Обзор ключевых изменений в законодательстве о персональных данных
Ушедший 2023 год в России стал по-настоящему рекордным по количеству утечек персональных данных: более 300 млн записей оказалось в открытом доступе. И если о необходимости повышать штрафы за утечки представители Минцифры и Роскомнадзора говорят уже долгое время, то отдельные законодательные инициативы оформились сравнительно недавно и еще не успели получить широкого общественного обсуждения. Руководитель практики защиты персональных данных, data protection officer «Интернет Решения» (Ozon) Михаил Ратушный собрал и проанализировал несколько новых законопроектов в области персональных данных, принять которые могут уже в этом году.
Утром — деньги, вечером — стулья: страхование ответственности или компенсационный фонд на случай утечек
Впервые о механизме страхования ответственности оператора заговорили при обсуждении ранних редакций законопроекта об утечках. Участники общественного обсуждения предлагали рассматривать добровольное страхование как обстоятельство, смягчающее административную ответственность. Были даже предложения снижать штраф оператору за допущенную утечку на размер компенсации, выплаченной пострадавшим субъектам. Однако в текущую редакцию законопроекта все эти предложения в конечном счете не вошли из-за необходимости дополнительно прорабатывать детали. При этом неясным оставался конкретный страховой риск — следует ли страховать только утечку или любой инцидент с персональными данными.
Согласно информации СМИ, появившейся в середине февраля, авторы законопроекта остановились на идее сделать страхование только в отношении риска утечек, а не прочих киберрисков (например, рисков неправомерного изменения или уничтожения персональных данных).
Впрочем, внимания заслуживают и иные изменения, анонсированные авторами. К примеру, оператор сможет выбирать конкретный способ обеспечения его обязательств по возмещению вреда пострадавшим от утечки субъектам. В частности, предлагается следующее:
- классический механизм страхования, когда оператор обязан заключить договор с выбранной им страховой организацией;
- создание компенсационного фонда, деньги из которого при необходимости будут направлять на удовлетворение требований субъектов.
В открытом доступе нет текста законопроекта, а потому остается лишь догадываться о том, как заявленные изменения имплементируют в законодательство. При этом уместно говорить о следующих потенциальных опасениях применительно к инициативе.
Во-первых, сейчас в принципе отсутствует четкая методологическая база для оценки страхового риска и последствий его наступления. С одной стороны, в России постепенно развивается рынок киберстрахования, а отдельные страховые организации уже предлагают свои продукты в этой области. С другой — единого для таких организаций стандарта нет и вряд ли он возникнет: причиной утечки могут быть как направленные действия третьих лиц, так и внешние обстоятельства, не всегда вызванные халатностью оператора.
Во-вторых, как показала практика последних двух лет, в России использование групповых исков в связи с утечкой персональных данных не распространено. В отсутствие эффективно работающего механизма группового иска вероятность взыскания судом значительных компенсаций с оператора, допустившего утечку, кажется незначительной. В частности, самый «крупный» размер компенсации пострадавшим субъектам персональных данных суд взыскал в деле «Яндекс Еды» — 5000 руб. каждому из 13 пострадавших. Из этого следует резонный вопрос: насколько механизм страхования будет обоснованным по крайней мере в части выплат в рамках гражданского судопроизводства? Будет ли размер страховой премии, установленной страховой организацией, адекватным размеру потенциальной компенсации частным лицам, которую должен будет выплатить оператор?
В-третьих, неясно, что представляет собой создание компенсационного фонда как альтернативы страхованию ответственности оператора. Должен ли такой фонд быть «обездвижен» на специальном счете в банке, чтобы исключить его растрату со стороны оператора? Если да, то, например, существует риск, при котором потенциальная сумма может стать своеобразным «заградительным» барьером для малого и среднего предпринимательства. Чтобы оказывать определенные услуги, предприниматели вынуждены обрабатывать персональные данные. Для формирования компенсационного фонда им придется лишить себя права пользоваться частью собственных активов на случай, вероятность наступления которого никому заранее неизвестна. Что касается крупных корпораций, то многие из них и так вкладывают значительные ресурсы в обеспечение информационной безопасности. В худшем случае обязанность тратить дополнительные деньги на создание гипотетического компенсационного фонда может вынудить их снизить расходы на принятие организационно-технических мер по защите данных.
Мне видится, что задача законодательного регулирования — мотивировать операторов создавать эффективные системы защиты информации и обрабатывать персональные данные в строгом соответствии с требованиями закона. Как и введение оборотных штрафов, требование страховать ответственность или создавать компенсационный фонд без учета объективных потребностей бизнеса и потребителей ведет к «монополизации» обработки персональных данных крупными компаниями, в то время как субъекты малого и среднего предпринимательства оказываются лишены права работать с персональными данными. В частности, подобные меры следует либо рассматривать как добровольное мероприятие, способное снизить размер административного штрафа для оператора, если утечка все же произойдет, либо вводить только в отношении наиболее сенситивных видов персональных данных (например, биометрических). Кроме того, проблема компенсаций, как показывает судебная практика, заключается не в отсутствии у корпораций денег для их выплаты, а в нежелании судов присуждать компенсации в большем размере.
Больше не пара: пользовательское соглашение не должно включать в себя согласие на обработку персональных данных
Следующей инициативой, которая, по мнению авторов законопроекта, должна каким-то образом снизить количество утечек персональных данных, стал запрет на включение согласия на обработку персональных данных в текст пользовательского соглашения.
Стоит оговориться, что запрет на смешение правовых оснований (в этом случае договора и согласия) исключительно положительная практика, однако при его разработке крайне важна юридическая техника, точность формулировок и общая согласованность с прочими положениями закона «О персональных данных». В частности, законопроект оперирует термином «пользовательское соглашение», которое в иных федеральных законах не используется и не имеет под собой четко определенного нормативного содержания. Значит ли это, что запрет распространится только на онлайн-сервисы, а не любые договоры, предполагающие обработку персональных данных?
Тем не менее законопроект, как следует из заявлений его создателей, преследует крайне важную цель — заставить онлайн-сервисы отказаться от практики навязывать рекламную рассылку всякому, кто просто зарегистрировался и не выражал при этом какого-либо отдельного согласия на получение рекламы. Подобный подход в целом совпадает с позицией регулятора в области рекламы, Федеральной антимонопольной службы. Так, Санкт-Петербургское управление ведомства в конце прошлого года оштрафовало «Совкомбанк» за включение безальтернативного «согласия» пользователя сайта в текст публичной оферты, связанной с оформлением карты.
Все новое — хорошо забытое старое: увеличение штрафов за незаконную рекламную рассылку
Такой законопроект внесен в Государственную думу в июле 2023 года, однако до второго чтения еще не дошел. Тем не менее в СМИ уже появилась информация, что законопроект был поддержан правительством и в целом практически готов ко второму чтению.
Предлагаемые изменения максимально простые: предлагается дополнить ст. 14.3. КоАП новым составом — за нарушение требований к рекламе, распространяемой по сетям электросвязи, то есть рекламе по телефону, в виде СМС или через интернет. Штрафы предлагают следующие:
- для граждан — от 10 000 до 20 000 руб.;
- должностных лиц — от 20 000 до 100 000 руб.;
- юридических лиц — от 300 000 до 1 млн руб.
Для сравнения: текущая редакция ч. 1 ст. 14.3. КоАП предусматривает штрафы примерно в пять раз меньше для граждан и должностных лиц и в два раза меньше — для юридических лиц.
Квалифицированный состав также предусмотрен для кредитных и микрофинансовых организаций, которые рекламируют услуги в отношении кредитов (займов) или микрозаймов, но при этом не указывают все условия, влияющие на полную стоимость кредита (займа) или микрозайма:
- для должностных лиц — от 40 000 до 100 000 руб.;
- юридических лиц — от 600 000 до 1,6 млн руб.
Ожидания в 2024 году
Весьма вероятно, 2024-й станет годом ужесточения требований, связанных с обработкой персональных данных, преимущественно за счет введения новых штрафов или увеличения уже существующих. Подобный подход в долгосрочной перспективе менее эффективен, чем повышение уровня осознанности и внедрение лучших практик по защите данных. В частности, у операторов снижается мотивация к следованию нормативным правилам по обеспечению безопасности персональных данных и прозрачности их обработки.
Иначе говоря, оператор, сообщивший об инциденте с персональными данными, в любом случае получит штраф, поэтому тактика сокрытия подобного рода информации может стать своеобразным «отрицательным стандартом» на рынке. По той же причине операторы могут быть вовсе не заинтересованы в имплементации современных и эффективных решений в области защиты данных, поскольку штраф за утечку будет накладываться безотносительно к ранее принятым организационно-техническим мерам, а субъекты не будут получать разумных компенсаций.