Банки предложили ужесточить законодательство о персональных данных

Юристы часто называют подобные ситуации "фрод" (англ. fraud - "мошенничество"), однако в российской практике под этим понимается чаще всего нанесение ущерба с помощью информационных технологий. Самый простой пример - кража персональных данных: страдают не только граждане, на которых "повесили" незаконный кредит, но и организации-кредиторы, которые не получат возврата заемных средств. При этом Уголовный кодекс РФ не предусматривает отдельной уголовной ответственности за подобные преступления. Как рассказал начальник оперативно-разыскной части УЭБ и ПК ГУ МВД России по Санкт-Петербургу и Ленинградской области Станислав Романчук, они квалифицируются по статье 159 УК РФ "Мошенничество". При этом под нее могут подпадать и граждане, которые пытаются воспользоваться негативной ситуацией. Например, в результате утечки становится известно о том, что в банке выдано несколько кредитов по подложным персональным данным - и гражданин пишет заявление о том, что он тоже стал жертвой мошенников, хотя на самом деле кредит брал лично.

Бороться с такими ситуациями необходимо двумя путями: во-первых, с привлечением правоохранителей. При этом Романчук отметил, что часто мошенничества с использованием чужих персональных данных совершаются одними и теми же преступниками, но в разных регионах РФ.?Однако заявление о преступлении должны принять по месту его подачи, вопрос совмещения разных уголовных дел, если это потребуется, - внутреннее дело компетентных органов. А в случае отказа и гражданам, и юрлицам необходимо действовать в соответствии с Федеральным законом "О порядке рассмотрения обращений граждан РФ".

Второй путь, о котором говорят прежде всего юристы и специалисты в сфере ИТ-технологий, - это совершенствование законодательства о персональных данных (ПД). Например, сейчас мошенники чаще всего уже не воруют паспорт гражданина, чтобы переклеить в нем фотографию, - все данные они добывают и используют онлайн. Однако по закону весь перечень данных, необходимых для идентификации, содержит не более двух десятков позиций и может содержаться во многих базах. Например, такие ПД запрашивают отели при заселении - как российские, так и зарубежные.

- Поэтому мы выступаем за то, чтобы усилить законодательное регулирование, - подчеркнул директор по продуктам и соучредитель компании, работающей в сфере помощи игрокам рынка онлайн-кредитования Александр Ахломов, - сделать более широкую категоризацию данных, ввести понятие "чувствительная информация", закрепить в качестве ПД адрес электронной почты и номер телефона. Например, тот же номер телефона является логином для входа в профиль на Госуслугах, адрес электронной почты часто используется для двухфакторной верификации, номер телефона и e-mail могут быть использованы для доступа к более широкому набору персональных данных.

С другой стороны, также необходимо классифицировать и начать регулирование открытых и псевдооткрытых данных, без которых невозможно интернет-соединение. По сути, необходимо говорить о создании российского аналога GDPR (Общего регламента по защите персональных данных Европейского союза - англ. General Data Protection Regulation) - с четкой категоризацией данных, целей доступа к данным и ответственности за нарушение этих правил.

- У меня несколько электронных адресов, в том числе рабочий и личный, для рекламных подписок и фриланс-заказов, - рассказал корреспонденту "РГ" дизайнер Александр Гутов. - Если их потребуется подтвердить, я в общем готов. Хотя не хотел бы, чтобы мой псевдоним для подработки знали на основной работе. Отдельная сим-карта не спасет, потому что паспорт у меня один. Но и ситуация у меня не самая типичная.

Новый подход к аутентификации, то есть основанной на вероятности процедуры проверки подлинности виртуального пользователя, базируется на использовании данных не о личности, а об устройстве, с которого будущий заемщик запрашивает кредит. Здесь несоответствия, а также признаки риска мошенничества и кредитные риски могут быть выявлены и без обращения к ПД.

- Мы разработали собственные технологии анализа устройства, в рамках которых исследуем примерно 50 тысяч констант, - рассказал Ахломов. - При этом мы никогда не анализируем чувствительную для виртуального пользователя информацию, такую как содержание СМС-сообщений и иной переписки, контактную книгу - только параметры устройства.

Отказ в кредитовании может последовать, например, если за короткий период времени с одного устройства или от одного визуального пользователя поступает несколько заявок с разными заявочными данными, или выявлены какие-то признаки технического фрода, например заявка, отправленная с игровой консоли, или комбинация нескольких факторов, например несоответствие временной зоны устройства и IP-адреса в сочетании с другими факторами риска. Кстати, еще один вариант борьбы с мошенничеством - официально наладить систему обмена базами персональных данных между игроками разных рынков.