Минцифры предлагает персонально наказывать за утечки данных. Новая версия законопроекта, который обсуждают с весны, вводит штрафы для руководителей и владельцев компаний-нарушителей. Как пишут «Ведомости», они могут составить от 200 тыс. до нескольких миллионов рублей. Самые существенные наказания — для ИП и юрлиц. Им могут грозить оборотные штрафы, составляющие 0,02% от выручки компании.
Фото: Анатолий Жданов, Коммерсантъ
Фото: Анатолий Жданов, Коммерсантъ
Об ужесточении ответственности заговорили на фоне крупных утечек, которые произошли в этом году. В сеть попали данные клиентов «Яндекс.Еды», Delivery Club, Wildberries, СДЭК и других компаний. Подробнее о том, как Минцифры предлагает наказывать нарушителей, — в справке “Ъ FM”:
За первую утечку штраф будет фиксированным в зависимости от объема информации, которая попала в открытый доступ. Второй случай будут наказывать оборотным штрафом. Деньги хотят направить в специальный фонд для выплаты компенсаций пострадавшим.
За крупные утечки придется заплатить от 1% до 3% годовой выручки, говорят источники «Ведомостей». Причем важно, скольких конкретных людей удалось идентифицировать. Оборотный штраф назначат, например, если в сеть попала база с 10 тыс. записей, из которых минимум тысячу человек можно точно установить. В случаях, когда в базе больше 100 тыс. строк, руководство компании оштрафуют, если удастся идентифицировать 10 тыс. человек.
Минцифры также обещает учитывать отягчающие и смягчающие обстоятельства. Например, штраф будет меньше, если компания приложила все усилия для предотвращения утечки. Но если нарушение пытались скрыть, наказание будет максимальным.
Пользователи «Яндекс.Еды», чьи данные попали в сеть, подали к сервису коллективный иск. Сейчас его рассматривают в суде. В компании при этом настаивают, что нарушение закона и распространение персональных данных, не доказано. Что изменят предложения Минцифры?
Руководитель практики интеллектуальной собственности юридической компании DRC Владимир Ожерельев полагает, что утечка только номера телефона или электронной почты без привязки к имени не будет считаться нарушением: «То, что они хотят увеличить ответственность именно должностных лиц, это хороший механизм, потому что для крупных компаний, юрлиц, в общем-то, что миллион, что 10 млн, не очень критично.
А вот если штраф в несколько сотен тысяч рублей налагается на конкретного человека, топ-менеджера с каким-то хорошим заработком, это будет мотивировать более внимательно следить за процессами обработки, защитой данных.
Наверное, это пока лучшее из того, что предлагали. Уже давно у нас в практике закреплена позиция, что к персональным данным относится скорее набор какой-то уникальной информации, которая может принадлежать только одному человеку, например, сочетание электронной почты и номера телефона, имени. Если есть отдельно имейл или номер телефона, то это с большой натяжкой можно считать персональными данными».
По данным профильных СМИ, в последние недели утечек информации не стало меньше. Но хакеры чаще атакуют небольшие компании вроде локальных сервисов доставки или магазинов. Для малого и среднего бизнеса штрафы будут чувствительными, но вряд ли нанесут ему серьезный ущерб, считает сооснователь компании «Б-152» Максим Лагутин:
«Есть критерии отнесения к малому и среднему бизнесу, и в ведомстве смотрели, что для компании будет ощутимо, но некритично. Если это прибыльный бизнес, то это, конечно, неприятная ситуация, но жить можно. Вложения в средства защиты могут быть гораздо больше. Подписка на систему реагирования на год значительно дороже штрафа в миллион рублей. Сейчас озвучены только предварительные версии, обсуждения еще идут, и нельзя сказать, что это финальный вариант.
Здесь есть открытые вопросы, критериев, что считать утечкой, кто и как будет это определять, пока нет. Конечно, можно было ввести штраф, но эта отрасль для нашей страны новая, уровень информационной безопасности среднего и малого бизнеса низкий, и есть особенности по ситуации с экономикой. В лоб выписывать большие штрафы — не самый хороший вариант. Плюс у большого IT-бизнеса есть свое лобби, которое и участвует при обсуждении законопроекта. Все хотят сделать аккуратно, иначе бизнес скажет: "Мы и так сейчас в сложной экономической ситуации, так еще и штрафы огромные"».
По данным «Ведомостей», финальную редакцию законопроекта обсудят 6 октября на совещании в Минцифры. Затем документ внесут в Госдуму.
Новости в вашем ритме — Telegram-канал "Ъ FM".