Казахстанские силовики пресекли незаконный сбыт информации в Астане и Алма-Ате. Покупателями украденных паспортных данных казахстанцев оказались МФО, коллекторы и частные лица. Эксперты отметили, что в российской практике такое тоже случается, назвав продажи персональных данных в интернете устойчивой криминальной практикой.
Проходящие по уголовному делу фигуранты в Республике Казахстан продавали персональные данные (ПДн) через интернет. Во время обысков изъяли компьютерную технику, электронные носители информации и крупные суммы денег.
Досудебное расследование государственные органы Казахстана ведут по трем статьям Уголовного кодекса (УК) Республики:
— ст. 147 — нарушение неприкосновенности частной жизни и законодательства о персональных данных;
— ст. 208 — неправомерное завладение информацией;
— ст. 210 — создание или распространение вредоносных программ.
По совокупности нарушителям может грозить до 10 лет лишения свободы.
Первый вице-министр цифрового развития Республики Казахстан Ростислав Коняшкин заявил, что расследование продолжается, а ведомство усиливает требования к защите персональных данных. Детали дела пока не раскрываются в интересах следствия.
Устойчивая практика
Генеральный директор ООО «РуБэкап» (входит в «Группу Астра») Андрей Кузнецов подтвердил, что покупателями баз персональных данных выступают разные категории, но в России наиболее активны микрофинансовые организации (МФО) и коллекторские агентства. «Именно МФО и коллекторы, как покупатели таких баз стали массовым явлением из-за специфики их бизнеса и низкой себестоимости», — отметил Андрей Кузнецов.
Директор департамента технологической экспертизы «Софтлайн Решения» (входит в ГК Softline) Денис Чигин назвал случаи фигурирования персональных данных в интернете устойчивой криминальной практикой, которая регулярно возникает и так же регулярно пресекается: «Утекшие данные могут распространяться в Telegram-каналах, на специализированных хакерских форумах (включая BreachForums), а также в даркнете (сегменте интернета, используемом для анонимной незаконной деятельности). При этом тренд на рост утечек и объемов данных есть. В Казахстане в 2024 г. за первые семь месяцев было зарегистрировано 49 правонарушений, связанных с защитой ПДн, что на 19,5% больше, чем за аналогичный период 2023 г. В 2025 г., по данным Комитета по информационной безопасности, было зафиксировано уже 43 критических инцидента утечки данных. Но важно понимать: вместе с этим усиливается и реакция государства — такие схемы все чаще вскрываются и доводятся до уголовных дел».
Граница вины
Ведущий специалист отдела исследовательских разработок ООО «Стахановец» Алексей Миронов объяснил, что граница между административным и уголовным преследованием, как правило, проходит по умыслу и масштабу ущерба: «Если организация нарушила требования к хранению или обработке данных по халатности — это административная ответственность, штраф, предписание регулятора. Уголовная составляющая возникает там, где есть корыстный умысел, организованная схема сбыта, использование вредоносного ПО или причинение существенного вреда гражданам. В казахстанском деле следствие квалифицировало деяния сразу по трем статьям УК, что указывает именно на умышленный характер действий с признаками организованной преступной деятельности».
Ведущий инженер АО «Корп Софт» (CorpSoft24) Михаил Сергеев отметил, что покупатели тоже рискуют попасть под уголовную ответственность, особенно если доказано, что они знали о незаконном происхождении данных и использовали их. «В зависимости от роли и масштаба это могут быть штрафы или даже реальные уголовные сроки», — сказал Михаил Сергеев.
Партнер адвокатского бюро «Павлова, Голотвин, Быканов и партнеры» Денис Быканов поведал, что в Уголовном кодексе Российской Федерации есть специальная норма, устанавливающая уголовную ответственность за незаконный оборот компьютерной информации, содержащей персональные данные — ст. 272.1 УК РФ. «Наказание за такое преступление, в зависимости от дополнительных признаков и тяжести, может составлять до 10 лет лишения свободы. Объективная сторона этого преступления заключается в неправомерном доступе к охраняемой законом компьютерной информации, содержащей персональные данные, и ее копированию. Для этого даже не обязательно взламывать компьютерные программы. Например, если работник организации, обрабатывающей персональные данные, неправомерно получит доступ к таким данным и скачает их с целью перепродажи, то это уже может быть квалифицировано как преступление. Если предприниматель получает персональные данные от клиента и производит их обработку, например, отправляет копию паспорта клиента по электронной почте с нарушением закона о персональных данных (не получив письменное согласие клиента, без регистрации в реестре операторов персональных данных и проч.), то такие действия являются административным правонарушением и караются денежным штрафом», — сказал Денис Быканов.
В чем похожи и чем отличаемся
Денис Чигин рассказал про различия и сходства нормативной базы РФ и Республики Казахстан: «В Казахстане система активно формируется. Усиливается конституционная защита персональных данных, растут административные штрафы, обсуждается введение отдельной уголовной ответственности за массовые утечки. Пока основной акцент — именно на штрафах, а не на уголовном преследовании. В России помимо серьезных административных санкций — вплоть до оборотных штрафов — появилась отдельная уголовная статья за незаконный оборот ПДн с наказанием до 10 лет лишения свободы. Причем ответственность дифференцирована: отдельно выделяются, например, случаи с данными несовершеннолетних или трансграничной передачей».
Управляющий партнер юридической компании «Энсо» Алексей Головченко рассказал, что слив ПДн влечет уголовную ответственность при тяжких последствиях: «В Республике Казахстан — по ст. 147 (нарушение неприкосновенности частной жизни), 208, 210 УК (до 10 лет), если есть ущерб, распространение или организованная группа. Менее тяжкие случаи — административная ответственность или гражданско-правовая ответственность по Закону «О ПДн и их защите» (штрафы, блокировки) без уголовной ответственности. В РФ аналогично: ст. 137, 138 УК для умышленного разглашения с вредом, иначе — КоАП или 152-ФЗ. Если говорить про сравнение норм Республики Казахстан и РФ, то сходства заключаются в том, что оба закона требуют согласия субъекта на обработку, запрещают нецелевое извлечение из общедоступных источников и биометрию без оснований».
