Утечки изымают из оборотных
Банкиры предлагают изменить подходы к штрафованию нарушителей
Представители банковского сообщества обратились к властям с просьбой отказаться от введения оборотных штрафов за утечки информации. Участники рынка называют меру дискриминационной, поскольку у государственных учреждений, например, нет оборота и наказание не будет для них действенным. При этом, подчеркивают банкиры, выставление ими регрессивных исков к поставщикам программного обеспечения может привести к банкротству заметного числа компаний, работающих в области кибербезопасности.
Фото: Александр Коряков, Коммерсантъ
Фото: Александр Коряков, Коммерсантъ
Ассоциация банков России (АБР) в начале марта обратилась в Минцифры (“Ъ” ознакомился с письмами) с предложением отказаться от введения оборотных штрафов за утечку информации при повторном нарушении — законопроект об этом принят Госдумой в первом чтении (см. “Ъ” от 10 января).
В одном из документов АБР называет меру дискриминационной, поскольку у госучреждений нет оборота и, соответственно, с них этот штраф взять невозможно, в отличие от коммерческих организаций.
То есть «совершение одного и того же правонарушения влечет для первого и второго разную ответственность, что является нарушением конституционного принципа равенства всех перед законом и судом», подчеркивают в АБР. В письме приводятся примеры, когда утечки происходили именно из государственных и муниципальных учреждений.
Кроме того, как говорится в другом письме, оборотные штрафы «могут иметь негативные последствия для компаний, занимающихся информационной безопасностью, и IT-отрасли в целом». Кредитная организация взаимодействует со многими сервисами, поясняют в АБР, и во всех случаях происходит обмен файлами в автоматическом режиме. Таким образом, при проникновении в систему одного из участников обмена «велика вероятность заражения или кражи данных у других участников». С учетом сложившейся судебной практики административный штраф относится к реальному ущербу, уточняют в АБР, то есть можно предъявить регрессные требования к контрагенту.
В Минцифры не ответили на запрос “Ъ”.
Максут Шадаев, глава Минцифры, 15 декабря 2023 года:
«Для добросовестных организаций, которые честно исполняют требования закона (об оборотных штрафах за утечки данных.— “Ъ”), должны быть смягчающие обстоятельства».
Как пояснил “Ъ” исполняющий обязанности президента АБР Алексей Войлуков, ситуация, когда для коммерческих организаций ответственность за утечки существенно ужесточается, а госучреждения остаются фактически безнаказанными, «представляется несправедливой». По его мнению, можно отказаться от оборотных штрафов и «зафиксировать ту вилку, которая сейчас обозначена в законе — 20–500 млн руб.».
В то же время господин Войлуков считает верхний порог штрафа «совершенно чрезмерным, поскольку, например, крупный банк, получив подобный штраф, может вчинить регрессивный иск компании-поставщику, от которой получил программное обеспечение, ставшее причиной утечки». Для большинства таких компаний штраф в сотни миллионов рублей «приведет к банкротству», полагает Алексей Войлуков.
Глава Национального совета финансового рынка Андрей Емелин добавляет, что оборотный штраф в качестве санкции предполагает извлечение нарушителем экономической выгоды из своего поведения: «Такой штраф фактически направлен на изъятие денежных средств, полученных в виде экономической выгоды в результате противоправных действий».
Однако утечки персональных данных оборачиваются для допустивших их компаний и банков лишь убытками, поскольку сопряжены с прямыми и косвенными издержками — влекут за собой ущерб IT-инфраструктуре, бизнес-процессам, несут репутационный ущерб, приводят к оттоку клиентов, подчеркивает господин Емелин.
Вся совокупность потерь с учетом оборотных штрафов, по его мнению, «может привести к приостановке бизнеса и даже к банкротству».
Руководитель отдела консалтинга и аудита Angara Security Александр Хонин подтверждает, что в случае принятия законопроекта в действующей редакции риски возникают для всех участников рынка, включая IT-компании.
«В ряде случаев утечки данных не приносят никакого ущерба их владельцам, и такие аспекты стоит учитывать при определении как размера штрафа, так и в целом необходимости его применения»,— полагает господин Хонин. По его мнению, законопроект требует доработки «как в части определения общих механизмов применения оборотных штрафов, так и отдельных критериев при их вынесении».