Наказывают ли в России за незаконную торговлю персональными данными?
Наверное, уже весь Хабр знает, что наши персональные данные давно и успешно стали объектом законной и незаконной торговли. Про рынок банковской информации, данных мобильных операторов и госорганов я писал тут в статье: «Анализ цен черного рынка на персональные данные и пробив».
Про так называемую законную часть этого бизнеса сейчас говорить не будем, поговорим о ее незаконной стороне и попробуем разобраться с тем, как всё-таки пресекают эту деятельность и пресекают ли вообще.
В этой статье расскажу о том, кого и как в России ловят за незаконную торговлю данными. Только реальные случаи, никакой теории!
Если судить по огромному количеству предложений по «пробиву» на черном рынке, то может сложиться впечатление, что государство и частные компании — операторы персональных данных (банки, операторы сотовой связи и т.п.) попросту самоустранились от решения данной проблемы.
Однако, случаи, когда продавцов персданных ловят и даже судят, есть. Правда, стоит отметить, что ловят, как правило, непосредственных исполнителей заказов, т.е. сотрудников организаций, имеющих доступ к информации в силу своих служебных обязанностей. А вот посредники, активно нанимающие таких неблагонадежных сотрудников банков, операторов связи, госорганов, а затем перепродающие данные граждан на черном рынке, зачастую остаются в тени и уходят от наказания.
Я сделал подборку за год всех случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными, про которые писали СМИ и которые проходили в моем канале «Утечки информации». Их оказалось не так много, но чем богаты…
Февраль 2018.
В суд направлено дело четверых жителей Пензы, арестованных за продажу персональных данных абонентов сотовых операторов. По данным следствия, в октябре 2016 года 26-летний житель Пензы и его 27-летний знакомый решили найти инсайдеров, имеющих доступ к двум операторам сотовой связи, которые за вознаграждение станут копировать персональные данные абонентов и сведения об их телефонных переговорах. Подельникам удалось договориться с двумя 20-летними девушками, работавшими в салонах операторов сотовой связи. В интернете на специализированных форумах было размещено объявление о продаже персональных данных абонентов и информации о звонках. С декабря 2016 по конец марта 2017 года было получено 17 заказов, каждый стоимостью от 500 до 4 000 рублей.
Март.
Прокуратура Нижегородской области сообщает, что по версии следствия 30–летний оперуполномоченный уголовного розыска ОМВД России по Богородскому району в 2015 году за денежное вознаграждение организовал незаконную передачу информации из ведомственных банков данных МВД. В 2016 году он привлёк к этому и своего младшего брата, также занимавшего должность оперуполномоченного уголовного розыска. Злоумышленники систематически использовали доступ в базы данных МВД России для получения и передачи служебной информации через интернет неопределенному кругу лиц. Эта преступная деятельность продолжалась более года. Отмечается, что таким образом мужчины получили доход свыше 700 тыс. рублей.
В Липецкой области на сотрудницу банка завели сразу три уголовных дела. Финансовый консультант местного офиса известного банка незаконно использовала персональные данные клиентов о счетах и вкладах. В ходе проверки выяснилось, что сотрудница банка использовала личные данные клиентов для хищения денег с их счетов и вкладов. Замечу только, что тут было хищение средств со счетов клиентов, а не торговля данными, видимо поэтому банк решился на подачу заявления в МВД. Других публичных случаев, когда банки официально расследуют незаконный доступ к информации клиентов, мне не известно.
Два бывших оперуполномоченных из Богородска (Нижегородская область) получили по 1,5 года лишения свободы условно за использование персональных данных из базы МВД. В ходе следствия установлены обстоятельства получения полицейскими 800 тысяч рублей от граждан из более чем 20 субъектов РФ. Большая часть переданных персональных данных связана с проверкой сведений о собственниках автомототранспортных средств.
Апрель.
33-летний экс-следователь одного из московских райотделов полиции, уволившись по собственному желанию из правоохранительных органов, решил зарабатывать деньги на торговле данными о частных телефонных переговорах. Раздобыв поддельную печать Мещанского райсуда Москвы, за два года успел оформить порядка 300 липовых судебных решений о предоставлении данных детализации телефонных переговоров, а также информации о самих абонентах у основных операторов сотовой связи. Стоимость одного заказа на детализацию и данные об абоненте колебалась от 45 тыс. до 100 тыс. руб., при этом самому бывшему следователю доставалось 10–15 тыс. руб. Остальные деньги распределялись между посредниками, с которыми экс-следователь в основном общался с помощью мессенджеров.
В Саратове по результатам прокурорской проверки возбуждено уголовное дело в отношении должностного лица. Установлено, что с марта по декабрь 2016 года помощник оперативного дежурного управления внутренних дел по городу Саратову, имеющий доступ к сведениям о происшествиях и преступлениях, произошедших на территории города Саратова, систематически передавал сведения о фактах смерти граждан индивидуальному предпринимателю, который осуществлял деятельность в сфере ритуальных услуг.
Поймали бывшего начальника одного из подразделений Комитета по управлению городским имуществом и земельными ресурсами администрации Нижнего Новгорода. За взятку в 1,2 миллиона рублей 36-летний начальник управления согласился в течение года передавать любые сведения ограниченного доступа, в том числе персональные данные граждан, которые содержатся в информационных системах по учёту объектов недвижимости и земельных участков. В подтверждение своей готовности к «сотрудничеству» чиновник передал USB-носитель с частью запрошенных данных. В декабре суд приговорил бывшего начальника к лишению свободы на срок 8 лет с отбыванием в колонии строго режима, а также штрафу в размере 3,6 млн рублей, по статье за взяточничество. Кроме того, в течение 5 лет он не сможет занимать определенные должности.
Май.
В Воронеже бывшую сотрудницу сотовой компании обвинили в незаконной слежке за телефонными звонками. Ей вменяют нарушение части 2 статьи 138 УК РФ (нарушение тайны переписки, телефонных переговоров и иных сообщений граждан, совершенное лицом с использованием своего служебного положения). Следователи установили, что с 30 ноября 2017 года по 22 февраля 2018-го работница сотовой компании, находясь на рабочем месте, незаконно просматривала детализации телефонных соединений.
Июнь.
В Мордовии сотрудники сотовых компаний, торговавшие персональными данными, получили условный срок. 27-летний оператор контактного центра ООО «Т2Мобайл» Анатолий Панишев получил 1 год 7 месяцев, а 24-летняя специалист ПАО «Вымпелком» Анна Синева — 1 год 4 месяца. Следствием установлено, что в феврале 2017 года к Панишеву с использованием Telegram обратилась бывшая сотрудница ООО «Т 2-Мобайл» (г. Саранск) Синева с предложением передачи ей фотографий с паспортными данными, номерами телефонов, которые она предоставляла в WhatsApp и Telegram. За один номер телефона она обещала платить по 200 рублей. По некоторым данным, Синева перепродавала персональные данные в интернете по 500 рублей. В период с февраля по апрель 2017 года Панишев через компьютерную программу Invoice копировал на свой телефон персональные данные абонентов, включающие фамилии, имена, отчества, реквизиты документов, удостоверяющих личность, параметры оказания услуг — сведения о денежных средствах на лицевом счете, и через Telegram передавал их на мобильный телефон Синевой.
Сентябрь.
Бывший замначальника отдела полиции №1 «Северное» ОМВД России по Нахимовскому району в Севастополе получил три года колонии за продажу данных о смерти людей сотрудникам ритуальной фирмы. Александр Барановский признан виновным в получении взяток от владельца ритуальной фирмы. Он в течение нескольких лет он передавал информацию о фактах смерти граждан и данные их родственников.
Октябрь.
ФСБ задержала российского пограничника, который, вероятно, продал информацию о заграничных поездках Александра Петрова и Руслана Боширова, обвиненных в отравлении полковника ГРУ Сергея Скрипаля. Пограничник работал в Северо-Западном федеральном округе. Вместе с ним был задержан сотрудник одного из подразделений Федеральной налоговой службы (ФНС). Задержания проходили в рамках спецоперации по предотвращению утечек из закрытых баз данных. Кстати говоря, эта спецоперация довольно сильно подкосила черный рынок «госпробива» на какое-то время.
Ноябрь.
В Калининграде задержали 25-летнего менеджера салона сотовой связи за продажу персональных данных клиента. К менеджеру обратился неизвестный мужчина, который попросил за вознаграждение предоставить данные на определенного абонента. Дело возбуждено по части 3 статьи 272 УК РФ (неправомерный доступ к компьютерной информации). Максимальное наказание — лишение свободы на срок до пяти лет.
Суд Томска приговорил к трем годам условно бывшего участкового полиции, который за финансовое вознаграждение сообщал сотруднику ритуального бюро персональные данные умерших. «Установлено, что в период с 27 декабря 2017 года по 3 апреля 2018 года подсудимый, являясь участковым ОМВД России по Томскому району, получил взятку в виде денег на общую сумму 21 тысяча рублей за незаконное предоставление конфиденциальных сведений умерших лицу, действующему в интересах коммерческой организации, предоставляющей ритуальные услуги. Эти данные в дальнейшем использовались для обеспечения заключения с родственниками умерших граждан договоров на оказание ритуальных услуг».
Декабрь.
Следственное управление Следственного комитета по Новосибирской области возбудило уголовное дело о незаконной передаче сведений, составляющих коммерческую тайну, в отношении сотрудницы «Русской телефонной компании». 20 ноября прошлого года подозреваемая зашла в систему под своим рабочим логином и паролем и скопировала информацию, содержащую сведения о дате и времени соединений, номерах исходящих и входящих соединений абонента сотовой связи МТС, после чего передала эти данные третьим лицам. В отношении подозреваемой возбуждено уголовное дело по ч.2 ст.183 УК РФ (незаконная передача третьим лицам сведений, составляющих коммерческую тайну). Сотруднице грозит до трех лет лишения свободы.
Прокуратура Ленинского района Магнитогорска направила в суд уголовное дело в отношении бывшей начальницы городского управления пенсионного фонда, обвиняемой в получении взятки и злоупотреблении полномочиями. В 2017 году женщина передала сотруднику коммерческого банка персональные данные горожан, которые незаконно использовались в служебной деятельности кредитного учреждения. За это начальница пенсионного фонда получила взятку в размере 61,4 тыс. руб. Эти деньги были перечислены на банковский счет ее дочери под видом оказания материальной помощи от работодателя.
Домодедовский городской суд Московской области признал сотрудника полиции виновным в совершении коррупционных преступлений и приговорил к четырем годам шести месяцам лишения свободы. Кроме того, осужденный оштрафован на 600 тыс. руб. Суд установил, что полицейский на протяжении нескольких месяцев неоднократно получал взятки в размере до 15 тыс. руб. через посредника за предоставление бланков миграционных карт и персональных данных иностранцев из автоматизированной базы данных.
Январь 2019.
В Муроме завершено расследование уголовного дела в отношении бывшего работника салона сотовой связи, которому предъявлено обвинение по ч. 2 ст. 138 УК РФ (нарушение тайны телефонных переговоров), ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) и ч. 3 ст. 183 УК РФ (незаконное получение сведений, составляющих коммерческую тайну). В январе 2017 года, 23-летний бывший сотрудник салона сотовой связи неоднократно подделывал заявления от имени клиентов на получение сведений о соединениях, а при получении данных копировал их на сменный носитель. Он направил от имени клиентов 43 сервисных запроса на получение детализаций абонентов — часть запросов была удовлетворена. Такая активность насторожила сотрудников безопасности телефонной компании — работника вычислили, после чего он был уволен, а материалы были переданы в следственные органы. Уголовное дело с утвержденным обвинительным заключением направлено в суд. В соответствии с законом обвиняемому грозит до 5 лет лишения свободы.
В Перми бывшая сотрудница полиции обвиняется в злоупотреблении должностными полномочиями (ч. 1 ст. 285 УК РФ) и мелком взяточничестве (ч. 1 ст. 291.2 УК РФ). В 2017 году она имела доступ к сведениям банков, которые содержали персональные данные клиентов. Без ведома самих граждан и соответствующих запросов компетентных органов она предоставляла эти данные директору коммерческой организации. За эти сведения бывшая сотрудница полиции получала вознаграждение — от 100 до 500 рублей. После того, как случаи взяточничества вскрылись, женщину уволили из органов внутренних дел. Уголовное дело завершено, материалы дела переданы в суд.
Сотрудник мобильного оператора «Мегафон» в Санкт-Петербурге был обвинен в совершении преступления, ч. 2 ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений). Суд установил, что подсудимый находился в должности инженера по разработке отчетности корпоративного хранилища данных и нес обязательство по сохранению конфиденциальной информации компании. Он, используя свое служебное положение, имея доступ к данным биллинговых систем, получил доступ к конфиденциальной информации потерпевшего и передал эту информацию неустановленным лицам. С учетом позиции государственного обвинения, отсутствии возражений со стороны потерпевшего, ходатайство следователя удовлетворено, подсудимому назначен штраф в размере 100 тыс. рублей.
Февраль.
В Новосибирске суд вынес приговор двум бывшим сотрудникам МТС, которые украли базу данных абонентов Новосибирска, Барнаула, Новокузнецка и Бердска. На момент совершения кражи, один из злоумышленников уже уволился из МТС, а второй продолжал работать в должности ведущего супервайзера. Кража была совершена 18 июля 2018 года. Двое злоумышленников свободно зашли в офис и проникли в кабинет с компьютером, который имел доступ в корпоративную сеть. Один из них попросил логин и пароль у начальства. Скачанную базу данных попытались отправить себе на личную почту в виде файла-архива, но из-за большого размера это не удалось сделать. Тогда архив разделили на несколько частей и вновь отправили на почту. Всего в украденной базе были данные 506,185 абонентов, содержащие: фамилии, имена, отчества, номера телефонов и адреса. Во время предварительного следствия злоумышленники признались, что пытались продать данные каждого абонента по одному рублю за запись, заработав таким образом более 500 тысяч рублей. 26 февраля 2019 года суд признал Никиту Черницова и Виталия Иванова виновными по статье 183 УК РФ «Сбор сведений, составляющих коммерческую тайну, причинивший крупный ущерб или совершенный из корыстной заинтересованности». Черницова приговорили к 1 году 6 месяцам условно с аналогичным испытательным сроком, а Иванову дали на три месяца меньше.
В Томске вынесен приговор бывшему участковому уполномоченному полиции, получившему взятку за предоставление в интересах ритуальной фирмы сведений об умерших гражданах. В суде выяснили, что со 2 января по 18 июня 2018 года подсудимый, в то время работавший в должности участкового, получил взятку в 42 тысячи рублей за незаконное предоставление конфиденциальных сведений о персональных данных умерших граждан лицу, действующему в интересах коммерческой организации, оказывающей ритуальные услуги. Эти данные в дальнейшем предназначались для обеспечения заключения с родственниками умерших граждан договоров на оказание ритуальных услуг Суд приговорил подсудимого к трем с половиной годам лишения свободы условно с испытательным сроком три года. Также его лишили права в течение двух лет занимать должности в системе правоохранительных органов РФ.
Суд в Новосибирске признал виновным руководителя ритуального агентства в даче взяток. 41-летнего мужчину приговорили к семи годам лишения свободы условно с испытательным сроком три года. Предприниматель давал взятки сотрудникам полиции, чтобы получить информацию о персональных данных умерших в Новосибирске, а именно их фамилию, имя, отчество, дату рождения и смерти, а также местонахождение.
Март.
В Воронежской области суд рассмотрит дело 38-летней начальницы отдела ПАО СК «Росгострах», которая незаконно копировала базу данных клиентов в июле 2018 года. По версии следствия, женщина, имея доступ к базе клиентов, скопировала себе их персональные данные, контакты и информацию о стоимости страховых услуг. Для отправки данных самой себе она использовала корпоративную электронную почту. Уголовное дело возбуждено по ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации). Максимальная санкция — лишение свободы на 4 года.