Бизнес раскритиковал поправки об оборотных штрафах за утечки данных

Анастасия Гаврилюк Редакция Forbes

Введение оборотных штрафов за утечки персональных данных, поправки о которых были представлены на рассмотрение правительства в конце июля, не поможет сократить их количество, возлагает ответственность на компанию независимо от причин утечки, а также приведет к сокращению инвестиций бизнеса на информбезопасность (ИБ). Более того, предложенная методика расчетов штрафов несправедлива и больнее всего ударит по малому и среднему бизнесу. Такие выводы содержатся в письме Ассоциации больших данных (АБД), которое, по информации Forbes, она направила в правительство и ряд ведомств

Наказание без преступления

АБД (объединяет «Яндекс», VK, Сбербанк, Газпромбанк, Тинькофф Банк, Россельхозбанк, «Мегафон», «Ростелеком», QIWI, билайн, «МТС», «Авито», фонд «Сколково», Аналитический центр при правительстве, ВТБ, Центр стратегических разработок) 4 августа направила в аппарат правительства, Минцифры, Минэкономразвития и Минюст письма с отзывом на законопроект, предусматривающий оборотные штрафы за утечку персональных данных. Текст письма и предложения ассоциации есть в распоряжении Forbes.

Законопроект не достигает своей цели, считают в ассоциации. В пояснительной записке указано, что документ должен «стимулировать бизнес инвестировать в развитие инфраструктуры ИБ и защиту персональных данных своих пользователей». Однако неопределенность состава правонарушения в законопроекте фактически приводит к введению безвиновной ответственности для бизнеса, так как независимо от причин утечки ответственность возлагается на компанию, считают в АБД: это несправедливо и противоречит базовым принципам гражданского законодательства и КоАП.

Кроме того, АБД опасается, что принятие законопроекта в текущем виде может привести к снижению инвестиций в защиту персональных данных, так ответственность без вины не дает бизнесу стимулов для усиления безопасности. Даже если компания выполнит все возможные требования по защите данных своих сотрудников и клиентов, то в случае взлома хакерами она все равно будет привлечена к ответственности.

Материал по теме

Согласно позиции АБД, необходимо стимулировать бизнес инвестировать в защиту данных с помощью аудитов на соответствие повышенным требованиям в области информбезопасности. В таком случае государство должно взять на себя обязательства смягчать наказание или вовсе не штрафовать компанию, которая сделала все необходимое для защиты данных. Такой подход позволяет существенно повысить защищенность персональных данных и сократить количество утечек, считают в ассоциации.

Напомним, сенаторы Андрей Турчак, Ирина Рукавишникова и депутат Александр Хинштейн 26 июля внесли в правительство поправки в КоАП, предусматривающие штрафы за компрометацию персональных данных. Документ предполагает наложение штрафов не за факт утечки личной информации, а за «действия или бездействие оператора персональных данных, повлекшие неправомерную передачу информации, включающей персональные данные».

Так, штрафовать компании предлагается в случае, если скомпрометирована личная информация более 1000 граждан или же личные «идентификаторы данных» более 10 000 граждан. В таком случае компании придется заплатить от 3 млн до 5 млн рублей, а должностному лицу — от 800 000 рублей до 1 млн рублей. При более крупном размере утечки (если скомпрометированы персональные данные более 10 000, но менее 100 000 граждан или же от 100 000 до 1 млн идентификаторов) юрлицу придется заплатить от 5 млн до 10 млн рублей, а должностному лицу — 1-1,5 млн рублей.

Для особо крупных утечек, которые затронули данные более 100 000 граждан (или более 1 млн идентификаторов), предусмотрены штрафы в размере 10-15 млн рублей для компании и 1,5-2 млн рублей для должностного лица. При повторном нарушении размер штрафа будет зависеть от оборота компании и составлять от 0,1% до 3% от годовой выручки, но не может быть меньше 15 млн рублей, хотя и не более 500 млн рублей.

Forbes.Идеи для бизнеса

Канал о стартапах, новых идеях и малом бизнесе

Расчеты не верны

Также поправки подразумевают, что компания должна сообщить в Роскомнадзор (РКН) об инциденте в течение 24 часов и о результатах проведенного внутреннего расследования в течение 72 часов: несоблюдение этих обязанностей является отягчающим обстоятельством. Этого времени не хватит для выявления причин, считают в АБД: зачастую утечки происходят у партнеров, а старые утечки из одних компаний объединяют с другими и выдают за новые, а кроме того, у РКН нет регламента и рекомендаций по проведению расследований. Поэтому нужно увеличить срок на проведение внутреннего расследования и уведомления РКН до 30 дней.

Материал по теме

В АБД также считают завышенным размер штрафов за то, что компания вовремя не сообщила РКН о произошедшей утечке. Согласно инициативе Александра Хинштейна, они составят 1-3 млн рублей. В АБД считают такое наказание несоразмерным степени и размеру нанесенного вреда и предлагают снизить их в 5-10 раз. В ассоциации напоминают, что штрафы за административные правонарушения, связанные с угрозой жизни и здоровью людей, гораздо меньше. Например, за нарушение требований пожарной безопасности, повлекшее возникновение пожара и причинение тяжкого вреда здоровью человека или его смерть, бизнес штрафуют на 1-2 млн рублей, отмечают в АБД.

Особое внимание АБД уделяет методике расчетов оборотных штрафов, отмечая, что доля штрафа снижается по мере увеличения размера выручки компании: «При повторной утечке взимается оборотный штраф, предельный размер которого ограничен 500 млн рублей. Это означает, что предельный размер штрафа может быть уплачен как организацией с выручкой от 16,7 млрд рублей, для которой его доля в выручке составит 3%, так и организацией с выручкой 1 трлн рублей, для которой он составит 0,05% от выручки. То есть разница доли штрафа в выручке для организаций с выручкой 16,7 млрд рублей и выручкой 1 трлн рублей составляет 60 раз». Это не отвечает принципам справедливости и пропорциональности административной ответственности, убеждены в АБД.

Чтобы сгладить эту диспропорцию, АБД предлагает при расчете размера оборотного штрафа учитывать параметр размера выручки компании на определенном товарном рынке, в зависимости от которого должен дифференцироваться предельный размер оборотного штрафа. Например, для тех, у кого размер выручки не превышает 10 млрд рублей, предельный размер штрафа — 100 млн рублей; для тех, чья выручка составляет от 10 млрд до 1 трлн рублей, — 250 млн рублей, а для тех, у кого свыше 1 трлн рублей, — 500 млн рублей. Подход, при котором при определении размера оборотного штрафа учитывается размер выручки, применяется и в рамках европейского GDPR (General Data Protection Regulation), указывают эксперты.

В Минэкономразвития отметили, что готовы вместе с коллегами из других ведомств «обсуждать обеспокоенность бизнеса для выработки редакции законопроекта, которая обеспечит и сохранность данных, и возможность для отрасли развиваться». На данный момент письмо АБД в аппарат правительства не поступало, сообщили там. В Минцифры, Минюсте и комитете Госдумы по информполитике не ответили на запрос Forbes.

Критические риски

Опрошенные Forbes участники рынка и эксперты также считают, что предложенные в текущей версии формулировки состава правонарушения создают критические риски для IT-отрасли, а потенциальная нагрузка на бизнес от оборотных штрафов нуждается в корректировке с учетом текущей экономической обстановки. «Принятие законопроекта в данной версии может иметь негативные последствия для российского IT-рынка и нивелировать позитивный эффект от уже реализованных мер его поддержки», — подчеркивают в Ozon.

При этом под действие поправок не попадают государственные и муниципальные органы, указывает источник в одном из крупных операторов. Обоснованность такого «выведения госструктур за скобки» у собеседника Forbes вызывает вопросы.

По сравнению с действующими штрафами за утечки данных, согласно инициативе Александра Хинштейна, размер штрафов предлагается повысить в 150 раз за первое правонарушение и в 1600 раз за повторное, сообщил Forbes источник в одной из онлайн-платформ. «Это огромные риски для компаний любого масштаба, особенно небольших, поскольку в случае утечек они понесут такие убытки, которые могут быть несовместимыми с дальнейшей возможностью развития бизнеса, особенно в сфере услуг и торговли», — рассуждает он.

Материал по теме

В законопроект еще будут вноситься изменения, направленные на компенсацию пострадавшим от утечек персональных данных, а также на включение в него ряда смягчающих факторов, на которых настаивает Минцифры, считает бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. «Но в любом случае принятие законопроекта, устанавливающего оборотные штрафы за инциденты в области ИБ, заставит бизнес задуматься если не об увеличении своих расходов в этой сфере, то точно о том, насколько сейчас эффективна система кибербезопасности компании», — заключает эксперт.

Есть компании, которые вообще не уделяют внимания защите информации своих пользователей и сотрудников, для таких принятие этого законопроекта может заставить пересмотреть свою политику работы с персональными данными, отмечает генеральный директор Института исследований интернета Карен Казарян. Но компании, которые соблюдают все требования по защите данных, эта инициатива ставит в тупик: бизнес не понимает, за что будут наказывать и что надо делать, чтобы наказания избежать, поясняет он. Принятие поправок в текущем виде приведет к тому, что бизнес не сможет просчитывать инвестиционные риски, потому что наказание за утечки данных не будет зависеть от их действий, подчеркивает Казарян.

О росте количества утечек ранее сообщил Роскомнадзор. В 2021 году было зафиксировано четыре крупных инцидента с персональными данными, в ходе которых в открытый доступ попало 2,7 млн записей. В 2022 году зафиксировано более 140 случаев, в открытый доступ попало около 600 млн записей о гражданах. А за семь месяцев 2023 года в службе зафиксировали свыше 150 случаев.