Что не так с ответственностью бизнеса за утечки данных

Минцифры предложило в качестве смягчающего обстоятельства при утечках персональных данных учитывать добровольные выплаты компанией компенсаций пострадавшим, рассказал глава министерства Максут Шадаев. Согласно версии законопроекта об оборотных штрафах, которая проходит финальные согласования перед внесением в Госдуму, для организации выплат будет использован портал «Госуслуги». Однако бизнес опасается, что компании будут нести ответственность за сам факт утечки, даже если она сделала все, чтобы ее не допустить

Компенсация

Глава Минцифры Максут Шадаев на конференции «Телеком: трансформация бизнес-моделей и поиск новых решений», организованной газетой «Ведомости», рассказал о том, какие меры позволят бизнесу уменьшить размер штрафов за утечку персональных данных. По словам министра, законопроект об оборотных штрафах за утечки персональных данных находится в финальной стадии разработки и уже через несколько недель может быть внесен в Госдуму. В новой версии документа решено отказаться от ранее обсуждавшейся идеи создания фонда помощи пострадавшим от утечки их персональной информации. Вместо этого Минцифры предложило использовать портал «Госуслуги».

подпишитесь на нас в Telegram

Так, в новой версии законопроекта указано, что если утечка будет подтверждена компанией, ее допустившей, то у нее будет некоторое время для того, чтобы пострадавшие могли через «Госуслуги» запросить у нее компенсацию, рассказал Максут Шадаев. В случае, если две трети из обратившихся согласятся с предложенной компанией суммой и получат компенсацию, это будет учитываться в качестве смягчающего обстоятельства. В этом случае может быть применен пониженный коэффициент при определении размера оборотного штрафа для компании, допустившей утечку, пояснил министр.

«Законопроект дорабатывается совместными усилиями. Был ряд вопросов, по которым у нас была разная точка зрения, — сообщил Forbes глава комитета по информполитике Госдумы Александр Хинштейн. — Но сейчас по большинству из них консенсус найден».

Напомним, что вопрос введения оборотных штрафов за утечку персональных данных разрабатывается с весны 2022 года. О необходимости такого регулирования заявлял президент Владимир Путин на заседании Совета по развитию гражданского общества и правам человека 7 декабря 2022 года. По его итогам правительству было поручено до 1 июля 2023 года подготовить соответствующие изменения в законодательство.

В декабре 2022 года в актуальной на тот момент версии законопроекта были предусмотрены штрафы в диапазоне от 5 млн до 500 млн рублей. Причем в документе был оговорен фиксированный размер штрафа при первой утечке персональной информации компании, тогда как размер повторного штрафа уже зависел бы от оборота компании. «Верхний потолок» был предусмотрен в случае, если компания допустила утечку данных повторно с момента вступления закона в силу и нарушила ряд требований регулятора, например, попыталась скрыть инцидент.

Материал по теме

Никто не забыт

По данным специалистов по кибербезопасности F.A.C.C.T. (ранее Group-IB), общее количество баз данных российских компаний, оказавшихся в доступе на теневых форумах и в тематических Telegram-каналах, в 2022 году составило 311. В 2021 году таких сливов было в пять раз меньше — всего 61. Общее количество строк данных пользователей, содержащихся в опубликованных сливах, по оценкам экспертов Group-IB, превысило 1,4 млрд. В 2021 году их насчитывалось всего 33 млн. «Каждая третья строка из баз данных, выложенных в мире в 2022 году, приходилась именно на российские компании», — рассказывал в феврале 2022 года руководитель отдела исследования киберпреступности Group-IB Threat Intelligence Олег Деров. По его оценке, основными причинами большого числа инцидентов стала недостаточная защищенность цифровых активов бизнеса и увеличение количества кибератак, вызванных мировым кризисом.

За 2022 год общий объем выставленных на продажу или размещенных в открытом доступе данных россиян превысил рекордные 2,8 терабайта, оценивали Forbes в «РТК-Солар». Оказалось, что от утечек не защищена ни одна сфера российского бизнеса — жертвами злоумышленников становились финансовые, страховые и IT-компании, сервисы доставки, мобильные операторы, онлайн-магазины различных товаров и услуг, онлайн-кинотеатры, развлекательные и образовательные порталы, кафе, рестораны, социальные сети, а также энергетические, промышленные, туристические, строительные, транспортные и медицинские компании.

Материал по теме

Добровольно-принудительно

Роскомнадзор принимает участие в обсуждении законопроекта, предложенного Минцифры, заявили в службе. «Цель законопроекта — не только увеличение ответственности для операторов, допустивших утечку, но и формирование модели справедливой компенсации гражданам, чьи данные были скомпрометированы», — добавляют в Роскомнадзоре.

Ряд опрошенных Forbes источников, впрочем, заверяют: с бизнесом документ не обсуждается, он готовится внутри Минцифры. Изначально предложенная версия законопроекта критиковалась рынком, и в Минцифры решили «докручивать» ее без участия бизнеса совсем, рассуждает источник в одной из крупнейших IT-компаний. «Те версии, которые обсуждались в прошлом году, могут иметь потенциальный катастрофический эффект для отрасли как от самих оборотных штрафов, так и от появления нового вида шантажа (когда злоумышленник приходит с некоей скомпилированной базой и говорит: либо покупаете ее у меня, либо я ее публикую и вам прилетает оборотный штраф), — размышляет собеседник Forbes. — В законопроекте также есть, по сути, безвиновная ответственность — штраф за сам факт утечки. То есть компании могут все деньги потратить на информбезопасность, но, если их взломают, им придется платить штраф».

Компенсация — как она была предложена — будет, помимо всего прочего, очень сложно администрируемой, размышляет другой источник Forbes в IT-отрасли. Основополагающим принципом для такого рода механизмов должна быть «полная и абсолютная добровольность», убежден он.

Материал по теме

В Ассоциации больших данных (АБД, объединяет «Яндекс», VK, «Сбер», Газпромбанк, Тинькофф Банк, «Мегафон», «Ростелеком» и др.) также сообщили, что с текстом проекта не ознакомлены. «С бизнесом не обсуждалась редакция, о которой говорил министр. Но надеемся, что такое обсуждение будет запланировано», — отмечают в АБД. Там подчеркивают, что ответственность с неопределенным составом (за утечку вообще, независимо от причин) является фактически безвиновной в ряде случаев. «Это означает, что ответственность должна компенсироваться исполнимыми смягчающими обстоятельствами либо состав нарушения должен быть определен: это может быть, например, неисполнение правовых, организационных и технических мер защиты информации. В противном случае это противоречит общим принципам КоАП, и ответственность может наступит без вины», — заявили Forbes в АБД.

В пресс-службе «Вымпелкома» (бренд «Билайн») отмечают, что компания готова участвовать в доработке законопроекта. «Главное — найти баланс интересов и сохранить ресурсы для повышения защищенности данных клиентов», — добавили в компании.

Главным вопросом этого законопроекта является то, будет ли нести ответственность компания за сам факт утечки или же за недостаточные меры по защите данных, в результате которых они были скомпрометированы, поясняет источник Forbes в крупной IT-компании. По его словам, бизнес-сообщество предлагает Минцифры определить жесткие правила по защите данных, но полностью убрать оборотные штрафы в случае, если компания их выполняла, но утечка произошла. Однако пока такая концепция не поддержана регулятором, сетует собеседник Forbes.

Материал по теме

Действующее законодательство уже позволяет взыскивать компенсации всем заинтересованным лицам, и такая практика существует, указывают в АБД, добавляя, что «вряд ли компенсации от бизнеса в виде смягчающего обстоятельства — это правовой механизм». «Такие механизмы могут быть только добровольными. Добровольные практики ответственного поведения при утечке обсуждаются в настоящее время на Совете по совершенствованию практик работы с данными и могут быть в ближайшее время приняты как рекомендуемые отраслевые практики», — заключили в АБД.

В пресс-службе вице-премьера Дмитрия Чернышенко сообщили, что документ от Минцифры в аппарат не поступал. В пресс-службе Минэкономразвития сообщают, что законопроект в министерство не направлялся. «Как только документ поступит, он будет рассмотрен в установленном порядке», — добавили в Минэкономразвития. В «Яндексе», МТС, Tele2, Ozon, Avito отказались от комментариев. Минфин переадресовал запрос Forbes в Минцифры. В Минцифры не ответили на запрос.

Заложники «Госуслуг»

Если компания сама определяет сумму компенсации, это может привести к злоупотреблениям с ее стороны и искусственным занижениям размера компенсации, считает преподаватель образовательной платформы Moscow Digital School Александра Орехович. Однако, с другой стороны, такое регулирование может позволить избегать случаев так называемого потребительского терроризма — случаев, когда при утечке данных своих клиентов компании имели бы риск стать заложниками ситуации и оплачивать компенсации, несопоставимые с последствиями утечки, считает Александра Орехович.

По мнению руководителя практики интеллектуальной собственности юридической фирмы DRC Владимира Ожерельева, главное — чтобы пострадавшие от утечки имели право оспорить предложенную оператором сумму. Но и в таком случае в законодательстве по-прежнему не хватает механизмов для определения адекватного размера компенсации, считает он. «Далеко не во всех случаях можно будет связать скомпрометированную информацию с данными конкретной учетной записи на «Госуслугах». В этом случае реальную пользу от такого механизма получат только те граждане, чьи скомпрометированные данные обладают связью с учетной записью на «Госуслугах», — заключает он.