Утечки до тюрьмы доведут

Эксперты требуют усиления ответственности за нелегальное использование персональных данных

Российское законодательство в сфере оборота персональных данных (ПД) соответствует лучшим международным практикам, а по ряду пунктов превосходит их. Такой вывод делают авторы «Обзора регулирования защиты ПД в зарубежных юрисдикциях» НИУ ВШЭ. Тем не менее действующие штрафы за утечку личной информации не выдерживают никакой критики, подчеркивают эксперты. Авторы обзора поддержали инициативу об ужесточении наказания за нарушения в этой сфере, а также выступили с рядом предложений, которые помогут сократить число утечек ПД.

ШТРАФЫ НЕ ПУГАЮТ

Действующие штрафы за утечку ПД не соответствуют тому ущербу, который наносится в результате допущенных нарушений, не мотивируют бизнес прилагать усилия для защиты ПД и ответственно выполнять требования законодательства, сообщил исполняющий обязанности директора Института конкурентной политики и регулирования рынков (ИКПРР) НИУ ВШЭ Олег Москвитин на пресс-конференции в ТАСС 11 октября. Совместно с коллегией адвокатов «Муранов, Черняков и партнеры» он представил «Обзор регулирования защиты ПД в зарубежных юрисдикциях». Эксперты уверены, что наказание должно быть соразмерно нарушению.

Российское законодательство в области ПД постоянно совершенствуется и по ряду пунктов превосходит европейское. Например, согласно действующему в ЕС Общему регламенту защиты персональных данных (GDPR), компания обязана уведомить о нарушении конфиденциальности данных в течение 72 часов. В России с 1 сентября 2022 года, согласно реформе закона «О персональных данных», об утечке нужно сообщить в течение 24 часов с момента инцидента, а в течение 72 часов – уже проинформировать о результатах внутреннего расследования.

Олег Москвитин заявил, что экспертное сообщество поддерживает инициативу Минцифры России о введении оборотных штрафов. Они должны применяться в два этапа: за первую утечку – фиксированная сумма, при повторной – в зависимости от оборота компании и не менее 4% годовой выручки.

Олег Москвитин, ИКПРР НИУ ВШЭ:

– Оборотные штрафы хороши не только своей величиной, которая заставляет вкладываться в защиту персональных данных, но и тем, что эта система позволяет уравнять крупные и малые компании.

Если компания приложила максимум усилий по защите информации, активно проводила расследование, содействовала надзорному ведомству, это должно расцениваться как смягчающее обстоятельство, добавил эксперт.

МЕЖДУНАРОДНАЯ ПРАКТИКА

В 2022 году в открытом доступе оказались более 230 млн записей о ПД россиян, напомнил юрист коллегии адвокатов «Муранов, Черняков и партнеры» Алим Березгов. Среди нарушителей – логистическая компания, сервис по доставке еды, ритейлер бытовой техники и электроники. Нынешние суммы штрафов от 60 тыс. до 300 тыс. рублей крупные компании могут заложить в годовой бюджет и выплачивать, нарушая дальше.

Эксперты отмечают, что

опыт других стран, где наказания намного жестче российского, говорит о необходимости принятия аналогичного решения

Например, в Великобритании существует административная ответственность и штраф в размере 500 тыс. фунтов. Возможна и уголовная ответственность – лишение свободы при преднамеренном характере нарушений, которые привели к серьезным последствиям. В Японии предусмотрена гражданская ответственность в виде деликта, лишение свободы сроком на шесть месяцев или штраф в размере 300 тыс. иен. Законодательство в сфере ПД Китая предусмотрело штраф на сумму более 50 млн юаней или до 5% годового оборота компании. В Сингапуре – штраф до 5 тыс. долларов США или лишение свободы на срок до двух лет за: несанкционированное раскрытие ПД; ненадлежащее использование ПД; несанкционированную повторную идентификацию анонимной информации.

Практика показывает, что эти меры носят отнюдь не декларативный характер. Управление комиссара по информации Великобритании (ICO) наложило штраф в 204,6 млн евро на британскую авиакомпанию British Airways за утечку 420 тыс. записей ПД ее пассажиров и сотрудников. Национальная комиссия по информационным технологиям и правам человека (CNIL) Франции оштрафовала Google на 50 млн евро за непрозрачность при согласии на обработку и использование ПД пользователей. Сингапурская комиссия по защите ПД (PDPC) оштрафовала медицинского IT-провайдера Integrated health information systems и группу клиник SingHealth в общей сложности на миллион местных долларов за уязвимость в защите ПД пациентов. Сеть отелей Marriott была вынуждена заплатить 124 млн долларов за утечку данных гостей. Twitter оштрафован на 450 тыс. евро Комиссией по защите данных (DPC) Ирландии в связи с недостаточно быстрым раскрытием компанией информации об утечке данных.

ПРОФИЛАКТИКА, ОМБУДСМЕН И ТЮРЬМА

Важен и профилактический подход к защите данных, считают эксперты, активная пропаганда и поддержка со стороны государства деятельности по внедрению корпоративных систем комплаенса в сфере ПД. Подобная практика реализуется в таких сферах, как антимонопольная борьба и противодействие коррупции, отметил Алим Березгов.

Еще одним механизмом, по мнению эксперта, может быть периодический добровольный независимый аудит соблюдения законодательства и мер по защите персональных данных. Кроме того, заслуживает внимания такая мера, как страхование ответственности с выплатами пострадавшим, заключил Алим Березгов.

Эксперты коснулись и возможности введения уголовной ответственности за нарушения в сфере ПД. «Мы считаем, что в России уголовная ответственность должна наступать в случае намеренного несанкционированного доступа к базам данных. Отдельно необходимо ужесточить наказание за незаконное приобретение и последующее распространение ПД несовершеннолетних», – отметил Алим Березгов.

Олег Москвитин, ИКПРР НИУ ВШЭ:

– Мы видим новости о продажах целых баз ПД детей. Это надо наказывать жестко, вводить дополнительные составы в УК, потому что уголовная ответственность позволяет существенно сдерживать такие нарушения.

Он подчеркнул, что важен не сам факт наличия уголовной ответственности, а неотвратимость преследования.

При этом, полагают эксперты,

у компании, которая потеряла базу данных, могут быть не только отягчающие обстоятельства, но и смягчающие

Вплоть до освобождения от ответственности, если она сможет доказать, что предприняла все меры к тому, чтобы не допустить киберкражи.

Эксперты также считают, что в России необходим цифровой омбудсмен, который мог бы отстаивать права как бизнеса, так и граждан и был бы уполномочен вносить те или иные рекомендации на уровне правительства и законодателей. Соответствующий пример есть в Великобритании, где работает комиссар по информации, назначаемый правительством.

«Наша система защиты не только персональных данных, но и в целом цифровой информации может стать одной из лучших в мире. Но для этого нужны изменения в законодательстве», – заявил Олег Москвитин.

Автор: Марина Новикова