Госдума предложила правительству и Минцифры план работы

Депутаты Госдумы на пленарном заседании 22 февраля 2023 г. приняли постановление с рекомендациями для правительства и Министерства цифрового развития, связи и массовых коммуникаций, следует из базы нормативных документов, находящихся на рассмотрении нижней палаты. В частности, Минцифры рекомендовано проработать вопросы о запрете удаленной работы для ИТ-специалистов, создании национального VPN-сервиса и оборотных штрафах для компаний, совершивших утечку персональных данных (ПД).

Эти и другие рекомендации собраны по результатам выступления министра цифрового развития Максута Шадаева на заседании в Госдуме в рамках «правительственного часа» в декабре 2022 г., следует из материалов палаты. Речь в этом докладе шла о ходе цифровой трансформации и обеспечении информационной безопасности России. В середине февраля 2023 г. комитет по информационным технологиям, связи и массовым коммуникациям Госдумы подготовил соответствующий проект постановления.

Министерству Госдума рекомендует совместно с парламентом «проработать вопрос о запрете удаленной работы для ИТ-специалистов, работающих с разработкой, внедрением и администрированием государственных информационных систем, информационных систем объектов критической информационной инфраструктуры (КИИ), а также с оборотом персональных данных». Также предложено рассмотреть вопрос о подготовке законопроекта о компенсации вреда физлицам со стороны операторов ПД, допустивших утечку данных, «в том числе в досудебном (добровольном) порядке». 

Помимо этого в Госдуме считают важным, чтобы Минцифры проработало при участии ИТ-компаний возможность создания, запуска и координации со стороны ведомства  «национальной сети доставки контента (CDN)». А также «рассмотреть вопрос о разработке и запуске национального VPN-сервиса». Сервис нужен для доступа «соотечественников и иных лиц» к российским интернет-ресурсам, заблокированным за границей.

Представитель Минцифры, комментируя постановление Госдумы, отметил лишь, что позицию по удаленке депутаты переняли у самого министерства, «отказавшись от идеи тотального запрета на удалённую работу для ИТ-специалистов». Сотрудники, занятые на объектах КИИ и в государственных информационных системах (ГИС), не могут работать из-за рубежа, поясняет собеседник. Министерство ранее предлагало прописывать это в госконтрактах, отметил представитель Минцифры.

«По ИТ-специалистам, занятым в других сферах, решения должны принимать только сами компании. Мы выступаем против тотального запрета и считаем, что он приведет к негативным последствиям для нашей отрасли», – заявил «Ведомостям» представитель.

Риски от введения запрета для удаленщиков при работе с персональными данными, ГИС и КИИ довольно существенные, предупреждает руководитель отдела продвижения бренда работодателя ИТ-компании «Аурига» Виктория Плужникова. В первую очередь, с точки зрения потенциального уменьшения потока соискателей, уточнила она. «Скорее, стоит смотреть в сторону создания национальной системы, позволяющей безопасно работать из любой точки России», — считает эксперт. По мнению Плужниковой, это могло бы «существенно выделить РФ на мировом IT-рынке».

В постановлении также даны рекомендации правительству. Среди прочего рекомендуется внести изменения в нормативные правовые акты, предоставляющие полномочия Роскомнадзору проводить оперативные проверки компаний, операторов ПД по фактам информационных утечек.

«Дополнительные изменения в акты правительства не требуются», – заявил «Ведомостям» представитель Роскомнадзора. Он пояснил, что 4 февраля 2023 г. правительство уже разрешило проведение внеплановых проверок в случае утечки ПД из российских организаций. В целом же «внеплановые проверки могут проводиться только в случае существенных угроз жизни и здоровью, а также по требованию прокурора, поручению председателя правительства РФ или президента России», – отметил он. 

Также Госдума рекомендует правительству разработать и в начале 2023 г. внести в нижнюю палату проекты законов, предусматривающие внесение изменений в статьи КоАП об оборотных штрафах за преступления при обращении с персональными и биометрическими данными, а также внесение в УК «уголовной ответственности за незаконную обработку биометрических персональных данных в случае возникновения соответствующих общественно опасных последствий».

«Ведомости» направили запрос в правительство, но там переадресовали вопросы в Минцифры.

Многие из предложений, о которых идет речь в постановлении Госдумы, ранее уже обсуждались. Например, с предложением о компенсациях за утечки данных осенью 2022 г. выступало само Минцифры, но против этого тогда были интернет-компании и банки, сообщали «Ведомости» в ноябре. Предложение же о системе доставки контента (CDN) инициировал в декабре 2022 г. замглавы комитета Госдумы по информполитике Антон Горелкин («Единая Россия»), сообщал РБК. По мнению депутата, такая система должна будет помочь отечественным сайтам работать быстрее. 

Идея создания национальной системы доставки контента остается одним из приоритетных проектов, без которого невозможно достичь цифрового суверенитета, объясняет гендиректор ИТ-компании EdgeЦентр Михаил Шурыгин. Такое решение позволит интернет-сервисам балансировать трафик между провайдерами, что улучшит качество предоставляемых услуг, объяснил он.

Предложение о внесудебных компенсациях по факту утечек ПД – отличная инициатива, считает руководитель аналитического центра компании Zecurion Владимир Ульянов. Но пока непонятно, как может быть устроен механизм этих отчислений. «Будет ли компенсация автоматически назначаться всем потенциальным жертвам или только тем, кто сам обратится? Кто будет инициировать процесс? Наконец, как пострадавший сможет доказать вину оператора, что именно тот допустил утечку?» – спрашивает эксперт. Он напомнил также, что сейчас организации часто отказываются признавать факт утечки, объясняя это тем, что данные якобы собраны из открытых или сторонних источников. Также непонятен механизм расчета компенсаций, добавил эксперт.

Но если такой закон в итоге будет принят, он поможет компаниям более ответственно подходить к системе защиты ПД, считает Ульянов. «Сейчас внедрение средств защиты от утечки не всегда экономически выгодно. Дешевле выступить с заявлением, что данные утекли из другого источника», — резюмировал он.