Адвокат Федор Козлов — частый гость на страницах нашей газеты. Он регулярно делится с читателями злободневными юридическими темами, которые касаются каждого. Сегодня речь идёт о кибербезопасности, утечках данных и защите персональной информации. Адвокат объясняет, почему взломы происходят всё чаще, как действовать человеку, если он получил письмо о взломе, и почему cyber security insurance для бизнеса — это уже не роскошь, а жизненная необходимость.
О какой животрепещущей юридической проблеме мы поговорим сегодня?
Давайте поговорим о случаях нарушения кибербезопасности (cyber security). То есть, обо всём, что связано с кражей персональных данных, с нарушениями прав владельцев счетов, аккаунтов. Сейчас это очень актуальная тема. Она набирает обороты, потому что всё переходит с бумаги на электронные носители. Все данные клиентов хранятся в электронном виде. Банки, госпитали, адвокатские офисы, медицинские офисы и т. д. — у всех есть базы данных. И зачастую происходит ненадлежащее хранение и использование этих данных или даже утечки.
Приведёте пример?
Вот, например, сейчас идёт большой кейс против Home Depot. Они внедрили систему, когда на кассе самообслуживания человека фотографируют во время оплаты. Объясняется это борьбой с кражами. Но в Иллинойсе по закону нельзя так просто фотографировать людей: нужно обязательно получить согласие человека и объяснить, где и как будет храниться эта фотография. Они этого не сделали. И сейчас идёт большой федеральный суд.
Почему такие дела именно сейчас начали множиться?
Потому что вместе с развитием криптовалют, электронных кошельков и всего остального стало больше хакеров. Они проникают на серверы банков и различных организаций и крадут данные. Затем они могут либо сами использовать полученную информацию — например, снимать деньги с украденных номеров кредитных карт, — а могут перепродать её на чёрном рынке. Тот, кто купил, может перепродать ещё кому-то. Был один сайт, где продавали всё подряд: оружие, кредитные истории людей. Организатора приговорили к нескольким пожизненным срокам. Этот сайт разоблачили, но очень много других сайтов до сих пор работают.
Ещё один вариант мошенничества — когда у компании, которой причинён ущерб, требуют: «В течение трёх дней переведите деньги, иначе мы опубликуем информацию о том, что вас взломали». Закон обязывает: если организацию взломали, в течение трёх дней она должна уведомить клиентов. Но многие пытаются скрыть этот факт. А хакеры специально дают три дня на выплату. Если деньги переведены — они дают коды, и взлом прекращается. Но если не платят — данные могут быть опубликованы. Это серьёзное нарушение: скрывать сам факт взлома нельзя.
Что в таких случаях делают компании?
Сейчас многие компании, в том числе наш адвокатский офис, покупают отдельные страховки. Полис так и называется — cyber security insurance. Если происходит взлом, этим вопросом профессионально занимается страховая компания. Причины утечек бывают разные. Иногда это банальная небрежность: нет защиты, нет антивирусов, нет дополнительных слоёв безопасности. А иногда — умышленная передача информации или укрытие факта взлома. Опытный юрист сможет правильно разобрать ситуацию.
Такие дела идут в федеральных судах?
Да. Всё, что связано с интернетом, выходит за границы штатов, поэтому дела рассматриваются в федеральных судах. Обычно это class action — коллективные иски от лица группы пострадавших. Индивидуальные иски не принимаются. Достаточно одного заявления, дальше подаётся петиция, и компания обязана уведомить всех клиентов. Людям приходят письма: «Хотите участвовать в иске?» Нужно поставить галочку «Да». Тогда вы становитесь частью процесса. Пока таких дел немного, потому что культура только формируется. Но через 3–4 года их будет очень много. Закон всегда идёт за прогрессом. Недавно, например, по одному делу клиентам выплатили 17,5 миллиона долларов компенсации.
Давайте поговорим о том, что делать обычному человеку, если он получает письмо о взломе.
Есть два типа писем.
Первое: пишут, что ваша личная информация похищена. То есть, кто-то получил ваши данные — дату рождения, номер Social Security, пароли. Это ещё не значит, что вы уже пострадали. Но вы имеете право запросить полный отчёт — что именно утекло, когда и где.
Второе: пишут, что взломана база компании, но неизвестно, затронули ли ваши данные. В этом случае тоже стоит сразу написать письмо, чтобы зафиксировать факт. В будущем это поможет, если начнутся проблемы.
Если утечка данных произошла умышленно или имели место существенные нарушения правил безопасности хранения данных, компенсация может быть от $1000 до $5000.
То есть, получив письмо о взломе, стоит связаться с адвокатом?
Да, я советую в первую очередь переслать такое письмо адвокату. В нашем адвокатском офисе, например, вы бесплатно получите оценку того, стоит ли подавать иск и есть ли шанс получить какую-то компенсацию. Эти дела похожи на автомобильные аварии: адвокаты получают процент от выигранных денег. Клиент ничего не платит. Но, повторюсь, это будет коллективный иск.
Если же уже нанесён какой-то реальный ущерб в результате утечки данных, то дело может рассматриваться в индивидуальном порядке.
Какой совет вы можете дать человеку, владеющему компанией, которая собирает данные клиентов?
Главный совет: страховка обязательна. Вообще, я считаю: жить без страховок в Америке — преступление. Здоровье, дом, машина, бизнес — всё должно быть застраховано. Так что, если вы храните данные клиентов — обязательно приобретайте cyber security insurance. Ну и следите за законами в области кибербезопасности. Например, многие компании берут у сотрудников отпечатки пальцев. По закону о биометрии человек должен знать, где и как будут храниться его данные, и обязательно дать согласие. В Иллинойсе это особенно строго: без согласия нельзя хранить биометрические данные. Штрафы большие: до $5000 за каждое нарушение, если оно умышленное. Даже если это случайность — штраф $1000.
