Interfax-Russia.ru — Оборотные штрафы за утечку персональных данных могут ввести в России. Продажа украденных персональных данных может привести к уголовной ответственности.

Процент от годового оборота

Министр цифрового развития Максут Шадаев еще в начале апреля на расширенном заседании комитета Госдумы по информполитике сообщил о разработке совместно с Роскомнадзором инициативы о введении оборотных штрафов для бизнеса за утечки персональных данных.

"Мы понимаем, и последние массовые утечки говорят о том, что, конечно, те штрафы, которые мы в два раза увеличили, ситуацию кардинальным образом не спасают. Поэтому будем просить (Госдуму рассмотреть — ИФ) в этом году, совместно с Роскомнадзором будем выходить с инициативой все-таки вводить большие оборотные штрафы для бизнеса, который допустил утечку персональных данных", — сказал Шадаев, напомнив, что в зарубежной практике штрафы исчисляются "десятками миллионов долларов, если это чувствительные данные, которые бизнес не защитил".

При этом он уточнил, что для государственных органов пока такой ответственности вводить не планируется.

"Если госорган (допустил утечку — ИФ), то будем увольнять. Ну, здесь штрафы, госорганы же живут на народные, бюджетные деньги", — пояснил Шадаев.

В то же время, отметил он, бизнесу сейчас проще заплатить штраф, чем установить качественную защиту персональных данных.

"Никакой большой финансовой ответственности он не боится. Да, есть репутационные издержки. Но, конечно, мы должны наказывать большим рублем", — считает министр.

И, по его мнению, размер штрафа должен быть больше, чем сумма, которую надо потратить на устройство инфраструктуры по их защите.

Предложение Минцифры поддержал глава комитета Госдумы Александр Хинштейн. По его мнению, "у бизнеса будут жесткие основания заниматься, действительно заниматься, наведением у себя порядка и созданием инфраструктуры, которая технически не позволит (происходить утечкам — ИФ)".

"Мы понимаем, что существующие санкции за утечки персональных не адекватны последствиям и не стимулируют бизнес, особенно крупный, на то чтобы предотвращать такие утечки", — сказал Хинштейн журналистам.

Он так же считает, что при выборе между миллионными тратами на обеспечение безопасности и штрафом компании выбирают последнее, который существенно ниже трат на безопасность.

С тем, что государству необходимо изменить подход к штрафам за утечку персональных данных пользователей согласен и юрист в области обращения с данным, преподаватель Moscow Digital School Олег Блинов.

"60 тыс. рублей — это крайне мало. Компаниям экономически невыгодно вкладываться в соблюдение закона и прав граждан: легче заплатить штраф, а не тратить рабочее время множества высококвалифицированных специалистов, которые должны быть включены в процесс", — заявил "Интерфаксу" Блинов.

Юрист также обратил внимание на то, что в этой области особенно силен контраст с защитой данных граждан за рубежом. В пример он привел недавний штраф во Франции за утечку данных 500 тыс. человек. В том деле французский регулятор оштрафовал компанию на 1 млн 500 тыс. евро.

"Строго говоря, у Роскомнадзора и судов есть возможность сделать компаниям реально больно, но для этого нужно менять подход к штрафам. Дело в том, что КоАП не указывает, за что назначать штраф 60-100 тыс. рублей: за всю утечку или за утечку данных каждого отдельного лица. Но штрафы в таком случае будут космические", — пояснил Блинов.

Блинов видит прецедент в том, что люди взялись сами защищать свои права на персональные данные. И компании, по его мнению, должны учитывать подобные инициативы граждан при принятии решений об инвестициях в информационную безопасность.

"Раньше споры разбивались о факт, что риск штрафа за утечки равен нулю. Теперь же есть риск увязнуть в судебном споре, риск потерь по которому кратен количеству случаев утекших данных пользователей", — говорит эксперт.

Также Минцифры рассматривает вариант введения ответственности для компаний за неуведомление об утечках, причем штрафы за них должны быть больше, чем за сам факт утечек.

"Наше мнение, что штраф оборотный должен быть очень большой, я сейчас скажу — один процент от годового оборота — это очень большой объем. И при этом очень важно, мы планируем, мы будем настаивать на этом, может быть, это будет вводиться постепенно, но мы также введем ФЗ об обязанности об уведомлении об утечках, и в случае, если организация не уведомила об этом в дальнейшем или сразу, мы будем вводить наказание за неуведомление об утечках, и он должен быть гораздо больше, чем штраф только за утечку", — сообщил директор департамента обеспечения кибербезопасности министерства цифрового развития, связи и массовых коммуникаций РФ Владимир Бенгин.

По его словам, законопроект об оборотных штрафах за утечки для бизнеса планируется внести как можно скорее.

"Мы хотим ввести оборотные штрафы в ближайшей перспективе, до конца этого года", — сообщил Бенгин.

В настоящее время максимальный штраф для компании за утечку персональных данных составляет 500 тыс. рублей (за повторное правонарушение). При этом Минцифры ранее уже выступало за введение оборотных штрафов за утечки персональных данных. Дискуссия на эту тему возобновилась после того, как в начале марта сервис "Яндекс.Еда" сообщил, что его служба безопасности выявила произошедшую по вине сотрудника утечку информации пользователей, в том числе их телефонных номеров, адресов, имен и информации о заказах. Утечки логинов, паролей и данных банковских карт не было, утверждают в компании.

Мировой суд Замоскворецкого района Москвы назначил сервису "Яндекс.Еда" за утечку данных пользователей штраф в размере 60 тыс. рублей, ограничившись минимально возможным штрафом. При этом суд зарегистрировал два коллективных иска граждан, требующих компенсацию нанесенного им морального вреда, однако пока они не приняты к рассмотрению.

22 марта злоумышленники запустили сайт с визуализацией — они привязали данные пользователей "Яндекс.Еды" к интерактивной карте. При этом на сайте можно было найти сведения, которых не было в массиве: например, ФИО и адреса электронной почты. В компании пояснили, что это свидетельствует о компоновке создателями сайта данных "Еды" с данными, утекшими из других компаний. Сайт с картой был заблокирован Роскомнадзором, а в самом сервисе заявили, что свели к минимуму количество сотрудников, которые имеют доступ к частным данным.

Позже утечка персональных данных клиентов была зафиксирована в медицинской лаборатории "Гемотест", а затем в публичном доступе оказалась база с ФИО, адресами, информацией о заказах клиентов сервиса Delivery Club.

Уголовная ответственность

Со своей стороны Роскомнадзор предлагает ввести уголовную ответственность за торговлю утекшими персональными данными в России.

"Предложили бы проработать меры по увеличению ответственности, вплоть до введения уголовной ответственности для тех, кто организует такую незаконную торговлю, незаконный доступ к утекшим персональным данным. Нужно жестко наказывать тех, кто формирует спрос на эти утечки. Только так, на наш взгляд, можно предотвратить этот вал мошенничества с нашими персональными данными", — заявил в середине мая замруководителя ведомства Милош Вагнер на расширенном заседании комитета Госдумы по информполитике, информтехнологиям и связи.

По его словам, основная трагедия этих утечек в том, что, как только данные появились в общем доступе и стали доступны неограниченному кругу лиц, предотвратить их распространение практически невозможно.

"Сегодня административная ответственность направлена, по сути, на изначально добропорядочных игроков - операторов, у которых эти данные стащили. В этой части мы, конечно, поддерживаем те инициативы, которые звучат, — об увеличении ответственности, штрафы за то, что оператор не уберег данные своих клиентов. Надо лишь определить понятные всем, в том числе и нам, механизмы привлечения к ответственности, доказывания события правонарушения", — сказал Вагнер.

Но даже после привлечения к ответственности данные остаются в теневом обороте (в даркнете), констатировал замглавы РКН.

"И даже если удается доказать неправомерный доступ к этим данным, размер наказания для таких лиц фактически такой же, как и за любую другую, даже случайную незаконную передачу персональных данных. Речь идет о штрафе не больше 100 тыс. рублей", — посетовал замглавы РКН.

Глава комитета Госдумы по информационной политике назвал эту идею "вполне разумной".

"Тема очень острая, больная, поскольку утечки данных создают проблемы. Очевидно, что нужно ужесточение ответственности и расширение круга лиц, которые эту ответственность должны нести", — сказал Хинштейн.

По его мнению, эту ответственность должны нести не только те, кто допустил утечки персональных данных, но и те, кто осуществляет незаконный оборот персональных данных, и, возможно, те, кто пользуется этими данными, заведомо осознавая их противоправный характер.

В конце минувшей недели руководитель Роскомнадзора Андрей Липов на заседании Общественного совета при ведомстве сообщил, что законопроект, предусматривающий уголовную ответственность для лиц, занимающихся продажей украденных персональных данных, уже разрабатывается.

По его словам, Роскомнадзор также участвовал в разработке этого законопроекта. Документ предусматривает ужесточение ответственности (вплоть до уголовной) для лиц, занимающихся продажей украденных персональных данных.

"По нашему мнению, только так можно остановить вал преступлений, связанных с утечками и незаконной продажей чувствительной для россиян информации", — заявил Липов.

Он отметил, что в ведомстве видят "направления, где можно и нужно принять дополнительные защитные меры".

"Это в первую очередь должны быть законодательные изменения, направленные на защиту граждан, их личной информации, защиту детей, сервисов и инфраструктуры", — считает Липов.

В начале февраля Роскомнадзор привел данные, согласно которым нарушения при обработке персональных данных в 2021 году выявили более 80% проверок. В ведомстве отмечают, что именно результатом неисполнения операторами баз данных требований действующего законодательства в сфере персональных данных и являются их регулярные утечки.

Граждане, чьи персональные данные оказываются в свободном доступе, все чаще получают навязчивые рекламные сообщения и звонки, становятся жертвами телефонных мошенников, констатировали в ведомстве. По данным РКН, всего в 2021 году таких звонков было более 3 млн 700 тыс.

По оценке Роскомнадзора, обработку персональных данных граждан на территории Российской Федерации осуществляет свыше 6 млн организаций и индивидуальных предпринимателей, общее количество баз, с которыми работают эти операторы, превышает 3 млн. Фактически, по оценкам экспертов, о каждом гражданине РФ, в зависимости от его активности в сети интернет, содержатся записи в среднем от 10 до 100 и более базах данных. В общей сложности это почти 13 млрд записей с персональными данными российских граждан.

О необходимости избавится от рисков утечек конфиденциальной информации и персональных данных граждан, на заседании Совета Безопасности РФ 20 мая заявлял и президент РФ Владимир Путин. Он предложил создать государственную систему защиты информации в органах власти и управления, чтобы и свести на нет риски утечек конфиденциальной информации и персональных данных граждан.

"Жду от вас конкретных предложений о том, какие дополнительные шаги должны быть предприняты для обеспечения устойчивой работы информационной инфраструктуры в органах власти и госуправления", — сказал глава российского государства.

Он также подчеркнул необходимость укреплять оборону отечественного цифрового пространства.

"Здесь не должно быть слабых мест. И принципиально важно свести на нет риски утечек конфиденциальной информации и персональных данных граждан. В том числе за счет более строгого контроля правил использования служебной техники, коммуникаций, связи", — заявил президент.