Персданные: от суммы и до тюрьмы
Значительное снижение штрафов для компаний-операторов за утечку персональных данных освободит бизнес от ответственности, считает глава Комитета по информполитике ГД Александр Хинштейн. Парламентарий не поддержал инициативу Минэкономразвития о снижении в законопроекте финансовых санкций. Некоторые эксперты видят выход в уголовной ответственности, а регуляторы – в передаче доверенным аккредитованным операторам право на обработку и хранение данных.
Между бизнесом и гражданами
В октябре Минэкономразвития внесло предложение в законопроект (об усилении ответственности операторов) – кратно снизить штрафы для компаний за утечку данных граждан, передает Интерфакс со ссылкой на источник в ведомстве. Один из авторов законопроекта – глава Комитета ГД по информполитике Александр Хинштейн против этого, считая, что снижение штрафа позволит компаниям не заниматься защитой данных, а легко отделываться от проблем некритичными выплатами.
Напомним, что законопроект под авторством сенаторов и депутатов (А. Шейкин, А.Турчак, И.Рукавишникова, А.Хинштейн, А.Немкин и других) был внесен в Госдуму в декабре 2023 года. На стадии первого чтения документа Минэкономразвития в октябре подготовило предложения к поправкам ко второму чтению, предложив кратное снижение заложенных в нем штрафов, а также смягчающие вину компаний обстоятельства.
Если утечка ограничена 1-10 тыс. субъектов персданных, то предложено установить штраф для юрлиц в размере 1,5-2 млн рублей вместо 3-5 млн рублей. Далее: 10-100 тыс. субъектов – 2-3 млн рублей (сейчас 5-10 млн); более 100 тыс. – 3-5 млн рублей, вместо 10-15 млн рублей. Оборотные штрафы за повторные утечки предлагается сохранить (от 0,1% до 3% от выручки за предшествующий утечке год либо размера капитала кредитной организации на дату инцидента). Но максимальный размер штрафа за рецидив предлагается снизить в 10 раз – до 50 млн с 500 млн рублей в принятом в первом чтении законопроекте, а минимальный – до 5 млн с 15 млн рублей.
Также МЭР предложил выделить в законопроекте ответственность за утечку биометрических данных и ПД специальной категории. За утечку биометрии 0,5-5 тыс. субъектов, на юрлиц 3-5 млн рублей; 5-50 тыс. утечек – 5-7 млн рублей; более 50 тыс. – 7-10 млн рублей. За утечку ПД спецкатегории: 0,5-5 тыс. субъектов, для юрлиц 2-3 млн рублей; 5-50 тыс. 3-5 млн рублей; более 50 тыс. – 5-7 млн рублей. Повторная утечка биометрических и специальных ПД может повлечь оборотный штраф в размере от 0,1%-3% от выручки за предшествующий календарный год, либо капитала банка на дату утечки, но не менее 10 млн и не более 60 млн рублей.
При этом на малый и средний бизнес, а также социально ориентированные некоммерческие организации, допустившие утечку, предлагается накладывать штрафы в размерах, предусмотренных для должностных лиц.
Также предлагается предусмотреть смягчающие ответственность компаний обстоятельства – расходы оператора в течение предшествующего года на мероприятия по информбезопасности с участием компаний по кибербезопасности, либо самостоятельно при условии наличия соответствующей лицензии. Размер этих расходов должен составлять минимум 0,1% от выручки компании или капитала банка.
В Минэкономразвития считает неприемлемым пункт в законопроекте, согласно которому операторы ПД привлекаются к ответственности за утечку даже при «правомерном поведении». В министерстве опасаются, что в условиях неотвратимости наказания может возрасти количество кибератак в целях недобросовестной конкуренции и вымогательства.
Александр Хинштейн, Госдума
Мы готовы обсуждать эти предложения, но считаем такое смягчение необоснованным и выхолащивающим саму суть нашей инициативы.
Без осознания оператором своей ответственности и понимания того, что ему придется платить рублем за утечки, никаких кардинальных перемен не произойдет.
Парламентарий заявил, что предложенный им и его коллегами законопроект сталкивается с серьёзным сопротивлением со стороны бизнеса, который стремится избежать вложений в собственные системы информационной безопасности, предпочитая откупаться штрафами.
Член Совета при президенте России по развитию гражданского общества и правам человека (СПЧ), президент исследовательской и технологической компании «Крибрум» Игорь Ашманов не только поддерживает сохранению штрафов на прежнем уровне, но и считает необходимым ввести уголовную ответственность для эффективной защиты от утечек.
«Штрафы должны остаться высокими, чтобы заставить «цифровых капиталистов» заниматься защитой данных граждан. Но проблему утечек они не решат», – говорит эксперт.
Он напомнил, что утечки происходят не из-за хакеров, а по вине персонала, которому плевать на штрафы компании. Даже если сотрудника поймали, он отделался штрафами, увольнениями или затер следы и сам уволился. Затем устроился в другую компанию.
Изменить ситуацию может только при введении уголовной ответственности за утечки. И за незаконный оборот данных.
Только уголовная ответственность даёт возможность проводить оперативно-розыскную деятельность (ОРД): изымать устройства, делать выемку почты, мессенджеров и логов доступа, прослеживать путь данных, находить реальных виновников, – считает Игорь Ашмманов. Поскольку в рамках административного дела устанавливать виновность в цифровой среде практически невозможно – будут винить внешних хакеров или подсовывать «стрелочников». Он отметил, что ответственность в рамках УК, позволит судить топ-менеджмент за халатность. Поэтому бизнес, опасаясь усиления ответственности, борется с этим законопроектом.
Игорь Ашманов, «Крибрум», СПЧ
До сих пор «жирные коты» ни разу не ответили за сотни миллионов слитых и проданных записей персданных.
Эксперт уверен, что компании просто заложат штрафы в бизнес-планы. А поскольку виновность ещё надо доказывать, то уйдет много времени на определение судами сумм штрафов и других фактов. Условия явно комфортнее, чем прямо сейчас начать платить за информбезопасность, софт, железо, изменение бизнес-процессов, полагает эксперт.
По его мнению, персданные вообще должны стать токсичным пассивом, а не денежным активом, как сейчас. По аналогии с гостайной или ядерным материалом. Доступ к персданным для персонала должен открываться третьей формой секретности для всех организаций.
«Если у человека на улице в кармане, офисе, сейфе находят флешку с 2 млн записей персданных – тюрьма. Как за пакетик с наркотиками. Потому что нет никаких оснований иметь такую массу данных в собственности», – считает глава «Крибрум».
С персданными должны стараться отказываться работать, а делегировать это право нескольким десяткам доверенных компаний, а не как сейчас – 50 тысячам операторам, предложил альтернативный вариант ответственности эксперт.
Данные на доверии
В августе Совет Федерации РФ направил письмо в Минцифры, Минэкономразвития и ряд ведомств с предложением создать аккредитацию для крупных операторов данных на обработку личной информации. В сентябре инициативу поддержал МЭР и Роскомнадзор.
В письме профильным ведомствам заместитель руководителя Роскомнадзора Милош Вагнер пишет о «целесообразности введения института аккредитованного специализированного оператора, обладающего исключительным правом на обработку больших объемов персональных данных».
К их деятельности предлагается установить особые требования и повышенную ответственность за нарушения законодательства в области персональных данных. «Оператор должен быть российским юридическим лицом; иметь в штате не менее пяти работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора; иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки персональных данных в сумме не менее 100 млн рублей», – говорится в документе.
Аналогичное письмо с поддержкой мы получили от заместителя министра экономического развития Максима Колесникова, – рассказал PRO Шеринг член Комитета Совета Федерации РФ по конституционному законодательству и государственному строительству Артем Шейкин. Сенатор считает, что ничего сверх естественного в аккредитации не будет, поскольку это инструмент повышения ответственности.
Артем Шейкин, сенатор, СовФед РФ
Процедура аккредитации должна быть стандартной, путем подачи оператором заявления и прилагаемых к нему документов в Роскомнадзор.
По словам Артема Шейкина, МЭР предлагает избавить от аккредитации некоммерческие организации и субъекты малого и среднего предпринимательства. Дополнительная административная нагрузка, как считают в министерстве, снизит эффективность решения указанных задач.
Минэкономразвития сейчас пытается сбалансировать законопроект, чтобы не допустить существенного ущерба для нормальной экономической деятельности, считает юрист по персональным данным, соучредитель сообщества профессионалов в области приватности (Russian Privacy Professionals Association, RPPA) Алексей Мунтян.
«Поскольку утечки были, есть и будут, то борьба с ними должна быть комплексной. А стимулировать компании к занятию информбезопасностью с помощью большого размера штрафов – не оптимальное решение с точки зрения выживаемости малого и среднего бизнеса. Поэтому Минэкономразвития предлагает сбалансировать размер штрафов», – пояснил в беседе с PRO Шеринг Алексей Мунтян.
Алексей Мунтян, RPPA
С точки зрения общей цели между депутатом Александром Хинштейном и Минэкономразвития нет расхождений. Депутат думает о гражданах, а министерство – в целом об экономике и бизнесе.
Страховые компании считают, что финансовая ответственность должна быть не «дамокловым мечом» для бизнеса, а инструментом дисциплинированности и ответственности, восстанавливающим справедливость.
«Финансовая ответственность операторов за утечку персданных – это основная доминанта. Граждане, как субъекты персданных должны быть финансово защищены от рисков в виде денежной компенсации», – сообщил PRO Шеринг заместитель генерального директора, директор по рискам СК «Сбербанк страхование» Владимир Новиков. По словам эксперта, такой подход избавит бизнес от ощущения давления через штрафные санкции, снизит риски и повысит ответственность.
Автор: Александр Журавлев
Фото: Adobe Stock
