Оборотное зелье: что делать со штрафами за утечки персональных данных

В январе 2024 года, согласно данным Роскомнадзора, в общий доступ попало более 500 млн записей с персональными данными. Исследователи даркнета регулярно сообщают о новых утечках каждую неделю, при этом количество уже утекших данных значительно превышает общую численность населения страны.

Взрывное развитие машинного обучения и технологий ставит законодателя перед сложным выбором между поддержкой этого развития и правом граждан на приватность и частную жизнь. Почти любая услуга, доступная современному человеку, так или иначе связана с обработкой персональных данных: парикмахерские предлагают скидку перед днем рождения, умные рекомендации соцсетей заставляют прилипнуть к экрану на несколько часов, а новый магазин цветов у дома открывают после подробного изучения геоданных о пешеходных маршрутах района. Государство не отстает от бизнеса и пытается собрать, каталогизировать и проанализировать все возможные данные. Банки стараются агрегировать все возможные данные, чтобы спрогнозировать вероятность возврата кредита.

В этих условиях законодатели планируют решить проблему самым очевидным способом. Вот уже несколько лет обсуждается введение оборотных штрафов оператора за утечки персональных данных. Штраф может составить до 500 млн рублей. Правда, гарантий того, что такие штрафы повысят защищенность данных, нет.

Можно ли чинить самолет во время полета

По мнению законодателя, угроза штрафа в 500 млн рублей может быстро исправить существующие проблемы информационной безопасности без излишней нагрузки на регулятора: компании либо откажутся от обработки персональных данных, либо начнут инвестировать сопоставимые деньги в информационную безопасность. Конечно, на деле все пойдет не так.

Данные — слишком ценный актив, чтобы от них отказываться, а возможности найма высококвалифицированных специалистов в области ИБ уже исчерпаны. Угроза штрафа спровоцирует компании переводить обязательство по обороту персональных данных на дочерние юридические лица согласно подпункту 3 пункта 11 статьи 6 152-ФЗ: такая схема обработки позволит избежать оборотного штрафа в случае утечки. После утечки компании будут всеми силами скрывать ее факт и отрицать то, что они когда-либо видели скомпрометированную базу. Какого-либо содействия регулятору в этом случае можно не ждать: на первый план выйдут потенциальные финансовые потери, а не забота о пострадавших пользователях.

Кроме того, оборотные штрафы могут спровоцировать новую волну хакерских атак: если компании грозит потеря значительного процента от ее годового оборота, хакеры смогут успешно шантажировать руководство после взлома. Кроме того, хакерские атаки станут инструментом борьбы за рынки: одна удачная атака на персональные данные позволит лишить конкурента значительной доли средств и вырваться вперед. На самом деле, использовать для этого хакеров не обязательно. Недобросовестные компании могут собирать уже утекшие базы данных, компилировать из них новые и опубликовать под видом базы данных целевой компании-конкурента. 

В итоге сильнее всего пострадают граждане.

Сказать данным «нет»?

Вероятность того, что бизнес откажется от обработки данных, равна нулю. Слишком много ресурсов инвестировано в AI/ML, слишком очевидные преимущества дают данные о своих клиентах. Кроме того, есть области, в которых без данных никак. В теории медицина может перейти обратно на ручное заполнение историй болезней, но это настолько сильно ударит по продуктивности, что вероятность можно просто не рассматривать.

Решение проблемы для крупных компаний — в проактивной защите данных. Создание распределенной архитектуры хранения, постоянный аудит и проведение тестирования на проникновение, трансформация «‎сырых» данных в отчеты и модели с последующим уничтожением источников — технологические методы, которые позволят снизить риск утечки, но требуют значительных затрат и изменений в бизнес-процессах.

В то же время сейчас крупный бизнес уверен, что прорыв в ML/AI сможет совершить только тот, кто успеет собрать большую базу данных для обучения моделей, к которой не будет доступа у конкурентов. В текущей ситуации преимущества в этом вопросе сильно перевешивают недостатки.

Малому и среднему бизнесу в случае введения оборотных штрафов остается только передача обработки данных клиентов на аутсорс, по поручению на обработку. В теории это позволит защитить свой бизнес от оборотных штрафов. Выстроить же качественную и устойчивую систему информационной безопасности своими силами малому бизнесу будет нереально.

Как быть сейчас

Ситуация получается патовая: с одной стороны, в сеть уже утекли сотни миллионов строк персональных данных, и оборотные штрафы проблему явно не решат. С другой — бизнес хочет получить доступ ко все большему количеству информации, и государство от него не отстает. Чем больше данных, тем больше утечек. 

На мой взгляд, из этой ситуации можно выйти с помощью последовательного регулирования операторов.

Во-первых, законодателю с активным участием регулятора, компаний-экспертов в области ИБ и профильных юристов необходимо составить единые требования и стандарты ИБ, касающиеся хранения персональных данных. Причем требования должны быть не столько к средствам защиты компьютерной информации, сколько к архитектурным решениям и бизнес-процессам, связанным с обработкой персональных данных.

Вторым этапом необходимо изменить структуру действий регулятора: сейчас проверки легальности обработки персональных данных проводятся по формальным признакам. Такие изменения потребуют значительных усилий со стороны регулятора. Но европейский опыт подсказывает, что оборотные штрафы не должны и не могут быть основным инструментом изменения поведения операторов данных. Важнее предотвратить утечку, а не наказать за нее. В этом поможет постоянный внешний аудит ИБ крупнейших операторов персональных данных, включая его архитектурные решения и методы хранения данных. 

Последним этапом нужно ввести те самые штрафы. Но размер штрафа должен определяться не от «‎оборота» компании, а пропорционально потенциальному ущербу субъектов персональных данных, а главным элементом доказывания должна стать причинно-следственная связь между поведением оператора и утечкой данных. 

Целесообразно создать экспериментальные правовые механизмы, позволяющие получить доступ к критически важным данным вне обычного регулирования. Одним из возможных вариантов является создание «комнат данных», где экспертам будет предоставлен контролируемый доступ к особо значимой информации без возможности копирования, но с возможностью сохранения результатов исследований. Такой подход может устранить необходимость в анонимизации данных. 

В противном случае оборотные штрафы могут стать еще одним налогом на информационные технологии, которые к тому же и не повлияют на защиту частной жизни граждан.

Мнение редакции может не совпадать с точкой зрения автора