Кто и кому продаёт личные данные казахстанцев и почему утечки не прекращаются

В Казахстане вновь заговорили о безопасности персональных данных после сообщения Комитета национальной безопасности о пресечении деятельности группы, подозреваемой в незаконном сборе и продаже сведений о гражданах. По версии следствия, информация распространялась через интернет, а среди её покупателей могли быть представители микрофинансовых и коллекторских организаций, а также частные лица.

Операция прошла в марте в Астане и Алматы при координации прокуратуры. В ходе обысков силовики изъяли компьютерную технику, электронные носители, крупные суммы наличных и другие вещественные доказательства. Расследование ведётся сразу по нескольким статьям Уголовного кодекса, связанным с нарушением законодательства о персональных данных, неправомерным завладением информацией и распространением вредоносных программ.

Этот случай в очередной раз напомнил о проблеме, которая в республике давно вышла за рамки единичных уголовных дел. Персональные данные казахстанцев регулярно становятся предметом утечек, теневого оборота и инструментом давления – от навязчивых звонков до попыток мошенничества и оформления кредитов.

Насколько сегодня защищены цифровые следы граждан, кто несёт ответственность за их утечку и что делать человеку, если его данные уже оказались в чужих руках? Об этом мы поговорили с киберюристом, руководителем направления Data Privacy компании Digital Rigths Center Qazaqstan Елжаном Кабышевым, который объяснил, как устроен рынок персональных данных, почему он продолжает существовать и можно ли защитить свою цифровую приватность.

– Елжан, что именно произошло? Это утечка данных, их продажа или внутренний слив?

– По имеющимся сведениям, изложенным в официальном Telegram-канале Комитета национальной безопасности РК, сотрудники КНБ выявили преступную группу, подозреваемую в незаконном сборе и распространении персональных данных граждан Казахстана. Покупателями выступали представители микрофинансовых и коллекторских организаций, а также ряд физических лиц.

С юридической точки зрения речь идёт о комплексном противоправном деянии: незаконном сборе, хранении и последующей коммерческой реализации персональных данных. Досудебное расследование ведётся по трём уголовным статьям: ст. 147 УК РК ("Нарушение неприкосновенности частной жизни и законодательства о персональных данных"), ст. 208 УК РК ("Неправомерное завладение информацией") и ст. 210 УК РК ("Создание, использование или распространение вредоносных программ").

Примечательно, что лица, причастные к этой деятельности, находились непосредственно на территории Казахстана – в Алматы и Астане. Это нетипично для киберпреступлений: как правило, подобные схемы реализуются с территории других государств именно с целью уклонения от уголовного преследования. Данное обстоятельство свидетельствует либо о недостаточной правоприменительной активности, либо о том, что преступники чувствовали себя в безопасности, что само по себе тревожно.

Что касается квалификации – утечка, продажа или внутренний слив – однозначно говорить преждевременно. Всё будет зависеть от результатов расследования: установления источника данных и способа их получения. Если данные извлечены из государственной или корпоративной инфраструктуры с использованием доступа изнутри, это внутренний слив. Если получены путём взлома или иных технических методов – это утечка с элементами неправомерного доступа. В любом случае коммерческая реализация данных является самостоятельным и наиболее общественно опасным элементом состава.

– Кто в итоге за всё ответит?

– Ответственность здесь многоуровневая. В части уголовного преследования – непосредственно виновные лица, которым предъявлены обвинения по статьям 147, 208 и 210 УК РК. Однако это лишь один уровень.

Параллельно необходимо говорить об ответственности покупателей данных – представителей микрофинансовых и коллекторских организаций. Приобретение персональных данных, полученных незаконным путём, является нарушением закона Республики Казахстан "О персональных данных и их защите" от 21 мая 2013 года № 94-V. Любой сбор и обработка данных допустимы исключительно в рамках законных целей и на основании согласия субъекта данных либо при наличии иного законного основания, предусмотренного статьёй 8 указанного закона.

Надзорным органом в сфере защиты персональных данных выступает Управление по защите персональных данных в составе Комитета по информационной безопасности Министерства искусственного интеллекта и цифрового развития РК. Данный орган наделён полномочиями по рассмотрению жалоб и заявлений, проведению плановых и внеплановых проверок, а также наложению административных штрафов, согласно статье 79 Кодекса об административных правонарушениях РК.

Наконец, если утечка произошла из государственных информационных систем, вопрос об ответственности должен ставиться и в отношении должностных лиц, ответственных за защиту соответствующей инфраструктуры.

– Почему такие случаи повторяются – проблема в слабых законах или в том, что их просто не соблюдают?

– Проблема не в законодательстве как таковом. Закон "О персональных данных и их защите" действует с 2013 года, уголовно-правовые нормы существуют – инструментарий есть. Проблема – в правоприменении и культуре приватности.

Достаточно вспомнить прецеденты: летом прошлого года в открытый доступ попала база данных порядка шестнадцати миллионов граждан Казахстана — она свободно распространялась в Telegram. Мы сами нашли эту базу, изучили её и обнаружили в ней собственные данные. По запросу канал был удалён, однако реакция официальных органов свелась к заявлению об «устаревших данных». Это позиция, с которой сложно согласиться: индивидуальный идентификационный номер по закону неизменен, ФИО граждане, как правило, не меняют, а номер телефона легко верифицируется через банковские приложения. В той базе содержались сведения о детях, рождённых в 2024 году, – о какой "устаревшей информации" может идти речь?

Ещё один показательный случай – утечка документов с фотографиями высокого разрешения, используемыми для удостоверений личности, по кейсу "Списки Айки". Доступ к таким данным имеют исключительно государственные органы. Тем не менее эти материалы оказались в открытом доступе.

Я изучал судебную практику по статье 147 УК РК: приговоров фактически нет. Это сигнал не только для потенциальных нарушителей, но и для общества в целом. Пока уголовная норма остаётся "спящей", стимулов к соблюдению законодательства о персональных данных недостаточно. Необходима последовательная и публичная правоприменительная практика – только тогда можно говорить о реальном превентивном эффекте.

– Насколько это опасно для обычного человека?

– Опасность реальная и многоаспектная. Персональные данные – это своего рода цифровой слепок личности, и их утечка создаёт риски для самого широкого круга лиц.

Среди непосредственных угроз: мошеннические схемы (телефонные звонки, социальная инженерия), целевое преследование со стороны сталкеров, злоупотребления должностными полномочиями, давление со стороны коллекторских структур на основе несанкционированно полученной финансовой информации.

Важно понимать: сами по себе базовые идентификаторы – ФИО, ИИН, номер телефона, адрес – могут казаться безобидными. Но в связке с такими дополнительными сведениями, как информация о транспортном средстве, кредитных обязательствах, родственниках, состоянии здоровья, они становятся инструментом высокоточного мошенничества. Чем полнее "профиль" жертвы, тем выше вероятность успешного обмана.

Показательно, что продавцы данных действовали открыто, находясь в той же стране. Указанное говорит о том, что ощущение безнаказанности среди киберпреступников сформировалось – и это тревожный симптом.

– Что могут сделать мошенники, имея ИИН, телефон и адрес?

– Сами по себе ИИН, номер телефона и адрес – это база, но не достаточное условие для качественного мошенничества. Опытный мошенник будет стремиться расширить этот массив: добавить сведения о кредитной нагрузке, имуществе, доставках, родственниках, состоянии здоровья.

С базовым набором злоумышленники могут:

звонить от имени банков или государственных органов, апеллируя к конкретным данным для создания иллюзии легитимности; верифицировать личность жертвы через банковские приложения, сопоставляя номер телефона с инициалами; использовать ИИН для попыток несанкционированного получения кредитов или доступа к государственным сервисам.

Для неподготовленного человека, впервые столкнувшегося с подобной схемой, наличие у мошенника точных персональных данных создаёт мощный психологический эффект доверия. Именно это и является главной целью: не взломать систему, а взломать человека.

– Если мои данные уже утекли, что я могу сделать? Могу ли добиться наказания виновных или компенсации?

– Первый шаг – оценка масштаба. Воспользуйтесь открытыми инструментами: поиск по своему имени в Google, сервисы проверки скомпрометированных данных, такие как Have I Been Pwned и аналоги. Встроенные менеджеры паролей Apple и Google также информируют о компрометации ваших учётных записей. Если обнаружили свои данные в открытом доступе – зафиксируйте это (скриншоты с датой и временем) и смените пароли, включите двухфакторную аутентификацию.

Второй шаг – правовая реакция. Если вы знаете или подозреваете, какая организация допустила утечку, вы вправе направить на её адрес запрос на основании статьи 24 закона "О персональных данных и их защите": потребовать сведения о том, какие категории ваших данных обрабатываются, на каком основании, в каких целях, кому они передаются и каков порядок доступа к ним. Организация обязана предоставить мотивированный ответ.

Если ответ не получен или является неудовлетворительным, следующим шагом является обращение в Комитет по информационной безопасности МИИЦР с просьбой провести проверку. Орган может инициировать административное расследование и наложить штраф.

Что касается компенсации вреда, то в казахстанском законодательстве механизм возмещения ущерба за утечку персональных данных в рамках гражданского судопроизводства существует, однако практика по таким делам минимальна.

Превентивно: минимизируйте цифровой след. Используйте одноразовые адреса электронной почты для регистраций. Существуют сервисы типа Temp Mail, iCloud+ или аналоги с генерацией алиасов, применяйте VPN там, где это обосновано, и давайте только те данные, которые объективно необходимы для конкретной услуги.