Шадаев: компенсации и страхования граждан за утечки персональных данных не будет

В законопроекте об оборотных штрафах за утечку персональных данных (ПД) не будет норм о страховании и денежных компенсациях пользователям, чьи данные утекли. Об этом министр цифрового развития, связи и массовых коммуникаций России Максут Шадаев сообщил 19 ноября 2024 г. на межотраслевой конференции «Безопасность клиента на первом месте», совместно организованной «Ведомостями» и «Билайном».

Шадаев объяснил это тем, что ни по одному составу административных правонарушений нет такой нормы.

Вопрос введения механизма компенсаций обсуждался в контексте законопроекта с весны 2022 г. Проект был принят Госдумой в первом чтении в конце января 2024 г. Он предполагает, что если утечка ПД коснется от 1000 до 10 000 субъектов, то штраф для допустивших нарушение юрлиц составит от 3 млн до 5 млн руб., утечка данных от 10 000 до 100 000 субъектов стоит от 5 млн до 10 млн руб., более 100 000 – от 10 млн до 15 млн руб. За повторные утечки предлагаются штрафы для виновных в этом граждан (от 400 000 до 600 000 руб.), должностных лиц (от 2 млн до 4 млн руб.), а юрлицам грозит оборотный штраф от 0,1 до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб.

Изначально, еще в 2022 г., Минцифры планировало создать специальный фонд для компенсаций пострадавшим, но довольно быстро отказалось от этой идеи. «При этом мы считаем, что механизм компенсации для пострадавших обязательно должен быть тщательно проработан», – говорил представитель министерства «Ведомостям» в ноябре 2022 г.

Затем Минцифры предложило задействовать портал «Госуслуги» в качестве третьей стороны при распределении компенсаций за утечки ПД, об этом сообщил Шадаев на конференции «Ведомостей» в апреле 2023 г. Но вопрос расчета размера компенсации до сих пор оставался нерешенным.

Но в начале ноября 2024 г. председатель рабочей группы Всероссийского союза страховщиков (ВСС) по страхованию информационных рисков Владимир Новиков на круглом столе в Совете Федерации предложил определять размер компенсации в зависимости от типа данных от 1000 до 5000 руб. на одного человека. Общий лимит страхового покрытия таких рисков предлагался в диапазоне от 5 млн до 1 млрд руб. в зависимости от объема хранимых компанией ПД. Но, по словам Шадаева, вопрос компенсаций снят с обсуждения.

Министр добавил, что разногласия по законопроекту на площадке Госдумы сняты. Последние дискуссии касались смягчающих обстоятельств. «Например, если компания инвестирует в кибербезопасность, заботится о повышении защищенности своей инфраструктуры и ресурсов, то это будет рассматриваться как смягчающие обстоятельства. Мы обсуждали, в каком объеме и как компания должна подтверждать свои затраты на российский кибербез. Фактически сейчас мы вынуждены формулировать условия, которые компании будут выбирать: либо платить большой оборотный штраф, либо вкладываться в кибербезопасность», – объяснил Шадаев.

По его словам, скорее всего, в Госдуме вернутся к рассмотрению законопроекта до конца года. Министр также подчеркнул, что законопроект не имеет обратной силы: штрафы будут применяться к утечкам, которые произошли после принятия закона.

Сейчас Минцифры больше всего волнует антифрод, потому что объем преступлений в цифровой среде растет, добавил Шадаев. По его данным, почти каждое третье зарегистрированное преступление сейчас связано с применением цифровых технологий. «Раскрываемость по ним хуже, чем в целом по преступлениям других видов. И фактически задача, которая поставлена перед Минцифры, – за счет использования набора технологических инструментов и изменения регуляторики кардинально изменить эту ситуацию в ближайшие один-два года», – заключил он.