Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

В законопроекте об оборотных штрафах определили размер утечки

Власти готовы отказаться от оборотных штрафов за утечки, касающиеся менее 10 тыс. граждан
Компании получат оборотные штрафы, только если утечка затрагивает данные от 10 тыс. граждан. Такой вариант наказания обсуждает рабочая группа при Минцифры. Но эксперты считают более важным не количество, а характеристики данных
Фото: Наталья Селиверстова / РИА Новости
Фото: Наталья Селиверстова / РИА Новости

Компании получат оборотные штрафы, если допустят утечку информации более чем 10 тыс. субъектов персональных данных (то есть граждан). Такой вариант обсуждается рабочей группой при Минцифры — она сейчас разрабатывает законопроект об оборотных штрафах за утечки данных, рассказали РБК один из участников ИТ-рынка и источник, близкий к министерству. В случае если объем окажется меньше установленного значения, компания также получит штраф, но не оборотный, а фиксированный.

В апреле глава Минцифры Максут Шадаев выступил с предложением ввести оборотные штрафы для компаний, допустивших утечку персональных данных, пояснив, что сейчас бизнес опасается скорее репутационных издержек, нежели штрафа. Проект разрабатывается совместно с Роскомнадзором и не будет касаться госорганов, говорил Шадаев. Обсуждалось, что штраф составит до 1% от оборота. Однако крупные ИТ-компании настаивали, что риски утечек есть независимо от того, как сильно организация вкладывалась в информационную безопасность, и просили смягчить формулировки документа. Как альтернативу они предлагали трехступенчатую систему наказания за утечки: если данные клиентов или сотрудников компании были скомпрометированы впервые, то она должна получить просто предупреждение; в случае повторной компрометации — заплатить крупный штраф; при третьей утечке — оборотный штраф.

Минцифры предложило ввести оборотные штрафы за утечки персональных данных
Бизнес
Фото:John Adkisson / Reuters

В середине июля Минцифры сообщало, что обсуждаемые предложения для законопроекта включают следующие:

  • штрафы будут применяться в два этапа: за первую утечку штраф будет фиксированным (размер зависит от объема данных), при повторной утечке станет применяться оборотный штраф. Будут установлены границы, «от» и «до» какого процента от выручки можно будет взыскать оборотный штраф;
  • будут учитываться смягчающие и отягчающие обстоятельства при определении размера штрафа. Если компания приложила максимум усилий по защите информации, это будет расцениваться как смягчающее обстоятельство, если она скрывала факт утечки — как отягчающее;
  • будет определено, как устанавливать вину конкретной компании за утечку данных: как отличить, произошла ли новая утечка или мошенники выдают за нее данные из разных баз, слитых ранее;
  • рассматривалась возможность создания специального фонда по аналогии с Агентством по страхованию вкладов, в который будут перечислять собранные штрафы и из которого станут выплачивать компенсации гражданам, пострадавшим от утечек.

Однако сейчас обсуждается, что оборотный штраф может грозить компаниям в том числе за первую утечку, если она коснулась более 10 тыс. субъектов персональных данных, говорит один из собеседников РБК. Среди смягчающих обстоятельств, которые «позволят снизить штраф вплоть до фиксированного значения в несколько миллионов», он перечислил такие: если компания выявила утечку, публично призналась, активно проводила расследование, помогала надзорным органам и в рамках расследования выяснилось, что утечка не произошла по причине нарушения требований информационной безопасности. По словам источника РБК, вопрос создания фонда для компенсации ущерба еще прорабатывается с отраслью. Участники обсуждения хотят создать такой механизм, чтобы этот «фонд не позволил откупиться от утечки».

СК возбудил уголовное дело после утечки данных пользователей «Яндекс.Еды»
Общество
Фото:Владислав Шатило / РБК

Еще один источник РБК на ИТ-рынке говорит, что обсуждение формулировок законопроекта продолжается и они еще могут поменяться. Например, ранее в ходе обсуждений звучали предложения ввести личную уголовную ответственность за утечки персональных данных, но «пока от этой идеи вроде отказались».

Представитель Минцифры сообщил, что законопроект об оборотных штрафах за утечку персональных данных находится в стадии разработки и будет представлен в середине сентября. «Ищем компромисс с бизнесом и отраслью. Минцифры выступает за ужесточение и усиление ответственности за утечки персональных данных. Но задача не в самих штрафах, дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей», — сказал представитель министерства.

Есть ли проблема

С конца февраля у российских компаний произошло несколько крупных утечек данных пользователей. 1 марта «Яндекс.Еда» сообщила, что из-за недобросовестных действий сотрудника в Сеть попали телефоны клиентов и информация об их заказах. 21 апреля мировой судья судебного участка района Замоскворечье оштрафовал «Яндекс.Еду» на 60 тыс. руб. по протоколу, составленному Роскомнадзором. Но часть клиентов сервиса подали коллективный иск из-за инцидента. Однако Замоскворецкий районный суд Москвы отказался признать иск групповым, а также допустить к участию в деле более 700 пострадавших пользователей. Сейчас это решение пытаются оспорить.

В конце мая сервис Delivery Club обнаружил утечку данных о сделанных некоторыми пользователями заказах. В целом, по информации сервиса разведки утечек данных и мониторинга даркнета DLBI, с февраля в Сеть могли утечь данные 8 млн клиентов различных сервисов доставки еды. Помимо этого крупная утечка произошла у медицинской лаборатории «Гемотест»: в открытый доступ попали данные 30 млн клиентов.

Роскомнадзор потребовал от «Почты России» объяснений из-за утечки данных
Общество
Фото:Пётр Ковалев / ТАСС

По текущему законодательству максимальное наказание за утечку персональных данных для юрлиц — это штраф 500 тыс. руб. Как указывало Минцифры в своем сообщении в середине июля, утечки персональных данных стали серьезной проблемой. «Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем. На основании утекших данных часто создают мошеннические онлайн-сервисы, которые привлекают пользователей своей простотой и удобством и в итоге причиняют еще больший ущерб гражданам», — указывало министерство. Там рассчитывают, что дополнительная ответственность «побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей».

По словам основателя DLBI Ашота Оганесяна, 10 тыс. субъектов персональных данных в одной утечке — это немалый объем, вполне достаточный, для того чтобы говорить о системных проблемах в защите данных у компании-оператора, в связи с чем оборотный штраф имеет смысл. «Однако, как обычно, проблема возникнет в доказывании размера утечки, так как, во-первых, базы нередко продаются на черном рынке меньшими кусками, а во-вторых, сам оператор будет заявлять, что информация утекла в процессе нескольких инцидентов, каждый из которых был меньше заявленного объема», — рассуждает Оганесян.

Бизнес-консультант по информационной безопасности компании Positive Technologies Алексей Лукацкий, в свою очередь, полагает, что важно не столько количество субъектов, чьи данные утекли, сколько само наполнение этих данных. «Одно дело, когда утекает 10 тыс. Ф.И.О. с номерами телефонов, и совсем другое, когда в утечке присутствуют паспортные или финансовые данные. Еще хуже, когда в утечке есть медицинские данные или данные о несовершеннолетних. Иными словами, стоит учитывать не только объем персональных данных, но и их категорию», — считает Лукацкий.

СберПро Медиа Туризм

Барометр отрасли: развитие внутреннего туризма

СберПро Медиа Промышленность

Рекордная цена: 
как развивается золотодобыча на фоне растущего спроса

СберПро Медиа Транспорт

В поисках баланса. Как развиваются контейнерные перевозки в России и мире

СберПро Медиа Интересное

Как технологии помогают бизнесу повысить эффективность в разных отраслях

СберПро Медиа Интересное

Особенности внедрения искусственного интеллекта в бизнес-процессы

СберПро Медиа Промышленность

Барометр отрасли: химическая промышленность

СберПро Медиа Финансы

Эволюция банкинга. Как и почему крупный бизнес переходит на Open API

СберПро Медиа Интересное

Вместе к успеху. Как выстраивать коммуникации 
в команде

СберПро Медиа Промышленность

Сплав технологий: 5 трендов цифровизации в металлургии

СберПро Медиа Интересное

Нейро-, микро- и лайфстайл. Тренды российского онлайн-образования

Авторы
Теги
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.

*

Лента новостей
Курс евро на 23 мая
EUR ЦБ: 97,9 (-0,4)
Инвестиции, 22 мая, 17:18
Курс доллара на 23 мая
USD ЦБ: 90,19 (-0,22)
Инвестиции, 22 мая, 17:18
Богатейшие кланы назвали большую для них угрозу, чем конфликт на Украине Бизнес, 00:17
Что означает решение ЕС об изъятии доходов c активов Банка России Финансы, 00:00
«Аталанта» Миранчука выиграла Лигу Европы, разгромив «Байер» Спорт, 22 мая, 23:53
Белый дом признал отсутствие данных о поставках Китаем вооружений России Политика, 22 мая, 23:40
Зеленский в Нормандии попросит участия НАТО в защите неба Украины Политика, 22 мая, 23:35
МВД выплатит семье убитой студентки Пехтелевой ₽700 тыс. за халатность Политика, 22 мая, 23:25
В небе над югом России заметили неопознанный объект Общество, 22 мая, 23:06
Стоицизм: как быть эффективнее в изменчивом мире
Подробнее
Президент Румынии пообещал не отправлять военных на Украину Политика, 22 мая, 22:28
Два жителя Лисичанска в ЛНР погибли в результате обстрела Политика, 22 мая, 22:10
В конгрессе США призвали ФБР и МОК расследовать дело китайских пловцов Спорт, 22 мая, 22:07
Путин поручил утвердить программы развития 10 регионов Политика, 22 мая, 22:02
В редакцию «Компании» пришли силовики Политика, 22 мая, 21:59
В ДНР сообщили о первой атаке ВСУ на республику с помощью ATACMS Политика, 22 мая, 21:58
Новак исключил стопроцентную защиту объектов ТЭКа от атак Политика, 22 мая, 21:46