В условиях стремительного развития цифровых технологий всё острее становится проблема незаконного оборота персональных данных. Одним из ярких проявлений этой тенденции стали так называемые сервисы «пробивки» — онлайн-платформы, предоставляющие доступ к чужим данным, часто полученным неправомерным способом. Принятие и вступление в силу Федерального закона №421-ФЗ от 30.11.2024 «О внесении изменений в Уголовный кодекс Российской Федерации» стало важным шагом в борьбе с нелегальным использованием персональных данных.
Он впервые вводит уголовную ответственность как за сам факт незаконного использования персональных данных, так и за создание или поддержание информационных ресурсов, заведомо предназначенных для их незаконного хранения и распространения.
«Пробив» как бизнес: масштабы угрозы
С ростом популярности Telegram и расширением его функционала «пробивка» превратилась в высокодоходный, но незаконный бизнес. Аналитика нашего сервиса проактивного мониторинга внешних цифровых угроз Jet Nautilus показывает, что только за последние полгода в мессенджере активно функционировало более 150 ботов, предлагающих доступ к личной информации за плату. В арсенале этих сервисов: номера телефонов, СНИЛС, ИНН, гос. номера автомобилей и многое другое.
Эти боты часто маскируются под полезные инструменты — сервисы проверки контрагентов, службы обеспечения безопасности сделок, но на самом деле являются незаконными инструментами доступа к персональным данным.
По данным сервиса SimilarWeb, среднее количество посещений одного такого бота превышает 75 тыс. человек, и эта цифра постоянно растет, что говорит о высокой востребованности подобных услуг. На фоне закрытия сервиса «Глаз Бога» (что стало результатом давления со стороны законодательства) многие ищут альтернативы, и спрос только растет.
Создатели «пробивных» сервисов вынуждены искать новые, более скрытные способы продвижения своих незаконных услуг. Идеальной площадкой, обеспечивающей анонимность и широкий охват целевой аудитории, для них становится Даркнет. Здесь они занимаются как продажей, так и массовой покупкой персональных данных.
Что нового в законе?
Основные изменения в законе включают:

Введение уголовной ответственности за незаконное использование персональных данных. Сама формулировка ключевого термина — «незаконное использование» — остается расплывчатой на сегодняшний день. Это создает риски того, что под действие статьи могут попасть не только осознанные противоправные действия, но и ошибки или случайные действия со стороны работников организаций. Например, под данную статью могут попасть ситуации, когда:

сотрудник компании передал данные клиентов третьему лицу без согласия субъекта;
отсутствует правовое основание обработки персональных данных в организации;
файл с персональными данными был случайно выложен в открытый доступ.

Как подчеркивается на портале Генеральной прокуратуры РФ, применение новых норм требует выполнения одновременно двух условий:

незаконный способ завладения персональными данными в электронном виде;
незаконные действия, связанные с распространением персональных данных.

Таким образом, остальные действия (например, отсутствие правового основания обработки персональных данных) требуют отдельного подхода —они должны квалифицироваться как минимум по административному законодательству РФ. За неимением сложившейся судебной практики сложно предсказать, как будут трактовать те или иные действия правоохранительные органы и следственные структуры.

Владельцы и администраторы сервисов «пробивки» могут быть привлечены к уголовной ответственности. Им грозят различные виды наказаний — например, лишение свободы на срок до пяти лет, к которому может быть добавлен штраф и запрет на занятие определенных должностей или видов деятельности.
Особо выделяют случаи, связанные с трансграничной передачей персональных данных. Это означает, что уголовное преследование может наступить не только за хранение или распространение персональных данных внутри страны, но и за их перемещение за пределы России — как в электронном виде, так и на физических носителях.

Введение уголовной ответственности — важный шаг в сторону усиления защиты прав и свобод граждан в цифровом пространстве. Ранее подобные ресурсы существовали в правовом поле неопределенности, позволяя получать доступ к чужим персональным данным без реальной угрозы серьезных последствий. Теперь ситуация меняется: действия таких сервисов могут быть квалифицированы как уголовные преступления, а меры наказания варьируются от крупных штрафов до лишения свободы.
Авторы:

Иван Волковский, аналитик сервиса проактивного мониторинга внешних цифровых угроз, Jet CSIRT

Павел Новожилов, руководитель отдела аудита соответствия требованиям информационной безопасности, «Инфосистемы Джет»