Минцифры предлагает ввести персональную ответственность за утечки данных

Ведомство доработало закон об оборотных штрафах и предусмотрело в нем ответственность для должностных лиц
Максут Шадаев анонсировал штрафы за утечки данных весной 2022 г.
Максут Шадаев анонсировал штрафы за утечки данных весной 2022 г. / Сергей Пятаков / РИА Новости

Минцифры доработало законопроект об оборотных штрафах за утечки персональных данных. В новой версии предусмотрены штрафы не только для компаний, но и для их должностных лиц. Для руководителей компании, допустившей утечку данных от 10 000 до 100 000 субъектов, штраф составит 200 000–400 000 руб. Для ИП и юрлиц штраф за такое же происшествие составит 0,02% от оборота, но не менее 1 млн руб., говорится в повестке к совещанию по вопросам регулирования законодательства в области персональных данных, которое пройдет в Минцифры 6 октября. «Ведомости» ознакомились с документом, его подлинность подтвердил федеральный чиновник.

Сейчас КоАП предусматривает штрафы за утечку данных только для юрлиц – от 60 000 до 100 000 руб., при повторном правонарушении – до 500 000 руб. Законопроект об оборотных штрафах обсуждается с весны этого года, с этим предложением в апреле выступило Минцифры. Позже министерство согласовало законопроект, предполагающий штраф в размере 1% от годовой выручки и до 3%, если компания своевременно не сообщила об утечке в Роскомнадзор. В новой версии документа такой порядок штрафов предусмотрен только для компаний, действия которых привели к утечке баз данных, содержащих более 100 000 записей, объясняет собеседник «Ведомостей», знакомый с ходом обсуждения документа.

О проработке новой версии законопроекта Минцифры сообщило в конце августа, писали «Ведомости». Среди параметров, включенных в новую версию, – применение более мягких мер в случае, если утечка произошла впервые и если компания приложила усилия к защите информации. Добровольный аудит систем информбезопасности компании, согласно предложению Минцифры, мог бы рассматриваться «как смягчающее обстоятельство» и быть «подтверждением мер, принятых для защиты от утечек», говорилось в официальной позиции ведомства касательно статуса законопроекта.

В новой версии законопроекта также оговаривается, что оборотные штрафы применяются в случае, если утечка базы данных объемом от 10 000 до 100 000 записей позволяет определить принадлежность этих данных не менее чем 1000 конкретных субъектов, а в случае, если объем утечки превышает 100 000, то 10 000 субъектов. Из этого следует, что за утечки баз, не позволяющих идентифицировать достаточное количество субъектов персональных данных, штрафы налагаться не будут.

Персональная ответственность должностных лиц в случае утечки данных пользователей сервисов или клиентов компании будет весьма эффективной мерой, считает технический директор АО «Синклит» Лука Сафонов: «В случае принятия такая мера будет способствовать тому, что должностные лица будут принимать соответствующие меры для обеспечения надежной защиты персональных данных». По его оценке, размер штрафа в 200 000–400 000 руб. вполне подъемный для руководителей.

С ним не согласен руководитель отдела консалтинга Group-IB Роман Сюбаев: «Персональная ответственность за утечку персональных данных не является в целом оправданной мерой, поскольку утечка, как правило, является результатом неправильно выстроенных процессов обработки, защиты или хранения информации». Эффективность данных процессов зависит не только от ответственного за обработку персональных данных, но и от достаточного бюджетирования информбезопасности в компании, от вовлеченности всех бизнес-подразделений компаний в процесс защиты, отмечает эксперт. Фокус на штрафах для компаний, а не на «личных» штрафах больше будет мотивировать бизнес ответственно относиться к защите персональных данных, полагает Сюбаев.

Важен не столько размер ответственности и даже не сама опасность попасть под нее, сколько правоприменительная практика, которая сейчас отсутствует, напоминает бизнес-консультант по информбезопасности Positive Technologies Алексей Лукацкий. В данном случае указанная норма вводится для чиновников и госслужащих, работающих в органах власти, для которых неприменимы оборотные штрафы, полагает он.

«Личная персональная ответственность – это не совсем то направление, в котором нужно смотреть», – говорит основатель и гендиректор «Бюро цифровых технологий» Виталий Зарубин. Внутри компаний есть определенные выстроенные бизнес-процессы, должностные лица входят в иерархию, структуру компании, соответственно, персональная ответственность всегда находится на генеральном директоре, владельце бизнеса и непосредственно компании, объясняет он. Поэтому назначать штраф нужно не с должностных лиц, а с оборота компании, что будет «допустимым и логичным», говорит Зарубин.

«В настоящий момент не совсем понятно, будут ли налагаться санкции за утечки хешированных или зашифрованных данных, не позволяющих определить принадлежность их субъектам, – рассуждает Лукацкий. – Также непонятно, каким образом и кто должен доказывать, что утекшая база не является фейком или скомпилированной из ранее утекших баз данных». Для ответа на этот вопрос необходимо проводить расследование со стороны Роскомнадзора, возможно с привлечением экспертных организаций, но как внести эту норму в КоАП, не совсем понятно, отмечает эксперт. В отличие от Уголовного кодекса, который прямо предусматривает проведение доследственной проверки и следственных мероприятий, КоАП таких проверок не предусматривает, объясняет Лукацкий.

То, что происходит с утечками персональных данных в последний год, недопустимо, особенно на уровне компаний вроде «Яндекса» и «Сбера», рассуждает Зарубин. Каждый случай действительно требует индивидуального рассмотрения в зависимости от полноты персональных данных, от того, каким образом произошла утечка, соглашается он с Лукацким. «Штраф – это последствие. А нужно устранять саму причину», – заключает Зарубин.

Минцифры не ответило на запрос «Ведомостей».