Угроза использования персональных данных и биометрии, полученных мошенником под предлогом знакомства
Правовые риски при разглашении персональных данных и биометрии
Разглашение ваших персональных данных (ФИО, дата рождения) и биометрических данных (голос) создает следующие правовые риски:
-
Нарушение ваших конституционных прав: Согласно статье 23 Конституции РФ: "Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени", а статья 24 устанавливает: "Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются".
-
Нарушение законодательства о персональных данных: Ваши ФИО и дата рождения являются персональными данными. Согласно статье 7 Федерального закона "О персональных данных": "Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных". Вы не давали согласия на обработку и распространение этих данных.
-
Особая защита биометрических данных: Запись вашего голоса относится к биометрическим персональным данным. Статья 11 Федерального закона "О персональных данных" устанавливает: "Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных". Вашего согласия получено не было, и обстоятельства получения данных указывают на обман.
-
Право на возмещение вреда: Статья 17 Федерального закона "О персональных данных" гарантирует вам: "Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке".
Квалификация действий злоумышленника
В действиях злоумышленника усматриваются признаки следующих составов преступлений:
1. Нарушение неприкосновенности частной жизни (ст. 137 УК РФ)
"Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия" (УК РФ, статья 137, часть 1)
Собирая ваши ФИО, дату рождения и запись голоса, а также заявляя о намерении их продать, злоумышленник осуществляет незаконное собирание сведений о вашей частной жизни.
2. Нарушение тайны переписки (ст. 138 УК РФ)
"Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан" (УК РФ, статья 138, часть 1)
Переписка в мессенджере относится к "иным сообщениям", и получение доступа к ней без вашего информированного согласия нарушает вашу тайну переписки.
3. Мошенничество в сфере компьютерной информации (ст. 159.6 УК РФ)
"Мошенничество в сфере компьютерной информации, то есть хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации" (УК РФ, статья 159.6, часть 1)
Создание поддельной страницы под видом государственного портала — это вмешательство в информационно-телекоммуникационные сети с целью обмана.
4. Вымогательство (ст. 163 УК РФ)
"Вымогательство, то есть требование передачи чужого имущества или права на имущество или совершения других действий имущественного характера под угрозой [...] распространения сведений, позорящих потерпевшего или его близких, либо иных сведений, которые могут причинить существенный вред правам или законным интересам потерпевшего" (УК РФ, статья 163, часть 1)
Хотя злоумышленник пока не потребовал передачи имущества, угроза распространения ваших данных подпадает под состав вымогательства, если в дальнейшем последует требование передачи денег.
5. Неправомерный доступ к компьютерной информации (ст. 272 УК РФ)
"Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло [...] копирование компьютерной информации" (УК РФ, статья 272, часть 1)
Если злоумышленник получил доступ к вашим техническим данным устройства, это может быть квалифицировано как неправомерный доступ.
Административная ответственность
Злоумышленник также нарушает статью 13.11 КоАП РФ (обработка персональных данных без согласия), а за утечку биометрических данных предусмотрена ответственность по части 17 статьи 13.11 КоАП РФ — штраф на граждан от 400 000 до 500 000 рублей.
Оценка реальности угрозы использования голоса для биометрической аутентификации
Насколько это реально?
На данный момент угроза использования вашей записи голоса для подтверждения операций в официальных государственных и банковских системах крайне маловероятна, но исключать ее полностью нельзя.
Почему это маловероятно:
-
Государственная Единая биометрическая система (ЕБС) имеет строгие требования к защите. Статья 19 Федерального закона "О персональных данных" обязывает операторов: "принимать необходимые правовые, организационные и технические меры [...] для защиты персональных данных от неправомерного или случайного доступа к ним".
-
Постановление Правительства №1119 устанавливает 4 уровня защищенности персональных данных. Для биометрических данных даже при минимальных угрозах требуется обеспечение 2-го уровня защищенности, что предполагает серьезные технические меры.
-
Для внесения биометрии в официальные системы требуется ваше личное присутствие и письменное согласие.
Но есть риски:
- Злоумышленник может попытаться использовать голос в менее защищенных коммерческих системах, которые используют голосовую биометрию
- Существует социальная инженерия: злоумышленник может позвонить в банк, представившись вами, и пытаться манипулировать оператором, используя ваши данные
Механизмы защиты от такого мошенничества
- Немедленно заблокируйте возможность биометрической идентификации в банках, если вы ее ранее подключали, и не подключайте заново
- Установите в банках и на портале "Госуслуги" обязательное подтверждение операций через SMS или push-уведомления, а не голосом
- Включите в банках функцию "Антифрод" и уведомления о всех операциях
Немедленные меры безопасности
Защита аккаунтов
-
Немедленно смените пароли на всех важных аккаунтах:
- Портал "Госуслуги"
- Онлайн-банкинг
- Электронная почта (особенно та, что привязана к госуслугам и банкам)
- Социальные сети
-
Включите двухфакторную аутентификацию (2FA) на всех сервисах, где это возможно
-
Проверьте активные сессии во всех аккаунтах и завершите все незнакомые
-
Проверьте настройки портала "Госуслуги" — убедитесь, что не появились новые доверенные лица или приложения с доступом
Защита финансов
-
Позвоните в банки и установите режим повышенной защиты — попросите установить лимиты на операции, отключить онлайн-кредитование
-
Запросите кредитную историю в Бюро кредитных историй (можно через портал "Госуслуги" или банки)
-
Если у вас есть счета с крупными суммами — временно ограничьте доступ или переведите средства на защищенные счета
Защита устройства
-
Проверьте устройство на вредоносное ПО — установите антивирус и проведите полную проверку
-
Сбросьте настройки браузера — удалите cookies, историю, сохраненные пароли
-
Не переходите по подозрительным ссылкам, которые могут приходить в ближайшее время
-
Обновите операционную систему и все приложения до последних версий
Фиксация доказательств для обращения в полицию и Роскомнадзор
Что нужно сохранить:
-
Скриншоты всей переписки в мессенджере, включая:
- Профиль злоумышленника (ник, аватар, номер телефона)
- Сообщения с требованием данных
- Сообщение с угрозой продажи данных
- Ваши технические данные, которые он прислал
-
Ссылку на поддельную страницу — скопируйте URL-адрес, не переходя по ней повторно
-
Данные о времени — зафиксируйте, когда происходила переписка
-
Логи переписки — экспортируйте из мессенджера, если есть такая возможность
-
IP-адрес злоумышленника (если мессенджер отображает эту информацию)
Куда обращаться:
-
Полиция — подайте заявление о преступлении в отдел полиции по месту вашего жительства. В заявлении укажите на признаки преступлений по статьям 137, 138, 159.6, 163 УК РФ
-
Роскомнадзор — как уполномоченный орган по защите прав субъектов персональных данных. Согласно статье 23 Федерального закона "О персональных данных", он имеет право: "рассматривать обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение"
-
Генеральная прокуратура — можно направить жалобу через сайт, если полиция откажет в возбуждении дела
Выводы и рекомендации
Ситуация серьезная, но не критическая. Основная угроза сейчас — не в том, что злоумышленник сможет использовать голос для биометрических операций, а в том, что он может использовать ваши персональные данные (ФИО, дата рождения) в схемах социальной инженерии — звонить вам, представляясь сотрудниками банка, или пытаться восстановить доступ к вашим аккаунтам, используя известные данные.
Что делать прямо сейчас (по срочности):
- НЕМЕДЛЕННО — смените пароль на портале "Госуслуги" и включите двухфакторную аутентификацию
- СЕГОДНЯ — позвоните в банки, установите режим повышенной защиты и лимиты
- СЕГОДНЯ-ЗАВТРА — соберите все доказательства и обратитесь в полицию с заявлением
- В ТЕЧЕНИЕ НЕДЕЛИ — подайте жалобу в Роскомнадзор
Не вступайте в дальнейшую переписку с мошенником, не реагируйте на провокации. Если он начнет требовать деньги — это уже будет состав преступления по статье 163 УК РФ (вымогательство), и это значительно усилит позицию правоохранительных органов.
Рекомендую также обратиться за консультацией к адвокату для правильного составления заявления в полицию и представления ваших интересов в ходе проверки.