Утечки персональных данных вносят в УК и КоАП

Группа сенаторов и депутатов внесла в Госдуму пакет из двух законопроектов, которые вводят оборотные штрафы для компаний за утечку персональных данных (ПД) пользователей. Также поправки описывают новые меры уголовной ответственности за умышленные незаконные действия с ПД. Законопроекты о внесении изменений в Кодекс об административных правонарушениях (КоАП) и в Уголовный кодекс (УК) вместе с пояснительными записками к ним размещены в электронной базе Госдумы 4 декабря. 

Сейчас компании, допустившие утечку ПД, штрафуются на 100 000–300 000 руб., согласно ч. 1 ст. 13.11 КоАП, отмечается в пояснительной записке к законопроекту. «Указанный размер штрафа не соразмерен с возможными последствиями от произошедших утечек. Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений», – пишут законодатели.

Повышенные штрафы предлагается ввести «с целью стимулирования операторов ПД инвестировать в развитие инфраструктуры информационной безопасности и защиту ПД своих пользователей», отмечается в документе.

Если данные утекли у компании впервые, то ей будет назначен штраф в размере от 3 млн до 15 млн руб. в зависимости от количества записей, оказавшихся в открытом доступе.

Оборотные штрафы предлагается ввести за повторные нарушения компаниями правил оборота с ПД граждан, которые привели к утечкам, отмечается в пояснительной записке. Конкретный процент с оборота будет высчитываться из выручки компании за год, предшествовавший тому, в котором было выявлено административное нарушение.

«За повторные утечки мы предлагаем ввести оборотные штрафы от 0,1 до 3% выручки за календарный год или за часть текущего года, не менее 15 млн руб. и не более 500 млн руб.», – сообщил в своем Telegram-канале один из соавторов инициативы – глава комитета Госдумы по информполитике Александр Хинштейн («Единая Россия»).

Поправки же в УК предусматривают сроки лишения свободы до 5 лет за незаконное использование или незаконные передачу, сбор, хранение компьютерной информации, содержащей ПД, «полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование». Предусмотрена и ответственность за создание и ведение сайтов и других ресурсов в интернете, «заведомо предназначенных» для хранения или распространения незаконно полученных ПД.

Для таких нарушений предлагается ответственность в виде лишения свободы на срок до 5 лет со штрафом в размере до 700 000 руб., отмечается в тексте законопроекта.

Под эти нарушения попадает, например, «деятельность Telegram-ботов, через которые имеется возможность получать данные о физических лицах», отмечает Ярослав Шицле, руководитель направления «Разрешение IT&IP споров» юридической фирмы «Рустам Курмаев и партнеры». Правда, оговаривается эксперт, даже при вступлении этой нормы в силу у правоохранителей сохранится сложность в привлечении нарушителей к ответственности в связи с их анонимностью. «Так что, на мой взгляд, сами по себе такие поправки проблему решить не могут», – считает юрист.

Самые же серьезные меры уголовной ответственности будут применяться к организованным группировкам, которые совершали незаконные действия с базами незаконно полученных ПД, «что повлекло тяжкие последствия», отметил Хинштейн. «Уверен, что принятие нашего пакета законов не только станет мотивацией для бизнеса вкладываться в развитие инфобеза, но и поможет правоохранительным органам эффективнее бороться с киберпреступностью», – резюмировал депутат.

Помимо Хинштейна соавторами пакета законопроектов стали сенаторы Андрей Турчак, Андрей Клишас, Ирина Рукавишникова, Константин Долгов, Артем Шейкин и депутаты от «Единой России» Ирина Панькина, Дмитрий Вяткин и Антон Немкин.

Идею оборотных штрафов за утечки ПД депутаты обсуждают с весны 2022 г., но до стадии внесения в Госдуму такой документ не добирался. У правительства был ряд замечаний к проекту именно в части штрафов за утечки, отмечали «Ведомости» в сентябре. В частности, правительство учло позицию Минцифры, которое выступало за возможность снизить размер оборотного штрафа за утечку, например, за счет компенсаций пользователям, ПД которых были украдены. Но эта точка зрения категорически не устраивала авторов законопроекта, в частности Хинштейна.

Во внесенной сейчас версии документа часть замечаний правительства учтена, сообщил «Ведомостям» Шейкин. По его словам, изначально предполагалось, что штрафы будут предусмотрены и за случаи, когда оператор ПД не проинформировал конкретных пользователей об утечке их данных, но от этой новеллы в итоге решили отказаться, так как такая обязанность пока отсутствует в законе о ПД.

Также авторы скорректировали некоторые положения, которые уже были прописаны в других законодательных актах. «Замечания, касающиеся механизма денежной компенсации пострадавшим от утечек, уточнения терминологии федерального закона «О персональных данных» и соразмерности штрафов, не были учтены», – отметил Немкин.

«Ведомости» направили запрос в пресс-службу Минцифры.

Внесенные поправки еще предстоит обсуждать на площадке Госдумы. Среди прочего к ним есть ряд замечаний у представителей отрасли, например Ассоциации больших данных (АБД), в которую входят VK, «Яндекс», «Мегафон», Газпромбанк, «Тинькофф» и другие компании.

В частности, бизнес беспокоит «неопределенный состав правонарушения: из предлагаемой редакции не ясно, какие действия (бездействие) оператора влекут административную ответственность», сообщила «Ведомостям» директор АБД по стратегическим проектам Ирина Левова.

«Второе замечание – отсутствие смягчающих обстоятельств. По текущему тексту, оператор несет ответственность независимо от наличия вины и мер, которые он принял для недопущения утечки», – продолжила Левова. Также бизнес, по ее словам, беспокоит «отсутствие какого-либо экономического обоснования самих сумм штрафов».

Все эти положения предполагается обсудить с депутатами и сенаторами ко второму чтению законопроекта, отметила Левова.

«В качестве смягчающего обстоятельства отраслью предлагается обсудить соблюдение отраслевого стандарта защиты данных, разработанного АБД. Также в настоящее время разрабатываются предложения по конкретизации состава с учетом критериев точности, недвусмысленности и формальной определенности правовых норм», – резюмировала Левова.

Низкие штрафы для операторов ПД за утечки привели к тому, что сегодня «черный рынок перенасыщен предложением о продаже таких сведений», отмечает Шицле. Из-за небольших штрафов операторы ПД предпочитали не вкладываться в их защиту и предлагаемые чиновниками высокие штрафы могут быть оправданными, полагает юрист.

Но вряд ли само увеличение штрафов позволит сократить количество утечек, сомневается директор АНО «Инфокультура» Иван Бегтин. «Утечки будут в любом случае: они происходят по всему миру», – рассуждает эксперт. Законопроект лишь усилит давление государства на цифровой бизнес, считает он. Потому что это не модель, где гражданин может подать в суд и выиграть, а модель, при которой чиновники будут определять размер штрафа в пользу государства, резюмировал Бегтин.