Разделы

Стратегия безопасности Госрегулирование Бизнес Законодательство Интернет Техника

Штрафовать, так по-крупному. Минцифры требует ввести оборотные штрафы за утечку персональных данных

В России могут появиться оборотные штрафы за утечки персональных данных. Сейчас наказание за них не превышает 500 тыс. руб., что не стимулирует крупный бизнес к повышению уровня защиты этой информации. Для примера, в 2019 г. Сбербанк «слил» в Сеть подлинные данные о 60 млн своих клиентов. В поддержку оборотных штрафов выступило Минцифры.

Персональные данные влетят в копеечку

В России в обозримом будущем могут стать нормой оборотные штрафы за утечку персональных данных (ПД). Их предложено выписывать операторам ПД. Как пишут «Ведомости», в числе тех, кто поддерживает это нововведение, оказалось российское Минцифры.

Предложение по вводу оборотных штрафов за утечку персональных данных россиян стало одной из тем обсуждения 17 февраля 2022 г. на круглом столе в Совете Федерации по совершенствованию законодательства в сфере оборота персональных данных. В мероприятии, помимо прочих, участвовал глава Института исследований интернета Карен Казарян.

Карен Казарян отметил, что, со слов одного из участников круглого стола, разработка поправок, вводящая в законодательство оборотные штрафы за утечки ПД, уже ведется. Факт их разработки подтвердила и директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович, тоже участвовавшая в круглом столе.

«Введение оборотных штрафов за утечки обсуждалось, с предложением по-крупному штрафовать за утечки ПД выступил один из представителей экспертного сообщества», – сказала она, на став уточнять, кому именно принадлежит данная идея. С ее слов, о ведущейся разработке таких поправок рассказал другой участник круглого стола, но его имя она тоже предпочла не раскрывать.

Компаниям придется беречь персональные данные как зеницу ока

Понятие «Оператор персональных данных» рассмотрено в п.2 ст.3 закона 152-ФЗ «О персональных данных». В нем сказано, что оператор ПД – это «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».

Минцифры обеими руками «за»

По информации «Ведомостей», на совещании присутствовал как минимум один представитель Минцифры. Именно он наиболее активно среди всех других присутствующих высказывался за введение столь жесткого наказания за утечку персональных данных.

В Министерстве считают, что в настоящее время у операторов персональных данных нет никакого стимула к предотвращению утечек. «Существующие штрафные санкции не побуждают операторов к безусловному выполнению требований законодательства в области ПД, в связи с чем введение оборотных штрафов, на наш взгляд, будет способствовать снижению количества инцидентов, связанных с утечками ПД», – заявил изданию представитель Минцифры.

Зачем нужны изменения

Александра Орехович уточнила, что в настоящее время утечка ПД регулируется ст. 13.11 КоАП РФ, нарушение которой грозит штрафом до 500 тыс. Она сравнила это с санкциями, которые грозят за нарушение других законов, связанных с ИТ, с тем же «пакетом Яровой», где наказание может измеряться миллионами рублей.

Со слов Орехович, сравнительно небольшой штраф в итоге не приносит желаемого результата. Крупный бизнес не спешит повышать надежность хранения и обработки персональных данных.

«Конечно, введение оборотных штрафов может существенно снизить число утечек, – сказала Александра Орехович. – Но очень важно – и на это обратили внимание на заседании представители Роскомнадзора и Совета Федерации – нужно учитывать и степень вины привлекаемого к ответственности юрлица. Одно дело, когда компания не выполнила необходимые процедуры по защите ПД сотрудников и клиентов, и совершенно другое – когда имел место чисто человеческий фактор, умысел одного из сотрудников».

Утечки происходят регулярно

Крупные российские компании, являющиеся операторами персональных данных, очень часто допускают утечку этой информации. Для примера, в сентябре 2021 г. в свободном доступе в интернете была обнаружена база с персональными данными почти 2 млн абонентов проводного интернета «Билайна». Она утекла еще в конце августа 2021 г., но оператор закрыл к ней доступ лишь спустя более двух недель, 13 сентября 2021 г. Об утечке его предупреждали ИБ-специалисты, но на их сообщения оператор не реагировал.

Как получить ₽30 млн на вывод решения в области искусственного интеллекта на новые рынки
Поддержка ИТ-отрасли

В начале октября 2019 г. «Билайн» тоже упустил в Сеть персональные данные своих абонентов проводного интернета. На тот момент в свободном доступе оказались имена номера телефонов и даже домашние адреса более 2 млн человек.

В том же месяце произошла одна из рекордных утечек ПД в истории России. В интернете была выставлена на продажу база данных с украденными сведениями о 60 млн клиентах Сбербанка. Подлинность содержащейся в ней информации была подтверждена «Коммерсантом».

В декабре 2019 г. в свободном доступе оказались данные почти 30 тыс. пользователей портала «Госуслуги», оператором которого является «Ростелеком».

Непопулярная инициатива

Необходимость введения оборотных штрафов полностью одобряет, по большей части, пока только Минцифры. К примеру, по информации «Ведомостей», мнение «против» высказал оператор связи Tele2. «Утечка данных не приводит к увеличению оборота, напротив, нарушитель наказывает себя потерей лояльности абонентов и ущербом для репутации. Поэтому считаем идею оборотных штрафов нелогичной и излишней», – сообщил представитель оператора.

Александр Голубчиков, МегаФон: Популярность набирают облачные решения и кибершеринг для расширения концепции SecaaS
Безопасность

По мнению первого заместителя председателя комитета Совфеда по конституционному законодательству и госстроительству, сенатор от заксобрания Ростовской области Ирины Рукавишниковой (она проводила круглый стол), «принимать решение по оборотному штрафу из-за утечки у любого оператора данных нельзя». Она добавила, что данную инициативу следует «обстоятельно обсуждать», и что «ответственность должна быть дифференцирована с учетом размера компании, характера и объема слитых данных и т. п.». «Нельзя всех равнять под одну гребенку: у нас есть и крупные корпорации, которые отвечают за огромные массивы ПД, а есть и небольшие организации, которые также работают с ПД граждан, но это отнюдь не те огромные массивы, которые есть у корпораций. И к этим структурам следует применять другие подходы», – сообщила изданию Ирина Рукавишникова. Она подчеркнула, что оборотные штрафы для компаний представляют собой «достаточно жесткую меру, применение которой должно быть четко выверено».

В то же время мнение Минцифры о необходимости введения оборотных штрафов за утечку ПД разделяет член комитета Госдумы по информполитике, ИТ и связи Антон Немкин. Он тоже принимал участие в круглом столе. «Очевидно, что в сложившихся условиях необходимо корректировать законодательство, защищающее ПД россиян. В частности, следует ужесточить ответственность операторов ПД», – заявил Немкин.

Эльяс Касми