Анастасия Башкатова
Главе Минэкономразвития Максиму Решетникову и главе Минцифры Максуту Шадаеву предстоит найти баланс в вопросах киберзащиты населения. Фото РИА Новости
Законопроект, предусматривающий ужесточение ответственности за утечку персональных данных, который приняли в первом чтении, а затем как будто положили под сукно, не забыт. Во-первых, в проект, призванный ужесточить ответственность, готовятся нормы, допускающие некоторое смягчение. Во-вторых, в правительстве предложили градацию утечек с точки зрения ущерба. Наносится ли он только имуществу? Или здоровью и даже жизни? Часть экспертов опасаются, что доказать ущерб от конкретной утечки будет непросто, ведь сегодня почти все предоставляют свои данные почти всем.
О том, как в профильных ведомствах продвигается работа над законопроектом, призванным ужесточить ответственность за утечку персональных данных, подробно рассказал один из его авторов, сенатор Артем Шейкин.
Речь идет о законопроекте, который был внесен в Госдуму в декабре 2023-го, а затем принят в первом чтении в январе 2024-го. Он предписывал, что если утечка коснется от 1 тыс. до 10 тыс. субъектов, то штраф для юридических лиц должен составить от 3 до 5 млн руб.; если утечка затронет от 10 тыс. до 100 тыс. субъектов, то штраф должен вырасти до 5–10 млн руб., а при охвате более 100 тыс. субъектов он должен достичь 10–15 млн руб.
За повторные утечки предлагались оборотные штрафы. Для граждан в размере от 400 тыс. до 600 тыс. руб., для должностных лиц – от 2 млн до 4 млн руб., а в отношении юридических лиц предусматривался оборотный штраф – от 0,1% до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб.
Для сравнения: в действующем законодательстве максимальный размер штрафа для юридических лиц составляет до 100 тыс. руб., а при повторном совершении административного правонарушения – до 300 тыс. руб.
Одновременно с этим проект предполагал и уголовную ответственность за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем, а также за создание информационных ресурсов, распространяющих такие данные. «Максимальный срок лишения свободы – до 10 лет. Справедливое наказание за преступление, которое может в буквальном смысле разрушить жизнь человека», – пояснял председатель Госдумы Вячеслав Володин.
Но второго чтения так и не последовало. Летом на Петербургском международном экономическом форуме председатель комитета ГД по информационной политике Александр Хинштейн – тоже один из авторов проекта – рассказал журналистам об ожиданиях, что предложенные поправки в законодательство все же примут до конца этого года. Правда, сами эти изменения, как стало понятно, тоже уже подвергаются изменениям: ужесточения пытаются смягчить.
Для этого компаниям-операторам персональных данных нужно соблюсти специальные процедуры. В частности, как теперь рассказал ТАСС Шейкин, ссылаясь на предложения, описанные в письме министра цифрового развития Максута Шадаева, оператор должен осуществлять ежегодные расходы на мероприятия по обеспечению информационной безопасности не ниже определенного размера, произвести денежные выплаты пострадавшим от утечки гражданам, а также подтвердить соблюдение требований к защите персональных данных при их обработке в соответствующих информационных системах.
Это письмо было не единственным. Шейкин пересказал журналистам подробности и о другом предложении, поступившем от ведомства Максима Решетникова. Минэкономразвития предлагает обсудить структуру критериев, или, проще говоря, градацию, для определения степени того вреда, который в ходе утечек наносится «субъектам персональных данных» – гражданам.
Так, по словам сенатора, наиболее критичным предлагается считать причинение вреда жизни и здоровью гражданина. Речь идет о таких данных, которые позволяют идентифицировать лицо по биологическим характеристикам, например, сканы документов, удостоверяющих личность, фото- и видеоматериалы, и сведения об адресах проживания и работы гражданина.
Далее в порядке убывания критичности, по словам Шейкина, идут причинение вреда имуществу гражданина (данные о счетах, пароли и логины учетных записей, связанных с имуществом), причинение морального вреда (данные о состоянии здоровья, сведения личного характера) и персонализированный маркетинг – данные об истории покупок, спам-звонки.
«НГ» ранее уже писала о том, что список атакуемых киберпреступниками сфер в России расширяется, что заказчиками атак становятся в том числе иностранные госструктуры и что все это может потребовать создания особой линии киберобороны (см. номер от 02.09.24). Так что сама по себе попытка подойти к киберзащите населения системно видится верным решением проблемы. Но, как и всегда, часть экспертов указывают на опасения, связанные с тонкостями реализации конкретных положений.
Как рассказала «НГ» руководитель направления группы компаний «Солар» Елена Черникова, возникают вопросы относительно сценариев определения фактов утечек и доказательства того, что конкретный ущерб был причинен конкретному гражданину в результате «потери» данных оператором конкретной информационной системы.
Сегодня многие вынуждены предоставлять свои персональные данные самым разным организациям: работодателям, банкам, медицинским учреждениям и т.д. При этом некоторые граждане вполне могут стать, допустим, случайными участниками чьих-либо фото- и видеосъемок на массовых мероприятиях. Наконец, часть интернет-пользователей абсолютно добровольно выкладывают разнообразную информацию о себе в соцсетях. Так что де-факто, как говорит Черникова, «круг операторов персональных данных, подпадающих под подозрение, становится практически безграничным».
«В случае громких утечек данных, как это время от времени происходит у крупных операторов, иск может быть подан на основании самого факта», – пояснила она. А если громких утечек не произошло? Как тогда установить источник информации, если, например, спамеры названивают пользователю или мошенники выманивают деньги у пожилого родственника, сообщая личные данные? «В таком случае сложно определить, откуда была получена информация, – предупредила Черникова. – Если утекла структурированная база данных, автоматизированный мониторинг может помочь, но если данные похищены без публичных следов, механизм остается неясным».
За утечки чувствительной информации обычно отвечают две категории нарушителей: внешние, это хакеры и используемое ими вредоносное программное обеспечение, и внутренние – сотрудники организации. И ответ на вопрос, с кем из них бороться труднее, вовсе не однозначен.
«По нашей экспертной оценке, персональные данные в коммерческих организациях и в государственных информационных системах остаются «любимым» видом информации, выводимой за периметр организации сотрудниками-нарушителями», – обратила внимание Черникова. А это, как сообщают эксперты, может быть кто угодно: менеджеры отделов снабжения, бухгалтеры, финансисты, секретари, помощники руководителей и т.д.
Хотя, как считает соруководитель практики защиты прав инвесторов юридической компании «Интерцессия» Анастасия Чумак, идея классифицировать утечки персональных данных с точки зрения их вреда осуществима. «Как это контролировать? Первое – нужно создать классификационную систему: требуется разработка четкой системы, где каждый тип утечки будет оцениваться по уровню риска и потенциальному ущербу. Второе – нужна регулярная оценка рисков: проведение аудитов для выявления уязвимостей в системах хранения и обработки данных. Третье – нужно обучать и повышать осведомленность сотрудников с целью уменьшения рисков утечек данных», – пояснила она.
В итоге перечисленные сложности, а также вполне осязаемая угроза для конкретных крупных компаний получить большой штраф за недоказуемый в ряде случаев ущерб как раз и могли стать причиной небыстрого продвижения законопроекта по коридорам власти. И именно все это, как можно предполагать, потребовало затем некоторой обтекаемости ответственности за утечки – смягчений.
«Долгое рассмотрение пакета законопроектов связано со сложностью регулирования цифровой экономики. Идет поиск баланса между обеспечением безопасной цифровой среды и поддержанием динамичного развития экономики. Резкое усиление ответственности за утечки может затормозить динамичное развитие IT-отрасли. А без последнего мы не получим зрелые продукты и сервисы – основу технологического суверенитета нашей страны», – пояснила руководитель IT-подразделения агентства «Полилог» Людмила Богатырева.
Тем более что несколько оборотных штрафов подряд вполне могут обанкротить компанию. И это может стать еще и инструментом манипуляций на рынке. «Недобросовестные конкуренты могут спровоцировать утечки, используя сотрудников компании, которая мешает их бизнесу», – не исключила Богатырева.
«Законопроект об ответственности за утечки персональных данных, прошедший первое чтение, подразумевал крайне серьезные последствия, такие как безвиновная ответственность и крупные штрафы для компаний. С подобным подходом бизнес и эксперты отрасли не смогли согласиться, представленная на обсуждение версия документа влекла за собой значительные риски наложения штрафов даже в случае невиновности компании. Что и привело к тому, что законопроект до сих пор не принят», – комментирует замгендиректора Центра стратегических разработок Екатерина Кваша. Хотя саму целесообразность идеи законопроекта по усилению мер ответственности за утечки никто, конечно, не оспаривает.
В итоге рубить сплеча – тоже, как можно судить, не лучшая стратегия: можно ввести какие угодно огромные штрафы, «убить» при этом некоторых участников рынка и все равно не решить проблему с утечками.
И конечно, пока преждевременно делать окончательные выводы о слабых и сильных сторонах законопроекта. «Говорить о каких-то смягчениях пока рано, потому что обновленный документ до сих пор не представлен, официально он нигде не размещен», – отметила Кваша.
Как сообщили «НГ» в пресс-службе Минэкономразвития, министерство поддерживает необходимость усиления мер ответственности за нарушение законодательства о персональных данных.
«Важно помнить, что персональные данные – это неотъемлемая часть работы организаций во всех отраслях экономики, поэтому предложения по регулированию должны учитывать различные факторы, и в целом последствия необходимо просчитывать более комплексно», – пояснили в ведомстве.
«Доработанный законопроект в Минэкономразвития в установленном порядке не поступал, – сообщили также в пресс-службе. – Вместе с тем считаем, что вопрос классификации определения степени вреда вследствие утечки персональных данных должен обсуждаться в том числе с привлечением представителей операторов персональных данных».
