Существует ли в Казахстане «черный рынок» персональных данных

В 2025 году в интернете была опубликована база, содержащая около 16 миллионов записей с персональными данными казахстанцев.

Годом ранее, в 2024 году, в открытом доступе оказались данные более чем 2 миллионов клиентов микрокредитной организации Zaimer.kz. В результате взлома системы Sirena-Travel в сеть утекли данные сотен тысяч пассажиров.

В памяти остается и случай с распространением медицинских данных студентов, который вызвал широкий общественный резонанс.

Все эти случаи скорее напоминают не цепочку отдельных инцидентов, а системную проблему. В этой связи возникает вопрос: «Возможно, в стране существует черный рынок персональных данных?».

98 преступлений за один год

Правовая статистика содержит данные об общем количестве преступлений и правонарушений, связанных с персональными данными. Однако на портале судебной системы отсутствует возможность ознакомиться с документами по конкретным делам в этой сфере. В результате становится затруднительным отслеживание того, чем завершаются резонансные кейсы.

В 2025 году по статье 147 Уголовного кодекса «Нарушение неприкосновенности частной жизни и законодательства РК о персональных данных и их защите» зарегистрировано 98 преступлений.

Из них 25 дел направлены в суд, обвинения предъявлены 25 лицам. Среди потерпевших — 68 женщин и 10 несовершеннолетних. Общий материальный ущерб составил около 738 тысяч тенге.

На уровне административных правонарушений зарегистрировано 38 дел, к ответственности привлечены 66 человек, общий объем штрафов составил около 27,9 миллиона тенге.

Судя по приведенным данным, сделать однозначный вывод о наличии или отсутствии «черного рынка» персональных данных затруднительно. Даже в совокупности эти показатели не достигают 0,1% от общего числа всех преступлений и административных правонарушений, зарегистрированных в стране за год.

Вместе с тем характер отдельных случаев указывает на признаки «черного рынка». В 2025 году Министерство внутренних дел и Комитет национальной безопасности сообщили о задержании крупной преступной группы, занимавшейся продажей персональных данных через Telegram.

В ходе операции были задержаны более 140 человек. Поскольку дело до настоящего времени не рассмотрено в суде, раскрытие конкретных деталей невозможно. Однако уже по внешним признакам можно сделать вывод, что к продаже данных были причастны десятки представителей различных сфер. Это, в свою очередь, во многом соответствует признакам «черного рынка».

В ответ на наш запрос специалисты Министерства искусственного интеллекта и цифрового развития РК не дали однозначного ответа на вопрос о том, существует ли в Казахстане черный рынок персональных данных. Они лишь сообщили, что в случае утечки данных направляют запросы в Министерство культуры и информации для блокировки интернет-ресурсов.

При этом конкретная информация о том, из каких сфер чаще всего происходят утечки данных, на каких платформах осуществляется их продажа и каковы реальные масштабы черного рынка, предоставлена не была.

Следует отметить, что Министерство искусственного интеллекта и цифрового развития РК является одним из ключевых государственных органов, формирующих политику в сфере защиты персональных данных и реагирующих на факты нарушений. Однако представители ведомства не представили данных о масштабах и каналах функционирования черного рынка. Недостаток открытой статистики в данном направлении затрудняет для общества объективную оценку реального уровня угрозы.

«Существует комплексный, теневой рынок»

Дополнительную информацию по данной теме мы получили в центре, работающем в сфере цифрового развития и информатизации.

Данная частная компания в рамках контракта с государством реализует проект Nomad Guard, осуществляющий контроль и мониторинг оборота персональных данных в Казахстане.

По словам руководителя проекта Руслана Тургулдинова, в Казахстане существует комплексный, теневой рынок персональных данных. Однако его нельзя рассматривать как единую систему, управляемую из одного центра. Иначе говоря, не существует одного «головного офиса» или сервера, через который осуществляется продажа данных — распространение происходит через самостоятельных продавцов и различные каналы.

На теневом рынке данные не ограничиваются разовой продажей, а многократно перепродаются через различные каналы. Как правило, мошенники используют эти сведения для воздействия на выбранных жертв: беспокоят их, взламывают аккаунты и предпринимают попытки обмана.

Кроме того, Руслан Тургулдинов отмечает, что на теневом рынке наибольшим спросом пользуются сведения, характеризующие личность человека: фамилия, имя, отчество, номер телефона, адрес, место рождения, дата рождения. В то же время банковские реквизиты или полные данные счетов встречаются на таком рынке значительно реже. Напротив, широко распространен способ получения банковских реквизитов непосредственно от самой жертвы — через вхождение в доверие.

— В открытом или полуоткрытом сегменте часто встречаются каналы, чаты в мессенджерах и боты, предоставляющие персональные данные отдельных граждан без согласия их владельцев, а также предлагающие массивы персональных данных. Кроме того, существуют специализированные закрытые форумы и маркетплейсы, доступ к которым возможен только по приглашению участников форума. Также широко распространена услуга подписки на поиск данных в базах. Пользователь, оформивший такую подписку, при необходимости может легко получить нужную информацию из базы данных. Точное количество таких каналов назвать невозможно. Это обусловлено тем, что они быстро закрываются, затем вновь открываются под другими названиями и часто меняют свое местоположение. В целом по миру одновременно могут функционировать десятки подобных сервисов и платформ. При этом часть из них недоступна для обычных пользователей и наблюдателей (в IТ-среде это называют «даркнет» — прим. ред.), — говорит специалист центра.

Руслан Тургулдинов отмечает, что основными потребителями незаконно распространяемых персональных данных являются мошенники и связанные с ними различные call-центры.

— Спрос также формируют те, кто занимается «несанкционированной деятельностью» (действия, осуществляемые в обход требований закона — прим. ред.) в сфере теневого маркетинга. Они используют полученные «неразрешенным» способом данные для продажи товаров или услуг, формирования клиентских баз, а также для распространения агрессивных сообщений, — говорит он.

Вред «суперадминистраторов»

По словам специалиста, регулярные масштабные утечки персональных данных обусловлены сразу тремя факторами — техническими уязвимостями, человеческим фактором и наличием теневого рынка.

— При этом наиболее уязвимым звеном остаются человеческий фактор и недостатки в управлении системой доступа к данным. Во многих случаях данные попадают в оборот не в результате сложных методов взлома, а вследствие незаконного использования уже предоставленных прав доступа. Поэтому особое внимание необходимо уделять защите аккаунтов, отвечающих за управление персональными данными. В данном случае я говорю об аккаунтах «суперадминистраторов», бухгалтеров, специалистов и руководителей, обладающих широкими правами доступа. Основной целью сложных хакерских атак становятся именно эти пользователи. Для защиты таких аккаунтов организациям необходимо внедрять дополнительные механизмы подтверждения и идентификации. Одним из наиболее эффективных инструментов являются ключи безопасности. При использовании такого ключа доступ к системе возможен только с единственного устройства, зарегистрированного на конкретного пользователя с соответствующими правами доступа, — отмечает Руслан Тургулдинов.

Мнение профильного специалиста, а также приведенные конкретные кейсы указывают на наличие в Казахстане теневого рынка персональных данных. Вместе с тем официальная статистика, отражающая его масштабы, в настоящее время не ведется.