Что происходит
В Минцифры разрабатывают законопроект об оборотных штрафах за утечки персональных данных, в конце ноября представили его новую версию. Ведомство предложило ужесточить наказание за утечку биометрии и интимных сведений.
Контекст
Работу над законопроектом начали в феврале 2022 года. К настоящему времени Минцифры согласовало размер штрафа для нарушителей. Он составит до 5 млн рублей, при рецидиве — 0,5–3% от годового оборота.
Что говорят
В Минцифры и Госдуме объяснили, что действующие в настоящий момент штрафы (60–100 тыс. рублей) не мотивируют компании вкладываться в инфобезопасность. Бизнес же считает, что новый закон нивелирует позитивный эффект от мер господдержки ИТ-сектора.
Мировая практика
В ЕС штраф за утечку данных составляет 4% от оборота, или €20 млн, примерно такой же — в Великобритании, в Китае — до 50 млн юаней, или 5% от годового дохода.
Что происходит
В Минцифры разрабатывают законопроект об оборотных штрафах за утечки персональных данных, в конце ноября представили его новую версию. Ведомство предложило ужесточить наказание за утечку биометрии и интимных сведений, пишут «Ведомости» со ссылкой на представителя ведомства.
- Первая категория данных включает биометрию лица, отпечатки пальцев и в целом все данные, которые касаются физиологических и биологических особенностей, объяснил эксперт по информационной безопасности из Positive Technologies.
- К так называемым интимным сведениям относят данные о состоянии здоровья, расовой и национальной принадлежности, религиозных убеждениях и политических взглядах, а также о наличии судимости.
- Таким образом, под ужесточение попадут, например, соцсети, лаборатории по сдаче анализов, банки, каршеринг.
- Утечка вышеперечисленных данных будет учитываться при назначении административного наказания.
- При этом есть смягчающие обстоятельства — компенсации пострадавшим и добровольный аудит безопасности данных. Глава Минцифры Максут Шадаев ранее говорил, что при возмещении ущерба минимум 60% пострадавших в несудебном порядке можно будет заплатить оборотный штраф по нижней границе.
- В предыдущих версиях предусматривались одинаковые штрафы для всех типов персональных данных, включая общие: это ФИО, место регистрации и работы, номер телефона, электронная почта.
Контекст
Работа над законопроектом об оборотных штрафах за утечку персональных данных ведется с февраля 2022 года.
- В мае Минцифры согласовали размер штрафа — 1–3% от годовой выручки компании.
- Представители отечественного бизнеса, сославшись на сложную экономическую ситуацию, попросили смягчить законопроект. В июле ведомство решило пойти на уступки и рассмотреть вариант, например, с отменой штрафа за первое нарушение.
- В октябре Минцифры доработало законопроект, добавив пункт об ответственности не только для компаний, но и для должностных лиц.
- Последняя редакция законопроекта предполагает штраф для компании за утечку данных от 1 тыс. до 10 тыс. конкретных пользователей до 5 млн рублей, для должностных лиц — до 600 тыс. рублей. Если речь идет об утечке сведений свыше 10 тыс. граждан, штрафы повышаются — до 10 млн рублей и до 800 тыс. рублей соответственно.
- В случае повторного нарушения назначаются уже оборотные штрафы — 0,5–3% от годовой выручки.
Что говорят
В Минцифры и Госдуме объяснили, зачем нужны такие большие штрафы.
- На данный момент штраф за утечку данных составляет 60–100 тыс. рублей, при повторном нарушении он повышается до 500 тыс. рублей.
- В Минцифры констатировали, что утечки персональных данных стали серьезной проблемой, и отметили, что мошенники активно используют их для спам-звонков, шантажа, вымогательства. Разработчики нового закона надеются, что мера побудит бизнес больше инвестировать в информационную безопасность.
- С этим согласен и глава комитета Госдумы по информполитике Александр Хинштейн. Он добавил, что бизнес должен быть замотивирован вкладываться в развитие защитных систем, а штраф в 60 тыс. рублей «Яндекс.Еде» — это «насмешка над здравым смыслом».
- В 2021 году компания Oriflame выплатила 30 тыс. рублей за утечку данных 1,3 млн человек, а «Яндекс.Еда» в 2022-м за утечку номеров телефонов 58 тыс. клиентов — 60 тыс. рублей. В текущем году утечки допускали также «Гемотест», Delivery Club, СДЭК, «Ростелеком» и Tele2.
Представители бизнеса тоже изучили проект нового закона и уже раскритиковали некоторые его положения.
Ассоциация больших данных выступила против компенсации во внесудебном порядке. По мнению представителей АБД, это приведет к возникновению «потребительского экстремизма»: суды окажутся перегружены из-за потока жалоб по поводу слишком маленькой, по мнению пострадавших, компенсации.- Во многих компаниях считают, что из-за высоких штрафов, предусмотренных новым законом, и непростой экономической ситуации ряду предприятий придется закрыться.
- Заместитель управляющего директора Оzon Алексей Минаев считает, что последствия вступления в силу нового закона могут нивелировать весь позитивный эффект от мер господдержки ИТ-сектора.
- Что касается предложения о введении штрафа для должностных лиц, в
АО «Синклит » считают меру эффективной, так как должностные лица будут, вероятно, серьезнее относиться к защите данных. В Group-IB считают, что фокусироваться необходимо на штрафах именно для компаний, так как защита персональных данных зависит от работы всех подразделений, а не только руководителей организаций. - В Positive Technologies отметили, что есть проблемы и технического характера. Например, пока непонятно, как и кто будет доказывать, что слитая база — это не фейк или компиляция ранее утекших баз данных. Например, УК предусматривает проведение доследственной проверки, а в КоАП ничего подобного нет.
Мировая практика
- В Евросоюзе один из самых жестких регламентов в области защиты персональных данных (GDPR). Штраф за утечку таких сведений составляет 4% от общего годового оборота предприятия, или €20 млн.
- В Великобритании максимальный штраф установлен на уровне £17,5 млн, или 4% от годового оборота.
- Аналогичные меры приняли и власти Китая. Штраф может составить 50 млн юаней ($7,8 млн), или 5% от годового дохода компании.
Количество штрафов за утечку данных в мире растет: с 2020-го по 2021-й показатель вырос на 17%. В частности, учащаются случаи слива платежной информации.
- За 2021 год, по данным экспертно-аналитического центра InfoWatch на основе открытых источников, в мире зарегистрировано 138 штрафов (необоротных) и компенсаций за утечки информации — это на 17% больше, чем в 2020-м. Общая сумма выплат составила $616,7 млн против $385 млн в 2020-м.
- Наибольшее число штрафов и компенсаций пришлось на компании из США — 16,7%. В тройку вошли также Сингапур (8%) и Румыния (7,2%). В основном утечки случаются в компаниях, работающих в сферах финансов и страхования, здравоохранения и ИТ.