Издание «КоммерсантЪ» рассказало о том, что Минцифры планирует создать фонд, из которого будут выплачиваться компенсации гражданам, пострадавшим от утечек данных, а также о том, что Ассоциация больших данных (АБД) раскритиковала данную инициативу. По мнению АБД, кадровый и административный ресурс такого фонда затребует большого количества средств из федерального бюджета, при этом суммы компенсаций не поддаются точному расчету. С этой точки зрения логичнее инвестировать в системы аудирования собственной информбезопасности, нежели осуществлять переводы средств в подобный фонд.
Создание такого фонда обсуждается министерством и представителями бизнеса с лета 2022 года. Предполагается, что пополнение фонда будет происходить за счет оборотных штрафов, наложенных на компании, допустившие утечки данных. Замена обычных штрафов, не превышающих 100 тыс. руб., на оборотные, составляющие 1% от годового оборота компании, обсуждается с конца весны, когда количество утечек побило предыдущие рекорды. Для введения оборотных штрафов необходимо изменение КоАП. На сегодняшний день Минцифры формулирует потенциальные поправки таким образом: оборотный штраф должен назначаться в ситуации, когда из 10 тыс. записей, попавших в сеть в результате утечек, точному установлению подлежит 1 тыс. человек. Если в утекшей базе данных свыше 100 тыс. записей, то оборотный штраф может применяться в случае, если идентификации подлежит более 10 тыс. граждан.
В АБД уверены, что расчет компенсаций по единой методике не позволит учитывать реальное состояние дел в сфере кибербезопасности компании и делать выводы о степени её виновности в инциденте, а значит, и мотивации инвестировать в эту сферу у компаний не будет. В случае же, если оборотный штраф будет назначаться исходя из реальной защищенности компании, компании будут заинтересованы в самостоятельном аудировании собственных средств киберзащиты.
В компании Ozon полагают, что в случае создания фонда, в целях получения финансирования, состав правонарушений будет постоянно расширяться, а размер компенсаций для граждан при крупных утечках может оказаться весьма скромным.
В то же время, количество сливов персональных данных существенно возросло в 2022 году с момента начала спецоперации. Только за первые шесть месяцев по информации InfoWatch 305 баз данных были украдены злоумышленниками, что почти в полтора раза больше, чем в аналогичном периоде 2021 года (на 45,9%). При этом, если измерять объем хищений в количествах записей, то он вырос значительно сильнее – свыше 16 раз, до 187,6 млн строк.
В Минцифры надеются, что введение оборотных штрафов вынудит компании обращать снимание на собственную информационную безопасность до того, как подобные утечки произойдут.
Эксперты комментируют, что предположительно работа созданного фонда будет сравнима с деятельностью фонда РАО (российского авторского общества), собирающего средства за использование объектов авторского права, впоследствии распределяя из между держателями данных прав, однако порядка 35% полученных фондом средств расходуются на его содержание. В качестве альтернативы данному решению можно было бы взыскивать компенсацию за моральный ущерб по суду в пределах установленного диапазона – это увеличило бы активность граждан создании коллективных исков, повысив их экономическую заинтересованность в защите собственных прав.