Хинштейн ответил на претензии АБД к поправкам об оборотных штрафах за утечки данных
Хинштейн ответил на претензии Ассоциации больших данных к законопроекту о введении оборотных штрафов за утечки данных. По мнению депутата, нынешние штрафы за нарушения в области персональных данных «мягче некуда», но «многие операторы не спешат сэкономленные деньги вкладывать в информационную безопасность». Также депутат недоволен предложением АБД увеличить срок на сообщение в Роскомнадзор о причинах утечки: он считает, что «реагировать необходимо молниеносно»
Депутат Госдумы Александр Хинштейн ответил на критику законопроекта об оборотных штрафах за утечку персональных данных со стороны Ассоциации больших данных (АБД, объединяет «Яндекс», VK, Сбербанк, Газпромбанк, Тинькофф Банк, Россельхозбанк, «Мегафон», «Ростелеком», QIWI, билайн, «МТС», Avito, фонд «Сколково», Аналитический центр при правительстве, ВТБ и Центр стратегических разработок).
Ассоциация 4 августа направила в аппарат правительства, Минцифры, Минэкономразвития и Минюст письма с отзывом на законопроект (есть в распоряжении Forbes). В нем она указала, что законопроект не достигает своей цели. «То есть ужесточение наказаний для операторов, по мнению авторов, не повысит уровень защищенности персданных россиян и не заставит компании вкладываться развитие инфраструктуры инфобеза», — написал Хинштейн в своем Telegram-канале. АБД в своем письме указывала, что неопределенность состава правонарушения в законопроекте фактически приводит к введению безвиновной ответственности для бизнеса, так как независимо от причин утечки ответственность возлагается на компанию, что противоречит базовым принципам гражданского законодательства и КоАП.
Хинштейн не согласился с предложением АБД смягчить наказание или не штрафовать компанию, которая сделала все необходимое для защиты данных. Он напомнил, что сейчас максимальный размер штрафа для юрлиц составляет до 100 000 рублей, при повторном нарушении — до 300 000 рублей. «Мягче некуда, но почему-то многие операторы не спешат сэкономленные деньги вкладывать в информационную безопасность», — считает депутат.
Также Хинштейн раскритиковал позицию АБД по срокам, в которые компания должна сообщить в Роскомнадзор об утечке. Согласно поправкам, это 24 часа на сообщение о самом инциденте и 72 часа — на передачу службе сведений о результатах внутреннего расследования. АБД указала, что этого времени не хватит для выяснения причин утечки. Они зачастую происходят у партнеров, к тому же иногда злоумышленники объединяют старые утечки из одних компаний с другими и выдают за новые, напомнила ассоциация. Кроме того, у Роскомнадзора нет регламента и рекомендаций по проведению расследований, отмечает АБД. Эксперты предложили продлить срок на проведение расследования и уведомления службы до 30 дней.
О предложении по срокам уведомления Роскомнадзора Хинштейн заявил, что «это не выдерживает никакой критики». «В сфере ИТ, когда речь идет об утечке данных, реагировать необходимо молниеносно», — полагает депутат. При этом он признал, что АБД справедливо отмечает, что злоумышленники публикуют компиляции из данных под видом новых утечек, и это «то самое обогащение данных», которому определения в законодательстве пока нет.
Отдельно АБД обратила внимание на методику расчетов оборотных штрафов, указав, что доля штрафа снижается по мере увеличения выручки компании. Ассоциация отметила, что при повторной утечке предлагается взимать штраф, предельный размер которого — 500 млн рублей, а значит, для организаций с выручкой от 16,7 млрд рублей это будет 3%, а для компаний с выручкой 1 трлн рублей — всего 0,05%. Хинштейн в ответ заявил, что авторы законопроекта «открыты для обсуждения», а сам документ пока находится на рассмотрении правительства.
Хинштейн — один из авторов законопроекта. Он, а также сенаторы Андрей Турчак и Ирина Рукавишникова 26 июля направили его в правительство. Документ предполагает наложение штрафов не за факт утечки личной информации, а за «действия или бездействие оператора персональных данных, повлекшие неправомерную передачу информации, включающей персональные данные». Штрафовать компании предлагается в случае, если скомпрометирована личная информация более 1000 граждан или же личные «идентификаторы данных» более 10 000 граждан. В этом случае предлагается установить штраф для юрлиц от 3 млн до 5 млн рублей, для должностных лиц — от 800 000 рублей до 1 млн рублей.
При более крупной утечке, если скомпрометированы персональные данные более 10 000, но менее 100 000 граждан, или же от 100 000 до 1 млн идентификаторов, компании может грозить штраф от 5 млн до 10 млн рублей, должностному лицу — 1-1,5 млн рублей. Для особо крупных утечек, затронувших данные свыше 100 000 граждан (или свыше 1 млн идентификаторов), авторы поправок предложили штрафы в размере 10-15 млн рублей для компании и 1,5-2 млн рублей для должностного лица. При повторном нарушении размер штрафа будет зависеть от оборота компании и составлять от 0,1% до 3% от годовой выручки, не менее 15 млн рублей и не более 500 млн рублей.