Реферальное соглашение
о сотрудничестве
с Hogan Lovells в России
Рус Eng
Все новости
Как изменятся споры об утечках персональных данных
02 / 04 / 2025
Виктор Домшенко, партнёр, главы практики коммерческих споров и групповых исков LEVEL Legal Services, рассказал «Ведомостям», как скажется повышение штрафов за утечки персональных данных на судебных разбирательствах операторов с Роскомнадзором. 

С 30 мая вступают в силу изменения в законодательство – в десятки раз возрастут размеры административных штрафов за утечки персональных данных. Пока цена вопроса была сравнительно невысока, судебные дела об утечках могли носить дежурный характер. Теперь, когда размер штрафа может достигать нескольких миллионов, операторы персональных данных будут занимать более активную позицию в спорах с Роскомнадзором. В фокусе внимания окажутся вопросы, которые ранее всерьез не исследовались в связи с их сложностью и дороговизной.

Кому принадлежит утекшая база данных

Часто поводом для административного дела становится факт публикации некой базы данных на хакерском форуме или в телеграм-канале. Злоумышленник чаще всего указывает источник этой базы. Однако ни это сообщение само по себе, ни название файла не являются надлежащим доказательством: утверждение, что база данных принадлежит конкретному оператору или лицу, может быть провокацией или саморекламой, а файлу может быть присвоено любое название. Однозначного указания на оператора персональных данных обычно нет и в самой опубликованной базе. Сведения из утечки могут стать основой для предположений, требующих проверки.

При обнаружении в открытом доступе персональных данных Роскомнадзор должен установить оператора, которому такая база принадлежит. Это можно сделать путем сравнения данных в опубликованной базе с данными оператора, которому она предположительно принадлежит. Сравниваются либо простые записи в такой базе, либо хэшированные данные.

Процесс доказывания осложняется тем, что пользователи, как правило, предоставляют согласие на обработку своих персональных данных сразу нескольким операторам. Поэтому отдельных совпадений данных пользователей в опубликованной базе и у оператора может быть недостаточно. Особенно в случаях, когда утекли только ФИО, телефон и электронная почта пользователей, т. е. данные, не имеющие уникальных признаков, которые указывали бы на конкретного оператора.

Для того чтобы определить, принадлежит ли опубликованная база данных конкретному оператору, во многих ситуациях потребуется проведение компьютерно-технического исследования (экспертизы). Сейчас операторы практически не используют это средство доказывания. Этому есть рациональное объяснение: штраф за утечку составляет от 60 000 до 100 000 руб., а стоимость подобной экспертизы может достигать нескольких сотен и даже миллионов рублей. Но когда на кону риск наложения штрафа от 3 млн до 15 млн руб. только за первую утечку данных, проведение таких досудебных и судебных экспертиз наверняка станет обычным делом.

Каков размер утечки

Вступающая в силу с 30 мая новая редакция ст. 13.11 КоАП определяет размер наказания для оператора в зависимости от объема распространенных данных пользователей. Это спровоцирует новые споры операторов с Роскомнадзором. Операторы будут заинтересованы в снижении доказанного объема утечки, поскольку это позволит уменьшить размер штрафа. Разногласия могут возникнуть по ряду вопросов:

  • наличие в утекшей базе записей одного и того же пользователя: либо полностью тождественных записей или идентификаторов (уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора – ФИО, телефон, почта и т. п.), либо записей, отличающихся только по одному или нескольким параметрам. Например, пользователь прошел регистрацию у оператора с двух адресов электронной почты, но остальные данные совпадают. В интересах оператора, чтобы при определении размера утечки учитывались только уникальные пользователи;

  • наличие записей, где пользовательские данные фактически отсутствуют, но тем не менее при определении общего количества они ошибочно учитываются. Например, если запись содержит последовательность символов «?№0);+!(1» и не содержит пользовательских данных;

  • наличие записей из более ранних утечек этого или иного оператора. Не секрет, что злоумышленники регулярно разделяют, компилируют похищенные данные (увеличивают количество, дополняют новыми параметрами). Такие данные не должны учитываться при определении размера утечки;

  • наличие записей вымышленных пользователей. Так, для тестирования информационных систем зачастую используются базы, в которых все данные сгенерированы случайным образом. Тестовые записи также не должны учитываться при определении размера утечки.

Когда произошла утечка

Дата произошедшей утечки является существенным обстоятельством в судебных спорах.

Во-первых, дата влияет на применение новой редакции ст. 13.11 КоАП: к утечкам, произошедшим до 30 мая, подлежит применению предыдущая редакция закона, а следовательно, и сравнительно небольшие размеры штрафов. Это вытекает из принципа недопустимости обратной силы закона, ухудшающего положение привлекаемого к ответственности лица.

Во-вторых, определение даты первой утечки прямо необходимо для применения при повторном нарушении – второй утечки у того же оператора – повышенной ответственности. Именно за повторную утечку данных, если она произошла у оператора в течение одного года после его привлечения к ответственности за первую утечку, будет наступать повышенная ответственность в виде оборотного штрафа (денежное взыскание, размер которого зависит от экономических показателей компании. – «Ведомости»), который может достигать 500 млн руб.

Учитывая технические сложности установления даты утечки, существует высокая зона неопределенности, которую операторы будут использовать. Ведь если не доказать, что вторая утечка произошла в течение одного года после первой, то вторая утечка не может считаться повторной для целей вменения повышенной ответственности.

Дата утечки может определяться на основе уведомления оператора, которое он обязан подать в кратчайший срок (в течение 24 часов). Более того, с 30 мая за неуведомление Роскомнадзора об утечке вводится штраф не менее 1 млн руб. Однако мировой опыт показывает, что операторы зачастую игнорируют эту обязанность, несмотря на ответственность. Поэтому придется искать иные пути по определению даты утечки:

  • по метаданным опубликованной базы данных, если они не были изменены злоумышленниками;

  • по косвенным признакам самой базы. Например, оператор стал обрабатывать данные СНИЛС пользователей после определенной даты, а в ранних версиях базы данных таких сведений быть не могло;

  • по журналам действий с базой данных (лог-файлы), если они сохранятся у оператора и не будет препятствий к их раскрытию.

Независимо от методологии исследования определение даты утечки требует специальных познаний. Именно поэтому все чаще операторы в спорах об утечках будут привлекать профильных экспертов и искусных судебных юристов.

Подробнее>>

Ключевые контакты
Виктор ДомшенкоПартнер, глава практики коммерческих споров и групповых исков