«Сложно ничего не нарушить, изучая утечки»: DLBI победила РКН в суде, но правовая неопределенность сохраняется

Роскомнадзор проиграл иск к российскому сервису поиска уязвимостей и утечек данных DLBI (Data Leakage & Breach Intelligence). Регулятор рассчитывал привлечь компанию к административной ответственности из-за нарушений в обращении с персональными данными. РКН усмотрел нарушение в том, что сервис якобы использует утекшие базы данных, чтобы помогать пользователям узнать, не оказались ли их данные скомпрометированы. Суд встал на сторону DLBI, обратил внимание аналитик SearchInform, эксперт Российского совета по международным делам Олег Шакиров в своем телеграм-канале «Кибервойна». В комментарии SecPost Шакиров прояснил значимость этого судебного разбирательства для отечественной ИБ-отрасли.

РКН узрел в действиях DLBI нарушения законодательства РФ в области персональных данных по статье 13.11 КоАП РФ. Регулятор утверждал, что DLBI пользовался слитыми базами данных, «неправомерно распространяемыми в неограниченном доступе». DLBI якобы использовал их для того, чтобы предоставлять посетителям сайта информацию о том, не были ли скомпрометированы эти данные. Представитель DLBI, в свою очередь, заявил суду, что через сайт нельзя получить доступ к сервису мониторинга утечек, при этом РКН не изучал сам сервис мониторинга утечек. Доводы о том, что туда загружаются базы данных, при этом не были доказаны.

Шакиров обратил внимание на «зыбкую правовую основу» у отечественных компаний, занимающихся мониторингом утечек и изучением слитых данных. Речь как о вышеупомянутой административной статье, так и об уголовной — 272.1 УК РФ («Незаконное использование и/или передача, сбор/хранение компьютерной информации, содержащей персональные данные, а равно создание ресурсов, предназначенных для её незаконного распространения»).

Продолжение ниже

Как заявил Шакиров в ответе SecPost, попасть под уголовное или административное преследование может чуть ли не каждый.

«Теоретически это может быть любая компания, которая изучает утечки от хакеров или базы с данными россиян, которые каким-то иным образом оказались в публичном доступе, допустим, из-за ошибок конфигурации. Это многие компании в сфере информационной безопасности, службы ИБ крупных компаний, которые могут проводить свои расследования», — отметил эксперт.

Это актуальная проблема для отрасли, говорит Шакиров, но, как показывает случай DLBI, Роскомнадзору нужно за что-то зацепиться, обнаружить признаки нарушения при мониторинге. Если условная компания занимается исследованиями непублично, то она может и не попасться Роскомнадзору — так что вряд ли дойдет до массового выдвижения исков. Однако сигнал, который послал Роскомнадзор индустрии с помощью этого иска, дает представление о том, как РКН относится к такой деятельности.

«С нынешними законами сложно ничего не нарушить, изучая утечки. На примере дела в отношении DLBI видно, что Роскомнадзор может трактовать как нарушение законодательства о защите персональных данных даже казалось бы добросовестную работу, направленную в конечном счёте на оповещение жертв утечек», — подчеркивает эксперт.

По словам Шакирова, если условная компания обнаружила файл с персональными данными клиентов какого-нибудь онлайн-магазина, то практически любое действие с этими данными уже тянет на нарушение. Причем необязательно административное, может быть состав и для уголовного. Шакиров рассуждает о статье 272.1: «Вероятно, эта статья предназначалась для киберпреступников, но под определение легко подпадает и любой человек, который исследует утечки даже по своим должностным обязанностям».

Отечественному ИБ пришлось бы серьезно менять подход к исследованию утечек, если бы государство активно развивало преследование по вышеупомянутым статьям КоАП и УК РФ. Компаниям, как считает Шакиров, пришлось бы аутсорсить исследования утечек за границу или заниматься ими тайком.

«Это проблема не только для компаний, но прежде всего для граждан. Строго говоря, сейчас у вас в большинстве случаев нет возможности подтвердить, что ваши данные попали в какую-то утечку. Как это можно подтвердить? Один вариант — это скачать слитую злоумышленниками базу. Но найти её обычно может меньшинство. А скачивать эту базу для проверки не вполне законно», — говорит эксперт.

Организация, из которой были похищены данные клиента, в теории может уведомить о случившейся утечке. Но на практике, говорит Шакиров, компании крайне редко сообщают о таких провалах. Другой вариант — пользоваться сервисами, аналогичными DLBI, которые изучают утечки. Но на фоне судебного преследования DLBI такие компании будут вынуждены действовать осторожнее. «Наконец, об утечках не информирует и Роскомнадзор, который теоретически мог бы это делать, ведь к нему стекаются уведомления от операторов персональных данных», — отметил эксперт.

В качестве теоретического варианта разрешения ситуации Шакиров приводит введение исключений для добросовестных исследователей. Более того, в апреле 2025 года бизнес (в лице Ассоциации больших данных) и регуляторы обсуждали возможность выведения из-под уголовной ответственности расследование утечек персональных данных. Но обсуждение проблемы началось только спустя несколько месяцев после изменения УК, а это, по словам Шакирова, «показывает, что для государства это не приоритетная проблема».

На судебное разбирательство между РКН и DLBI обратил внимание и бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. В своем телеграм-канале он отметил, что отрасль в свое время сплотилась вокруг Ассоциации больших данных и предоставила проект поправок к ФЗ-153 (Закон о персональных данных). Но, по словам эксперта, поправки так и не были рассмотрены. «Складывается такое впечатление, что отдельные неназванные лица не хотят давать ходу этой инициативе, держа всех на крючке», — отметил Лукацкий.