Forbes узнал об идее увеличить в 10 раз штрафы за повторные утечки данных
Минимальный размер штрафа для юридических лиц за повторную утечку данных вырастет с 0,1–3 до 1–3% от годовой выручки, следует из новой версии законопроекта, который готовится ко второму чтению, пишет Forbes.
По сравнению с принятым в первом чтении документом штрафы для должностных лиц уменьшаются с 3–5 млн до 1,1–1,2 млн руб., а под действие закона подпадают чиновники государственного или муниципального уровня.
Документ предполагает появление смягчающих обстоятельств для компании, допустившей утечку, если та инвестирует не менее 0,1% годовой выручки в мероприятия, посвященные информационной безопасности. Потребуется также лицензия ФСБ на разработку систем с использованием криптографии или же привлечь подрядчика с таким документом. Банкам позволят рассчитать оборотный штраф не от выручки, а от объема капитала — собственных средств.
Источник Forbes рассказал, что эту версию законопроекта еще не согласовали с правительством и органами исполнительной власти, а сам документ «вполне компромиссный», причем есть моменты, «на которые стоит обратить внимание». Он также отметил, что в описании смягчающих обстоятельств не уточняется, на что следует направить инвестиции в сфере информационной безопасности и на какие направления.
«По сути, это требование может вылиться просто в приобретение бизнесом лицензий ФСБ [на разработку систем с использованием криптографии]. Все еще остаются вопросы к составу административного нарушения: текущая формулировка предполагает наказание за действие или бездействие, повлекшее передачу персональных данных независимо от ущерба, который она повлекла или не повлекла», — пояснил собеседник издания.
Со слов источника, такое определение включают работа ИБ-компаний с утечками и оценка безопасности компьютерных систем моделированием атаки (пентесты).
Законопроект приняли в первом чтении в январе 2024 года. Сейчас максимальный размер штрафа для юридических лиц составляет до 100 тыс. руб., за повторное нарушение — до 300 тыс. руб. Документ предполагает также введение оборотных штрафов за повторные утечки персональных данных: для граждан — в размере от 400 тыс. до 600 тыс. руб., для должностных лиц — от 2 млн до 4 млн руб. В отношении юридических лиц предусматривается оборотный штраф от 0,1 до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн и не более 500 млн руб.
«Думаю, что у нас есть компромиссные решения, которые устроят всех. Решения, которые, с одной стороны, не станут лазейкой для ухода от ответственности и возможности откупиться нарушителю. А с другой стороны, действительно позволят участникам рынка, которые вкладываются в информационную безопасность, снижать масштабы ответственности», — рассказал в июле глава думского комитета по информационной политике Александр Хинштейн. По его мнению, законопроект примут в этом году.
Этот вариант поправок прорабатывался в профильном комитете Госдумы, заявили в аппарате вице-премьера Дмитрия Григоренко, но отказались подтвердить актуальность информации. В Минцифры сообщили, что итоговая версия законопроекта еще на обсуждении, и поделились ожиданием, что его одобрение станет для IТ-компаний стимулом более внимательно соблюдать требования информационной безопасности и инвестиций в защиту персональных и других данных.
В Ассоциации больших данных (АБД: «Яндекс», МТС, «МегаФон», «Билайн», Сбербанк, ВТБ, «Авито» и др.) сообщили, что пока не получали эту версию документа, но главные замечания остались прежними: столь большие штрафы следует экономически обосновать и налагать только при составе правонарушения, который будет отвечать критериям точности, недвусмысленности и формальной определенности правовых норм.
Собеседник Forbes из IТ-индустрии подчеркнул необходимость конкретизировать случаи, когда компании будут нести ответственность за неправомерную обработку биометрии, чтобы сократить серую зону, в которой работают, к примеру, системы идентификации воров в магазинах и платформы учета рабочего времени.
Опрошенные изданием эксперты скептически отнеслись к инициативе.
«Пропорциональность соотношения риска и ответственности закономерно вызывает вопросы: не совсем понятно, за счет каких доходов, к примеру, должностное лицо может выплатить штраф в размере 1,5 млн руб. за утечку. Как известно, про утечки говорят не «если», а «когда» они произойдут», — считает директор юридического департамента DRC Ольга Захарова. Она также обратила внимание, что сейчас в Уголовном кодексе предусмотрены более мягкие наказания за совершение преступлений — общественно-опасных деяний, нежели в административном за правонарушения.
Законопроект, если будет принят, увеличит инвестиции крупного бизнеса в кибербезопасность, но грозит вытеснить с рынка небольших игроков, работающих с персональными данными, убеждена советник практики интеллектуальной собственности юридической компании ЭБР Кристина Мкртчян: «Дополнительное давление создают новые требования по обработке биометрии, что в совокупности может привести к реструктуризации рынка и повышению стоимости услуг для конечных потребителей, поскольку бизнес будет вынужден закладывать возросшие риски и затраты на безопасность в цену своих продуктов».
Попробуйте новую функцию «ГигаЧат» — общаться голосом
Какое вино подать к ужину, если не знаешь предпочтения гостей
Как приготовить говядину в вине по-бургундски
Чем занять детей, пока взрослые общаются за столом
Как легко завести разговор в компании, где все только что познакомились
О чём надо позаботиться, если собираешься позвать много гостей
Из каких сыров и ветчин собрать тарелку закусок к вину
Что делать, если пролил красное вино на белую скатерть
Какие есть правила классической сервировки стола
Какие игры можно предложить для взрослой компании дома
Как легко запомнить имена людей, которых тебе представили
