Минцифры и комитет по информполитике Госдумы не договорились о компенсациях за утечки данных

Обсуждаемый на протяжении последнего года законопроект об оборотных штрафах для компаний за утечки персональных данных (ПД) пользователей вызвал споры среди его разработчиков. Минцифры и комитет по информационной политике Госдумы продолжают обсуждение как минимум двух механизмов действия законопроекта – с денежными выплатами пострадавшим и без каких-либо компенсаций. Об этом «Ведомостям» рассказали пять собеседников, знакомых с ходом обсуждения документа или участвовавших в его разработке. В связи с этим законопроект, который планировалось внести в Госдуму еще весной, удастся согласовать не ранее осенней сессии.

Последние несколько недель доработкой законопроекта занималась рабочая группа, в которую входили представители Минцифры, Госдумы и Совета Федерации, рассказывает источник в профильной ассоциации. Эту информацию подтвердили два собеседника в верхней палате парламента. По словам одного из них, окончательного и утвержденного всеми участниками варианта законопроекта на данный момент нет.

Штрафовать и компенсировать

Законопроект об оборотных штрафах для IT-компаний, допустивших утечки ПД, обсуждается с весны 2022 г. Проект предполагает введение в КоАП поправок, по которым компания, допустившая утечку, может быть оштрафована на 1% годового оборота. Размер штрафа вырастет до 3%, если компания пыталась скрыть проблему. Сейчас КоАП предусматривает штрафы за утечку данных для юрлиц в размере от 60 000 до 100 000 руб., при повторном правонарушении – до 500 000 руб.

Минцифры проработало смягчающие обстоятельства для провинившихся, заявлял в декабре 2022 г. министр цифрового развития Максут Шадаев. Например, штраф может быть ниже, если компания проведет сертификацию своей инфраструктуры в соответствии с требованиями безопасности. Также рассматривался вопрос компенсации ущерба двум третям пострадавших от утечки. Для этого Минцифры планировало создать фонд материальных компенсаций, который будет наполняться за счет средств, полученных в виде оборотных штрафов.

Весной на конференции «Ведомостей» «Телеком-2023» Шадаев заявил, что в актуальной версии законопроекта положения о фонде нет. Вместо этого Минцифры предложило задействовать портал «Госуслуги» в качестве третьей стороны при распределении компенсаций за утечки ПД, уточнял он.

Сам же законопроект, по словам Шадаева, еще в апреле 2023 г. находился в финальной стадии обсуждения и должен был быть внесен в Госдуму в кратчайшие сроки.

Позиция Минцифры

По словам собеседника «Ведомостей» в Минцифры, в июне из законопроекта убрали возможность компенсации вреда пострадавшим пользователям при помощи бонусов и скидок компании, о которой Шадаев говорил на конференции «Ведомостей» в апреле. От механизма пришлось отказаться, потому что проверить получение пользователем той или иной компенсации невозможно, пояснил источник. Вместо этого было решено оставить только механизм денежных компенсаций, говорит он.

Источник «Ведомостей» в Минцифры утверждает, что предпочтительным для министерства механизмом действия законопроекта был бы такой порядок: «В случае утечки данных компания должна будет публично обнародовать информацию о ней и уведомить Роскомнадзор, после чего у пользователей будет время на подачу заявлений на компенсацию через портал госуслуг. По истечении этого срока компания должна будет предложить пострадавшим компенсацию, и если она устроит не менее 80% из них, то оборотный штраф для компании будет определяться «по нижней границе» – 0,1% от годовой выручки». Если же компенсация не будет предложена или же число удовлетворенных пользователей будет менее 80%, то оборотный штраф будет рассчитан как 3% от оборота компании за год, добавил он.

В пресс-службе Минцифры «Ведомостям» не предоставили комментариев по обсуждению законопроекта на момент сдачи статьи.

На компенсации не согласны

Тем не менее, по словам другого собеседника издания из профильной ассоциации, заинтересованные стороны обсуждают возможность полного отказа от компенсаций. «От этого [компенсаций], скорее всего, откажутся», – подтверждает источник в Совете Федерации.

Но такой вариант законопроекта – без компенсаций – категорически не устраивает Минцифры, настаивает собеседник в министерстве. «Минцифры не поддержит его в таком виде», – говорит он.

Против компенсаций выступает и глава комитета Госдумы по информполитике Александр Хинштейн («Единая Россия»). «Я против механизма компенсаций, так как это приведет к нарушениям прав пользователей», – заявил он «Ведомостям». Дальнейших деталей по обсуждению законопроекта он не привел.

Застраховать данные непросто

По словам еще одного собеседника «Ведомостей» в компании по кибербезопасности, помимо прочего в будущем законе могут предусмотреть обязанность компаний страховать пользователей от утечек, чтобы при наступлении страхового случая компенсации пострадавшим выплачивали страховые компании. Об обсуждениях этой новеллы слышал и консультант по безопасности Positive Technologies Алексей Лукацкий.

«Я знаком как минимум с тремя разными версиями законопроекта об оборотных штрафах за утечки ПД, одна из них как раз про страхование пользователей от утечек. Но основная проблема этого законопроекта – фактор доказывания наличия утечки и ее принадлежности к той или иной компании», – отметил Лукацкий.

По мнению эксперта, у Роскомнадзора для этого недостаточно компетенций. Ведомству придется нанимать дополнительных специалистов в штат или же привлекать к расследованиям профильные компании на платной основе, продолжил Лукацкий.

Сами операторы данных, разумеется, не будут заинтересованы в том, чтобы признавать за собой такие инциденты, если утечки не будут содержать какие-либо данные, напрямую на них указывающие: привязки к заказам, программам лояльности и т. п., считает он. В этом случае выявить компанию, у которой произошла утечка по ФИО, адресам, номерам телефонов, проблематично, говорит Лукацкий. Сложности могут возникнуть и с тем, что появятся так называемые фейковые утечки, скомпилированные из старых баз данных, и заказ на их осуществление со стороны конкурирующих структур, добавил он.

В случае компенсаций пользователям за утекшие ПД речь будет идти о нематериальном ущербе, размер которого довольно сложно оценить, заметил эксперт консалтинговой компании «Б-152» Максим Лагутин. А это может быть и 100 руб., и 1000 руб., говорит он.

Экспертам ничего не нравится

В целом Лагутин сомневается в жизнеспособности обеих новелл – и с компенсациями, и со страховыми выплатами. Не понятно, как процесс компенсаций будет администрироваться через «Госуслуги», рассуждает он: не по всем физлицам у компаний есть платежные реквизиты, их нужно будет дополнительно запрашивать. Кроме того, механизм компенсаций может спровоцировать всплеск мошенничества в интернете, фишинга, считает эксперт.

По мнению гендиректора компании «Киберполигон» Луки Сафонова, компенсационные выплаты за утечки должны рассчитываться исходя из характера данных, которые утекли. Предложение по страховкам для пользователей он считает нежизнеспособным: «Страхование киберрисков давно обсуждалось, но в нем много подводных камней».

Согласна с Сафоновым и директор по стратегическим проектам Института исследований интернета Ирина Левова. «Страховые компании вряд ли будут страховать такие риски, потому что их затруднительно рассчитать», – считает она. По той же причине она считает неудачной идею с компенсациями от компаний пострадавшим пользователям. По ее словам, такая практика не является обязательной ни на одном из крупнейших зарубежных рынков – ни в ЕС, ни в США, ни в Великобритании, Бразилии, Индии и Южной Корее.

В то же время в законе должна быть «хотя бы парочка» смягчающих штрафные санкции факторов, предлагает Левова. «Например, добровольный аудит в части информационной безопасности, который могли бы проводить компании. Такая смягчающая ответственность новелла позволила бы повысить общий уровень защищенности информационной инфраструктуры», – добавила она.