Компании получат оборотные штрафы, если допустят утечку информации более чем 10 тыс. субъектов персональных данных (то есть граждан). Такой вариант обсуждается рабочей группой при Минцифры — она сейчас разрабатывает законопроект об оборотных штрафах за утечки данных, рассказали РБК один из участников ИТ-рынка и источник, близкий к министерству. В случае если объем окажется меньше установленного значения, компания также получит штраф, но не оборотный, а фиксированный.
В апреле глава Минцифры Максут Шадаев выступил с предложением ввести оборотные штрафы для компаний, допустивших утечку персональных данных, пояснив, что сейчас бизнес опасается скорее репутационных издержек, нежели штрафа. Проект разрабатывается совместно с Роскомнадзором и не будет касаться госорганов, говорил Шадаев. Обсуждалось, что штраф составит до 1% от оборота. Однако крупные ИТ-компании настаивали, что риски утечек есть независимо от того, как сильно организация вкладывалась в информационную безопасность, и просили смягчить формулировки документа. Как альтернативу они предлагали трехступенчатую систему наказания за утечки: если данные клиентов или сотрудников компании были скомпрометированы впервые, то она должна получить просто предупреждение; в случае повторной компрометации — заплатить крупный штраф; при третьей утечке — оборотный штраф.
В середине июля Минцифры сообщало, что обсуждаемые предложения для законопроекта включают следующие:
Однако сейчас обсуждается, что оборотный штраф может грозить компаниям в том числе за первую утечку, если она коснулась более 10 тыс. субъектов персональных данных, говорит один из собеседников РБК. Среди смягчающих обстоятельств, которые «позволят снизить штраф вплоть до фиксированного значения в несколько миллионов», он перечислил такие: если компания выявила утечку, публично призналась, активно проводила расследование, помогала надзорным органам и в рамках расследования выяснилось, что утечка не произошла по причине нарушения требований информационной безопасности. По словам источника РБК, вопрос создания фонда для компенсации ущерба еще прорабатывается с отраслью. Участники обсуждения хотят создать такой механизм, чтобы этот «фонд не позволил откупиться от утечки».
Еще один источник РБК на ИТ-рынке говорит, что обсуждение формулировок законопроекта продолжается и они еще могут поменяться. Например, ранее в ходе обсуждений звучали предложения ввести личную уголовную ответственность за утечки персональных данных, но «пока от этой идеи вроде отказались».
Представитель Минцифры сообщил, что законопроект об оборотных штрафах за утечку персональных данных находится в стадии разработки и будет представлен в середине сентября. «Ищем компромисс с бизнесом и отраслью. Минцифры выступает за ужесточение и усиление ответственности за утечки персональных данных. Но задача не в самих штрафах, дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей», — сказал представитель министерства.
С конца февраля у российских компаний произошло несколько крупных утечек данных пользователей. 1 марта «Яндекс.Еда» сообщила, что из-за недобросовестных действий сотрудника в Сеть попали телефоны клиентов и информация об их заказах. 21 апреля мировой судья судебного участка района Замоскворечье оштрафовал «Яндекс.Еду» на 60 тыс. руб. по протоколу, составленному Роскомнадзором. Но часть клиентов сервиса подали коллективный иск из-за инцидента. Однако Замоскворецкий районный суд Москвы отказался признать иск групповым, а также допустить к участию в деле более 700 пострадавших пользователей. Сейчас это решение пытаются оспорить.
В конце мая сервис Delivery Club обнаружил утечку данных о сделанных некоторыми пользователями заказах. В целом, по информации сервиса разведки утечек данных и мониторинга даркнета DLBI, с февраля в Сеть могли утечь данные 8 млн клиентов различных сервисов доставки еды. Помимо этого, крупная утечка произошла у медицинской лаборатории «Гемотест»: в открытый доступ попали данные 30 млн клиентов.
По текущему законодательству максимальное наказание за утечку персональных данных для юрлиц — это штраф 500 тыс. руб. Как указывало Минцифры в своем сообщении в середине июля, утечки персональных данных стали серьезной проблемой. «Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем. На основании утекших данных часто создают мошеннические онлайн-сервисы, которые привлекают пользователей своей простотой и удобством и в итоге причиняют еще больший ущерб гражданам», — указывало министерство. Там рассчитывают, что дополнительная ответственность «побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей».
По словам основателя DLBI Ашота Оганесяна, 10 тыс. субъектов персональных данных в одной утечке — это немалый объем, вполне достаточный для того, чтобы говорить о системных проблемах в защите данных у компании-оператора, в связи с чем оборотный штраф имеет смысл. «Однако, как обычно, проблема возникнет в доказывании размера утечки, так как, во-первых, базы нередко продаются на черном рынке меньшими кусками, а во-вторых, сам оператор будет заявлять, что информация утекла в процессе нескольких инцидентов, каждый из которых был меньше заявленного объема», — рассуждает Оганесян.
Бизнес-консультант по информационной безопасности компании Positive Technologies Алексей Лукацкий, в свою очередь, полагает, что важно не столько количество субъектов, чьи данные утекли, сколько само наполнение этих данных. «Одно дело, когда утекает 10 тыс. Ф.И.О. с номерами телефонов, и совсем другое, когда в утечке присутствуют паспортные или финансовые данные. Еще хуже, когда в утечке есть медицинские данные или данные о несовершеннолетних. Иными словами, стоит учитывать не только объем персональных данных, но и их категорию», — считает Лукацкий.
Екатерина Ясакова, Дарья Чебакова