Путин поручил разобраться с оборотными штрафами за утечки данных к июлю

Президент Владимир Путин поручил правительству до 1 июля 2023 г. рассмотреть вопрос о введении оборотных штрафов для компаний, которые допустили утечку персональных данных (ПД) россиян. Поручение было дано по итогам заседания Совета по развитию гражданского общества и правам человека, состоявшегося 7 декабря 2022 г. Перечень поручений опубликован 13 января 2023 г. на сайте Кремля.

«Правительству РФ рассмотреть вопросы об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных, усилении ответственности за их незаконный оборот и иные нарушения законодательства в области персональных данных и представить предложения по внесению соответствующих изменений в законодательство», — говорится в документе.

Поручение должно быть исполнено к 1 июля 2023 г., ответственным за него назначен премьер-министр Михаил Мишустин.

Поскольку поручение президента обязывает лишь «рассмотреть вопросы» о введении оборотных штрафов и «представить предложения» по внесению изменений в законодательство, это совершенно не означает, что закон должен быть принят к этому сроку, отмечает директор Института исследований интернета Карен Казарян. Согласно поручению, именно Мишустин должен будет отчитаться о целесообразности принятия этого закона, объяснил эксперт.

Идею о введении оборотных штрафах за утечки Минцифры обсуждает с апреля 2022 г. В июле ведомство сообщило, что начало подготовку соответствующего законопроекта и планирует внести его в осеннюю сессию Госдумы. Он предполагает введение в КоАП поправок, по которым компания, где произошла утечка, может быть оштрафована на 1% от годового оборота. Размер штрафа вырастет до 3%, если компания попыталась скрыть проблему. Сейчас КоАП предусматривает штрафы за утечку данных для юрлиц в размере от 60 000 до 100 000 руб., при повторном правонарушении — до 500 000 руб.

Минцифры также проработало смягчающие обстоятельства для провинившихся, заявил в декабре 2022 г. министр Максут Шадаев. Например, штраф может быть ниже, если компания проведет сертификацию своей инфраструктуры в соответствии с требованиями безопасности. Также рассматривался вопрос компенсации ущерба двум третям пострадавших от утечки. Для этого Минцифры планировала создать фонд материальных компенсаций, который будет наполняться за счет средств, полученных в виде оборотных штрафов.

Минцифры рассчитывает, что документ будет готов в установленные президентом сроки и его поддержат все участники обсуждения, следует из ответа представителя министерства «Ведомостям».

Законопроект до сих пор находится в стадии обсуждения, говорит ведущий эксперт по защите ПД консалтинговой компании Б-152 Максим Лагутин. «Определенная фактура уже есть, но остались важные детали, – отметил он. – Например, Минцифры продвигает идею создания фонда или иного средства компенсаций физическим лицам, но они сложны для реализации и к ним есть вопросы у бизнеса».

Основная проблема, которая прежде всего тормозит движение законопроекта, — это разработка разумных критериев для привлечения к ответственности (например, число пользователей, чьи данные утекли; объем утекших данных; размер причиненного вреда субъектам), говорит ведущий юрисконсульт ФБК Legal Ангелина Балакина. Кроме того, оборотные штрафы должны иметь разумные пределы, верхние пороговые значения, которые также на текущий момент не определены, добавляет она.

Также до сих пор не очевидна процедура расследования самой утечки, говорит источник «Ведомостей» в компании на рынке кибербезопасности. Сейчас в рамках КоАП отсутствует процедура проведения такого рода проверки, непонятно, как будет доказываться факт утечки, ее актуальность и т. д., ни у Минцифры, ни у Роскомнадзора, нет на это полномочий, продолжил он. «Отсюда сомнения Минцифры по поводу формулировок, – рассуждает источник. – Они не хотят принимать законопроект, который станет "мертвым"». Самый логичный выход из ситуации, по его словам, перевести вопрос в уголовную плоскость, тогда в рамках судебного разбирательства расследование будут проводить следователи. Однако это совершенно другая цепочка принятия нормативных актов, замечает собеседник.

Существует серьезное сопротивление этому проекту, говорит генеральный директор Smart Engines Владимир Арлазаров. Многим компаниям после его принятия придется увеличить инвестиции в информационную безопасность и перестроить процессы обработки ПД. Например, процедуру взаимодействия с подрядчиками из-за рисков утечек с их стороны, объяснил он.

По данным Роскомнадзора, за неполный год в России произошло 60 крупных инцидентов, содержащих более 230 млн записей с личной информацией граждан. В списке компаний, допустивших утечки в этом году, были операторы связи («Ростелеком», «Билайн» и «Теле2»), онлайн-магазины и службы доставки («Яндекс.Еда», СДЭК), медицинские центры («Гемотест»), онлайн-кинотеатры и видеохостинги (Start, Yappi), перевозчики («Победа», AzurAir, РЖД) и др.