxima Legal Максим Али, на практике лишен всякого смысла. По его словам, в российском суде доказать убытки весьма непросто даже по куда более очевидным ситуациям, чем утечка данных, ведь в первую очередь необходимо доказать хотя бы их примерный размер, что практически невозможно сделать в случае утечки персональных данных. Но это далеко не единственная проблема.
— Возьмем, казалось бы, понятную ситуацию, когда после утечки у вас списали конкретную сумму с карты. На чем вы можете запнуться? Часть данных злоумышленники могут взять из открытых источников, например отчество и место работы из социальных сетей. Тогда оператор будет ссылаться, что нет прямой причинно-следственной связи между утечкой и убытками, — объясняет собеседник «Известий». — К тому же нередко мошенники прибегает к «социальной инженерии»: выманивают код из СМС по телефону, сообщая данные о вас, которые утекли в Сеть. И здесь суд тоже встанет на сторону оператора, так как будет считать, что вы сами виноваты в разглашении конфиденциальных данных.
Именно поэтому эксперт «Актион Право» Евгений Крылов считает, что единственный реальный способ получить компенсацию — это обращаться в суд за возмещением морального вреда. Собеседник «Известий» отметил, что при этом нужно доказать, что человек на самом деле испытывал психологические или физические страдания из-за утечки персданных.
— Например, ему стало плохо с сердцем, вызывал скорую, покупал успокоительное, ему стали звонить мошенники, которые представляются «Яндекс Едой». Если просто нервничали, но ничего плохого не произошло, суд взыщет максимум 2–3 тыс. рублей. Чем больше плохих событий человеку пришлось пережить, тем больше будет компенсация. Но все равно максимум 25–30 тыс. рублей, такая практика, — говорит Крылов.
Что касается групповых исков по поводу массовых утечек персональных данных, мнения опрошенных «Известиями» экспертов расходятся в перспективности таких дел. С одной стороны, уверен Евгений Крылов, их главный плюс в том, что человеку не нужно самостоятельно делать всю юридическую работу — достаточно присоединиться к иску, который готовят другие люди. И если суд удовлетворит такой иск, он укажет в решении суммы компенсации морального вреда для каждого человека, который к этому иску присоединился.
Екатерина Токарева из Pen & Paper, наоборот, считает такую форму защиты собственных интересов малоперспективной. Она отмечает, что коллективные иски в российских судах сейчас редкое явление ввиду недостаточного нормативного регулирования коллективных исков, сфера применения которых по большей части не универсальна. И вместе с тем в рамках такого иска у каждого истца будут различные претензии к компании-ответчику, поскольку одни захотят взыскать только убытки, вторые — компенсацию морального вреда, а третьи — и то, и другое. И соединение таких разных требований в одно исковое заявление вряд ли будет логичным и реализуемым с практической точки зрения, считает Токарева.
С частными исками о компенсации морального вреда тоже все не так гладко. Как объясняет собеседница «Известий», ни в законодательстве, ни в судебной практике не предусмотрено даже примерных критериев определения размера компенсации морального вреда, поэтому такой размер будет определяться в каждой конкретной ситуации с учетом имеющихся обстоятельств.
С этим соглашается и Максим Али из Maxima Legal. В частности, эксперт вспомнил историю из 2016 года, когда Мосгорсуд назначил компенсацию в размере 1 тыс. рублей за распространенное фото в купальнике с оскорбительными комментариями. А в 2019-м та же тысяча рублей была присуждена в результате звонков с требованием об оплате несуществующей задолженности.
— Поэтому даже при хороших доказательствах речь будет идти скорее о десятках, максимум паре сотен тысяч рублей. И уж точно не стоит рассчитывать на миллионные компенсации. Их обычно взыскивают за причинение смерти, — предупреждает Максим Али. — В результате в споре о защите данных может выйти так, что на юриста вы потратите примерно столько же или даже больше, чем получите с нарушителя. Возмещение судебных расходов несильно поможет, так как суды зачастую снижают компенсацию расходов ниже планки цен на рынке юридических услуг.
Примерно то же говорит и член Адвокатской палаты Московской области Сергей Агапов. В разговоре с «Известиями» эксперт подчеркнул, что при определении размеров компенсации морального вреда суд принимает во внимание степень вины нарушителя и иные заслуживающие внимания обстоятельства. Также суд должен учитывать степень физических и нравственных страданий, связанных с индивидуальными особенностями гражданина, которому причинен вред. При этом в качестве доказательств могут быть приняты любые фактические данные на любых носителях, но только при условии указания на источник получения материалов.
В беседе с «Известиями» Максим Али из Maxima Legal обратил внимание на то, что уже сейчас ведется работа по внесению поправок в КоАП и внедрению штрафов именно за утечку данных. В частности, речь идет как о росте самих сумм штрафов до сотен тысяч рублей, так и об оборотных штрафах в виде процентов от выручки компаний.
О необходимости внесения изменений в законодательство в разговоре с «Известиями» сказал и член комиссии ОП РФ по развитию информационного сообщества, СМИ и массовых коммуникаций Сергей Гребенников.
— Очевидно, что требуется специальный состав, то есть внесение соответствующих изменений в УК в части криминализации как «слива» персональных данных, так и неправомерного доступа, распространения, последующего сбыта краденой персональной информации, — считает Гребенников.
Сейчас, по его словам, при возникновении ситуаций со «сливом» личных данных пользователей в зависимости от состава правонарушения штрафы разнятся максимумом для юрлиц от 100 тыс. до 18 млн рублей, но семизначные штрафы применяются только за несоблюдение законодательства о «приземлении данных».
В свою очередь разглашение информации с ограниченным доступом, как это понимается законом, может влечь максимальный штраф для юрлиц до 200 тыс. рублей в соответствии со ст. 13.14 КоАП, равно как и незаконный доступ к такой информации. А за нарушение тайны личной жизни установлена уголовная ответственность в соответствии со ст. 137 УК РФ.
— В принципе, в отношении утечек персональных данных для работников, сливающих персональные данные, может быть использована 274-я статья УК, если в результате этих действий был причинен крупный ущерб. Однако по факту эта статья на практике, можно сказать, не применяется, — сказал Гребенников.
Но, с другой стороны, одних новых законов мало для того, чтобы риск серьезных штрафов от государства и крупных сумм в исковых заявлениях клиентов вынуждал российские компании относиться к пользовательским данным гораздо серьезнее, чем сейчас.
— Пока суды не пересмотрят свои подходы к защите субъектов персональных данных или в России не возникнет адекватный институт групповых исков, я бы не стал рассчитывать, что операторы будут сильно бояться исков со стороны пользователей, — подытожил Максим Али.
Зачастую пользователи узнают об утечках персональных данных из сообщений СМИ, но даже в таком случае очень трудно судить, утекли ли данные конкретного пользователя в незаконный оборот, отмечает Сергей Гребенников из ОП РФ. Но при этом оператор персональных данных по обращению пользователя обязан сообщить, находятся ли они в безопасности в данный момент.
Однако есть и другой способ узнать, стали ли вы жертвой массовой утечки данных, но пользоваться им стоит только на свой страх и риск, предупреждают опрошенные «Известиями» эксперты.
— Проверить, попали ли персональные данные пользователя в Сеть, можно с помощью специальных сервисов, которые сообщают об утечке ― Firefox Monitor, DeHashed и другие. Однако использовать бесплатные системы нужно с осторожностью: вероятность кражи информации, которую вы вводите, также высока, — предупреждает директор по ИТ Oberon Дмитрий Пятунин.
Разработчик и директор по информационным технологиям в одной из крупнейших российских IT-компаний Павел Зиновкин добавляет, что в Сети есть сайт haveibeenpwned, который мониторит утечки и пришлет уведомление на почту, если ваш мейл или номер телефона встречаются в компрометированных данных. Это может помочь, когда надо сходить и своевременно поменять пароль.
— Данный ресурс довольно авторитетен и направлен на повышение безопасности в интернете, — утверждает Зиновкин.
Евгений Крылов из «Актион Право» вообще не рекомендует пользоваться такими ресурсами, объясняя это тем, что их, как правило, создают мошенники, которые также нацелены на кражу персональных данных. И, воспользовавшись таким сервисом, ценную информацию можно принести преступникам на блюдечке.
— Например, в свое время часто появлялись сайты — проверьте, не попали ли данные вашей банковской карты в руки мошенников. Для «проверки» сайт просил вести полные данные карты — номер, фамилию и имя держателя, срок действия, CVC-код, то есть на самом деле в момент такой «проверки» человек и передавал свои данные в руки мошенников, — подытожил Крылов.
Александр Лесных