Как выяснили «Известия», законопроект «О внесении изменений в КоАП РФ» готовится к внесению в Госдуму. Документом предлагается ввести административную ответственность за нарушение порядка обработки, размещения и обновления биометрических персональных данных в единой биометрической системе, а также в иных информационных системах идентификации. Речь идет о сборе и хранении информации, за противозаконные действия с которой должностным лицам будет грозить штраф от 100 до 300 тыс. рублей, а юрлицам — от 300 до 500 тыс. рублей.
Если к обработке биометрических данных физлиц в финансовом секторе или государственных структурах будет допущена организация без аккредитации, то наказание будет более суровым. Для должностных лиц оно составит от 300 до 600 тыс. рублей, для юрлиц — от 500 тыс. до 1 млн рублей.
«Предусматриваемые законопроектом изменения позволят повысить эффективность соблюдения требований законодательства, оказать положительное влияние в вопросе профилактики правонарушений, а также будут способствовать минимизации ущерба», — уточняет Минцифры в пояснительной записке к документу, которая имеется в распоряжении «Известий».
В Минцифры разработку законопроекта «Известиям» подтвердили. Там уточнили, что законопроект устанавливает ответственность для должностных и юрлиц за нарушение норм обработки (включая сбор и хранение) биометрических персональных данных, а также нарушение порядка применения информационных технологий для идентификации и аутентификации физлиц.
«Специальные нормы административного законодательства для возможности привлечения таких лиц к ответственности сейчас отсутствуют. Введение административной ответственности в таких случаях целесообразно, потому что подобные действия могут нанести существенный вред охраняемым законом интересам личности, общества и государства», — подчеркнули в пресс-службе.
Также в ведомстве отметили, что законопроект может быть внесен в Госдуму в осеннюю сессию текущего года.
В нижней палате «Известиям» сообщили о том, что готовы инициативу поддержать, так как такая административная ответственность должна появиться.
— Наш комитет уделяет вопросам защиты персональных данных большое значение и также ведет работу в этом направлении. Биометрические данные нужно защищать гораздо тщательнее, чем персональные. Ведь они дают гораздо больше информации о человеке, скрыть или изменить которую впоследствии уже не получится, в том числе о его болезнях, — пояснил «Известиям» зампред комитета Госдумы по информационной политике, технологиям и связи Олег Матвейчев.
По его словам, утечка таких данных может обернуться шантажом, использованием их в криминальных целях.
— Мы внимательно изучим этот законопроект, как только он будет внесен в Госдуму. Но в целом, безусловно, такое наказание должно быть, — подчеркнул парламентарий.
Утечки персональных данных в России в последнее время стали носить регулярный характер. Только с начала февраля этого года в открытый доступ попали данные более чем 8 млн пользователей сервисов доставки еды. Крупнейшие утечки были зафиксированы у сервисов «Яндекс.Еда», «Два берега», а также Delivery Club.
Инцидентов утечек биометрических данных в РФ пока не было. Хотя в кабмине их считают одними из самых опасных. Об этом заявлял замминистра финансов Алексей Моисеев.
— Если человек доверил системе — неважно, частной или государственной — свои биометрические данные и эта система не оправдала его доверия, то у человека в цифровом будущем сломана жизнь. Можно поменять пин-код на карточке, можно поменять паспорт, всё, что угодно, можно поменять фамилию и так далее. Но поменять биометрические данные... наверное, можно, но большинство людей, наверное, посчитает слишком большой издержкой изменить лицо или еще что-то, — отметил Моисеев.
В мире крупнейший скандал произошел в 2019 году в Великобритании. Исследователи из компании VPNMentor, занимающейся вопросами кибербезопасности, обнаружили крупную утечку личной информации и биометрических данных более чем миллиона человек из сотни стран через систему доступа Biostar 2. Она позволяет компаниям самостоятельно организовывать контроль доступа к своим офисам или складам через сканирование лица или отпечатков пальцев.
Как сообщало The Guardian, Biostar 2 принадлежит южнокорейской компании Suprema, которая претендует на лидерство на европейском рынке биометрических систем контроля доступа. Ее продукты использовались британской полицией, несколькими оборонными компаниями и банками.
По мнению экспертов, главный минус такой утечки, что после нее биометрическая информация уже никогда не будет конфиденциальной, а самое главное — ее могут использовать в криминальных целях.
— То, что за это будут наказывать должностных лиц и организации, которые работают с такой информацией, правильно. Тем более что речь идет о биометрических данных, которые, как правило, используются в финансовой сфере, в доступе к банковским данным, — пояснил «Известиям» эксперт в сфере IT-технологий Владимир Зыков.
Он продолжил: многие инсайдеры сегодня продают информацию о персональных данных в даркнете, где есть специальные площадки под названием «безопасная сделка». Этим занимаются серийные пробивщики, которые ищут в разных органах власти и организациях людей, поставляющих информацию. Эксперт не думает, что штрафы их остановят, но само появление наказания за это преступление важно.
Наталья Башлыкова