Штраф выпишут и тем, кто вовремя не сообщил об утечке владельцам персональных данных и в Роскомнадзор.
В России за первые 8 месяцев 2022 года произошли утечки 197 млн записей персональных данных и платежной информации. За прошлый год общий объем официально выявленных утечек превысил миллиард записей.
С чего все началось?
Авторы законопроекта взяли за основу данные «Лаборатории Касперского» за 2022 год. Тогда обнаружили 168 случаев публикации баз данных, которые относятся к отечественным компаниям. Всего в общий доступ попало свыше 2 млрд записей — это 300 млн пользовательских данных, причем в 16% случаев содержались пароли. В этом антирейтинге лидерами стали сферы доставки и ретейл с показателями в 34% и 14% соответственно.
На текущий момент до вступления новых поправок в силу максимальный штраф для бизнеса не превышает 100 тысяч рублей при первичной утечке и 300 тысяч рублей при повторной.
Инициаторы и инициатива
Глава правительства Михаил Мишустин получил финальную версию законопроекта, представленного в виде поправок к Кодексу об административных правонарушениях. Он вводит оборотные штрафы для бизнеса за утечку персональных данных. Инициаторами документа выступают депутат Александр Хинштейн, сенаторы Ирина Рукавишникова и Андрей Турчак. Они предлагают штрафовать не только бизнес, но и простых граждан, и должностных лиц, а вот госорганов и муниципальных учреждений это никак не коснется.
Юридических лиц будут штрафовать в случае утечки данных:
- 1-10 тысяч данных граждан — штраф от 3 до 5 млн рублей
- 10-100 тысяч данных — от 5 до 10 млн рублей
- Больше 100 тысяч данных — 10-15 млн рублей
При повторной утечке при любом объеме бизнес будут штрафовать от 0,1% до 3% от годовой выручки, но не менее 15 и не более 500 млн рублей. Если произошла утечка биометрических данных, то здесь штраф составит 15-20 млн рублей. Поправки вступят в силу по истечении 30 дней после официальной публикации.
Не штрафом единым
Поправки в Уголовный кодекс в случае одобрения будут выглядеть так:
- До 4 лет лишения свободы за незаконное использование данных, их передачу или сбор
- До 5 лет — в случае с биометрическими данными
- До 6 лет и штраф до 1 млн рублей — использование данных из корысти, приведшее к крупному ущербу. Это касается предварительного сговора или использования служебных полномочий
- До 10 лет и штраф до 3 млн рублей — при трансграничной передаче данных.
Для тех, кто создал ресурс в Сети или же компьютерную программу, которые незаконно хранят и распространяют персональные данные граждан, власти разработали отдельную санкцию. Это обязательный штраф до 700 тысяч рублей и одно из двух: принудительные работы или тюремный срок до 5 лет.
— А что думает бизнес? — А с бизнесом не обсуждали.
Предприниматели неоднократно совершали попытки вступить с регулятором в диалог по поводу нового законопроекта, но так и не были услышаны. Позиция бизнес-сообщества в отношении новых поправок однозначна: подобные штрафы являются несоразмерными доходности российского предпринимательства и будут отрицательно сказываться на ведении деятельности.
Размеры штрафов за утечки увеличат в 150 и в 1600 раз по сравнению с действующими на данный момент суммами за первое и повторное правонарушение соответственно. Для существенной доли компаний такие суммы могут стать несовместимыми с ведением бизнеса или даже «смертельными».
Без вины виноватые
Пока неясно, будет ли предприниматель нести ответственность за факт утечки персональных данных или же только за то, что не принял меры по обеспечению безопасности данных и не устранил последствия таких утечек.
В Ассоциации больших данных считают, что предусмотренный в КоАП размытый состав правонарушения создает ситуацию безвиновной ответственности для компаний. Даже при соблюдении всех требований инфобезопасности и вне зависимости от причин утечки ответственность ложится на предпринимателя. Такой подход законодателей снижает у бизнеса мотивацию для укрепления информационной инфраструктуры. Если ничего не изменится, будет наблюдаться обратный эффект инициативы.
По мнению юристов Right Side:
Помимо наличия или отсутствия вины самой компании, размер штрафа должен обуславливаться объемами утечки, критичностью «слитых» персональных данных, причиненным ущербом, а также объемом выручки организации, потерпевшей утечку. Проект еще будет дополняться положениями о смягчающих признаках, а также, возможно, о компенсации пользователям и сотрудникам в случае утечки. На данном этапе эти моменты в новом законопроекте не прописаны.
Смягчающие обстоятельства
Бизнес-сообщество предлагает подходящие обстоятельства для смягчения наказания, например, добровольный постоянный аудит систем безопасности и добровольная сертификация.
Специалисты Right Side видят наиболее разумным и эффективным вариант, при котором компетентные ведомства совместно с участниками рынка составляют единые меры защиты персональных данных. При условии полного соблюдения компанией разработанных требований в случае утечки ответственность либо снимается целиком, либо наказание смягчается.
Конкуренты и шантаж
Инициатива может привести к возникновению новой разновидности шантажа. Конкуренты могут нанимать хакеров, которые будут взламывать чужие системы безопасности, или же будут формироваться скомпилированные базы, составленные из ранее существовавших. Злоумышленники под угрозой обнародования базы данных смогут шантажировать предпринимателей, у которых не происходило реальной утечки. Конечно, в таком случае прописанный в законопроекте штраф погубит маленькую фирму.
Как защищаться?
В любом случае при возникновении утечек предпринимателю придется доказывать, что им были предприняты все адекватные меры правового, технического и организационного характера для обеспечения безопасности. Очевидно, при судебном разбирательстве потребуется проведение экспертиз на предмет соответствия используемых механизмов защиты уровню угроз. Придется подтверждать факт инвестиций в развитие систем информационной безопасности, их поддержание и прочее.
В каком виде будет принят закон, какие в него будет внесены изменения, и как будет складываться практика, увидим в ближайшем будущем.
