Екатерина Беспалова, адвокат по уголовным делам, управляющий партнер коллегии адвокатов M-Partners, рассказывает о том, как защитить персональные данные в интернете, и когда наступает ответственность за утечки.
Новая реальность цифрового мира
Интернет и мобильные технологии стали неотъемлемой частью деловой жизни. Сегодня предприниматель может управлять компанией с телефона: подписывать документы, оплачивать счета, координировать сотрудников и заключать контракты. Но чем активнее бизнес уходит в онлайн, тем выше вероятность столкнуться с утечкой персональных данных — своих, сотрудников или клиентов.
По данным МВД России, за первые семь месяцев 2024 года зарегистрировано около 577 тысяч преступлений в сфере компьютерной информации. Из них 437 тысяч — мошенничество и иные виды хищений. Это почти треть от всех зарегистрированных преступлений в стране. То есть каждая третья уголовная история в России сегодня так или иначе связана с интернетом.
Для бизнеса это означает, что вопрос цифровой безопасности перестаёт быть технической темой для айтишников. Это вопрос выживания компании, репутации руководителя и доверия клиентов.
Почему риски растут
Рост цифровых преступлений объясняется не только активностью мошенников. Проблема комплексная: стремительная цифровизация, слабая правовая культура пользователей и высокая зависимость бизнеса от онлайн-платформ.
Практически каждая компания хранит персональные данные — от номеров паспортов и телефонов сотрудников до клиентских баз, реквизитов и адресов доставки. Эти сведения циркулируют между десятками сервисов: банками, курьерскими службами, операторами связи, маркетплейсами, облачными системами. И любое звено этой цепочки может стать уязвимым.
Даже если компания соблюдает закон «О персональных данных», человеческий фактор и небрежное обращение с информацией способны обнулить все меры защиты. А последствия — реальные: от шантажа до уголовного дела за неправомерное обращение с конфиденциальными сведениями.
Где бизнес «светит» данные, не замечая этого
Предприниматель редко задумывается, сколько цифровых следов он оставляет в обычный день. Сервисы доставки аккумулируют адреса, номера телефонов и банковские данные. Платформы бронирования и такси знают маршруты, частоту поездок и точки назначения. Банковские приложения фиксируют транзакции, устройства и IP-адреса.
Даже частичная информация из этих источников позволяет составить точный портрет человека: где живёт, куда ездит, с кем встречается и какой у него уровень дохода. Для мошенников это полноценная база для атак, а для некоторых категорий госслужащих — удобный инструмент для наблюдения.
Отдельная зона риска — корпоративные аккаунты в соцсетях и мессенджерах. Сотрудники часто публикуют фотографии офисов, документов или рабочих чатов, не задумываясь, что на заднем плане видны фамилии клиентов, внутренние метки или логины систем.
Серый рынок персональных данных
Помимо крупных утечек, которые попадают в новости, существует устойчивый теневой рынок персональных данных. Там можно купить всё — от номера паспорта до распечатки телефонных переговоров с указанием базовых станций.
Источники этих «пробивов» известны: недобросовестные сотрудники госорганов, банков, операторов связи. В сети продаются сведения из баз МВД, ФНС, ГИБДД, а также фрагменты записей камер городского видеонаблюдения. Особенно это касается крупных городов, где системы слежения интегрированы с транспортом и коммунальными службами.
Даже если бизнес не становится объектом прямой атаки, его владельцы или топ-менеджеры могут попасть в поле интереса злоумышленников — от корпоративного шпионажа до вымогательства. Один утекший адрес электронной почты нередко открывает путь к более серьёзным данным: контрактам, платежным поручениям, бухгалтерским файлам.
Когда мы сами раскрываем о себе слишком много
Самая распространённая причина компрометации данных — добровольная.
Публикация фотографий из командировок, сторис «в реальном времени», отметки геолокации, открытые контакты в Telegram или WhatsApp — всё это создаёт карту ваших передвижений и привычек. На первый взгляд, это безобидно.
Но на практике такие сведения позволяют злоумышленникам определить, когда вы отсутствуете дома, кто входит в ваш круг общения и какие активы у вас есть. Для бизнес-аудитории это особенно опасно: руководители компаний часто становятся целями не только хакеров, но и конкурентов.
Закон о защите персональных данных
Российская система защиты информации строится на нескольких ключевых документах:
- Конституция РФ закрепляет право на неприкосновенность частной жизни и тайну переписки.
- Федеральный закон № 152-ФЗ «О персональных данных» определяет порядок их обработки и хранения.
- Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» устанавливает общие требования к безопасности данных.
- Указ Президента № 188 от 6 марта 1997 года утверждает перечень сведений конфиденциального характера.
Согласно законодательству, персональными считаются любые сведения, позволяющие идентифицировать личность: не только паспортные данные или адрес, но и фотография, голос, биометрия, маршрут перемещений, IP-адрес. Нарушение порядка их обработки или незаконный сбор может привести к административной или уголовной ответственности.
Когда наступает уголовная ответственность
За последние годы в судебной практике заметно выросло количество дел, связанных с неправомерным обращением с персональными данными. В зависимости от обстоятельств действия могут квалифицироваться по нескольким статьям Уголовного кодекса:
- статья 137 — нарушение неприкосновенности частной жизни;
- статья 138 — нарушение тайны переписки и телефонных переговоров;
- статья 272 — неправомерный доступ к охраняемой законом компьютерной информации;
- статья 272.1 — незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения (вновь введенная статья в УК РФ в ноябре 2024 года)
- статьи 285 и 286 — злоупотребление и превышение должностных полномочий (если утечка связана с действиями госслужащих или сотрудников компаний с госучастием).
Особенно серьёзные составы — по статьям 272 и 272.1 УК РФ. За такие преступления возможно наказание до десяти лет лишения свободы.
Для бизнеса важно понимать: уголовная ответственность может наступить не только за умышленную продажу баз, но и за неосторожное обращение с информацией, если это привело к ущербу.
Что такое «цифровая гигиена» в реальном смысле
Термин «цифровая гигиена» всё чаще звучит в экспертной среде, но по сути это просто набор базовых правил безопасности.
-Разделяйте личное и рабочее
-Не используйте одни и те же устройства и пароли для семейных и корпоративных дел.
— Контролируйте доступы
— Проверяйте, кто имеет права на клиентские базы и внутренние документы.
— Проверяйте подрядчиков. Передавая им данные клиентов или сотрудников, убедитесь, что они работают по правилам ФЗ-152 и подписали соглашение о конфиденциальности.
— Настройте внутренние процедуры. У компании должен быть регламент действий при утечке: фиксация факта, уведомление клиентов и регуляторов, PR-план для СМИ.
— Обучайте команду. 90 % инцидентов происходят из-за человеческих ошибок. Простые тренинги по фишингу и безопасному обращению с информацией стоят дешевле, чем репутационные потери.
— Минимизируйте публичность. Чем меньше личных данных в открытом доступе, тем меньше соблазна их использовать.
Что делать, если данные уже утекли
Главное — не паниковать и действовать последовательно.
Зафиксируйте факт утечки (скриншоты, письма, копии публикаций), смените пароли и отзовите доступы к сервисам. Уведомите банк, оператора связи и все площадки, где могли быть задействованы ваши реквизиты. Подайте заявление в МВД и Роскомнадзор, указав конкретные факты.
Если утечка носит корпоративный характер, важно провести внутреннее расследование: определить источник, масштаб и потенциальные риски. Иногда необходимо подключить адвоката, чтобы грамотно выстроить коммуникацию с правоохранительными органами и СМИ. Частая ошибка — пытаться «замять» проблему или договариваться неформально. Любое скрытие инцидента при проверке только усугубит ситуацию.
Что важно помнить бизнесу
Персональные данные — это не просто формальность и не строчка в политике конфиденциальности. Это часть имущественного и репутационного капитала компании. Их утрата может стоить не меньше, чем потеря оборудования или ключевого контракта.
Руководителю стоит относиться к информации так же, как к любому активу: учёт, контроль, страхование и ответственность за сохранность. Ведь информационная безопасность давно перестала быть вопросом IT — это вопрос стратегии управления рисками.
Как показывает практика коллегии M-PARTNERS, большинство проблем можно предотвратить на ранней стадии, если выстроить системную работу с данными и подключить юриста до того, как произошёл инцидент. «Эффективная защита начинается не в суде и не после утечки, а в момент, когда вы впервые вводите свои данные в новую систему», — подчеркивает Екатерина Беспалова.
