Минцифры предлагает ужесточить наказание за утечки биометрии и сведений об интимной жизни

Операторы персональных данных говорят о необходимости более системного подхода к их защите
В законе нет прямого перечисления, какие именно данные признаются биометрическими
В законе нет прямого перечисления, какие именно данные признаются биометрическими / Владимир Гердо / ТАСС

Предложение о более суровой ответственности за утечки биометрии, а также данных нескольких «специальных категорий» содержится в версии законопроекта об оборотных штрафах за утечки персональных данных (ПД), которую представило в конце ноября Минцифры (разработка нового законопроекта ведется с весны). «Ведомости» ознакомились с копией документа. Обсуждение новаций подтвердил представитель Минцифры.

По его словам, пункт о более жесткой ответственности за утечки отдельных категорий данных обсуждается министерством с отраслью с лета 2022 г. «Такие ПД относятся к наиболее чувствительным, поэтому мы добавили этот пункт в перечень отягчающих обстоятельств», – отметил он.

Среди отягчающих факторов в документе предлагается учитывать характер утекших ПД. Если в сеть сольются «базы данных (или их части), содержащие «специальную категорию» ПД или биометрические ПД», то это будет учитываться при назначении административного наказания, отмечается в законопроекте. Но как именно этот факт будет влиять на решение о сумме штрафа, не сообщается.

К смягчающим факторам относятся предложения о компенсациях пострадавшим от утечек («Ведомости» писали об этом предложении 28 ноября), а также добровольный аудит защищенности данных (см. «Ведомости» от 31 августа) и ряд других параметров.

К специальной категории ПД относятся данные о состоянии здоровья, о наличии судимости, религиозных убеждениях и т. п., пояснил «Ведомостям» бизнес-консультант по информационной безопасности (ИБ) Positive Technologies Алексей Лукацкий. К такой информации также относятся данные о расовой и национальной принадлежности, политических взглядах, интимной жизни, добавил партнер адвокатского бюро «Юрлов и партнеры» Глеб Ситников. К биометрическим данным относятся биометрия лица, отпечатки пальцев и все те данные, которые характеризуют физиологические и биологические особенности человека, добавил он.

Но в законе нет прямого перечисления, какие именно данные признаются биометрическими, говорит партнер коллегии адвокатов Pen & Paper Екатерина Тягай. «Например, по мнению Минцифры, к биометрическим ПД относятся «фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина», – отметила она.

Самыми крупными операторами данных «специальной категории» являются соцсети, различные телемедицинские сервисы, лаборатории по сдаче анализов, производители гаджетов в сфере здравоохранения (пульсоксиметры, глюкометры и др.), если они имеют привязку к облачным сервисам, пояснил эксперт по защите ПД консалтинговой компании Б-152 Максим Лагутин. Держателями биометрических данных являются банки, различные сервисы каршеринга и др. «По закону к этим данным предполагаются повышенные требования по защите. Это наиболее чувствительные данные для человека, именно поэтому их утечка может привести к более серьезным последствиям, чем, например, утечка финансовых данных», – добавил Лагутин.

Какие оборотные штрафы сейчас обсуждаются

Как сообщали «Ведомости» 28 ноября, в актуальной версии законопроекта структуре, допустившей утечку данных 1000–10 000 граждан, грозит штраф до 5 млн руб., а должностным лицам – до 600 000 руб. Если утекло свыше 10 000 записей, штраф для компании составит до 10 млн руб., а для должностных лиц – до 800 000 руб. Повторные утечки будут стоить компаниям уже 0,5–3% от выручки за год.

Основное отличие в обороте биометрических и специальных данных от обычных ПД – это необходимость наличия письменного согласия на их обработку, пояснил Ситников. К такому согласию предъявляются гораздо более строгие формальные требования, чем к обычному информированному согласию на обработку данных, отметил юрист. «Это значительно усложняет организацию обработки специальных и биометрических ПД и создает больше рисков для операторов и больше оснований для жалоб и требований со стороны субъектов», – добавил Ситников.

К вопросу сохранности личных данных граждан следует подходить совместно и операторам данных, и государству, обращает внимание заместитель гендиректора по ИБ лаборатории «Гемотест» Сергей Тоток. Тем не менее всех мер может быть недостаточно для любого оператора, добавил топ-менеджер. По его словам, в силу геополитической ситуации отечественные компании атакуют различные хакерские группировки, которые финансируются «в гораздо больших объемах, чем частный бизнес, в том числе из-за рубежа». «В подобных условиях медучреждению или любому другому юрлицу практически невозможно противостоять киберугрозам. В связи с этим логичнее говорить о совместной с государством и силовыми органами защите баз данных, а уже потом об ответственности за их сохранность», – резюмировал Тоток.

При обсуждении законопроекта прежде всего необходимо проработать сбалансированный подход, учитывающий текущий уровень защиты в каждой конкретной кредитной организации, полагают в банке «Тинькофф». «Штрафные санкции необходимо ранжировать в зависимости от текущих усилий компании в области защиты данных. Те, кто уже направил достаточно средств и имеет соответствующий уровень защиты, по нашему мнению, должны облагаться минимальными штрафами», – сообщил «Ведомостям» представитель банка.

В подготовке статьи участвовала Анна Киселева