В России могут ввести оборотные штрафы за утечку персональных данных
Эту инициативу поддерживает МинцифрыПредложение ввести оборотные штрафы для операторов персональных данных (ПД) за их утечки обсуждалось 17 февраля на круглом столе в Совете Федерации по совершенствованию законодательства в сфере оборота ПД. Об этом рассказал «Ведомостям» принимавший в нем участие директор Института исследований интернета Карен Казарян.
По словам Казаряна, один из участников круглого стола сообщил о разработке поправок в законодательство, вводящих оборотные штрафы для операторов ПД за их утечки. Эту информацию подтвердила присутствовавшая на круглом столе директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович. «Введение оборотных штрафов за утечки обсуждалось, с предложением выступил один из представителей экспертного сообщества», – рассказала она. По ее словам, затем один из участников круглого стола сообщил о разработке законопроекта по оборотным штрафам, но не назвала его имя.
По словам двух участников совещания, активнее всех высказывался на тему оборотных штрафов на круглом столе один из чиновников Министерства цифрового развития. «Существующие штрафные санкции не побуждают операторов к безусловному выполнению требований законодательства в области ПД, в связи с чем введение оборотных штрафов, на наш взгляд, будет способствовать снижению количества инцидентов, связанных с утечками ПД», – сообщил представитель Минцифры «Ведомостям».
По словам Орехович, ст. 13.11 КоАП РФ предполагает максимальный штраф для компании за утечку ПД граждан в 500 000 руб., при этом ответственность по другим нарушениям – по тому же закону Яровой – исчисляется миллионами рублей. Поэтому очевидно, что штраф в 500 000 руб. не способен принудить крупные компании исполнять закон, говорит эксперт. «Конечно, введение оборотных штрафов может существенно снизить число утечек. Но очень важно – и на это обратили внимание на заседании представители Роскомнадзора и Совета Федерации – нужно учитывать и степень вины привлекаемого к ответственности юрлица», – продолжила она. Одно дело, когда компания не выполнила необходимые процедуры по защите ПД сотрудников и клиентов, и совершенно другое – когда имел место чисто человеческий фактор, умысел одного из сотрудников, разъяснила Орехович.
У кого утекали персональные данные
В сентябре 2021 г. сообщалось об утечке данных до 2 млн абонентов проводного интернета «Билайна». Максимальный штраф для компании мог составить около 100 000 руб., отмечал Роскомнадзор. Об итогах расследования не сообщалось. В 2019 г. данные 60 млн клиентов Сбербанка оказались на одном из теневых форумов, сообщал «Коммерсантъ». В 2020 г. выгрузивший их сотрудник банка был признан виновным в незаконном получении и разглашении банковской тайны. Он получил почти 3 года колонии-поселения. Также в 2019 г. сообщалось об утечке данных клиентов ВТБ (5000 строк). В банке признавали утечку, сообщали «Известия», но отмечали, что данные были актуальны на 2016 год.
Проводившая круглый стол первый заместитель председателя комитета Совфеда по конституционному законодательству и госстроительству, сенатор от заксобрания Ростовской области Ирина Рукавишникова считает, что принимать решение по оборотному штрафу из-за утечки у любого оператора данных нельзя. Предложение необходимо обстоятельно обсуждать, и ответственность должна быть дифференцирована с учетом размера компании, характера и объема слитых данных и т. п., полагает она. «Нельзя всех равнять под одну гребенку: у нас есть и крупные корпорации, которые отвечают за огромные массивы ПД, а есть и небольшие организации, которые также работают с ПД граждан, но это отнюдь не те огромные массивы, которые есть у корпораций. И к этим структурам следует применять другие подходы», – рассказала сенатор «Ведомостям». Рукавишникова добавила, что оборотные штрафы для любой компании – это «достаточно жесткая мера, применение которой должно быть четко выверено».
По статистике Роскомнадзора, которую привела сенатор, в России в 2021 г. обработку ПД граждан осуществляли свыше 6 млн компаний и ИП. Общее количество баз персональных данных, с которыми работают эти операторы, превышает 3 млн и, подчеркнула Рукавишникова, эти цифры будут неуклонно расти. «Допускать преднамеренные или случайные утечки ПД должно быть совершенно невыгодно любому бизнесу. А сегодняшние штрафы для некоторых операторов значительно дешевле, чем действенная защита баз персональных данных россиян от утечек, что делает граждан уязвимыми», – считает сенатор.
В необходимости введения оборотных штрафов уверен и член комитета Госдумы по информполитике, IT и связи Антон Немкин, приглашенный участвовать в круглом столе. «Очевидно, что в сложившихся условиях необходимо корректировать законодательство, защищающее ПД россиян. В частности, следует ужесточить ответственность операторов ПД», – передал депутат «Ведомостям» через представителя.
В пресс-службе Роскомнадзора не ответили на запрос «Ведомостей».
Операторами ПД в России являются, по сути, все компании – хотя бы потому, что они оперируют данными сотрудников, не говоря уже о клиентах, обращает внимание руководитель отдела развития бизнеса центра продуктов Dozor «Ростелеком-Солара» Алексей Кубарев. Но лишь единицы из них принимают эффективные меры по защите данных клиентов, а большинство не делает ничего, добавляет руководитель центра реагирования на инциденты кибербезопасности (CERT) компании Group-IB Александр Калинин. Самыми крупными операторами ПД являются телекомоператоры, банки, транспортные компании, продолжает Кубарев.
Оценить средний объем средств, которые тратят компании на защиту ПД, сложно, поскольку компании обрабатывают разные виды данных и по-разному их защищают, добавил эксперт. Ориентировочно на это тратится от 1 млн руб. в год в средних по размеру организациях. «Так, например, на защиту данных медицинской категории или данных банковских карт, скорее всего, выделяется больше средств, чем, скажем, на некую общую справочную базу данных, содержащую ФИО, адрес электронной почты и номер телефона», – говорит Кубарев. В целом [оборотный] штраф, который зависит от выручки компании, «является довольно действенной мерой простимулировать операторов ПД озаботиться не бумажной, а реальной защитой данных граждан», считает он. Калинин отмечает, что за рубежом есть работающая практика и судебные решения со штрафами, которые рассчитывались как процент от дохода компании за год (в среднем от 2 до 4%).
С выводами о позитивном эффекте оборотных штрафов не согласны в мобильном операторе Tele2. «Утечка данных не приводит к увеличению оборота, напротив, нарушитель наказывает себя потерей лояльности абонентов и ущербом для репутации. Поэтому считаем идею оборотных штрафов нелогичной и излишней», – говорит представитель компании. Он добавил, что ранее оборотные штрафы вводились в России за ограничение конкуренции и в отличие от штрафов за утечки там была своя логика, так как при ограничении конкуренции нарушитель увеличивал доход за счет потерпевших участников рынка.
Представитель «Яндекса» воздержался от комментариев. «Ведомости» также направили запросы в VK, телекомоператорам, в Сбербанк, ВТБ и Газпромбанк.