Хакеры слили в Сеть 16 млрд паролей от аккаунтов Apple, Google и Telegram. Среди слитых данных 455 млн строк связаны с Россией.
В сеть утекли 16 000 000 000 логинов и паролей пользователей Apple, Google, Telegram и других сервисов. Это крупнейшая утечка данных за всё время.
Издание Forbes пишет, что исследователи из Cybernews обнаружили утечку 30-ти массивов личных данных, каждый из которых содержит от десятков миллионов до 3,5 миллиардов записей — всего 16 миллиардов.
Были слиты URL-адреса, логины и пароли от большинства популярных зарубежных сервисов: Google, Apple, Facebook (принадлежит компании Meta, признанной в России экстремистской организацией), Telegram, GitHub и другие.
Важно: это свежая утечка. По словам специалистов по кибербезопасности, ранее эти данные нигде не фигурировали:
Это не просто утечка — это схема для массового взлома. Не просто компиляция старых утечек, которые используются повторно — это свежая, готовая к использованию разведывательная информация в огромных масштабах.
Советуем поменять пароли и поставить двухфакторную аутентификацию.
Эти новости нас возвращают к вопросам регулирования владения перс данными клиентов и деятельности Роскомнадзора, касающиеся трансграничной передачи данных, в том числе и использования иностранных сервисов.
С 1 июля будут введены новые штрафные санкции за неуведомление о трансграничной передаче данных.
Какая ответственность предусмотрена за неуведомление об осуществлении трансграничной передачи персональных данных? Какие риски существуют в случае уведомления о трансграничной передаче? Роскомнадзор и иные госорганы будут более внимательны к такому лицу или признают его иноагентом?
Коротко:
законодательства о персональных данных в части уведомлений в соответствии со ст. 19.7 КоАП РФ, предусматривающей предупреждение или взыскание следующих штрафов:
- для юридических лиц - до 100 000 рублей.
Уголовная ответственность:
Статья 272.1. Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения.
Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, сопряженные с трансграничной передачей компьютерной информации, содержащей персональные данные, и (или) трансграничным перемещением носителей информации, содержащих персональные данные, наказываются лишением свободы на срок до восьми лет со штрафом в размере до двух миллионов рублей или в размере заработной платы или иного дохода осужденного за период до трех лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до четырех лет или без такового.
Полный ответ.
Из положений ст. 12 Закона N 152-ФЗ следует, что нарушение в связи с трансграничной передачей образует ее осуществление без уведомления Роскомнадзора о намерении осуществления такого рода обработки. Отнесение иностранного государства к числу обеспечивающих адекватную защиту прав субъектов персональных данных влияет на возможность осуществления трансграничной передачи после направления уведомления о намерении ее осуществления, не дожидаясь истечения десяти рабочих дней со дня поступления уведомления в Роскомнадзор и принятия предусмотренных ч.ч. 8 и 12 ст. 12 Закона N 152-ФЗ решений (ч. 10 ст. 12 Закона N 152-ФЗ). На территории иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, осуществление трансграничной передачи допускается только после истечения предусмотренного ч. 9 ст. 12 Закона N 152-ФЗ срока, за исключением случая, если такая трансграничная передача необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц (ч. 11 ст. 12 Закона N 152-ФЗ).
Какого-то отдельного состава административного правонарушения, в том числе в связи с вступающими с 30.05.2025 г. изменениями в ст. 13.11 КоАП РФ, за неуведомление оператором Роскомнадзора о намерении осуществлять трансграничную передачу персональных данных, не имеется.
Оператор может быть привлечен к административной ответственности по общей норме, а именно ст. 19.7 КоАП РФ, предусматривающей административную ответственность за непредставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности. Срок давности привлечения к административной ответственности составляет 90 календарных дней, при этом к числу длящихся административное правонарушение не относится, что влечет возможность возбуждения дела об административном правонарушении и привлечения к административной ответственности в пределах установленного срока давности, исчисляемого с момента возникновения обязанности по уведомлению, что связано с датой фактической трансграничной передачи без соответствующего уведомления.
Полагаем, что рассмотрение вопроса об административной ответственности по ст. 13.11 КоАП РФ может иметь место с учетом фактических обстоятельств трансграничной передачи, например в отсутствие соответствующего правового условия такой передачи, в том числе без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ или при его несоответствии установленным требованиям к содержанию, либо несовместимой с целями сбора персональных данных (ч.ч. 1, 2 ст. 13.11 КоАП РФ), при неисполнении требования субъекта персональных данных или Роскомнадзора в связи с трансграничной передачей (ч. 5 ст. 13.11 КоАП РФ) и т.д.
Обращаем внимание на то, что приведенная позиция является нашим экспертным мнением и может не совпадать с мнением других специалистов. За уточнением подходов уполномоченного органа по защите прав субъектов персональных данных к рассматриваемым вопросам целесообразно обратиться в Роскомнадзор. Органом, уполномоченным на дачу разъяснений в сфере обработки персональных данных, является Минцифры России.
В сеть утекли 16 000 000 000 логинов и паролей пользователей Apple, Google, Telegram и других сервисов. Это крупнейшая утечка данных за всё время.
Издание Forbes пишет, что исследователи из Cybernews обнаружили утечку 30-ти массивов личных данных, каждый из которых содержит от десятков миллионов до 3,5 миллиардов записей — всего 16 миллиардов.
Были слиты URL-адреса, логины и пароли от большинства популярных зарубежных сервисов: Google, Apple, Facebook (принадлежит компании Meta, признанной в России экстремистской организацией), Telegram, GitHub и другие.
Важно: это свежая утечка. По словам специалистов по кибербезопасности, ранее эти данные нигде не фигурировали:
Это не просто утечка — это схема для массового взлома. Не просто компиляция старых утечек, которые используются повторно — это свежая, готовая к использованию разведывательная информация в огромных масштабах.
Советуем поменять пароли и поставить двухфакторную аутентификацию.
Эти новости нас возвращают к вопросам регулирования владения перс данными клиентов и деятельности Роскомнадзора, касающиеся трансграничной передачи данных, в том числе и использования иностранных сервисов.
С 1 июля будут введены новые штрафные санкции за неуведомление о трансграничной передаче данных.
Какая ответственность предусмотрена за неуведомление об осуществлении трансграничной передачи персональных данных? Какие риски существуют в случае уведомления о трансграничной передаче? Роскомнадзор и иные госорганы будут более внимательны к такому лицу или признают его иноагентом?
Коротко:
законодательства о персональных данных в части уведомлений в соответствии со ст. 19.7 КоАП РФ, предусматривающей предупреждение или взыскание следующих штрафов:
- для юридических лиц - до 100 000 рублей.
Уголовная ответственность:
Статья 272.1. Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения.
Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, сопряженные с трансграничной передачей компьютерной информации, содержащей персональные данные, и (или) трансграничным перемещением носителей информации, содержащих персональные данные, наказываются лишением свободы на срок до восьми лет со штрафом в размере до двух миллионов рублей или в размере заработной платы или иного дохода осужденного за период до трех лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до четырех лет или без такового.
Полный ответ.
Из положений ст. 12 Закона N 152-ФЗ следует, что нарушение в связи с трансграничной передачей образует ее осуществление без уведомления Роскомнадзора о намерении осуществления такого рода обработки. Отнесение иностранного государства к числу обеспечивающих адекватную защиту прав субъектов персональных данных влияет на возможность осуществления трансграничной передачи после направления уведомления о намерении ее осуществления, не дожидаясь истечения десяти рабочих дней со дня поступления уведомления в Роскомнадзор и принятия предусмотренных ч.ч. 8 и 12 ст. 12 Закона N 152-ФЗ решений (ч. 10 ст. 12 Закона N 152-ФЗ). На территории иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, осуществление трансграничной передачи допускается только после истечения предусмотренного ч. 9 ст. 12 Закона N 152-ФЗ срока, за исключением случая, если такая трансграничная передача необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц (ч. 11 ст. 12 Закона N 152-ФЗ).
Какого-то отдельного состава административного правонарушения, в том числе в связи с вступающими с 30.05.2025 г. изменениями в ст. 13.11 КоАП РФ, за неуведомление оператором Роскомнадзора о намерении осуществлять трансграничную передачу персональных данных, не имеется.
Оператор может быть привлечен к административной ответственности по общей норме, а именно ст. 19.7 КоАП РФ, предусматривающей административную ответственность за непредставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности. Срок давности привлечения к административной ответственности составляет 90 календарных дней, при этом к числу длящихся административное правонарушение не относится, что влечет возможность возбуждения дела об административном правонарушении и привлечения к административной ответственности в пределах установленного срока давности, исчисляемого с момента возникновения обязанности по уведомлению, что связано с датой фактической трансграничной передачи без соответствующего уведомления.
Полагаем, что рассмотрение вопроса об административной ответственности по ст. 13.11 КоАП РФ может иметь место с учетом фактических обстоятельств трансграничной передачи, например в отсутствие соответствующего правового условия такой передачи, в том числе без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ или при его несоответствии установленным требованиям к содержанию, либо несовместимой с целями сбора персональных данных (ч.ч. 1, 2 ст. 13.11 КоАП РФ), при неисполнении требования субъекта персональных данных или Роскомнадзора в связи с трансграничной передачей (ч. 5 ст. 13.11 КоАП РФ) и т.д.
Обращаем внимание на то, что приведенная позиция является нашим экспертным мнением и может не совпадать с мнением других специалистов. За уточнением подходов уполномоченного органа по защите прав субъектов персональных данных к рассматриваемым вопросам целесообразно обратиться в Роскомнадзор. Органом, уполномоченным на дачу разъяснений в сфере обработки персональных данных, является Минцифры России.
Обзор подготовлен с помощью системы ГАРАНТ