Forbes узнал об идее увеличить в 10 раз штрафы за повторные утечки данных Наказание за повторные утечки ужесточат, но появятся и смягчающие обстоятельства при условии инвестиций и наличия лицензии ФСБ. В Минцифры подчеркнули, что еще обсуждают инициативу, а эксперты назвали риски для малого бизнеса
Минимальный размер штрафа для юридических лиц за повторную утечку данных вырастет с 0,1–3 до 1–3% от годовой выручки, следует из новой версии законопроекта, который готовится ко второму чтению, пишет Forbes.
По сравнению с принятым в первом чтении документом штрафы для должностных лиц уменьшаются с 3–5 млн до 1,1–1,2 млн руб., а под действие закона подпадают чиновники государственного или муниципального уровня.
Документ предполагает появление смягчающих обстоятельств для компании, допустившей утечку, если та инвестирует не менее 0,1% годовой выручки в мероприятия, посвященные информационной безопасности. Потребуется также лицензия ФСБ на разработку систем с использованием криптографии или же привлечь подрядчика с таким документом. Банкам позволят рассчитать оборотный штраф не от выручки, а от объема капитала — собственных средств.
Источник Forbes рассказал, что эту версию законопроекта еще не согласовали с правительством и органами исполнительной власти, а сам документ «вполне компромиссный», причем есть моменты, «на которые стоит обратить внимание». Он также отметил, что в описании смягчающих обстоятельств не уточняется, на что следует направить инвестиции в сфере информационной безопасности и на какие направления.
«По сути, это требование может вылиться просто в приобретение бизнесом лицензий ФСБ [на разработку систем с использованием криптографии]. Все еще остаются вопросы к составу административного нарушения: текущая формулировка предполагает наказание за действие или бездействие, повлекшее передачу персональных данных независимо от ущерба, который она повлекла или не повлекла», — пояснил собеседник издания.
Со слов источника, такое определение включают работа ИБ-компаний с утечками и оценка безопасности компьютерных систем моделированием атаки (пентесты).
Законопроект приняли в первом чтении в январе 2024 года. Сейчас максимальный размер штрафа для юридических лиц составляет до 100 тыс. руб., за повторное нарушение — до 300 тыс. руб. Документ предполагает также введение оборотных штрафов за повторные утечки персональных данных: для граждан — в размере от 400 тыс. до 600 тыс. руб., для должностных лиц — от 2 млн до 4 млн руб. В отношении юридических лиц предусматривается оборотный штраф от 0,1 до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн и не более 500 млн руб.
«Думаю, что у нас есть компромиссные решения, которые устроят всех. Решения, которые, с одной стороны, не станут лазейкой для ухода от ответственности и возможности откупиться нарушителю. А с другой стороны, действительно позволят участникам рынка, которые вкладываются в информационную безопасность, снижать масштабы ответственности», — рассказал в июле глава думского комитета по информационной политике Александр Хинштейн. По его мнению, законопроект примут в этом году.
Этот вариант поправок прорабатывался в профильном комитете Госдумы, заявили в аппарате вице-премьера Дмитрия Григоренко, но отказались подтвердить актуальность информации. В Минцифры сообщили, что итоговая версия законопроекта еще на обсуждении, и поделились ожиданием, что его одобрение станет для IТ-компаний стимулом более внимательно соблюдать требования информационной безопасности и инвестиций в защиту персональных и других данных.
В Ассоциации больших данных (АБД: «Яндекс», МТС, «МегаФон», «Билайн», Сбербанк, ВТБ, «Авито» и др.) сообщили, что пока не получали эту версию документа, но главные замечания остались прежними: столь большие штрафы следует экономически обосновать и налагать только при составе правонарушения, который будет отвечать критериям точности, недвусмысленности и формальной определенности правовых норм.
Собеседник Forbes из IТ-индустрии подчеркнул необходимость конкретизировать случаи, когда компании будут нести ответственность за неправомерную обработку биометрии, чтобы сократить серую зону, в которой работают, к примеру, системы идентификации воров в магазинах и платформы учета рабочего времени.
Опрошенные изданием эксперты скептически отнеслись к инициативе.
«Пропорциональность соотношения риска и ответственности закономерно вызывает вопросы: не совсем понятно, за счет каких доходов, к примеру, должностное лицо может выплатить штраф в размере 1,5 млн руб. за утечку. Как известно, про утечки говорят не «если», а «когда» они произойдут», — считает директор юридического департамента DRC Ольга Захарова. Она также обратила внимание, что сейчас в Уголовном кодексе предусмотрены более мягкие наказания за совершение преступлений — общественно-опасных деяний, нежели в административном за правонарушения.
Законопроект, если будет принят, увеличит инвестиции крупного бизнеса в кибербезопасность, но грозит вытеснить с рынка небольших игроков, работающих с персональными данными, убеждена советник практики интеллектуальной собственности юридической компании ЭБР Кристина Мкртчян: «Дополнительное давление создают новые требования по обработке биометрии, что в совокупности может привести к реструктуризации рынка и повышению стоимости услуг для конечных потребителей, поскольку бизнес будет вынужден закладывать возросшие риски и затраты на безопасность в цену своих продуктов».