Забуксовали из-за штрафов
Почему откладывается принятие закона об ужесточении наказания за утечки персданных
Законопроект о введении оборотных штрафов за факт утечки персональных данных был внесен в Госдуму еще в 2023 году, однако до сих пор прошел только первое чтение. Основной причиной задержки стали серьезные разногласия между Ассоциацией больших данных (АБД) и Минцифры. О том, какая редакция законопроекта позволит учитывать интересы граждан и бизнеса, – в материале RSpectr.
КОНФЛИКТ ИНТЕРЕСОВ
На заседании ИТ-комитета Госдумы по утверждению кандидатуры Максута Шадаева на пост главы Минцифры 12 мая депутат Александр Хинштейн сообщил, что по тексту законопроекта по оборотным штрафам за нарушение порядка обработки персональных данных ко второму чтению остались вопросы, и они до сих пор не отрегулированы с Минцифры и Ассоциацией больших данных (АБД).
В связи с этим
поправки ко второму чтению будут выносить не ранее конца лета
рассказал RSpectr член Комитета по информационной политике, информационным технологиям и связи Госдумы Антон Немкин.
Власти планируют введение оборотных штрафов для тех, кто недостаточно хорошо защищает персональные данные, и изменений в УК РФ для тех, кто целенаправленно занимается их хищениями, заявил замглавы Минцифры Александр Шойтов на дне «Экономики данных и цифровой трансформации государства», который прошел на выставке-форуме «Россия» 18 мая.
Александр Шойтов, Минцифры:
– Эти мероприятия позволят повысить уровень информационной безопасности за счет того, что компании – операторы ПД увеличат инвестиции в свои системы кибербезопасности, а уголовная ответственность поможет наказывать преступников и предотвратит граждан от незаконного сбора и продажи персданных.
Одним из основных возражений АБД к этому законопроекту является неопределенность состава правонарушения, фактически вводящая ответственность независимо от наличия вины оператора, сообщили RSpectr в пресс-службе Ассоциации. Также в числе возражений в АБД назвали отсутствие смягчающих обстоятельств, к которым можно было бы отнести дополнительные меры по защите персональных данных (ПД), предпринятые оператором, и неоправданно высокие суммы штрафов.
Пресс-служба, АБД:
– Это представляется особенно опасным в ситуации неопределенного состава правонарушения и отсутствия смягчающих ответственность обстоятельств.
В Минцифры на момент публикации на запрос RSpectr не ответили.
Сегодня не только правительство РФ дает отрицательные замечания на этот законопроект, но и объединяющий самые крупные банки Национальный совет по финансовым рынкам (НСФР), Ассоциация интернет-торговли (АИТ), поделился с RSpectr член ассоциации юристов России (АЮР) Сергей Хаустов.
Кроме того, отметил он,
крупные корпорации в той или иной форме не согласны с размером наказания и условиями привлечения к ответственности
Сергей Хаутов, АЮР:
– Оборотные административные штрафы воспринимаются участниками рынка как дискриминация по сравнению с государственным сектором, где также возможны нарушения при обработке ПД, а «оборота» нет в силу его статуса.
При привлечении операторов персданных к ответственности могут возникнуть банкротства, а поиск виноватых позволит усилить «парафискальную» нагрузку на бизнес, пояснил юрист. По его словам, упрощенно говоря, штрафы вменяются ради пополнения бюджета, а не для создания системы охраны данных граждан.
ПОИСК КОМПРОМИССА
Малый и средний бизнес от лица общественной организации «Опора России» уже просил депутатов смягчить законопроект об оборотных штрафах после его принятия в первом чтении, поскольку эти компании могут оказаться под риском банкротства. Также вместе с «Опорой России» в Госдуму обратились «Деловая России», Российский союз промышленников и предпринимателей (РСПП) и Торгово-промышленная палата (ТПП) РФ, они предложили поднимать штрафы за каждую утечку данных.
Концепция нового законопроекта не нова, она копирует известную норму европейского свода законов GDPR, которая предусматривает оборотный штраф не только за утечку данных, но и за сам факт ее утаивания, отметил в беседе с RSpectr председатель комиссии по финансовой безопасности Совета ТПП РФ по финансово-промышленной и инвестиционной политике Тимур Аитов.
Тимур Аитов, ТПП РФ:
– Однако практика применения норм GDPR в Евросоюзе уже показала, что закон не всегда срабатывает, а проблемы связаны с доказательством факта утечки и поиском виновного.
На одном из профильных форумов, где обсуждали законопроект, эксперты грустно шутили,
что наши граждане пострадают дважды: у них сначала украдут данные, а потом они еще и заплатят за это
Потому что компания, допустившая утечку, для выплаты миллиардных штрафов тут же поднимет тарифы, полагает Тимур Аитов.
Эксперт уверен, что
принятие закона тормозят компании, которые потенциально создают утечки, а, возможно, и торгуют персональными данными
В этой группе могут оказаться и телекоммуникационные компании.
«Телекомы сегодня оказывают профильные услуги тем же банкам, привлекая клиентов в офисы на основе данных о геолокации клиентов, привязанных еще и по времени нахождения в данной точке. Конечно, все персданные в подобных проектах анонимизированные, но случаются ошибки», – пояснил он.
По его мнению, очень много небольших компаний, которые также не заинтересованы во введении штрафов, и что происходит с ПД в них – неизвестно. Тимур Аитов уверен, что ставки здесь высоки: в СМИ уже появились яркие сравнения персональных данных с новым «цифровым золотом», на котором можно хорошо заработать.
Кроме введения оборотных штрафов, есть и другие инициативы, напомнил он. Например, предложение Центробанка отлучать от должности сроком до десяти лет руководителя службы ИБ банка, в котором произошли заметные хищения или утечки.
Многим участникам рынка, по словам Тимура Аитова, нравится такой подход: владельцам персональных данных (тем, кто «засветился» и попал в список пострадавших) компенсировать ущерб, возможно, за счет сумм штрафов. Однако эксперт не слышал, чтобы кому-либо удалось получить компенсацию за утечку на практике.
Штраф – это не защита бизнеса или владельца персональных данных, сообщили RSpectr в пресс-службе Всероссийского союза страховщиков (ВСС).
Получателем штрафа является бюджет: то есть в случае наложения штрафа пострадавшее лицо никаким образом не защищается.
Тот, кто оплатил штраф, все равно несет ответственность перед пострадавшим лицом.
Пресс-служба, ВСС:
– Необходимо вообще отказаться от идеи наложения или применения штрафов, но продумать и реализовать механизм гарантированной защиты лиц, персональные данные которых не просто утекли, а их несанкционированное использование нанесло прямой материальный ущерб владельцу.
При этом размер компенсации ущерба должен быть не фиксированной суммой – условной или формальной, а быть равен фактически нанесенному ущербу, доказанному и подтвержденному, лицу – владельцу этой информации, уверены в ВСС.
ИДЕАЛЬНЫЙ ЗАКОНОПРОЕКТ
Ответственность за утечки ПД должна быть выше, чем сейчас, и в АБД с этим согласны, отметили в объединении. Вместе с тем состав правонарушения должен быть конкретным: несоблюдение организационных, технических и правовых мер, которые привели к утечке.
Пресс-служба, Ассоциация больших данных:
– Как и в других странах, где существует оборотная ответственность, должны быть предусмотрены обстоятельства, смягчающие ответственность, в том числе дополнительные меры по обеспечению безопасности, добровольных стандартов, инициатив саморегулирования, использование технологий повышения конфиденциальности (обезличивания, криптографических алгоритмов).
Правильнее сменить направление усилий и заходить, что называется, с «другого конца», рассуждает Тимур Аитов.
То есть наказывать продавцов баз данных и тех, кто конкретно совершает рассылки или звонки без согласия абонента
Тимур Аитов, ТПП РФ:
– Да, многие кол-центры находятся за пределами России, однако злоумышленники работают и на нашей территории: обнаружить и наказать их, чтобы другим было неповадно, не так уж сложно.
Механизмы контроля согласий граждан уже имеются: они могут быть выстроены по образцу контроля за кредитными историями, можно использовать и более современные технологии вроде Mobile ID, пояснил эксперт.
Компромиссной редакцией станет отсрочка вступления законопроекта на шесть месяцев от принятия, рассуждает юрист Сергей Хаустов (в редакции первого чтения законопроект должен вступить в силу через 30 дней после опубликования), и сегментирование ответственности и ее детализация – в зависимости от совершенного деяния оператором по обработке персональных данных, добавил он.
Сергей Хаустов, АЮР:
– Вводить усиленную ответственность необходимо, поскольку персданные – это новая валюта цифровой экономики. Нужно правоприменение и практика действия новых для российского правопорядка норм, а также судебная практика.
Идеал законопроекта, по его мнению, нереален, но возможно
создание цивилизованного использования данных граждан с их однозначного и добровольного согласия
Сегодня компании стали умалчивать о «сливе» данных, а именно эти сведения становятся чувствительным для всего общества, поскольку утечки порождают волны телефонного мошенничества.
Екатерина Лаштун
Изображение: RSpectr, duma.gov.ru