Утечкам не позволили смягчиться

Администрация президента не одобрила поправки ко второму чтению законопроекта об оборотных штрафах за утечки персональных данных, подготовленные Минцифры. Они предполагали смягчить наказание для проштрафившихся компаний при соблюдении определенных условий. Представители крупного бизнеса и профильных ассоциаций надеются, что смягчающие обстоятельства попадут в заключительную версию законопроекта.

Выйти из полноэкранного режима

Развернуть на весь экран

Государственно-правовое управление президента в начале апреля подготовило отрицательный отзыв на поправки ко второму чтению законопроекта об оборотных штрафах за утечки перcональных данных, утверждают источники “Ъ”. Поправки были разработаны при участии Минцифры и направлены в аппарат президента (АП) в середине марта, рассказали “Ъ” четыре источника, знакомые с проектом поправок. По их словам, в поправках предлагалось ввести смягчающие обстоятельства для компаний: направлять 0,1% оборотных средств на кибербезопасность, при этом выплачивать компенсации пострадавшим и соответствовать требованиям закона о персональных данных. Если компания соблюдает все условия, то ей назначается наказание по нижней границе.

Предложение о выделении обязательного процента от оборотных средств на кибербезопасность не нашло поддержки в управлении АП. Кроме того, определение идентификатора, который позволит определить размер утечки, должно быть указано в законе о персональных данных, а не в КоАП, как предложено сейчас, а компенсации должен назначать суд. Также в отзыве указано, что состав правонарушения должен быть четко определен, сейчас он описан как «действие или бездействие лица, повлекшее неправомерную передачу информации».

В Минцифры “Ъ” сказали, что вместе с «заинтересованными ведомствами» прорабатывают поправки ко второму чтению, а итоговая версия еще не сформирована. Глава комитета Госдумы по информполитике Александр Хинштейн говорит, что поправки ко второму чтению «будут, некоторые из них сейчас обсуждаются». В администрации президента не ответили “Ъ”.

Появление в законе смягчающих обстоятельств в компании «МегаФон» считают справедливым. «Применение такого механизма дифференциации административной ответственности позволит избежать необоснованно высоких штрафов в отношении компаний, которые несут существенные затраты на обеспечение информационной безопасности и защиту персональных данных»,— сказали “Ъ” в пресс-службе компании. В МТС добавляют, что при ужесточении ответственности за утечки «необходимы и смягчающие обстоятельства». В компании считают, что «мера ответственности тех, кто ничего не делал для обеспечения защиты данных, и тех, кто предпринял максимум имеющихся возможностей, не может быть одинаковой».

Вопрос определения степени вины компании за утечку данных пользователей является спорным для участников рынка.

Так, руководитель группы OSINT центра противодействия киберугрозам SOC CyberART Innostage Альберт Антонов считает, что компания в любом случае несет ответственность за утечку, даже если она была атакована, а не допустила ошибку. В Ассоциации больших данных (АБД; объединяет МТС, «Сбер», «Яндекс» и др.) считают, что если компания «невиновна в утечке», то ее привлечение к ответственности недопустимо. В АБД сказали, что выступают за «четкую формулировку состава правонарушения и перечень смягчающих обстоятельств, стимулирующих компании инвестировать в информационную безопасность». Однако там добавили, что механизм компенсаций пострадавшим от утечек «вызывает вопросы в части администрирования и несет риски злоупотреблений».

Руководитель направления защиты информации облачного провайдера «Нубес» (Nubes) Дмитрий Шкуропат добавляет, что у компаний «все более популярным является использование механизма аутсорсинга для обеспечения ИБ». Это может стать проблемой в случае утечки, предупреждает он: «Все стороны будут перекладывать вину на другого, в таком случае нужно сразу разграничивать зоны ответственности на уровне договоров».

Алексей Жабин