Почему критикуют законопроект о штрафах за недостаточные меры по защите данных

Сенаторы Андрей Турчак, Ирина Рукавишникова и депутат Александр Хинштейн 26 июля внесли в правительство поправки в КоАП, предусматривающие штрафы за компрометацию персональных данных (письмо в адрес премьер-министра Михаила Мишустина и текст законопроекта есть в распоряжении Forbes). Документ предполагает наложение штрафов не за факт утечки личной информации, а за «действия или бездействия оператора персональных данных, повлекшие неправомерную передачу информации, включающей персональные данные».

Законопроект, предполагающий введение оборотных штрафов за утечку персональных данных, обсуждается с весны 2022 года. Прошлым летом обсуждалось введение фиксированных штрафов при первой утечке и оборотных при повторной. Однако Минцифры сообщало, что планирует определить понятие утечки и предусмотреть в документе и смягчающие обстоятельства для компаний, которые сделали все возможное для защиты информации своих клиентов. В частности, предполагалась добровольная аккредитация компаний по критериям информационной безопасности. Весной этого года ведомство предложило в качестве смягчающего обстоятельства при утечках персональных данных учитывать добровольные выплаты компанией компенсаций пострадавшим. Тогда глава министерства Максут Шадаев говорил, что законопроект проходит финальные согласования перед внесением в Госдуму.

Взять числом

В документе, направленном в правительство, штрафовать компании предлагается в случае, если скомпрометирована личная информация более 1000 граждан или же личные «идентификаторы данных» более 10 000 граждан. В таком случае компании придется заплатить от 3 млн до 5 млн рублей, а должностному лицу — от 800 000 рублей до 1 млн рублей. При более крупном размере утечки (если скомпрометированы персональные данные более 10 000, но менее 100 000 граждан или же от 100 000 до 1 млн идентификаторов) юрлицу придется заплатить от 5 млн до 10 млн рублей, а должностному лицу — 1-1,5 млн рублей.

Для особо крупных утечек, которые затронули данные более 100 000 граждан (или более 1 млн идентификаторов), предусмотрены штрафы в размере 10-15 млн рублей для компании и 1,5-2 млн рублей для должностного лица. При повторном нарушении размер штрафа будет зависеть от оборота компании и составлять от 0,1% до 3% от годовой выручки, но не может быть меньше 15 млн рублей, хотя и не более 500 млн рублей.

В случае, если скомпрометированы будут биометрические персональные данные, размер штрафов будет больше: для компаний от 15-20 млн рублей, а для должностных лиц — 2-3 млн рублей.

Интересно, что, согласно этим поправкам в КоАП, госорганы и муниципальные учреждения от штрафов за компрометацию персональных данных освобождены. Однако на должностных лиц госорганов и муниципальных служащих ответственность за утечки распространяется.

Также законопроект предполагает введение штрафов за то, что компания не сообщила о факте утечки Роскомнадзору и самому владельцу персональных данных, которые были скомпрометированы. В таком случае компании придется заплатить от 1 млн до 3 млн рублей, а должностному лицу — от 400 000 до 800 000 рублей.

Отдельный состав вводится для чиновников за принуждение к использованию биометрии при оказании государственных услуг. Должностные лица органов власти могут быть оштрафованы в размере от 50 000 до 200 000 рублей, а работники МФЦ и госучреждений — на 15 000-50 000 рублей.

В аппарате вице-премьера Дмитрия Чернышенко, ответственного за цифровое развитие страны, и Минцифры не ответили на запрос Forbes.

Наказание без нарушения

Аналитики F.A.C.C.T. (экс-Group-IB) подсчитали общее количество баз данных российских компаний, впервые выложенных в публичный доступ в 2022 году, — 311 баз, тогда как в 2021 году их было всего 61. Общее количество строк данных пользователей, содержащихся во всех опубликованных утечках, превысило 1,4 млрд, добавили в компании, отметив, что большинство утекших данных актуальны на 2022 год, во многих базах содержатся имена клиентов, их телефоны, адреса, даты рождения, а в некоторых можно найти пароли, паспортные данные, подробности заказов и другую чувствительную информацию.

Состав правонарушения, изложенный в законопроекте, сформулирован настолько широко, что может привести к ответственности операторов персональных данных в случаях, не связанных с утечками, а также при отсутствии нарушения прав субъектов персональных данных, считают в Ассоциации больших данных (АБД, объединяет «Яндекс», VK, «Сбер», Газпромбанк, Тинькофф Банк, «Мегафон», «Ростелеком» и др.). В АБД также отмечают, что в КоАП уже предусмотрена ответственность за нарушения в области защиты информации, поэтому при принятии поправок в текущей редакции может возникнуть ситуация двойного наказания за одно правонарушение, что противоречит базовым принципам назначения административного наказания. Кроме того, законопроект не предусматривает стимулы для участников рынка повышать безопасность обработки персональных данных и принимать меры для их защиты, указывают в ассоциации, добавляя, что такими стимулами могли бы стать смягчение ответственности в случае проведения оператором добровольного аудита информационных систем персональных данных.

Расплывчатые формулировки

На еще одно упущение в документе обращает внимание эксперт по защите персональных данных и соучредитель Russian Privacy Professionals Association (RPPA) Алексей Мунтян. Так, в законопроекте появляется понятие идентификатора данных, однако определение ему, по его словам, дано столь расплывчатое, что может привести к разногласиям в его трактовке на практике, а значит, и в том, за что привлекать к ответственности, а за что — нет. По словам эксперта, в самом законопроекте «О персональных данных» говорится о факте неправомерной передачи данных в контексте действий или бездействия оператора персональных данных. «Но неясно, как будет оцениваться достаточность действий оператора персональных данных по их защите. Такие формулировки не гарантируют, что компании, которые добросовестно выполняли все необходимые меры по защите информации своих клиентов, не будут оштрафованы, если утечка произошла, например, в результате хакерской атаки», — подчеркивает он. Как ни пытайся выполнить все требования регуляторов, всегда есть сомнения в их полноте, добавляет эксперт.

Предполагалось, что на размер штрафа будет влиять подтверждение выполнения оператором персональных данных реальных мер защиты, а также желание и возможность оператора компенсировать субъекту понесенный им ущерб или застраховать соответствующие риски утечки, рассуждает бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. «Сейчас же формулировки оказались достаточно выхолощенными и привязанными всего лишь к числу утекших данных о субъектах персональных данных, что приводит нас к ряду вопросов, — продолжает он. — Например, кто оценивает реальность утечки и гарантирует, что она не фейковая? Кто проводит расследование действий/бездействий оператора и какова квалификация этих лиц? Как долго будет идти расследование?»

Совершение какого-либо действия или же отсутствие необходимых действий по защите данных еще надо доказать, отмечает генеральный директор Института исследований интернета Карен Казарян. Бремя доказывания при этом ложится на сам регулятор, добавляет он. Если наказывать за факт утечки, то сама компания в таком случае должна доказывать свою невиновность, например, если в открытом доступе оказались старые или поддельные персональные данные, поясняет эксперт. Казарян при этом также отмечает расплывчатость формулировок законопроекта, в том числе введения понятия «идентификатора данных». Если законопроект будет принят в текущем виде, определять, что подразумевается под этими формулировками, будут уже на практике, в ходе судебных разбирательств, резюмирует он.