Перейти к основному контенту
Технологии и медиа ,  
14 412 
Эксклюзив

В законопроекте об оборотных штрафах определили размер утечки

Власти готовы отказаться от оборотных штрафов за утечки, касающиеся менее 10 тыс. граждан
Компании получат оборотные штрафы, только если утечка затрагивает данные от 10 тыс. граждан. Такой вариант наказания обсуждает рабочая группа при Минцифры. Но эксперты считают более важным не количество, а характеристики данных
Фото: Наталья Селиверстова / РИА Новости
Фото: Наталья Селиверстова / РИА Новости

Компании получат оборотные штрафы, если допустят утечку информации более чем 10 тыс. субъектов персональных данных (то есть граждан). Такой вариант обсуждается рабочей группой при Минцифры — она сейчас разрабатывает законопроект об оборотных штрафах за утечки данных, рассказали РБК один из участников ИТ-рынка и источник, близкий к министерству. В случае если объем окажется меньше установленного значения, компания также получит штраф, но не оборотный, а фиксированный.

В апреле глава Минцифры Максут Шадаев выступил с предложением ввести оборотные штрафы для компаний, допустивших утечку персональных данных, пояснив, что сейчас бизнес опасается скорее репутационных издержек, нежели штрафа. Проект разрабатывается совместно с Роскомнадзором и не будет касаться госорганов, говорил Шадаев. Обсуждалось, что штраф составит до 1% от оборота. Однако крупные ИТ-компании настаивали, что риски утечек есть независимо от того, как сильно организация вкладывалась в информационную безопасность, и просили смягчить формулировки документа. Как альтернативу они предлагали трехступенчатую систему наказания за утечки: если данные клиентов или сотрудников компании были скомпрометированы впервые, то она должна получить просто предупреждение; в случае повторной компрометации — заплатить крупный штраф; при третьей утечке — оборотный штраф.

Минцифры предложило ввести оборотные штрафы за утечки персональных данных
Бизнес
Фото:John Adkisson / Reuters

В середине июля Минцифры сообщало, что обсуждаемые предложения для законопроекта включают следующие:

  • штрафы будут применяться в два этапа: за первую утечку штраф будет фиксированным (размер зависит от объема данных), при повторной утечке станет применяться оборотный штраф. Будут установлены границы, «от» и «до» какого процента от выручки можно будет взыскать оборотный штраф;
  • будут учитываться смягчающие и отягчающие обстоятельства при определении размера штрафа. Если компания приложила максимум усилий по защите информации, это будет расцениваться как смягчающее обстоятельство, если она скрывала факт утечки — как отягчающее;
  • будет определено, как устанавливать вину конкретной компании за утечку данных: как отличить, произошла ли новая утечка или мошенники выдают за нее данные из разных баз, слитых ранее;
  • рассматривалась возможность создания специального фонда по аналогии с Агентством по страхованию вкладов, в который будут перечислять собранные штрафы и из которого станут выплачивать компенсации гражданам, пострадавшим от утечек.

Однако сейчас обсуждается, что оборотный штраф может грозить компаниям в том числе за первую утечку, если она коснулась более 10 тыс. субъектов персональных данных, говорит один из собеседников РБК. Среди смягчающих обстоятельств, которые «позволят снизить штраф вплоть до фиксированного значения в несколько миллионов», он перечислил такие: если компания выявила утечку, публично призналась, активно проводила расследование, помогала надзорным органам и в рамках расследования выяснилось, что утечка не произошла по причине нарушения требований информационной безопасности. По словам источника РБК, вопрос создания фонда для компенсации ущерба еще прорабатывается с отраслью. Участники обсуждения хотят создать такой механизм, чтобы этот «фонд не позволил откупиться от утечки».

СК возбудил уголовное дело после утечки данных пользователей «Яндекс.Еды»
Общество
Фото:Владислав Шатило / РБК

Еще один источник РБК на ИТ-рынке говорит, что обсуждение формулировок законопроекта продолжается и они еще могут поменяться. Например, ранее в ходе обсуждений звучали предложения ввести личную уголовную ответственность за утечки персональных данных, но «пока от этой идеи вроде отказались».

Представитель Минцифры сообщил, что законопроект об оборотных штрафах за утечку персональных данных находится в стадии разработки и будет представлен в середине сентября. «Ищем компромисс с бизнесом и отраслью. Минцифры выступает за ужесточение и усиление ответственности за утечки персональных данных. Но задача не в самих штрафах, дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей», — сказал представитель министерства.

Есть ли проблема

С конца февраля у российских компаний произошло несколько крупных утечек данных пользователей. 1 марта «Яндекс.Еда» сообщила, что из-за недобросовестных действий сотрудника в Сеть попали телефоны клиентов и информация об их заказах. 21 апреля мировой судья судебного участка района Замоскворечье оштрафовал «Яндекс.Еду» на 60 тыс. руб. по протоколу, составленному Роскомнадзором. Но часть клиентов сервиса подали коллективный иск из-за инцидента. Однако Замоскворецкий районный суд Москвы отказался признать иск групповым, а также допустить к участию в деле более 700 пострадавших пользователей. Сейчас это решение пытаются оспорить.

В конце мая сервис Delivery Club обнаружил утечку данных о сделанных некоторыми пользователями заказах. В целом, по информации сервиса разведки утечек данных и мониторинга даркнета DLBI, с февраля в Сеть могли утечь данные 8 млн клиентов различных сервисов доставки еды. Помимо этого крупная утечка произошла у медицинской лаборатории «Гемотест»: в открытый доступ попали данные 30 млн клиентов.

Роскомнадзор потребовал от «Почты России» объяснений из-за утечки данных
Общество
Фото:Пётр Ковалев / ТАСС

По текущему законодательству максимальное наказание за утечку персональных данных для юрлиц — это штраф 500 тыс. руб. Как указывало Минцифры в своем сообщении в середине июля, утечки персональных данных стали серьезной проблемой. «Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем. На основании утекших данных часто создают мошеннические онлайн-сервисы, которые привлекают пользователей своей простотой и удобством и в итоге причиняют еще больший ущерб гражданам», — указывало министерство. Там рассчитывают, что дополнительная ответственность «побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей».

По словам основателя DLBI Ашота Оганесяна, 10 тыс. субъектов персональных данных в одной утечке — это немалый объем, вполне достаточный, для того чтобы говорить о системных проблемах в защите данных у компании-оператора, в связи с чем оборотный штраф имеет смысл. «Однако, как обычно, проблема возникнет в доказывании размера утечки, так как, во-первых, базы нередко продаются на черном рынке меньшими кусками, а во-вторых, сам оператор будет заявлять, что информация утекла в процессе нескольких инцидентов, каждый из которых был меньше заявленного объема», — рассуждает Оганесян.

Бизнес-консультант по информационной безопасности компании Positive Technologies Алексей Лукацкий, в свою очередь, полагает, что важно не столько количество субъектов, чьи данные утекли, сколько само наполнение этих данных. «Одно дело, когда утекает 10 тыс. Ф.И.О. с номерами телефонов, и совсем другое, когда в утечке присутствуют паспортные или финансовые данные. Еще хуже, когда в утечке есть медицинские данные или данные о несовершеннолетних. Иными словами, стоит учитывать не только объем персональных данных, но и их категорию», — считает Лукацкий.

Визионерский взгляд

1 из 6

Особый взгляд

Герои проекта «РБК Визионеры» рассказывают, как связаны современные инновации и визионерство

2 из 6

Кристина Судеревская

О том, как вырастить из хобби бизнес-империю и почему самое
важное — это атмосфера

3 из 6

VOYAH DREAM

Узнайте о комфортабельном пространстве премиального гибридного минивэна, где ваши переговоры или отдых никто не потревожит

4 из 6

Алексей Буров

Об особенностях создания концепций, философии ресторанов и премиализации бизнеса 

5 из 6

VOYAH FREE

Узнайте о преимуществах гибридного кроссовера премиум-класса с дерзким характером, увеличенным запасом хода и господдержкой

6 из 6

Айрат Багаутдинов

О том, как малое становится большим, о сложностях делегирования и высокой планке качества

Перейти
Авторы
Теги
Лента новостей
В Новодвинске насмерть угорели от дыма две женщины и двое детей Общество, 12:18
Более 84 тыс. человек посетили VI Неделю интерьера и дизайна в Москве Life, 12:13
В Приморском крае взрыв водонагревателя разрушил стену в доме Общество, 12:13
Киев заявил о готовности прибыть на новый раунд переговоров в Стамбуле Политика, 12:08
Что станет с ценами на недвижимость при снижении ключевой ставкиПодписка на РБК, 12:06
В Кузбассе задержали главу района за злоупотребление полномочиями Общество, 12:03
IV Всероссийский зерновой форум 2025. Трансляция 12:02
Онлайн-курс Digital MBA от РБК и ProductStar
Объединили экспертизу профессоров MBA из Гарварда, MIT, INSEAD и опыт передовых ИТ-компаний
Оставить заявку
Аэропорт Минеральные Воды внедрил российские ОС «Альт» РБК Компании, 12:00
Модный ИИ: как Zara и другие бренды создают коллекции за считанные неделиПодписка на РБК, 11:58
Власти подали к владельцам «мазутных танкеров» иски на ₽84,9 млрд⁠ Общество, 11:56
Власти с 4 июня запустят пилотный проект по борьбе с кибермошенниками Общество, 11:54
Стал известен следующий соперник российского экс-чемпиона UFC Петра Яна Спорт, 11:53
8 мифов о драгоценных металлах РБК и Сбер, 11:50
Ушедший с рынка Рокетбанк возобновит работу в июле 2025 года Финансы, 11:48