Маркетплейсы и интернет-магазины попросили отложить закон об оборотных штрафах за утечки
Также предложено штрафовать только за нарушение прав пользователей из-за утечек
Ассоциация компаний интернет-торговли (АКИТ), членами которой являются крупнейшие отечественные маркетплейсы и интернет-магазины Ozon, WildBerries, «Яндекс.Маркет», Lamoda, «Ситилинк» и др., просит отложить вступление в силу закона об оборотных штрафах за утечки персональных данных (ПД). Свои предложения ассоциация направила в Минфин. Представитель ассоциации подтвердил отправку письма.
Минфин, в свою очередь, 10 августа перенаправил обращение АКИТ в Минюст, Минцифры и Минэкономразвития, следует из копии документа, с которой ознакомились «Ведомости». Получение письма Минфина подтвердил представитель Минюста.
«В настоящее время законопроект проходит процедуру согласования с заинтересованными органами государственной власти», – сообщил представитель Минюста. «Минэкономразвития предоставило свои рекомендации по законопроекту в Минфин.
«Мнение бизнеса, в том числе и АКИТ, учтено в части компетенции министерства», – сообщил «Ведомостям» представитель министерства. Письмо также получили в Минцифры, подтвердил источник в этом министерстве. Официальных комментариев представители Минфина и Минцифры на момент сдачи заметки не предоставили.
Что грозит за утечки
Законопроект об оборотных штрафах для IT-компаний, допустивших утечки ПД, обсуждается с весны 2022 г. Проект предполагает введение в КоАП поправок, по которым компания, повторно допустившая утечку, может быть оштрафована на 0,1% годового оборота. Размер штрафа вырастет до 3% от оборота, если компания пыталась скрыть проблему.
Сейчас КоАП предусматривает штрафы за утечку данных для юрлиц в размере от 60 000 до 100 000 руб., при повторном правонарушении – до 500 000 руб. В конце июля «Ведомости» сообщали, что окончательного мнения о том, как и за что следует штрафовать операторов ПД нет. В частности, Минцифры выступает за необходимость смягчающих факторов, при которых компания может рассчитывать на снижение штрафов. Одним из таких факторов может стать компенсация пострадавшим пользователям за утечки.
Но этот вариант не устраивает, в частности, комитет Госдумы по информационным технологиям. Как сообщал тогда «Ведомостям» глава комитета Александр Хинштейн, механизм компенсаций «приведет к нарушениям прав пользователей». Тогда же Хинштейн вместе с сенаторами Турчаком и Рукавишниковой и направил в правительство версию законопроекта без механизма компенсаций, сообщал РБК. С этой версией ознакомились и «Ведомости».
В своих предложениях АКИТ просит скорректировать ряд формулировок в законопроекте, который в конце июля направили в правительство сенаторы Андрей Турчак, Ирина Рукавишникова и депутат Госдумы Александр Хинштейн (все – «Единая Россия»). В частности, ассоциация предлагает применять оборотные штрафы от 0,1% до 3% от годовой выручки только к тем операторам, которые повторно допустили утечку данных свыше 1 млн пользователей.
При этом штраф, по мнению АКИТ, должен назначаться при условии, что слитые в сеть данные позволяют без использования дополнительной информации идентифицировать пользователя, а сама утечка повлекла нарушение прав пользователя. В действующих формулировках речь идет о повторных утечках свыше 100 000 пользователей и без дальнейших условий.
Также среди предложений АКИТ – освободить операторов ПД от необходимости сообщать об утечке пользователям, чьи данные утекли, оставив в законе лишь обязанность уведомить только Роскомнадзор (РКН), следует из поправок. «По свидетельству многих игроков на рынке, текущие требования к подаче уведомления РКН (в частности, требование подать первичное уведомление в течение 24 часов) об утечке крайне трудно выполнимы», – поясняет эту поправку АКИТ. Технические специалисты операторов ПД «просто не могут предоставить необходимую информацию в такие сроки», в результате компания не сможет понять, что событие подпадает под определение утечки. «В этом свете ответственность (об уведомлении не только РКН, но и пользователей. – “Ведомости”) представляется избыточной», – отмечается в предложениях АКИТ.
Еще АКИТ предложила перенести срок вступления закона в силу на сентябрь 2024 г. Сейчас он должен вступить в силу «по истечении тридцати дней после его официального опубликования». «Более поздний срок вступления в силу необходим, чтобы у Минцифры, ФСБ и ФСТЭК было достаточно времени для установления и согласования рекомендованного перечня дополнительных мер по обеспечению безопасности персональных данных при их обработке», – поясняет АКИТ.
«Мы считаем, что при сохранении конструкции, предлагаемой законопроектом, штрафы могут просто уничтожить отечественный бизнес», – заявил «Ведомостям» президент АКИТ Артем Соколов.
«Законопроект пока не внесен. Дождемся отзыва правительства», – сообщил «Ведомостям» глава комитета Госдумы по информтехнологиям Александр Хинштейн.
Средний размер одной утечки – это несколько десятков тысяч строк, утечки свыше миллиона строк также нередки, но их гораздо меньше, обращает внимание гендиректор компании «Киберполигон» Лука Сафонов. В то же время, по мнению эксперта, закон об оборотных штрафах за утечки данных может катализировать деятельность злоумышленников, которые будут шантажировать компании обнародованием похищенных пользовательских данных, отмечает он.
Маркетплейсы и интернет-магазины в целом хранят довольно большой массив данных, включая ФИО пользователей, их телефоны и адреса, если те оформляют доставку на дом, или даже паспортные данные – в случае получения заказа в пункте выдачи, рассуждает Сафонов. Также у этих операторов ПД может быть информация о заказах пользователей, которые подчас люди могут не хотеть делать достоянием общественности, добавил он.
Состав таких данных зависит от конкретных магазинов и маркетплейсов, обращает внимание владелец Telegram-канала ABloud62 Алексей Бойко. «Как правило, они хранят такие данные, как контакты, которые указал абонент при регистрации, то есть адреса доставки (их может быть несколько), телефон, имя и фамилию, если клиент их указал, даты и суммы покупок, данные о карте, если оплата проводилась картой», – отметил он. Также могут сохраняться данные о составе заказов, о жалобах клиента, инцидентах типа возвратов покупки или сообщений клиента о недоставке заказа целиком или частично, записи общения с клиентом сотрудников клиентского центра, добавил Бойко.