Уголовная ответственность за утечку в поисковики личных данных абонентов сотовых операторов и покупателей товаров в интернет-магазинах грозит пользователям, которые способствовали появлению такой информации в открытых источниках. Как стало известно "Ъ", расследованием скандалов, связанных с утечками, заинтересовались следственный комитет РФ, МВД и ФСБ. Вчера произошел очередной инцидент — в поисковиках оказались персональные данные покупателей железнодорожных билетов сайтов railwayticket.ru и tutu.ru.
О том, что следственный комитет РФ, МВД и ФСБ занимаются поиском тех, кто непосредственно опубликовал персональные данные, "Ъ" рассказал источник в правоохранительных органах. "Очевидно, это делалось специально, кто-то писал скрипты, чтобы достать эти данные из "Яндекса". С какой целью это было сделано — пока не ясно, но вызывает некоторые подозрения тот факт, что это произошло накануне подписания президентом РФ поправок к закону "О персональных данных"",— утверждает собеседник "Ъ". По его словам, вопрос о возбуждении уголовного дела сейчас обсуждается; какое ведомство его возбудит — пока не ясно. Пока речь идет как минимум о ст. 138 Уголовного кодекса РФ "Нарушение тайны переписки…", но рассматриваются и другие статьи. По его словам, "работа будет проводиться" как с "Яндексом", так и с компаниями, у которых произошли утечки, но что конкретно — не уточнил.
Согласно закону "О персональных данных", таковыми признается "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу", включая фамилию, имя, отчество, дату и место рождения, адрес, образование, профессию, доходы и проч. Вчера президент РФ Дмитрий Медведев подписал поправки к закону "О персональных данных". Документ ужесточает требования к обеспечению мер безопасности персональных данных.
В частности, компаниям и индивидуальным предпринимателям необходимо использовать средства защиты персональных данных, которые прошли соответствующую сертификацию ФСБ. Хранить такую информацию обязаны все организации, которые обрабатывают персональные данные своих сотрудников, в том числе и дошкольные учреждения. Сотрудница детского сада в Западном округе Москвы рассказала "Ъ", что работникам их учреждения пришлось в срочном порядке проходить специальные курсы, чтобы подготовиться к вступлению в силу поправок к закону "О персональных данных".
История с утечками данных началась в прошлый понедельник, когда около 3 тыс. SMS-сообщений, отправленных с сайта "МегаФона", оказались в открытым доступе в "Яндексе". Пресс-секретарь "МегаФона" Юлия Дорохина объяснила происшедшее "техническим сбоем, связанным с работой внешнего администратора сайта". А в "Яндексе" — тем, что "в разделе отправки SMS на сайте "МегаФона" в момент индексации по какой-то причине отсутствовал файл robots.txt", запрещающий индексацию поисковиком.
В четверг иск в Замоскворецкий суд Москвы к "МегаФону" подал Союз потребителей России. В пятницу Роскомнадзор направил в арбитражный суд Москвы протокол об административном правонарушении "МегаФона".
Но в случае с оператором утечки персональных данных не было, речь шла лишь о текстах сообщений и обезличенных номерах телефонов. Персональные данные оказались в данных поисковиков в начале этой недели, в частности, данные покупателей ряда интернет-магазинов, в том числе секс-шопов. Вчера провести соответствующую проверку пообещал Роскомнадзор.
Утечка могла произойти только в отношении данных заказчиков товаров, поясняет менеджер крупной интернет-компании, данные кредитных карт, которыми оплачивались товары, попасть в открытый доступ не могут, утверждает он. Вице-президент процессинговой компании Chronopay Дмитрий Шмаков подтверждает, что аналогичная утечка информации по кредитным картам невозможна, так как эти данные шифруются в момент передачи от пользователя к серверу.
Вчера в "Яндексе" и других поисковых системах стали доступны заполненные бланки электронных билетов на поезда с сайта railwayticket.ru. Введя в поисковую строку специальный запрос, можно было получить фамилию, имя, отчество пассажира, пункты отправления и прибытия, дату и время поездки, а также последние четыре цифры номера паспорта. Также вчера стали доступны персональные данные с сайта бронирования отелей и покупки железнодорожных и авиабилетов tutu.ru. На нем — кроме фамилии, имя, отчества — оказались полные номера паспортов клиентов.
Пресс-служба ОАО РЖД распространила вчера сообщение, в котором говорится, что сайт railwayticket.ru не имеет к перевозчику никакого отношения. "Данные пассажиров, купивших билеты на поезда дальнего следования через сайт ОАО РЖД, в поисковых системах не индексируются",— говорится в заявлении компании.
Глава Союза потребителей России Петр Шелищ сообщил вчера, что по этому факту организация готовит общий иск ко всем интернет-сервисам, данные с которых попали в открытый доступ. "Иск будет касаться неопределенного круга потребителей, которые потом смогут предъявить иски по компенсации морального вреда",— рассказал господин Шелищ.
Юристы считают, что нынешний иск, в отличие от предыдущих заявлений Союза потребителей, имеет хорошие перспективы, так как речь идет о персональных данных. В данной ситуации привлечь интернет-магазины к административной и гражданско-правовой ответственности можно, соглашается партнер Salans Виктор Наумов. "Но если говорить об ответственности поисковиков, то по российскому законодательству это маловероятно. Их вины в автоматической индексации нет. Закон об информации освобождает от гражданско-правовой ответственности, если лицо не могло знать о незаконности распространяемой информации",— поясняет господин Наумов.