Персональные данные российских граждан, оформлявших микрозаймы в 2017–2019 годах, выставили на продажу. Речь идёт о сведениях о людях, обращавшихся за оформлением займов в микрофинансовые организации (МФО). Закрытая информация о клиентах была выставлена на продажу на специализированном сайте. Юристы и эксперты в области личных финансов проконсультировали наших читателей о том, почему подобные эксцессы вообще имеют место и как с этим бороться, если вы угодили в такую ситуацию.
База данных, по заверению неизвестного продавца, содержит в себе информацию о 12 млн физических лиц. В бесплатном пробнике имеются сведения, касающиеся примерно 1,8 тысячи клиентов: Ф. И. О., паспорт, дата рождения, номер телефона, электронная почта, регион регистрации, номера электронных кошельков и занятая у МФО сумма.
Кроме того, в записи о клиентах указаны реферальные ссылки (ссылки на сайт, который «привёл» пользователя). Причём в большинстве случаев упоминается финансовый маркетплейс «Юником24».
В этой компании после обращения портала РБК решили проверить пробник с клиентскими данными и подтвердили, что указанный в продаваемой базе идентификационный код россиян принадлежит одному из её партнёров.
После обзвона журналистами некоторых клиентов из пробника выяснилось следующее. Четверть опрошенных сообщили, что являлись клиентами микрокредитной компании «Микроклад», часть из них подавала заявки сразу в несколько МФО, другие признались, что не помнят название своего кредитора или же просто не захотели передавать СМИ какие-либо сведения личного характера.
Во-первых, всегда находятся нечистоплотные сотрудники, которые хотят заработать. Во-вторых, люди, обращающиеся в МФО, часто неграмотны юридически и финансово. Ведь основные клиенты микрозаймовых организаций — это рабочие, пенсионеры и те, кто зарабатывает не более 10–15 тысяч рублей. Такие люди не будут подавать в суд на МФО за неправомерное использование их персональных данных. Таким образом, МФО чувствует свою безнаказанность. В-третьих, многие микрофинансовые организации сейчас терпят убытки.
ЦБ РФ в 2019 году ужесточил требования к МФО (ограничение процентных ставок по займам, запрет выдавать ссуды под залог недвижимости, взыскание долгов через суд и т. д.). И не все микрофинансовые организации полностью адаптировались к прошлогодним регуляторным требованиям. А в настоящее время возникли и новые испытания — самоизоляция.
Скорее всего, из 1733 микрофинансовых организаций, зарегистрированных в реестре на 27 марта, после выхода из режима самоизоляции выживут не все. Ведь многие клиенты оформляли займы в офисах МФО, которые в настоящий момент закрыты. Пользоваться онлайн-услугами они в основном не умеют. Некоторые клиенты МФО и компьютер не видели, а если и видели, то никогда им не пользовались. Следовательно, они элементарно не имеют возможности получить заём, который раньше оформляли в офисе компании. Также не все МФО готовы к дистанционной выдаче денег.
По предположению некоторых финансовых аналитиков, к 1 января 2021 года на рынке останется не более тысячи микрофинансовых организаций. А ведь возможность заработать на продаже клиентской базы является огромным искушением, с которым, возможно, одна из МФО не справилась и «слила» клиентскую базу.
Скорее всего, мошенникам, которые будут предлагать людям лёгкие микрокредиты, списание долга за часть стоимости или платное исправление кредитной истории. Увы, но в условиях потери доходов и отсутствия накоплений клиенты будут использовать любые возможности для выживания.
Как обезопасить себя от «утечки» персональных данных? В наше время это достаточно сложно, даже если мы даём персональные данные только в банках, госорганизациях. Но и там многое зависит от «чистоплотности» сотрудников, которых проверяет служба безопасности при приёме на работу. И всё же необходимо соблюдать меры безопасности. Люди, которые берут займы в микрофинансовых организациях, должны также подписывать заявление о запрете распространения своих персональных данных третьим лицам, — поясняет эксперт Национального центра финансовой грамотности.
По словам главы Агентства кибербезопасности Евгения Лифшица, такие данные «покупают в Даркнете пачкой, куда их сливают в абсолютном большинстве случаев сотрудники самих МФО или их партнёров».
Аналогичная проблема касается и сотовых операторов. Организациям это невыгодно, это проблема добросовестности отдельного сотрудника, когда у человека есть доступ к базе клиентов, за продажу которой на сторону он может разом заработать больше своей зарплаты. Вспоминаем мартовский инцидент с фейковыми аккаунтами для каршеринга на основе скупленных по 500 рублей данных клиентов МФО.
Полностью пресечь такого рада ситуации, наверное, не получится никогда, так как злоумышленники и мошенники всегда рано или поздно находят способ обойти те защитные меры, которые вводятся как на законодательном уровне, так и на уровне отдельных организаций, убеждён доцент кафедры «Финансовые рынки» РЭУ им. Г.В. Плеханова Максим Марков.
К сожалению, защитить свои персональные данные простые граждане тоже не могут, так как они обязаны предоставлять их при совершении многих операций и давать согласие на их обработку. Однако следует иметь в виду, что, как правило, продаваемые базы данных не содержат всей информации, необходимой для совершения с их помощью мошеннических действий, направленных на похищение денежных средств граждан. Злоумышленники будут пытаться получить их с помощью обмана и манипулирования людьми.
Поэтому граждане для защиты своих средств и данных должны соблюдать осторожность и не сообщать их непонятным и незнакомым лицам и организациям, особенно по телефону или по электронной почте, советует он.
В свою очередь, опытный адвокат и эксперт по банкротствам Игорь Зиневич рекомендует предпринять следующие шаги для защиты личных данных:
— избегать кредиторов, которые работают вне реестра МФО. На сайте ЦБ РФ опубликован государственный реестр микрофинансовых организаций. Всегда проверять МФО через данный реестр. Также проверять микрофинансовые организации можно через Бюро кредитных историй;
— обращать внимание на согласие на обработку персональных данных: чем подробнее составлен документ, тем ответственнее МФО может к этому относиться;
— уточнять у представителей МФО, куда передаются персональные данные, как по внутренним регламентам микрофинансовые организации хранят, защищают и уничтожают полученные сведения, а также проверять, есть ли у МФО положение о запрете передачи персональных данных третьим лицам (как в бумажном, так и в электронном виде);
— не передавать личные данные через сервисы, требующие самоидентификацию по снимку самого себя с паспортом;
— не хранить фотографии паспорта или иных документов, с помощью которых можно идентифицировать владельца, а также иную конфиденциальную информацию в телефоне, электронной почте и мессенджерах;
— удалить персональные данные из программ и приложений, имеющиеся на персональном компьютере и телефоне, которые потенциально могут быть использованы злоумышленниками (например, данные банковской карты).
МФО обязаны по закону гарантировать соблюдение тайны об операциях своих заёмщиков, говорит управляющий партнёр юридической компании «Зиневич и партнеры» Игорь Зиневич. Все работники микрофинансовой организации обязаны соблюдать тайну об операциях заёмщиков, а также об иных сведениях, устанавливаемых МФО, за исключением случаев, установленных федеральными законами (пп. 4 п. 2 ст. 9 Федерального закона № 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях»). Таким образом, запрет со стороны государства есть.
Банк России контролирует деятельность МФО, но только в финансовой части, и не контролирует в части соблюдения тайны. Ни закон о микрофинансовых организациях, ни закон о потребительском кредите, который распространяется на деятельность МФО, не раскрывают процедуру использования персональных данных, здесь действуют только вышеуказанная оговорка и закон о защите персональных данных, который в статье 6 прямо указывает, что распространяется на отношения с МФО. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) контролирует соблюдения требований закона о защите персональных данных, вправе привлекать виновных лиц к административной ответственности, подавать иски в суд.
Таким образом, объясняет Зиневич, граждане могут обращаться с жалобами в указанную организацию. МФО могут понести и уголовную ответственность за незаконное распространение сведений без согласия (ст. 137 УК — до четырёх лет лишения свободы), а также обязаны возместить причиненные убытки и моральный вред.
Однако закон о микрофинансовых организациях обязывает их раскрывать сведения о себе заёмщикам, поэтому граждане-заёмщики вправе задавать вопросы, является ли организация, которая воспринимается гражданином как МФО, таковой на самом деле, или это посредник, который создаёт и распространяет базу данных, передавая их в том числе и в МФО.
Если организация предоставила подтверждающие документы о том, что она является МФО, она не вправе в дальнейшем ссылаться на то, что гражданин имел дело с посредником. Однако если гражданин предоставил такому посреднику возможность распространять свои данные (полностью или частично), заполнив на сайте соответствующую форму, проставив галочку и иным образом дав личное согласие на распространение данных, то таким образом он утратил бдительность, поэтому следует быть внимательным, прежде чем заполнять некие формы на сайтах, — сказал эксперт по банкротствам.
Игорь Зиневич напомнил, что закон о защите персональных данных запрещает их распространять без согласия гражданина, но при наличии согласия такое распространение возможно. При этом согласие может быть дано в любой форме, но оно может быть отозвано гражданином.
Таким образом, ответственность и контроль государства есть, но иногда сами граждане, обращающиеся за микрозаймами, проявляют свойственную им беспечность и не отслеживают, кому какую информацию предоставили.
