Президент России Владимир Путин поручил к июлю рассмотреть вопрос об оборотных штрафах за утечки информации. Законопроект на эту тему обсуждают с весны 2022-го, а в конце года Минцифры заявляло, что документ готов. Правда, текст до сих пор не опубликовали. Ведомство приводило некоторые детали инициативы. Например, за первое нарушение предлагается назначать фиксированный штраф, а при повторном взыскивать процент с оборота. Кроме того, обсуждалась возможность сделать наказание пропорциональным объему утечки. Из последних идей — установить минимальный размер штрафа в 5 млн руб., а максимальный ограничить 0,5 млрд.
Фото: Ирина Бужор, Коммерсантъ
Фото: Ирина Бужор, Коммерсантъ
Как может работать механизм? И насколько он будет эффективным? На эти вопросы “Ъ FM” ответил Руководитель практики интеллектуальной собственности юридической компании DRC Владимир Ожерельев: «Это самая прогрессивная мировая практика, которая сейчас есть. В первую очередь такой механизм позволяет бороться с крупными компаниями, для которых взыскания даже в несколько миллионов рублей никакой значимости не представляют. Оборотные штрафы — это пока лучшее, что придумали для борьбы со злоупотреблениями именно в больших масштабах.
Принцип такой: если компания приняла все меры по защите, установленные законом, тогда ответственности либо не будет, либо она будет существенно уменьшена. Оптимальным решением было бы установить в законопроекте вилку, в рамках которой можно будет с учетом принципов разумности обозначить ответственность, а также повышать или понижать размер взыскания.
Как можно определить степень вины юридического лица? Для этого есть услуги компаний по кибербезопасности или внутренние специалисты, которые могут определить, почему она произошла, по чьей вине. Может, это были деяния конкретного сотрудника, ставшего злоумышленником, либо какая-то халатность, небрежность — кто-то пароль забыл поменять. Во многих случаях при детальном рассмотрении можно найти причины и понять, кто был виноват в утечке».
Компании, допустившей утечку данных, могут смягчить наказание, если она компенсирует ущерб большинству пострадавших. По крайней мере, о такой опции говорил глава Минцифры Максут Шадаев.
Правда, бизнес пока не понимает, как организовать подобное возмещение, отметил ведущий эксперт по защите персональных данных консалтинговой компании «Б-152» Максим Лагутин. По его словам, к законопроекту в принципе остается много вопросов: ««Во-первых, речь идет о компенсации физлицам, пострадавшим из-за утечки. У данного законопроекта есть некая социальная ниша, но оптимальный механизм работы пока не придуман. Как это все должно работать? Сейчас компаниям предлагается самим компенсировать не менее 2/3 убытков физлиц.
Как понять, кому и как перевести деньги? Должны учитываться и какие-то операционные издержки. Во-вторых, это, конечно, нижний порог утечки. Сейчас предлагают считать от 1 тыс. человек, что очень мало. В таком случае львиная доля бизнеса подпадает под эти возможные штрафы. Естественно, бизнес пытается выторговать в этом законопроекте для себя самые оптимальные условия. Аналогичный европейский проект разрабатывали четыре года, а у нас это пытаются сделать меньше чем за год».
13 января стало известно о новой утечке. В открытом доступе оказались данные пользователей Mail.ru. В компании сообщили, что она произошла с некого стороннего сервиса в начале 2022 года. По словам представителей Mail.ru, сейчас пользователям почты ничего не угрожает.
По подсчетам проекта «Сетевые свободы», в прошлом году произошло не меньше 60 крупных утечек. Речь только о случаях, когда в сети оказывались десятки тысяч или даже миллионы записей. Среди наиболее известных инцидентов утечки у «Яндекс.Еды», Delivery Club, СДЭКа и «Гемотеста».
Новости в вашем ритме — Telegram-канал "Ъ FM".