Интернет-компании и банки выступили против внесудебных компенсаций за утечки персональных данных
Норма создаст предпосылки для развития «потребительского экстремизма», считают в отрасли
Ассоциация больших данных (АБД; входят интернет-компании, операторы связи и банки) раскритиковала разработанные на площадке Минцифры поправки в законопроект об оборотных штрафах за утечки персональных данных (ПД). Свои замечания ассоциация направила в Минцифры. Копия документа есть в распоряжении «Ведомостей».
Минцифры обсуждает новый закон об оборотных штрафах за утечки ПД с весны этого года. В первой версии для компании, допустившей утечку, был предусмотрен штраф в размере 1% от годовой выручки и до 3%, если компания своевременно не сообщила об утечке в Роскомнадзор. В начале октября ведомство доработало законопроект, сообщали «Ведомости». В новой версии предусмотрены штрафы и для должностных лиц.
«При работе над законопроектом мы стараемся учесть мнения всех сторон: и граждан, и бизнеса. В ходе обсуждения мы отказались от первоначальной идеи с созданием специального фонда для компенсаций пострадавшим от утечек, куда компании делали бы взносы. При этом мы считаем, что механизм компенсации для пострадавших обязательно должен быть тщательно проработан», – говорится в комментарии пресс-службы Минцифры. Важно, что предлагаемый механизм будет носить для компаний добровольный характер, добавил представитель министерства.
Заключение АБД в Минцифры получили, сообщил «Ведомостям» источник в министерстве.
«Считаем, что смягчающие обстоятельства должны быть исполнимы, ответственность – соразмерна», – прокомментировал представитель АБД информацию о направленном в Минцифры заключении. Законопроект должен стимулировать компании инвестировать в информационную безопасность (ИБ) и содержать перечень выполнимых мер, при реализации которых компания будет освобождаться от ответственности при отсутствии вины, добавил он.
Механизм добровольных компенсаций включен в версию законопроекта, представленную 24 ноября, следует из письма АБД. Согласно этой версии (есть у «Ведомостей»), если компания возместит вред от утечки во внесудебном порядке не менее чем 60% пользователей, которых затронул инцидент, это будет расцениваться как смягчающее обстоятельство при определении размера штрафа. Об этой мере также говорил министр цифрового развития Максут Шадаев в кулуарах конференции AI Journey 24 ноября. «Если компания хочет по нижней границе оборотного штрафа, она должна урегулировать вопросы не менее чем с 2/3 тех граждан, чьи данные фигурируют в утечке», – сказал он (цитата по «Интерфаксу»).
«Проектируемая норма создаст предпосылки для развития потребительского экстремизма и приведет к перегрузке судов жалобами на неадекватный, по мнению пользователя, размер предложенной оператором компенсации», – говорится в письме АБД. Как отмечают в АБД, речь будет идти о компенсации именно морального вреда, величина которого индивидуальна, и «усилиями оператора заранее установить размер такого вреда невозможно».
«Таким образом, указанное условие нереализуемо на практике в силу индивидуальности восприятия ущерба субъектом, что делает всю конструкцию смягчающих обстоятельств неработоспособной», – отмечают авторы письма. Принятие этой меры создаст риски мошенничества и обмана пользователей в интернете, прогнозируют в АБД.
Также ассоциация в письме попросила снизить размер штрафов. В актуальной версии законопроекта компании, допустившей утечку данных 1000–10 000 граждан, грозит штраф до 5 млн руб., а должностным лицам – до 600 000 руб. Если «утекло» свыше 10 000 записей, штраф для компании составит до 10 млн руб., а для должностных лиц – до 800 000 руб. Повторные утечки будут стоить компаниям уже 0,5–3% от выручки за год.
Штрафы «очевидно завышены и могут привести к закрытию ряда предприятий либо к невозможности дальнейших инвестиций», пишет АБД. Ассоциация предлагает установить «максимальный фиксированный предел оборотного штрафа». Также АБД хочет конкретизировать срок повторности в один год.
Принятие законопроекта в текущей версии может иметь негативные последствия для IT-рынка и нивелировать позитивный эффект от мер поддержки, рассуждает заместитель управляющего директора Оzon Алексей Минаев. Потенциальная нагрузка на бизнес от оборотных штрафов «нуждается в корректировке с учетом текущей экономической обстановки», говорит он.
«Механизм внесудебной компенсации нереализуем на практике, так как заранее определить размер вреда каждому субъекту невозможно», – согласен источник в телекомоператоре «большой четверки». По его мнению, сама идея оборотного штрафа за утечку ПД представляется спорной, так как за аналогичное деяние и последствия для сопоставимых по размеру компаний размер штрафа может отличаться в десятки раз. «Было бы разумным рассчитывать штраф в зависимости от вида сервиса и территории оказания услуг», – предположил он.
«Утечки могут быть различными – от нескольких тысяч строк данных до нескольких сотен тысяч, а то и миллионов в случае крупных компаний. Средняя утечка у крупной компании сегодня составляет порядка 0,5 млн строк. Пока идет обсуждение законопроекта, сложно сказать, как именно будет рассчитываться компенсация вреда субъектам ПД», – считает бизнес-консультант по ИБ Positive Technologies Алексей Лукацкий. «Подход, основанный на расчете компенсации конкретным субъектам ПД, может оказаться несравнимым по своей «ощутимости» для штрафуемых организаций», – заключил он.