Инициативы об ужесточении ответственности за утечку персональных данных обсуждаются уже давно. Изначально проект федерального закона разрабатывался Минцифры России. Сейчас же в Правительство РФ для получения официального отзыва направлен документ, подготовленный рядом сенаторов и депутатов.
Практически ежедневно появляются новости об инцидентах в сфере информационной безопасности. И каждый из нас понимает, что в открытом доступе могут появиться данные об имуществе, покупках, перемещениях и другая чувствительная информация. При этом действующие размеры штрафных санкций, конечно, являются низкими. Репутационными же рисками озабочены, к сожалению, не все.
Безусловно поддерживаем разработку регуляторных мер, направленных на повышение защиты персональных данных. Необходимо и усиление ответственности компаний за допущение утечки персональных данных. Но должен быть найден баланс между интересами государства по защите персональных данных граждан, с одной стороны, и развитием бизнеса, с другой. И главное – решения о введении тех или иных штрафов, особенно налагаемых на оборот компаний, должны всегда детально обсуждаться с бизнесом, то есть с теми, кому эти штрафы грозят.
Основные изменения вносятся в статью 13.11. «Нарушение законодательства Российской Федерации в области персональных данных» КоАП РФ, которую предлагается дополнить семью новыми частями. Вводится градация ответственности в зависимости от объема «утекшей» информации, серьезно ужесточаются штрафные санкции за все категории нарушений, а за повторные правонарушения, выражающиеся в серьезной «утечке» персональных данных, предлагается установить оборотные штрафы от 0,1% до 3% выручки компании за прошлый год (или часть года, если деятельность не велась), но не менее 15 млн руб. и не более 500 млн руб. В случае же если в открытый доступ попали биометрические данные, то минимальный штраф составит 20 млн руб.
Эти и ряд других новаций в сфере оборота персональных данных вызвали очень большую обеспокоенность представителей бизнес-сообщества. Свои замечания и предложения озвучили многие общественные объединения. Предполагаемое регулирование фактически затрагивает весь российский бизнес, так как даже компании, просто хранящие информацию о контрагентах и кадровом составе, являются операторами персональных данных.
Одно из главных замечаний заключается в том, что ни одна из существующих инфраструктур информационной безопасности не способна гарантировать полную защищенность и неуязвимость хранимых данных. Более того, злоумышленники находят все новые и новые уязвимости и механизмы доступа к внутренними информационным системам, а возможные средства защиты, к сожалению, зачастую находятся на шаг позади и придумываются по результатам уже случившихся инцидентов. Это наглядно показывают и утечки, случившиеся у лидеров IT-рынка.
Законопроект не учитывает предпринимаемые компанией меры по обеспечению информационной безопасности. В предпринимательском сообществе обсуждается в том числе идея формирования Минцифры перечня аккредитованных компаний, занимающихся вопросами информационной безопасности. Проведенный ими независимый аудит мог бы выступать подтверждением того, что компанией приняты исчерпывающие меры по обеспечения безопасности своих информационных систем, а это должно учитываться при определении размера потенциального штрафа.
Предлагаемый размер оборотного штрафа может потенциально остановить хозяйственную деятельность и привести к банкротству. К примеру, в сфере ритейла маржинальность в среднем невысока. Более того, взысканный с организации штраф никак не будет способствовать укреплению её информационной безопасности, более того, ослабит финансовые возможности по устранению последствий утечки и организации более совершенной системы безопасности.
Законопроект создает риск информационных атак на компанию не только с целью получения непосредственно персональных данных, но и с целью воздействия на её хозяйственную деятельность. Подобная схема может быть применена как в рамках недобросовестной конкурентной борьбы, так и в попытках дестабилизации отечественной экономики со стороны третьих стран, что подтверждается участившимися случаями хакерских атак. В этой связи необходимо законодательно закрепить термин «умышленная информационная атака».
Проектом федерального закона устанавливается ответственность за неуведомление или несвоевременное уведомление не только уполномоченного органа по защите прав субъектов персональных данных, но и субъектов персональных данных. При этом в федеральном законе «О персональных данных» для оператора предусматривается обязанность по уведомлению только регулятора, так как отсутствует понимание того, что должно считаться надлежащим выполнением обязанности по уведомлению субъектов.
Законодательной инициативой устанавливается штраф в размере от 1 млн руб. до 3 млн руб. за неуведомление или несвоевременное уведомление регулятора за факт утечки. Само по себе направление уведомления не оказывает влияния на ликвидацию последствий «утечки», поэтому предлагаемый размер штрафа не соответствуют ущербу, который может повлечь несвоевременное уведомление.
Одновременно с ужесточением ответственности нужны меры поддержки, которые бы стимулировали компании инвестировать средства в обеспечение информационной безопасности, обеспечивали бы импортозамещение технологий защиты данных, облегчали и удешевляли их внедрение в бизнесе.
Убеждены, что только диалог всех сторон позволит выработать такую редакцию законопроекта, которая одновременно повысит защищенность персональных данных граждан, выведет вопросы обеспечения информационной безопасности в приоритетную повестку для компаний, пока не уделяющих им достаточного внимания, и при этом не поставит бизнес в тяжелое положение.
