Интернет-магазины ответят в суде за личные данные
Союз потребителей России (СПР) 1 августа подал иск в Гагаринский суд Москвы против интернет-магазинов, которые допустили утечку личных данных покупателей в интернет.
На прошлой неделе заказы ни о чем не подозревающих пользователей, в том числе на товары из секс-шопов, стали всплывать в поисковых системах — это произошло через несколько дней после начала целой волны скандалов с утечками, когда в поисковую выдачу попали по меньшей мере 8 тыс. SMS-пользователей «МегаФона».
Рассмотрение иска в суде назначено на 11 августа.
Из интернет-магазинов ответчиками пока стали 10 торговых организаций — это те, чьи юридические адреса удалось найти СПР. Всего же таких магазинов, откуда утекли личные данные, около 80. Данные остальных Союз потребителей запросил у Роскомнадзора.
Среди организаций, названных представителями СПР, есть магазины по продаже мопедов, автомобильных товаров, оборудования для спутниковой связи, цветов, игровых приставок, средств для волос и железнодорожных билетов. Данная товарная категория привлекла наиболее пристальное внимание экспертов СПР.
— Утечка заказанных авиабилетов, где указаны не только даты вылета, но также фамилии, по которым можно найти адреса, — это прямая наводка на грабеж, — сказал журналистам председатель Союза потребителей России Петр Шелищ.
По словам Шелища, поданный сегодня иск не материальный, а о признании противоправными действий ответчиков. При этом отстаиваются права «неограниченного круга лиц» — точное количество пострадавших установить не удалось.
Если суды, куда обратился СПР, признают иски законными, после этого сами потребители смогут обращаться в свои районные суды — там им нужно будет доказать, что они действительно имели товарно-денежные отношения с такими-то юридическими лицами, и требовать компенсацию за разглашение персональных данных. Речь идет в основном о моральном ущербе, но если в результате утечки сорвалась какая-то сделка — человек вправе потребовать компенсацию за материальный ущерб.
Правда, российские суды оценивают моральный ущерб невысоко: в Москве выплаты, как правило, не превышают 5 тыс. рублей, в регионах — 3 тыс.
Адвокат Александр Железников, старший партнер коллегии адвокатов Lex Collegium, считает, что это дело стопроцентно выигрышное, потому что халатное отношение к потребителю налицо:
— Во многом все будет зависеть от истца и наличия хороших адвокатов, которые смогут должным образом доказать непереносимые моральные страдания, тогда вполне реально получить что-то серьезнее 5 тыс., но вряд ли это будут суммы более 200 тыс. рублей.
Железников пояснил, что сумма компенсации будет зависеть от сведений, которые стали доступны после публикации SMS или онлайн-заказа:
— Покупка в секс-шопе это одно, а рядовое SMS это другое. Судьи в таких случаях основываются на собственном правосознании.
Все ответчики сейчас ждут иска. Алексей Рыбьяков, руководитель проекта RailwayTicket.ru, сказал «Известиям», что судебного иска компания еще не получала, но к диалогу о возможных компенсациях готова. В интернет попали 117 билетов за май, июнь и июль.
— Мы признаем, что на нашем сайте не был настроен файл robots.txt, лимитирующий доступ к файлам, но нам не очень понятно, как поисковые системы могли найти эти бланки заказов, так как они показывались исключительно клиентам и ссылки на них нигде не публиковались, — отметил Рыбьяков. — Мы считали, что меры защиты достаточные.
Оказалось, что таких мер защиты уже давно недостаточно. В компании InfoWatch, которая занимается защитой от внутренних утечек, «Известиям» объяснили, что эти утечки объединяет одна общая техническая особенность — «приватность» веб-страницы обеспечивалась длинным неподбираемым адресом (URL) страницы и отсутствием гиперссылок на нее.
— В прошлые годы этот метод считался достаточно надежным и применялся широко. До сих пор в интернете есть тысячи сайтов с такой защитой, — говорит главный аналитик Infowatch Николай Федотов. — Однако новые технологии поисковых систем сделали этот метод устаревшим. Отсутствия ссылок уже недостаточно для того, чтоб приватная страница оставалась неизвестной и непроиндексированной».