Дискуссия о необходимости ужесточения ответственности появилась после череды утечек данных у крупных компаний, произошедших после начала СВО. В числе них оказались "Яндекс Еда", СДЭК, "Гемотест" и многие другие. Основная проблема таких утечек в том, что данные, попавшие в Сеть, практически невозможно оттуда удалить, а значит, они остаются доступны злоумышленникам фактически на постоянной основе. А с их помощью можно совершать атаки на практически любого человека, угрожая благосостоянию, а зачастую и жизни.
Главное нововведение - штрафы до 15 млн руб. за утечку персональных данных. При этом предлагается вариативность штрафа в зависимости от объема утечки. Так, если утечка затронула до 10 тысяч субъектов персональных данных, юрлицам грозит штраф от 3 до 5 млн руб., от 10 до 100 тысяч субъектов - штраф составит уже от 5 до 10 млн руб., более 100 тысяч - от 10 до 15 млн руб. За повторные правонарушения предусмотрены оборотные штрафы (от 0,1% до 3% выручки за предшествующий год. Эти меры, как отмечают участники обсуждения, должны решить две проблемы: повысить ответственность компаний за факты утечек и стимулировать их инвестировать в информбезопасность. Как пояснял "РГ" глава минцифры Максут Шадаев, существующие сейчас штрафы не решают этой задачи.
Кроме того, ответственность вводится и за несоблюдение операторами целого ряда обязанностей, в том числе об уведомлении Роскомнадзора о произошедшей утечке. А еще - законопроект дополняет УК РФ новой статьей, предусматривающей уголовную ответственность за использование, передачу, сбор и хранение компьютерной информации, которая содержит персональные данные, но при этом получена неправомерным путем. Это должно наказываться штрафом в размере до трехсот тыс. руб., либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок.
Собеседники "РГ" на рынке информационной безопасности отмечают, что главной проблемой остается сложность доказывания наличия утечки и ее принадлежности к той или иной компании. Если данные в утечке прямо не указывают на конкретную компанию или сервис, то выявить источник по ФИО, адресам, номерам телефонов, проблематично. Добавить сложностей может и то, что некоторые утечки являются дообогащенными из других утечек и скомпилированными базами. Для пресечения этого предусмотрена уголовная ответственность для создающих ресурсы, позволяющие незаконно хранить и предоставлять доступ к персональным данным. И санкция - срок до пяти лет со штрафом в размере до семисот тысяч рублей.
"Надо решать проблему наказания комплексно и привлекать преступников, которые занимаются торговлей персональных данных в Сети, к уголовной ответственности - в противном случае плачевная ситуация с персональными данными может только усугубиться, отмечает член комитета Госдумы по информполитике Антон Немкин.
В Ассоциации больших данных (АБД) уверены, что предложенные меры нуждаются в уточнении. "Первое - из предлагаемой редакции не ясно, какие действия оператора влекут административную ответственность. Второе - отсутствие смягчающих обстоятельств - сейчас оператор несет ответственность независимо от наличия вины и мер, которые он предпринял для недопущения утечки. И третье - отсутствие какого-либо экономического обоснования самих сумм штрафов", - сообщили "РГ" в АБД. Там ожидают обсуждения ко второму чтению "как состава, так и смягчающих обстоятельств". В качестве смягчающего обстоятельства предлагается обсудить соблюдение Отраслевого стандарта защиты данных. "В настоящее время разрабатываются предложения по конкретизации состава с учетом критериев точна ости и формальной определенности правовых норм", - добавили в АБД.