Доксинг

Доксинг (англ. doxing) — неологизм, произошедший от искажения сокращения «docs» (от англ. documents — "документы") и означает «составление и публикацию досье на человека»^[11]. Фактически, доксинг — это разглашение сведений о человеке, которые ранее были скрыты или труднодоступны.

Термин dox происходит из сленга «dropping dox» — «сброс документов», что, по словам автора Mat Honan (Wired), было «старой тактикой мести из хакерской культуры 1990-х». Хакеры выводили оппонентов из анонимности, подвергая преследованию или угрозам уголовной ответственности^[11]. В связи с этим доксинг почти всегда несёт негативный оттенок, поскольку ассоциируется с местью через нарушение приватности^[12].

Практика публикации личных данных с целью самосуда существовала ещё до появления Интернета: имена публиковали в газетах и листовках. Например, после принятия Акта о гербовом сборе в 13 колониях радикальные группы (Сыны свободы) публиковали имена сборщиков налогов и тех, кто не поддерживал бойкоты английских товаров^[13].^[14]

Первое массовое проявление доксинга в Интернете произошло в конце 1990-х на форумах Usenet, где распространялись списки предполагаемых неонацистов^[15], а затем и других расистов^[16]. Также в 1990-х сайт Nuremberg Files публиковал домашние адреса медработников, делающих аборты, с призывами их преследовать^[15].

В 2012 году журналист Gawker Адриан Чен раскрыл личность пользователя Reddit Violentacrez (настоящее имя — Michael Brutsch), после чего пользователи Reddit обвинили Чена в доксинге и объявили «войну» изданию. С середины 2010-х термин получил широкую известность благодаря движению Gamergate, участники которого систематически публиковали персональные данные жертв, часто с намерением причинить вред. Исследовательница Caroline Sinders отмечала: «Для многих именно Gamergate стало первым массовым знакомством общества с феноменом доксинга»^[15].

С 2014 по 2020 годы в англоязычной медиа повестке обсуждался вопрос, относится ли раскрытие настоящего имени известного анонимного лица к преступному нарушению приватности^[17]. Например, Newsweek обвиняли в доксинге, когда журнал попытался идентифицировать анонимного разработчика Bitcoin. В 2016 году итальянского журналиста обвинили в харассменте, когда он раскрыл личность писательницы Елены Ферранте. В 2020 году The New York Times вызвала скандал, когда анонсировала публикацию имени автора блога Slate Star Codex; поклонники заявляли о доксинге и об опасности для жизни автора^[15]

В 2022 году журналистка BuzzFeed News Katie Notopoulos с помощью открытых бизнес-реестров установила настоящие имена анонимных основателей Bored Ape Yacht Club, один из которых заявил, что его «доксили против воли».^[15]

В апреле 2022 года репортёр The Washington Post Тейлор Лоренц раскрыла личность владелицы аккаунта Libs of TikTok Чайи Райчик, что вызвало обвинения в доксинге в её адрес.^[15]

Пропалестинских активистов обвиняли в доксинге со стороны произраильских некоммерческих организаций (Israel on Campus Coalition, Canary Mission) за публикацию досье об их деятельности.^[18].^[19] В 2023 году правоконсервативная группа Accuracy in Media разъезжала по университетам Йеля и Колумбии с грузовиками, на которых размещались имена и фотографии студентов, участвующих в антиизраильских акциях, с подписью "ведущие антисемиты"^[20].^[21] Аналогично, Canary Mission опубликовал данные студентов Гарварда, подписавших открытое письмо с осуждением израильской политики^[22].^[23]

Доксвар — разновидность криптовирусной атаки, предложенной Адамом Янгом и продолженной Моти Юнгом, при которой угроза доксинга сочетается с вредоносным ПО. Впервые описан в 2003 году на мероприятии West Point^[24].

В книге Malicious Cryptography эта атака описывается так:

Классическое вымогательство — это когда жертва теряет доступ к важной информации и вынуждена платить за восстановление. В доксваре жертва сохраняет доступ к данным, но сам вирус угрожает разоблачением информации^[25].

Доксвар противоположен вымогательскому ПО: не данные блокируются, а злоумышленник угрожает их публикацией, если жертва не заплатит^[26].

Доксинг зачастую становится первой стадией травли или онлайн-нападения: жертву могут осадить визитами, заказами услуг на дом, донесениями в полицию (например, "своттинг" — вызовы спецназа по ложным сообщениям). Такие действия наказуемы в большинстве стран^[27]. В ряде штатов США это административное (а при повторе — уголовное) преступление с крупными штрафами или лишением свободы^[28].

Иногда хакеры добывают «докс» исключительно ради шантажа или для взлома интернет-аккаунтов жертвы^[11].

Доксинг вошёл и в приложения для знакомств: по опросу 2021 года, 16 % пользователей сталкивались с подобным^[29]. В исследовании 2018 года 28 из 89 жертв или специалистов сообщили о частом использовании доксинга и публикации интимных фото как формы эмоционального насилия^[30].

Часто жертвам присылают доказательства взлома их приватности для запугивания и вымогательства. Поэтому доксинг стал стандартным приёмом интернет-травли и применяется, в частности, в рамках кампаний Gamergate и антивакцинаторского движения^[31].^{[32][33][34][35]}

Мотивация доксинга может быть разной: разоблачить опасное поведение (иногда для общественного блага), смутить, запугать или наказать человека, преследовать (киберсталкинг). Некоторые исследователи утверждают, что отдельные случаи оправданы, если их цель — защита общества^[36].

С развитием доксинга усилились тенденции к повышению кибербезопасности и интернет-приватности, появилось множество сервисов, направленных на защиту от доксинга. В частности, Калифорнийский университет Беркли публикует рекомендации для своих сотрудников^[37], а в Wired Эва Гальперин из Electronic Frontier Foundation советует регулярно проверять собственные данные, ограничивать доступ и использовать инструменты приватности^[38].

В 2024 году правительство Австралии анонсировало законопроект, криминализирующий доксинг после инцидента с утечкой данных из чата WhatsApp еврейской общины, вследствие чего более 600 человек получили угрозы и оскорбления^[39].^[40] Закон поддержан обеими партиями и лично премьер-министром Энтони Албанезе^[39].

В 2006 году в Австрии принят закон против сталкинга, а с 2016 года кибербуллинг — уголовное преступление^[41]. Специальной статьи о доксинге нет, но применяются общие нормы при онлайн-насилии^[42]. Как страна-член ЕС, Австрия подчиняется Общему регламенту о персональных данных (GDPR)^[43].

С 1 марта 2020 года в КНР действует "Положение об управлении интернет-контентом", прямо запрещающее добиваться «онлайн-насилия, доксинга, дипфейка, мошенничества, манипуляций с аккаунтами» и др^[44].

С 2021 года в Гонконге доксинг криминализирован как публикация частной информации для запугивания, угроз, оскорбления или психологического вреда. Максимальное наказание — до 5 лет тюрьмы и штраф в 1 млн гонконгских долларов (около 128 тыс. долл. США)^[45].

В 2021 году в Германии в уголовный кодекс введена специальная статья за "опасное распространение персональных данных" (нем. gefährdendes Verbreiten personenbezogener Daten — §126a StGB). Наказание — до двух (для открытых данных) либо трёх лет (для закрытых) тюрьмы либо штраф. Исключение делается для публикаций, имеющих общественное значение^[46].

В 2021 году в Нидерландах на фоне волны доксинга общественных деятелей принят закон: публикация персональных данных с целью запугивания, травли или препятствия работе — преследуется вплоть до 2 лет лишения свободы или штрафа до 25 750 евро; для ряда профессий есть повышенная ответственность^[47].^[48] Закон действует с 2024 года^[49].^[50][51]

В 2025 году в сети опубликован массив подозреваемых в сотрудничестве с нацистами, что вызвало дискуссию о новой грани доксинга^[52].

В России по статье 137 УК «Нарушение неприкосновенности частной жизни» публичное распространение персональных данных через СМИ, интернет и публичные мероприятия — преступление с наказанием вплоть до двух лет лишения свободы с конфискацией, запретом занимать определённые должности и штрафами^[53]. Незаконное копирование и сбор информации — отдельное преступление^[53].

В Южной Корее есть специальная статья (ст. 49 закона о продвижении использования информационно-коммуникационных сетей), прямо запрещающая сбор и распространение приватной информации (имя, дата рождения, адрес, личные фото и пр.)^[54]. На практике применяют и статью 44, запрещающую оскорбления и порочащую клевету, особенно с учётом множества случаев самоубийств знаменитостей из-за травли в интернете^[54].

В Испании статьи 197–201 УК предусматривают наказания за незаконное получение, использование и передачу секретных либо личных данных — вплоть до 5 лет лишения свободы или крупных штрафов; особо квалифицированным считается распространение компроматов, если жертва несовершеннолетняя, инвалид, супруг или раскрываются интимные подробности^[55] С 2015 года уголовно наказуемо и распространение интимных фото или видео без согласия, даже если они были получены с согласия жертвы.^[55].^[56]

В США нет федерального антисдоксингового законодательства. Две статьи (о намеренном запугивании и о межштатном преследовании) могут теоретически применяться к доксингу, но используются крайне редко^[57]. Лишь несколько штатов (например, Калифорния, Колорадо) прямо запрещают доксинг^[58].

По оценкам, от интернет-сталкинга страдают более 3 млн человек в год, но по федеральным статьям привлекают к ответственности лишь единицы; основной тяжесть борьбы лежит на штатах.

В 2023–2024 годах доксинг широко применялся для организации «своттинга» политиков, чему способствуют слабое регулирование личных данных и масштабная работа датаброкеров^[59].