Наверное, уже весь Хабр знает, что наши персональные данные давно и успешно стали объектом законной и незаконной торговли. Про рынок банковской информации, данных мобильных операторов и госорганов я писал тут в статье: «Анализ цен черного рынка на персональные данные и пробив».

Про так называемую законную часть этого бизнеса сейчас говорить не будем, поговорим о ее незаконной стороне и попробуем разобраться с тем, как всё-таки пресекают эту деятельность и пресекают ли вообще.

В этой статье расскажу о том, кого и как в России ловят за незаконную торговлю данными. Только реальные случаи, никакой теории!

Если судить по огромному количеству предложений по «пробиву» на черном рынке, то может сложиться впечатление, что государство и частные компании — операторы персональных данных (банки, операторы сотовой связи и т.п.) попросту самоустранились от решения данной проблемы.

Однако, случаи, когда продавцов персданных ловят и даже судят, есть. Правда, стоит отметить, что ловят, как правило, непосредственных исполнителей заказов, т.е.

сотрудников организаций, имеющих доступ к информации в силу своих служебных обязанностей.

А вот посредники, активно нанимающие таких неблагонадежных сотрудников банков, операторов связи, госорганов, а затем перепродающие данные граждан на черном рынке, зачастую остаются в тени и уходят от наказания.

Я сделал подборку за год всех случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными, про которые писали СМИ и которые проходили в моем канале «Утечки информации». Их оказалось не так много, но чем богаты…

Февраль 2018

В суд направлено дело четверых жителей Пензы, арестованных за продажу персональных данных абонентов сотовых операторов.

По данным следствия, в октябре 2016 года 26-летний житель Пензы и его 27-летний знакомый решили найти инсайдеров, имеющих доступ к двум операторам сотовой связи, которые за вознаграждение станут копировать персональные данные абонентов и сведения об их телефонных переговорах.

Подельникам удалось договориться с двумя 20-летними девушками, работавшими в салонах операторов сотовой связи. В интернете на специализированных форумах было размещено объявление о продаже персональных данных абонентов и информации о звонках. С декабря 2016 по конец марта 2017 года было получено 17 заказов, каждый стоимостью от 500 до 4 000 рублей.

Март

Прокуратура Нижегородской области сообщает, что по версии следствия 30–летний оперуполномоченный уголовного розыска ОМВД России по Богородскому району в 2015 году за денежное вознаграждение организовал незаконную передачу информации из ведомственных банков данных МВД.

В 2016 году он привлёк к этому и своего младшего брата, также занимавшего должность оперуполномоченного уголовного розыска. Злоумышленники систематически использовали доступ в базы данных МВД России для получения и передачи служебной информации через интернет неопределенному кругу лиц. Эта преступная деятельность продолжалась более года.

Отмечается, что таким образом мужчины получили доход свыше 700 тыс. рублей.

В Липецкой области на сотрудницу банка завели сразу три уголовных дела. Финансовый консультант местного офиса известного банка незаконно использовала персональные данные клиентов о счетах и вкладах.

В ходе проверки выяснилось, что сотрудница банка использовала личные данные клиентов для хищения денег с их счетов и вкладов. Замечу только, что тут было хищение средств со счетов клиентов, а не торговля данными, видимо поэтому банк решился на подачу заявления в МВД.

Других публичных случаев, когда банки официально расследуют незаконный доступ к информации клиентов, мне не известно.

Два бывших оперуполномоченных из Богородска (Нижегородская область) получили по 1,5 года лишения свободы условно за использование персональных данных из базы МВД.

В ходе следствия установлены обстоятельства получения полицейскими 800 тысяч рублей от граждан из более чем 20 субъектов РФ.

Большая часть переданных персональных данных связана с проверкой сведений о собственниках автомототранспортных средств.

Апрель

33-летний экс-следователь одного из московских райотделов полиции, уволившись по собственному желанию из правоохранительных органов, решил зарабатывать деньги на торговле данными о частных телефонных переговорах.

Раздобыв поддельную печать Мещанского райсуда Москвы, за два года успел оформить порядка 300 липовых судебных решений о предоставлении данных детализации телефонных переговоров, а также информации о самих абонентах у основных операторов сотовой связи. Стоимость одного заказа на детализацию и данные об абоненте колебалась от 45 тыс. до 100 тыс. руб.

, при этом самому бывшему следователю доставалось 10–15 тыс. руб. Остальные деньги распределялись между посредниками, с которыми экс-следователь в основном общался с помощью мессенджеров.

В Саратове по результатам прокурорской проверки возбуждено уголовное дело в отношении должностного лица.

Установлено, что с марта по декабрь 2016 года помощник оперативного дежурного управления внутренних дел по городу Саратову, имеющий доступ к сведениям о происшествиях и преступлениях, произошедших на территории города Саратова, систематически передавал сведения о фактах смерти граждан индивидуальному предпринимателю, который осуществлял деятельность в сфере ритуальных услуг.

Поймали бывшего начальника одного из подразделений Комитета по управлению городским имуществом и земельными ресурсами администрации Нижнего Новгорода.

За взятку в 1,2 миллиона рублей 36-летний начальник управления согласился в течение года передавать любые сведения ограниченного доступа, в том числе персональные данные граждан, которые содержатся в информационных системах по учёту объектов недвижимости и земельных участков. В подтверждение своей готовности к «сотрудничеству» чиновник передал USB-носитель с частью запрошенных данных. В декабре суд приговорил бывшего начальника к лишению свободы на срок 8 лет с отбыванием в колонии строго режима, а также штрафу в размере 3,6 млн рублей, по статье за взяточничество. Кроме того, в течение 5 лет он не сможет занимать определенные должности.

Май

В Воронеже бывшую сотрудницу сотовой компании обвинили в незаконной слежке за телефонными звонками.

Ей вменяют нарушение части 2 статьи 138 УК РФ (нарушение тайны переписки, телефонных переговоров и иных сообщений граждан, совершенное лицом с использованием своего служебного положения).

Следователи установили, что с 30 ноября 2017 года по 22 февраля 2018-го работница сотовой компании, находясь на рабочем месте, незаконно просматривала детализации телефонных соединений.

Июнь

В Мордовии сотрудники сотовых компаний, торговавшие персональными данными, получили условный срок. 27-летний оператор контактного центра ООО «Т2Мобайл» Анатолий Панишев получил 1 год 7 месяцев, а 24-летняя специалист ПАО «Вымпелком» Анна Синева – 1 год 4 месяца.

Следствием установлено, что в феврале 2017 года к Панишеву с использованием Telegram обратилась бывшая сотрудница ООО «Т 2-Мобайл» (г. Саранск) Синева с предложением передачи ей фотографий с паспортными данными, номерами телефонов, которые она предоставляла в WhatsApp и Telegram. За один номер телефона она обещала платить по 200 рублей.

По некоторым данным, Синева перепродавала персональные данные в интернете по 500 рублей.

В период с февраля по апрель 2017 года Панишев через компьютерную программу Invoice копировал на свой телефон персональные данные абонентов, включающие фамилии, имена, отчества, реквизиты документов, удостоверяющих личность, параметры оказания услуг — сведения о денежных средствах на лицевом счете, и через Telegram передавал их на мобильный телефон Синевой.

Сентябрь

Бывший замначальника отдела полиции №1 «Северное» ОМВД России по Нахимовскому району в Севастополе получил три года колонии за продажу данных о смерти людей сотрудникам ритуальной фирмы. Александр Барановский признан виновным в получении взяток от владельца ритуальной фирмы. Он в течение нескольких лет он передавал информацию о фактах смерти граждан и данные их родственников.

Октябрь

ФСБ задержала российского пограничника, который, вероятно, продал информацию о заграничных поездках Александра Петрова и Руслана Боширова, обвиненных в отравлении полковника ГРУ Сергея Скрипаля. Пограничник работал в Северо-Западном федеральном округе.

Вместе с ним был задержан сотрудник одного из подразделений Федеральной налоговой службы (ФНС). Задержания проходили в рамках спецоперации по предотвращению утечек из закрытых баз данных.

Кстати говоря, эта спецоперация довольно сильно подкосила черный рынок «госпробива» на какое-то время.

Ноябрь

В Калининграде задержали 25-летнего менеджера салона сотовой связи за продажу персональных данных клиента. К менеджеру обратился неизвестный мужчина, который попросил за вознаграждение предоставить данные на определенного абонента. Дело возбуждено по части 3 статьи 272 УК РФ (неправомерный доступ к компьютерной информации). Максимальное наказание — лишение свободы на срок до пяти лет.

Суд Томска приговорил к трем годам условно бывшего участкового полиции, который за финансовое вознаграждение сообщал сотруднику ритуального бюро персональные данные умерших.

“Установлено, что в период с 27 декабря 2017 года по 3 апреля 2018 года подсудимый, являясь участковым ОМВД России по Томскому району, получил взятку в виде денег на общую сумму 21 тысяча рублей за незаконное предоставление конфиденциальных сведений умерших лицу, действующему в интересах коммерческой организации, предоставляющей ритуальные услуги. Эти данные в дальнейшем использовались для обеспечения заключения с родственниками умерших граждан договоров на оказание ритуальных услуг”.

Декабрь

Следственное управление Следственного комитета по Новосибирской области возбудило уголовное дело о незаконной передаче сведений, составляющих коммерческую тайну, в отношении сотрудницы «Русской телефонной компании».

20 ноября прошлого года подозреваемая зашла в систему под своим рабочим логином и паролем и скопировала информацию, содержащую сведения о дате и времени соединений, номерах исходящих и входящих соединений абонента сотовой связи МТС, после чего передала эти данные третьим лицам. В отношении подозреваемой возбуждено уголовное дело по ч.2 ст.

183 УК РФ (незаконная передача третьим лицам сведений, составляющих коммерческую тайну). Сотруднице грозит до трех лет лишения свободы.

Прокуратура Ленинского района Магнитогорска направила в суд уголовное дело в отношении бывшей начальницы городского управления пенсионного фонда, обвиняемой в получении взятки и злоупотреблении полномочиями.

В 2017 году женщина передала сотруднику коммерческого банка персональные данные горожан, которые незаконно использовались в служебной деятельности кредитного учреждения. За это начальница пенсионного фонда получила взятку в размере 61,4 тыс. руб.

Эти деньги были перечислены на банковский счет ее дочери под видом оказания материальной помощи от работодателя.

Домодедовский городской суд Московской области признал сотрудника полиции виновным в совершении коррупционных преступлений и приговорил к четырем годам шести месяцам лишения свободы. Кроме того, осужденный оштрафован на 600 тыс. руб.

Суд установил, что полицейский на протяжении нескольких месяцев неоднократно получал взятки в размере до 15 тыс. руб.

через посредника за предоставление бланков миграционных карт и персональных данных иностранцев из автоматизированной базы данных.

Январь 2019

В Муроме завершено расследование уголовного дела в отношении бывшего работника салона сотовой связи, которому предъявлено обвинение по ч. 2 ст. 138 УК РФ (нарушение тайны телефонных переговоров), ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) и ч. 3 ст.

183 УК РФ (незаконное получение сведений, составляющих коммерческую тайну). В январе 2017 года, 23-летний бывший сотрудник салона сотовой связи неоднократно подделывал заявления от имени клиентов на получение сведений о соединениях, а при получении данных копировал их на сменный носитель.

Он направил от имени клиентов 43 сервисных запроса на получение детализаций абонентов — часть запросов была удовлетворена. Такая активность насторожила сотрудников безопасности телефонной компании — работника вычислили, после чего он был уволен, а материалы были переданы в следственные органы.

Уголовное дело с утвержденным обвинительным заключением направлено в суд. В соответствии с законом обвиняемому грозит до 5 лет лишения свободы.

В Перми бывшая сотрудница полиции обвиняется в злоупотреблении должностными полномочиями (ч. 1 ст. 285 УК РФ) и мелком взяточничестве (ч. 1 ст. 291.2 УК РФ). В 2017 году она имела доступ к сведениям банков, которые содержали персональные данные клиентов.

Без ведома самих граждан и соответствующих запросов компетентных органов она предоставляла эти данные директору коммерческой организации. За эти сведения бывшая сотрудница полиции получала вознаграждение — от 100 до 500 рублей.

После того, как случаи взяточничества вскрылись, женщину уволили из органов внутренних дел. Уголовное дело завершено, материалы дела переданы в суд.

Сотрудник мобильного оператора «Мегафон» в Санкт-Петербурге был обвинен в совершении преступления, ч. 2 ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений).

Суд установил, что подсудимый находился в должности инженера по разработке отчетности корпоративного хранилища данных и нес обязательство по сохранению конфиденциальной информации компании. Он, используя свое служебное положение, имея доступ к данным биллинговых систем, получил доступ к конфиденциальной информации потерпевшего и передал эту информацию неустановленным лицам.

С учетом позиции государственного обвинения, отсутствии возражений со стороны потерпевшего, ходатайство следователя удовлетворено, подсудимому назначен штраф в размере 100 тыс. рублей.

Февраль

В Новосибирске суд вынес приговор двум бывшим сотрудникам МТС, которые украли базу данных абонентов Новосибирска, Барнаула, Новокузнецка и Бердска. На момент совершения кражи, один из злоумышленников уже уволился из МТС, а второй продолжал работать в должности ведущего супервайзера. Кража была совершена 18 июля 2018 года.

Двое злоумышленников свободно зашли в офис и проникли в кабинет с компьютером, который имел доступ в корпоративную сеть. Один из них попросил логин и пароль у начальства. Скачанную базу данных попытались отправить себе на личную почту в виде файла-архива, но из-за большого размера это не удалось сделать.

Тогда архив разделили на несколько частей и вновь отправили на почту. Всего в украденной базе были данные 506,185 абонентов, содержащие: фамилии, имена, отчества, номера телефонов и адреса.

Во время предварительного следствия злоумышленники признались, что пытались продать данные каждого абонента по одному рублю за запись, заработав таким образом более 500 тысяч рублей.

26 февраля 2019 года суд признал Никиту Черницова и Виталия Иванова виновными по статье 183 УК РФ «Сбор сведений, составляющих коммерческую тайну, причинивший крупный ущерб или совершенный из корыстной заинтересованности». Черницова приговорили к 1 году 6 месяцам условно с аналогичным испытательным сроком, а Иванову дали на три месяца меньше.

В Томске вынесен приговор бывшему участковому уполномоченному полиции, получившему взятку за предоставление в интересах ритуальной фирмы сведений об умерших гражданах.

В суде выяснили, что со 2 января по 18 июня 2018 года подсудимый, в то время работавший в должности участкового, получил взятку в 42 тысячи рублей за незаконное предоставление конфиденциальных сведений о персональных данных умерших граждан лицу, действующему в интересах коммерческой организации, оказывающей ритуальные услуги. Эти данные в дальнейшем предназначались для обеспечения заключения с родственниками умерших граждан договоров на оказание ритуальных услуг Суд приговорил подсудимого к трем с половиной годам лишения свободы условно с испытательным сроком три года. Также его лишили права в течение двух лет занимать должности в системе правоохранительных органов РФ.

Суд в Новосибирске признал виновным руководителя ритуального агентства в даче взяток. 41-летнего мужчину приговорили к семи годам лишения свободы условно с испытательным сроком три года. Предприниматель давал взятки сотрудникам полиции, чтобы получить информацию о персональных данных умерших в Новосибирске, а именно их фамилию, имя, отчество, дату рождения и смерти, а также местонахождение.

Март

В Воронежской области суд рассмотрит дело 38-летней начальницы отдела ПАО СК «Росгострах», которая незаконно копировала базу данных клиентов в июле 2018 года. По версии следствия, женщина, имея доступ к базе клиентов, скопировала себе их персональные данные, контакты и информацию о стоимости страховых услуг.

Для отправки данных самой себе она использовала корпоративную электронную почту. Уголовное дело возбуждено по ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации). Максимальная санкция – лишение свободы на 4 года.

Брокеры данных: кто, где и как продает информацию о нас

Содержание статьи:

Кто такие брокеры данных

Брокеры данных (информационные брокеры) — это компании, которые занимаются сбором и зарабатывают на продаже персональных данных.

СМИ часто пишут, что эта индустрия возникла с расцветом интернета и цифровых сервисов, но это не совсем верно. Так, одна из старейших компании, которую можно отнести к числу data brokers, — это основанное в 1899 году американское бюро кредитной истории Equifax.

Сейчас Equifax располагает сведениями о 800 млн человек, предоставляет кредитные рейтинги и демографические данные для бизнеса, а также предлагает услуги кредитного мониторинга и предотвращения мошенничества самим потребителям. Выручка компании за 2019 год составила $3,5 млрд.  

Александр Анушкевич, совладелец компании SharesPro

На сегодня в мире существуют более 4 тысяч компаний, оперирующих в качестве информационных брокеров.

В США, где закон о конфиденциальности данных не является очень уж строгим, существуют организации, которые могут иметь тысячи различных атрибутов информации о человеке. В ЕС брокеры данных оперируют на грани закона и могут использовать неосмотрительность интернет-пользователей, которые практически никогда не читают то, на что соглашаются. 

Заявления о том, что в таких компаниях больше информации о гражданах, чем в государственных органах, недалеки от истины.

Информация может включать в себя данные переписей и смены адресов, записи о личных транспортных средствах и вождении, данные из соцсетей, сообщения из СМИ и судебных дел, регистрационные списки голосующих, истории офлайн- и онлайн-покупок, данные о транзакциях по банковским картам, данные из органов здравоохранения, а также истории просмотра интернет-сайтов. 

Большинство людей даже не подозревают, что такие компании существуют, но брокерская деятельность в сфере данных стала прибыльной отраслью, которая приносит ей постоянно увеличивающийся доход, насчитывающий уже более $200 млрд в год.

Откуда брокеры берут информацию

Брокеры могут собирать данные самостоятельно и покупать у других организаций — коммерческих компаний (от банков, хранящих данные пользователей кредитных карт, до сайтов знакомств) и госструктур. Например, можно получить данные переписи населения или регистрации транспортных средств. Также есть множество открытых данных в интернете, которые затем можно объединить с данными из офлайна. 

• Александр Старостин, CEO и сооснователь компании First Data
• Покупка персональных данных на условном Митинском рынке давно ушла в прошлое — сегодня личные данные, которые появляются в продаже, можно грубо разделить на две большие категории.

Первая — всевозможные утечки и взломы как результат слабой защиты сайтов даже у очень крупных магазинов и сервисных компаний. Вторая — данные, которые пользователи сами оставляют в интернете в открытом виде. Речь идет о сайтах по поиску работы, сайтах с объявлениями о покупке/продаже товаров, а также о социальных сетях. 

Александр Анушкевич, совладелец компании SharesPro 

За последние десять лет индустрия брокеров данных активно развивалась, причем делала это в состоянии практически полного виртуального регуляторного вакуума. В частности, рост числа подключенных к интернету устройств способствовал расширению направления междуустройсройственного отслеживания. 

Технологические компании и рекламодатели используют трекеры, часто в форме уникальных идентификаторов, файлов cookie или даже ультразвуковых сигналов, для создания профиля пользователей на нескольких устройствах, таких как смартфоны, обычные и «умные» телевизоры и персональные компьютеры, а не просто на одном.

Сколько стоят данные

В 2013 году газета Financial Times запустила калькулятор, благодаря которому можно рассчитать свою цифровую стоимость в современном коммерческом мире. На тот момент, по информация издания, базовые сведения о человеке, такие как возраст, пол и местоположение, стоили всего лишь $0.0005, а данные о наличии определенных заболеваний — $0.26.   

Александр Анушкевич, совладелец компании SharesPro 

С одной стороны, потребительские данные стоят больших денег. Стоимость среднего адреса электронной почты для компаний с течением временем доходит до $89 (а адреса путешественников — до $251 за штуку), поэтому неудивительно, что они готовы платить, чтобы дешевле получить такую информацию. 

С другой, получение данных может быть удивительно легким.

В октябре 2018 года испанская журналистка Джоанна Молл смогла купить онлайн-профили знакомств 1 млн человек за 136 евро у брокера данных USDate.

Данные из профилей ничего не подозревающих клиентов, полученные из онлайн-приложения для знакомств Plenty Of Fish, содержали 5 млн фотографий, а также даты рождения, почтовые индексы, пол и даже такую интимную информацию, ​​как сексуальная ориентация и религиозные взгляды.

Разные компании работают по-разному, но обычно они продают информацию в виде списков контактной информации по людям, которые делятся на конкретные категории. В большинстве случаев эти списки сортируются по интересам и характеристикам, таким как «любители фитнеса» или «молодые родители».

1. Однако в некоторых случаях списки более сомнительны — например, одна из компании предлагала данные тысячи человек с такими заболеваниями, как анорексия, токсикомания и депрессия, всего за $79. 
2. Алексей Поляков, сооснователь и CEO Locomizer
4. Для работы нашей платформы предсказательной аналитики и создания поведенческих моделей мы лицензируем «сырые» данные (широта, долгота, время и уникальный анонимный идентификатор) у брокеров, которые собирают их через различные мобильные приложения. 

Чаще всего с брокером заключается договор минимум на год и каждый месяц платится фиксированная сумма, которая зависит от количества пользователей в образце. Другой (очень нераспространенный) вариант — revenue share, когда данные поставляются бесплатно, но с любого заработка, где они использовались, мы платим процент с продаж.

В нашем случае цены сильно варьируются, но примерно они составляют районе $5–10 за локационные данные тысячи пользователей в месяц.

При этом, как правило, у всех брокеров есть лимиты на подписку — меньше, чем за $5 тыс. в месяц, мы не встречали. То есть даже если вас интересуют данные только в одной маленькой стране, где число пользователей с собранными данными может быть всего 10 тысяч, это обойдется не в $50–100 в месяц, а в гораздо большую сумму. 

Где можно купить данные

Александр Анушкевич, совладелец компании SharesPro 

Законна ли продажа программного обеспечения без НДС?

Продажа программного обеспечения без НДС на внутреннем рынке Российской Федерации возможна на основании льготы, указанной в подп. 26 п. 2 ст. 149 НК РФ.

Однако бывают и случаи, когда применение данной льготы незаконно, а значит, покупатель программного обеспечения обязан оплатить предъявленную продавцом сумму НДС.

Рассмотрим порядок налогообложения налогом на добавленную стоимость реализацию программного обеспечения.

Гражданским кодексом РФ компьютерные программы обозначены как результат интеллектуальной деятельности и отнесены к объектам охраняемой законом интеллектуальной собственности, на которые признаются интеллектуальные права, включающие исключительное или имущественное право (ст. 1225 и 1226 ГК РФ). Также программы для компьютеров отнесены к объектам авторских прав, охраняемым как литературные произведения (п. 1 ст. 1259, ст. 1261 и 1262 ГК РФ).

Автор или соавторы программного обеспечения, внесшие личный творческий вклад в создание объекта интеллектуальной деятельности, выступают его первоначальными правообладателями (ст. 1228 ГК РФ) и могут распорядиться имущественным правом на данный объект одним из не противоречащих законодательству способов (п. 1 ст. 1233 ГК РФ):

1. Правообладатель может передать принадлежащее ему исключительное право на результат интеллектуального труда в полном объеме другому лицу — приобретателю по договору об отчуждении исключительного права (п. 1 ст. 1234 ГК РФ). Такой документ заключают в письменной форме и регистрируют в патентном органе (в предусмотренном законом случае). Переход исключительного права происходит в полном объеме в момент регистрации договора. Важными условиями договора об отчуждении являются передача исключительного права в полном объеме, согласованный размер и порядок оплаты программного обеспечения. Иначе договор может быть признан незаключенным.
2. Право использования программного обеспечения в пределах, определенных документом, может быть предоставлено обладателем исключительного права (лицензиаром) другому лицу (лицензиату) по лицензионному договору (п. 1 ст. 1235 ГК РФ).

При этом лицензия может быть как простой (неисключительной), сохраняющей право выдачи лицензий другим лицам за лицензиаром, так и исключительной, при которой данное право не сохраняется. Возможен и случай, предусмотренный п. 1 ст.

 1238 ГК РФ, при котором лицензиар может дать письменное согласие лицензиату на право использования интеллектуального продукта по договору другим лицом на основании заключения сублицензионного договора.

При этом правила о лицензионном договоре, отмеченные в Гражданском кодексе, применимы и к сублицензионному договору.

Договор должен быть заключен в письменном виде при полном согласовании сторонами существенных условий:

• предмета договора и права его использования (с указанием даты и номера патента, свидетельства, другого документа, удостоверяющего исключительное право на объект);
• размера оплаты в случае заключения возмездного договора;
• способов использования объекта интеллектуальной собственности.

Моментом заключения лицензионного договора является дата его госрегистрации (письмо Минфина от 04.05.2012 № 03-03-06/1/226).

Государство поддерживает развитие IT отрасли в России и для этого вводит ряд налоговых мер, так называемый налоговый маневр.

В чем заключаются такие меры и какие преференции предусмотрены для IT компаний, подробно рассказали эксперты КонсультантПлюс. Получите бесплатный демо-доступ к КонсультантПлюс и переходите в Готовое решение, чтобы узнать все подробности мер поддержки отрасли. 

Продажа программного обеспечения без НДС

Обязанность по исчислению и уплате того или иного налога возникает у налогоплательщика при наличии объекта налогообложения (п. 1 ст. 38 НК РФ). На территории Российской Федерации реализация товаров, работ, услуг и имущественных прав признана объектом обложения НДС соответственно подп. 1 п. 1 ст. 146 НК РФ.

Не подлежащие обложению (освобожденные от налогообложения) НДС операции указаны в ст. 149 НК РФ. Налоговым законодательством, согласно подп. 26 п. 2 ст.

 149 НК РФ, разрешено льготное налогообложение передачи исключительных прав на программное обеспечение, выполненной согласно договору на отчуждение исключительных прав или лицензионному договору.

 Для освобождения от НДС необходимо, чтобы программа для ЭВМ или база данных, на которую вы передаете исключительные права или права на ее использование, была российской и значилась в специальном реестре, утв. Постановлением Правительства от 16.11.2016 №1236.

ВАЖНО! Применить освобождение можно только в том случае, если передаваемые права не связаны с интернет-рекламой и торговлей (абз. 2 пп. 26 п. 2 ст. 149 НК РФ).

Продажа персональных данных

Личная информация граждан, их персональные данные, все чаще продаются на черном и сером рынках.

Не всегда они нужны именно злоумышленникам, чаще приобретением баз имен и телефонов граждан интересуются продавцы различного рода товаров и услуг с целью последующего предложения им собственной продукции. Насколько законна такая практика, и есть ли нормативно-правовые средства ее остановить?

Зарубежная практика продажи персональных данных

Под персональными данными понимается любая личная информация о человеке, которая могла бы помочь его идентификации или нахождению его имущества или места жительства.

Российский рынок продажи персональных данных в теневом секторе Интернет, так называемом dark net’e (вход на его сайты доступен только при помощи Tor или аналогичных программных средств), не очень хорошо исследован.

Гораздо более объемная статистика собрана на рынке США, где информация консолидируется при помощи специализированных агентств. Но американские данные помогают составить картину происходящего на российском рынке с учетом существенно меньших масштабов происходящего.

Если поинтересоваться стоимостью информации, то компания Metric Labs говорит о том, что большой пакет персональных данных, включающий сведения о кредитной карте, может стоить около 1200 долларов США . Номер только полиса медицинского страхования стоит не более 1 доллара.

В полный пакет, помимо сведений о карте, может входить информация, полученная при помощи анкет, заполняемых пользователями интернет-сервисов, социальных сетей, интернет-магазинов.

Учетная запись пользователя Uber будет стоить покупателю всего 10 долларов, при этом злоумышленники получат информацию о маршрутах поездок, а новый пользователь записи сможет с ее помощью оплачивать собственные поездки, даже за рубежом. Достаточно дорого будет стоить информация о номере и пароле электронных кошельков, например PayPal.

По последним данным, их стоимость на черном рынке доходит до 247 долларов США. Взломанная запись на интернет-аукционе eBay стоит существенно дешевле, но она позволяет приобретать дорогие товары за счет ее владельца.

На наиболее популярных ресурсах дарк-веба, Dream, Point и Wall Street Market, существуют десятки тысяч предложений по продаже персональных данных различных категорий.

У одного американского гражданина могут существовать десятки аккаунтов в различных сервисах, злоумышленники могут объединять данные всех взломанных ресурсов и формировать пакетные предложения, при этом практически вся информация по среднему гражданину стоит около 1000 долларов США.

Такие предложения столь же популярны у покупателей, как и объявления о продаже наркотиков или незарегистрированного оружия. Информация может стать помощником в шантаже, хищении средств с интернет-кошельков и с кредитных карт, иных покушениях на имущество или здоровье гражданина.

Самыми дешевыми становятся адреса и пароли от электронной почты, мало кто готов искать полезную информацию среди гигабайтов спама. Отдельный интерес представляют пакеты Fullz, где указываются идентифицирующие данные, девичья фамилия матери, номер карты социального страхования и финансовая информация.

Интересно, что еще при президенте Обаме в США был введен закон, запрещающий интернет-провайдерам продавать данные своих клиентов третьим лицам без получения согласия на это самих клиентов, но президент Трамп подписал поправку, отменяющую этот закон.

Теперь данные об истории посещения сайтов и геолокации пользователей могут быть проданы третьим лицам.

Деятельность Роскомнадзора об обязании Фейсбука и других социальных сетей перевести хранилища персональных данных российских граждан в Российскую Федерацию может частично снизить для соотечественников риск узнать, что сведения об их аккаунте стали достоянием неизвестных лиц с неизвестными целями.

Российская практика продажи и защиты персональных данных

Как сообщает газета «Коммерсантъ», в 2018 году число несанкционированных проникновений в базы данных компаний с целью хищения и последующей перепродажи персональных данных граждан выросло на 32 % по сравнению с предыдущим годом.

Многие хотят получить адреса и телефоны клиентов компаний-конкурентов, но зачастую сведения похищаются не для конкретного заказчика, а для их перепродажи любому заинтересованному лицу. Иногда это происходит и для личного пиара похитителей. Так, несколько лет назад прогремела история с похищением личной переписки вице-премьера Аркадия Дворковича хакерской группировкой Шалтай-Болтай.

Организаторами в открытый доступ было выложено несколько малозначащих писем, при этом основной массив предлагалось приобрести на аукционе. Деятельность этой группировки была пресечена достаточно быстро .

Простые граждане не всегда могут рассчитывать на такую оперативность органов, особенно когда преступление против их прав остается скрытым, пропажа двух-трех рублей с одной банковской карты останется незамеченной их держателями, а если это происходит одновременно с миллиона карт, у кого-то появляются средства на планирование следующих криминальных деяний.

В России еще несколько лет назад достаточно легко можно было купить:

• базы данных ГИБДД;
• базы данных Росреестра;
• базы данных налоговых органов.

Все они содержат те персональные данные, которые при попадании в руки злоумышленников могут причинить ущерб своим владельцам.

С появлением строгих требований об установке защищенного программного обеспечения для всех государственных органов и операторов персональных данных таких предложений стало меньше.

Но не снизился поток кибератак, нацеленных на хищение сведений любого рода, касающихся конкретных граждан, с целью их перепродажи. Они осуществляются следующими путями:

• вредоносное ПО;
• использование подбора паролей от аккаунтов;
• социальная инженерия (использование человеческих слабостей, например, отправка фишингового письма по электронной почте с пониманием, что средний человек ответит на него и предоставит доступ к своим данным.

С целью защиты персональных данных российских граждан от продажи и покупки депутаты Госдумы, среди которых небезызвестный Андрей Луговой, прочно связанный в памяти россиян с убийством Литвиненко, внесли законопроект, согласно которому все интернет-сервисы, осуществляющие обработку персональных данных граждан, обязаны делать это на серверах, расположенных в России.

Законопроект быстро стал законом, который вступил в действие 01.09.2016 г. Это помогло частично обезопасить информацию от несанкционированного хищения ее держателями хостингов с целью дальнейшей перепродажи. Вместе с внедрением норм закона произошло создание автоматизированной системы «Реестр нарушителей прав субъектов персональных данных».

В нее теперь включаются все операторы, которых можно заподозрить в продаже или покупке данных пользователей. Запуск этой системы прошел успешно, и теперь каждый гражданин, прежде чем доверить свои данные какому-либо участнику рынка, может проверить, не успел ли тот стать участником этого криминального рейтинга.

Попасть в реестр можно на основании заявления пострадавшего субъекта, направленного им в Роскомнадзор.

Ответственность за продажу персональных данных по российскому законодательству

Борьба с хакерами, похищающими персональные данные граждан, ведется в рамках Уголовного кодекса, в котором предусмотрена ст. 272 «Неправомерный доступ к компьютерной информации». Практика ее применения в России пока не очень широка.

Тем не менее приговоры за возмездное оказание услуги в виде предоставления неправомерного доступа к логину и паролю потерпевшего, совершенное путем применения специальных знаний, не столь редки. Случаи единичного хищения и продажи данных наказываются на практике 1-2 годами ограничения свободы.

Случаи задержания серьезных хакеров и привлечения их к суду прессой практически не раскрываются, прецедент с сотрудником СК «Открытие», продавшим данные 380 тысяч клиентов за 50 тысяч рублей, стал одним из немногих, известных широкой публике.

Защита персональных данных гражданина, не похищенных хакерами, а переданных оператору для обработки, также предусмотрена рядом нормативно-правовых актов. Среди них ст. 24 Конституции РФ, которая предусматривает, что распространение информации о частной жизни человека недопустимо.

Это понятие не совсем совпадает с предложенным в законодательстве о персональных данных, которое также запрещает любую обработку этой информации без согласия субъекта и не в соответствии с изначально заявленными Роскомнадзору целями ее сбора.

Но и при наличии согласия продажа персональных данных, передача их третьим лицам оператором персональных данных за деньги должна преследоваться как пользование чужим имуществом с целью получения незаконного обогащения.

На помощь гражданину должны прийти ст. 137 УК РФ, говорящая о запрете нарушения неприкосновенности частной жизни, а также деятельность Роскомнадзора, который обязан привлекать к административной ответственности лиц, незаконно распространяющих такую информацию.

В этом случае должны работать нормы статьи 13.11 КоАП РФ, предусматривающие ответственность за использование персональных данных в целях, противоречащих тем, с которыми они собирались.

Максимальная ответственность по этой статье составляет всего 75 тысяч рублей, что иногда несоизмеримо с получаемыми выгодами.

Тем не менее активность Роскомнадзора не распространяется на обычных работодателей, не входящих в реестр операторов персональных данных, и на многие другие компании.

В ряде случаев даже после многочисленных проверок Роскомнадзора кандидаты, выложившие свои данные на сайт Headhunter, внезапно узнают, что их телефонные номера оказались у агентов банка Ренессанс Капитал.

Эта практика не столь очевидна, как взлом информационных сетей и хищение персональных данных с использованием вредоносных программ, ее сложнее преследовать по закону, но моральный ущерб гражданам она приносит серьезный.

Развитие нормативно-правовой базы должно остановить систематическое хищение и продажу персональных данных граждан, что поможет снизить уровень преступности и напряженности в обществе.