Родная течь: бизнес просит пересмотреть положения поправок о штрафах за утечки

Роман Рожков Редакция Forbes

Законопроект Минцифры о введении штрафов для компаний за утечки персональных данных (до 3% от годовой выручки) не позволит эффективно бороться с утечками, создает высокие риски для добросовестных участников рынка и сократит инвестиции бизнеса в информбезопасность. Такие положения содержатся в позиции Российского союза промышленников и предпринимателей (РСПП), стало известно Forbes. Участники рынка поддерживают предложения союза, призывая власти к диалогу. Тем временем Владимир Путин поручил правительству к 1 июля «рассмотреть вопрос» о введении оборотных штрафов для компаний за утечки

Регулирование, связанное с ответственностью за утечки персональных данных, должно стимулировать вложения в информбезопасность, а не носить репрессивный характер, а также должно исключать безвиновную ответственность оператора персональных данных, требуя дифференцированного подхода к различным участникам рынка, следует из предложений Российского союза промышленников и предпринимателей (РСПП) по вопросу об установлении ответственности за утечки персональных данных (есть в распоряжении Forbes). Документ за подписью президента РСПП Александра Шохина направлен главе правительства Михаилу Мишустину и министру цифрового развития, связи и массовых коммуникаций Максуту Шадаеву. В пресс-службах Минцифры и правительства подтвердили факт получения писем и предложений.

Так, «дифференцированный подход» подразумевает различную персональную ответственность на всех стадиях, способствующих утечке, для лиц, которые, во-первых, не принимают достаточных мер для предотвращения утечек, во-вторых, похищают персональные данные и, в-третьих, незаконно их используют. Что касается исключения безвиновной ответственности, то, как пишут в документе эксперты Комиссии РСПП по связи и информационно-коммуникационным технологиям, необходимо предусмотреть состав правонарушения таким образом, чтобы ответственность наступала исключительно в случае «непринятия или принятия неадекватных выявленным угрозам безопасности, характеру обработки, объему и чувствительности обрабатываемых данных… мер защиты информации». Они также обращают внимание на то, что импортозамещение, которое чаще всего производится без «длительного тестирования устанавливаемого ПО и оборудования», существенно повышает неконтролируемые для операторов персональных данных риски.

Регулирование при определении степени ответственности должно учитывать объемы утекших данных, их состав и чувствительность с точки зрения причинения возможного вреда тому, чьи персональные данные «утекли», убеждены в РСПП. Эксперты добавляют, что нужно разработать подходы к добровольному внесудебному возмещению вреда в случае утечки. «Однако требования к такому возмещению должны формироваться не на законодательном уровне, а в рамках саморегулирования», — отмечают эксперты.

Материал по теме

В РСПП предлагают рассмотреть следующий подход к установлению ответственности операторов. Сначала Минцифры и Роскомнадзор с участием экспертов рынка разрабатывают детальные рекомендательные меры по защите персональных данных на основе лучших решений в области информационной безопасности в России. Если эти меры полностью выполняются, но утечка происходит, то оборотный штраф не может применяться (в том числе за повторную утечку). Если же компания сама определяет меры по защите информации, но утечка все же происходит, тогда возможен оборотный штраф в случае повторного правонарушения.

В числе предложений — и введение регулярного добровольного аудита мер защиты персональных данных аккредитованными организациями (или механизма добровольной сертификации). Это бы исключало ответственность за утечки оператора при наличии их положительного заключения. Кроме того, эксперты предлагают не привлекать к ответственности операторов в ситуации, когда действия (бездействия) субъектов персональных данных привели к разглашению, изменению или удалению их персональных данных. Например, если был нарушен режим обеспечения сохранности паролей и логинов либо один и тот же логин и пароль был многократно использован.

Наконец, необходимо учитывать и практику зарубежных стран, говорится в документе, — так, в ЕС, США, Великобритании, Бразилии, Индии и Южной Корее штрафы взыскиваются не за сам факт утечки, а за непринятие адекватных угрозам мер по обеспечению безопасности данных.

Особые мнения

«Законопроект об оборотных штрафах находится в проработке, рассматриваем все поступившие предложения. Рассчитываем, что документ будет готов в установленные президентом сроки и его поддержат все участники обсуждения, — сообщили Forbes в пресс-службе Минцифры. — Основная задача законопроекта об оборотных штрафах — побудить операторов персональных данных вкладываться в защиту информации и повысить сохранность данных граждан».

Материал по теме

В целом бизнес поддерживает предложения РСПП. «Они отражают основные меры и принципы по повышению уровня информационной безопасности и защиты персональных данных пользователей», — убеждены в «Яндексе». В Ozon заявили, что предложенные в текущей версии законопроекта формулировки состава правонарушения создают критические риски для IT-отрасли, а потенциальная нагрузка на бизнес от оборотных штрафов «нуждается в корректировке с учетом текущей экономической обстановки». «Принятие законопроекта в текущей версии может иметь негативные последствия для российского IT-рынка и нивелировать позитивный эффект от уже реализованных мер его поддержки, — считают в Ozon. — Мы поддерживаем предложения РСПП и надеемся, что документ будет скорректирован в диалоге с бизнесом и не будет нести дополнительных рисков для отрасли».

В «большой тройке» (МТС, «Мегафон», «Вымпелком») Forbes заявили, что позиция по этому вопросу готовилась совместно с крупными операторами обработки персональных данных и что они поддерживают приведенные в ней тезисы и аргументы.

Как заявила Forbes президент Ассоциации больших данных (АБД) Анна Серебряникова, АБД надеется на конструктивный диалог с регулятором. Первоочередной, по ее словам, вопрос в таком диалоге — выработка сбалансированного подхода к составу правонарушения и релевантных санкций за него. «Кроме того, считаем необходимым обратить внимание на инициативы саморегулирования, — указывает она. — На площадке АБД начала работу группа по созданию дополнительных требований по безопасности персональных данных, разрабатывается кейс по компенсациям гражданам за утечки для Белой книги Кодекса этики работы с данными. Этот гибкий подход учитывает разнообразие сервисов и информационных систем».

Материал по теме

Единодушие бизнеса, поддерживающего инициативы РСПП, несколько расстраивает своими соображениями Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies. По его мнению, предложения РСПП «отражают все те вопросы, которые возникают у экспертов в области защиты персональных данных, и действительно требуют отражения в нормативных актах». Но при реализации этих рекомендаций РСПП необходимо иметь в виду ряд важных моментов, указывает он. «Во-первых, ни УК РФ, ни КоАП сегодня не учитывают многофакторный характер обсуждаемого вопроса, а РСПП предлагает начислять штрафы в зависимости от почти десяти различных критериев. Учесть их все в одной статье КоАП или УК РФ, на мой взгляд, почти невозможно, — рассуждает Лукацкий. — Во-вторых, в России уже существуют более 10 лет обязательные требования по технической защите персональных данных, разработанные правительством, ФСТЭК и ФСБ соответственно. И сфокусироваться на правоприменении существующих норм будет правильнее».

Наконец, предложения РСПП не учитывают один, но очень важный вопрос, заключает эксперт: кто и как проводит расследование утечки и отделяет реальные нарушения прав субъектов ПДн от фейковых, свежие утечки от старых, а также может провести оценку типа и объема утекших в реальности, а не только опубликованных в открытом доступе персональных данных. «Без решения этих вопросов оценивать работоспособность предлагаемой статьи об оборотных штрафах и предложений РСПП преждевременно», — резюмирует он.

Все течет, все изменяется

Минцифры России предлагает внести поправки в Кодекс об административных правонарушениях, предусматривающие введение штрафов для компаний за утечки персональных данных. Инициатива предполагает существенные санкции для бизнеса за нарушение конфиденциальности персональных данных. Максимальный размер штрафа, который обсуждается, составляет 3% от годовой выручки юридического лица (оборотный штраф). При этом может быть установлен верхний предел в 500 млн рублей, а нижний — в 5 млн рублей, сообщал в декабре «Коммерсантъ».

Тема с утечками персональных данных и ответственностью за них уже давно беспокоит власти и регуляторов. Эксперты отмечают, что внимание к защите личной информации со стороны государства существенно выросло, тем более что и число кибератак на Россию в 2022 году увеличилось на 80% — такие данные приводил в конце октября зампредседателя правительства Дмитрий Чернышенко на встрече с Владимиром Путиным: «Более 25 000 кибератак на госресурсы и 1200 атак на критическую инфраструктуру было ликвидировано».

Также с 1 сентября 2022 года вступили в силу новые требования ФЗ № 152 «О персональных данных», которые обязывают компании в течение суток уведомлять ФСБ и Роскомнадзор о произошедших утечках персональных данных. «Рост числа утечек, с одной стороны, и оборотные штрафы, с другой, вероятно, заставят российские предприятия задуматься о пересмотре своей архитектуры защиты данных, а также о выстраивании процесса управления инцидентами для своевременного уведомления о них, — говорит бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. — Требование об уведомлении в течение 24 часов, независимо от праздников и выходных, это серьезный вызов даже для компаний, имеющих опыт в управлении кибербезопасностью».

В сентябре 2022-го Роскомнадзор заявил, что с начала года произошло уже не менее 60 крупных утечек персональных данных, содержащих более 230 млн записей с личной информацией граждан: «Скомпрометированы не только такие персональные данные, как фамилия, адрес и телефон, но и медицинские данные, данные о поведенческих особенностях, потребительских предпочтениях людей». В открытом доступе в прошлом году появлялись базы данных клиентов «Гемотеста», СДЭК, онлайн-ретейлеров DNS и Ozon, «Вкусвилла», сервисов доставки еды Delivery Club и «Яндекс Еды», сотрудников «Билайна» и водителей «Ситимобила», а также данные подведомственного Роскомнадзору Главного радиочастотного центра. А, по оценкам «Лаборатории Касперского», объем персональных данных, которые попали в сеть вследствие самых крупных утечек в 2022 году, и вовсе превысил 1,5 млрд записей — такими данными делилась в ходе отраслевой конференции компании эксперт Kaspersky Threat Intelligence Юлия Новикова.

Актуальности теме добавило поручение президента правительству к 1 июля рассмотреть вопрос о введении оборотных штрафов для компаний за утечку персональных данных. О необходимости ужесточения ответственности за это он заявлял и на недавней встрече с членами Совета по правам человека в декабре 2022 года. «Теперь с учетом поручения президента работа над законопроектами об ответственности за утечку персональных данных и их незаконный оборот (включая введение оборотных штрафов) пойдет еще быстрее», — прокомментировал в своем Telegram-канале глава комитета Госдумы по информационной политике Александр Хинштейн. Впрочем, по словам юристов, опрошенных Forbes, в рамках поручения все может, в свою очередь, свестись и к докладу о нецелесообразности законопроекта.