Следователи пустились в поиск

Уголовная ответственность за утечку в поисковики личных данных абонентов сотовых операторов и покупателей товаров в интернет-магазинах грозит пользователям, которые способствовали появлению такой информации в открытых источниках. Как стало известно "Ъ", расследованием скандалов, связанных с утечками, заинтересовались следственный комитет РФ, МВД и ФСБ. Вчера произошел очередной инцидент — в поисковиках оказались персональные данные покупателей железнодорожных билетов сайтов railwayticket.ru и tutu.ru.

О том, что следственный комитет РФ, МВД и ФСБ занимаются поиском тех, кто непосредственно опубликовал персональные данные, "Ъ" рассказал источник в правоохранительных органах. «Очевидно, это делалось специально, кто-то писал скрипты, чтобы достать эти данные из "Яндекса". С какой целью это было сделано — пока не ясно, но вызывает некоторые подозрения тот факт, что это произошло накануне подписания президентом РФ поправок к закону "О персональных данных"»,- утверждает собеседник "Ъ". По его словам, вопрос о возбуждении уголовного дела сейчас обсуждается; какое ведомство его возбудит — пока не ясно. Пока речь идет как минимум о ст. 138 Уголовного кодекса РФ «Нарушение тайны переписки...», но рассматриваются и другие статьи. По его словам, «работа будет проводиться» как с «Яндексом», так и с компаниями, у которых произошли утечки, но что конкретно — не уточнил.

Согласно закону «О персональных данных», таковыми признается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу», включая фамилию, имя, отчество, дату и место рождения, адрес, образование, профессию, доходы и проч. Вчера президент РФ Дмитрий Медведев подписал поправки к закону «О персональных данных». Документ ужесточает требования к обеспечению мер безопасности персональных данных.

В частности, компаниям и индивидуальным предпринимателям необходимо использовать средства защиты персональных данных, которые прошли соответствующую сертификацию ФСБ. Хранить такую информацию обязаны все организации, которые обрабатывают персональные данные своих сотрудников, в том числе и дошкольные учреждения. Сотрудница детского сада в Западном округе Москвы рассказала "Ъ", что работникам их учреждения пришлось в срочном порядке проходить специальные курсы, чтобы подготовиться к вступлению в силу поправок к закону «О персональных данных».

История с утечками данных началась в прошлый понедельник, когда около 3 тыс. SMS-сообщений, отправленных с сайта «МегаФона», оказались в открытым доступе в «Яндексе». Пресс-секретарь «МегаФона» Юлия Дорохина объяснила происшедшее «техническим сбоем, связанным с работой внешнего администратора сайта». А в «Яндексе» — тем, что «в разделе отправки SMS на сайте "МегаФона" в момент индексации по какой-то причине отсутствовал файл robots.txt», запрещающий индексацию поисковиком.

В четверг иск в Замоскворецкий суд Москвы к «МегаФону» подал Союз потребителей России. В пятницу Роскомнадзор направил в арбитражный суд Москвы протокол об административном правонарушении «МегаФона».

Но в случае с оператором утечки персональных данных не было, речь шла лишь о текстах сообщений и обезличенных номерах телефонов. Персональные данные оказались в данных поисковиков в начале этой недели, в частности, данные покупателей ряда интернет-магазинов, в том числе секс-шопов. Вчера провести соответствующую проверку пообещал Роскомнадзор.

Утечка могла произойти только в отношении данных заказчиков товаров, поясняет менеджер крупной интернет-компании, данные кредитных карт, которыми оплачивались товары, попасть в открытый доступ не могут, утверждает он. Вице-президент процессинговой компании Chronopay Дмитрий Шмаков подтверждает, что аналогичная утечка информации по кредитным картам невозможна, так как эти данные шифруются в момент передачи от пользователя к серверу.

Вчера в «Яндексе» и других поисковых системах стали доступны заполненные бланки электронных билетов на поезда с сайта railwayticket.ru. Введя в поисковую строку специальный запрос, можно было получить фамилию, имя, отчество пассажира, пункты отправления и прибытия, дату и время поездки, а также последние четыре цифры номера паспорта. Также вчера стали доступны персональные данные с сайта бронирования отелей и покупки железнодорожных и авиабилетов tutu.ru. На нем — кроме фамилии, имя, отчества — оказались полные номера паспортов клиентов.

Пресс-служба ОАО РЖД распространила вчера сообщение, в котором говорится, что сайт railwayticket.ru не имеет к перевозчику никакого отношения. «Данные пассажиров, купивших билеты на поезда дальнего следования через сайт ОАО РЖД, в поисковых системах не индексируются»,- говорится в заявлении компании.

Глава Союза потребителей России Петр Шелищ сообщил вчера, что по этому факту организация готовит общий иск ко всем интернет-сервисам, данные с которых попали в открытый доступ. «Иск будет касаться неопределенного круга потребителей, которые потом смогут предъявить иски по компенсации морального вреда»,- рассказал господин Шелищ.

Юристы считают, что нынешний иск, в отличие от предыдущих заявлений Союза потребителей, имеет хорошие перспективы, так как речь идет о персональных данных. В данной ситуации привлечь интернет-магазины к административной и гражданско-правовой ответственности можно, соглашается партнер Salans Виктор Наумов. «Но если говорить об ответственности поисковиков, то по российскому законодательству это маловероятно. Их вины в автоматической индексации нет. Закон об информации освобождает от гражданско-правовой ответственности, если лицо не могло знать о незаконности распространяемой информации»,- поясняет господин Наумов.

© ИД «Коммерсантъ»