Прямая зависимость
Утечки персональных данных уже давно стали частью медийного мейнстрима и находятся в фокусе внимания различных государственных структур. Можно с уверенностью заявить, что рост количества и масштаба утечек признан государством как социально неприемлемый и требующий активной госполитики по купированию неблагоприятной ситуации.
Одной из мер по предотвращению компрометации личной информации стало принятие поправок в Кодекс административных правонарушениях (КоАП), увеличивающих размер штрафов за утечку персональных данных. Декларируемая цель этой юридической новеллы — заставить бизнес осознанно подходить к сбору и обработке персональных данных и стимулировать инвестиции в кибербезопасность. В противном случае с 30 мая 2025 года, когда закон вступит в силу, компании будут ожидать многомиллионные штрафные санкции.
Важной составляющей новых поправок стала прямая зависимость между масштабом утечки и размером штрафной санкции. Причем введен смешанный критерий, когда утечки измеряются либо по количеству человек, чьи данные были скомпрометированы, либо по числу так называемых уникальных идентификаторов. Так, компрометация персональных данных более 100 000 человек и/или более 1 млн идентификаторов влечет наложение на юридическое лицо штрафа в размере до 15 млн рублей. Повторение такого инцидента сулит компании уже штраф в размере от 1% до 3% совокупного размера годовой выручки. Если же повторная утечка персональных данных более 100 000 человек или же больше 1 млн идентификаторов, то и штраф составит от 1% до 3% совокупного размера суммы выручки, но не менее 20 млн рублей и не более 500 млн рублей.
Большое количество
Давайте более подробно остановимся на идентификаторах персональных данных. В поправках в КоАП под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных компании и относящееся к такому лицу. Иначе говоря, это определенный вид персональных данных, необходимый для осуществления процесса адресации к сведениям (записям) о конкретном физическом лице в информационной системе.
Казалось бы, все понятно. Но не спешите с выводом и попробуйте ответить себе на следующие вопросы:
• Как выделить идентификатор среди других персональных данных, а также cведений неперсонального характера?
• Как определить критерии уникальности в отношении идентификатора?
• Как подсчитать количество повторяющихся идентификаторов в одной информационной системе? Например, в записях кадровой системы табельный номер отдельно взятого работника может фигурировать десятки раз.
И помните, что от ответов на вышеперечисленные вопросы будет зависеть оценка тяжести утечки и размер сопутствующей санкции.
В одной и той же базе данных идентификатор может фигурировать большое количество раз. Если таких идентификаторов несколько, то в одной базе с информацией о тысяче человек при желании можно насчитать десятки или даже сотни тысяч уникальных идентификаторов, пусть даже они во многом будут носить повторяющийся характер. Даже небольшая компания, обрабатывающая данные нескольких сотен или тысяч людей, может иметь в своих базах сотни тысяч или миллионы идентификаторов. Это означает, что шансы попасть на самые жесткие административные штрафы по утечкам даже для среднего и малого бизнеса на самом деле далеко не такие призрачные.
Дополнительные риски
Негативные последствия от утечек персональных данных многократно усиливаются при сопоставлении и обогащении злоумышленниками сведений, содержащихся в различных скомпрометированных базах. Сопоставлять эти базы данных помогает использование так называемых сквозных (универсальных) идентификаторов, например адреса электронной почты или номера телефона. Они выполняют функции пользовательского идентификатора во многих цифровых сервисах: на маркетплейсах, портале «Госуслуг», в банковских приложениях.
Но использовать сквозные идентификаторы не обязательно. Те же цифровые платформы и экосистемы могут переходить на локальные идентификаторы, которые они создают сами. Но с новыми поправками КоАП все получается в точности наоборот — компании не захотят множить локальные идентификаторы, чтобы не создавать себе дополнительные риски.
До вступления в силу поправок об ужесточении ответственности за утечки персональных данных осталось менее полугода. Одной из практических рекомендаций по подготовке к новой правовой реальности и снижению регуляторного риска является проведение компаниями инвентаризации и минимизации состава и количества идентификаторов, используемых в собственных информационных системах.
Мнение редакции может не совпадать с точкой зрения автора