К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Штрафы для бизнеса за повторные утечки данных могут составить до 1-3% от выручки

Фото Chris Ratcliffe / Bloomberg
Фото Chris Ratcliffe / Bloomberg
Forbes ознакомился с новой версией законопроекта, предусматривающего оборотные штрафы за утечки персональных данных. Согласно документу, нижний порог взыскания за повторные утечки для компаний может быть увеличен с 0,1% до 1% от годовой выручки. При этом в новой версии прописаны смягчающие обстоятельства, если компания инвестирует не менее 0,1% выручки в мероприятия информбезопасности. Инициатива может привести к значительному росту инвестиций в кибербезопасность со стороны крупных компаний, но одновременно с этим вытеснить с рынка небольших игроков, работающих с персональными данными, полагают аналитики

Forbes ознакомился с проектом поправок в КоАП, предусматривающих оборотные штрафы для бизнеса, допустившего повторную утечку персональных данных. В новой версии появились смягчающие обстоятельства: компания должна инвестировать не менее 0,1% годовой выручки в мероприятия, посвященные информационной безопасности (ИБ), на протяжении хотя бы трех лет. Однако просто инвестиций в ИБ будет недостаточно: в тексте указано, что нужно также иметь лицензию Федеральной службы безопасности на разработку систем с использованием криптографии или привлечь организацию, обладающую такой лицензией. Банкам оборотный штраф можно рассчитывать не от выручки, а от размера капитала (собственных средств).

Кроме того, появилась ответственность за обработку биометрических данных (в том числе векторов — персональных данных, полученных после математического преобразования биометрических данных клиентов) для организаций, не получивших аккредитацию от Минцифры, — от 500 000 рублей до 1 млн рублей.

Если сравнивать текст с версией, внесенной в конце 2023 года и принятой в первом чтении, то в новой уменьшились размеры штрафов для должностных лиц с 3-5 млн рублей до 1,1-1,2 млн рублей. Причем указано, что под действие законопроекта подпадают также должностные лица государственных или муниципальных органов, а также некоммерческих организаций. Размеры штрафов для юрлиц выросли с 0,1-3% до 1-3% от годовой выручки.

 

Сейчас эти поправки готовятся ко второму чтению. В первом чтении законопроект был принят 23 января этого года. В июне глава комитета Госдумы по информполитике Александр Хинштейн рассчитывал, что законопроект примут до конца года. «Коллеги из Минцифры и других заинтересованных ведомств совместно с нами подготовили редакцию второго чтения — она сейчас находится на проработке в ГПУ (государственно-правовом управлении) президента. И наша задача в текущем году эту норму во втором и третьем чтениях принять», — надеялся Хинштейн.

В аппарате вице-премьера Дмитрия Григоренко сообщили, что этот вариант поправок прорабатывался в профильном комитете Госдумы. «Обсуждение проходило при участии представителей заинтересованных министерств и ведомств. При этом процедура не предполагает обязательного предоставления депутатами итоговой версии документа на площадку аппарата правительства, в связи с чем мы не можем подтвердить актуальность указанной в запросе информации», — добавили в аппарате.

 

В Минцифры Forbes заявили, что итоговая версия документа еще обсуждается. «Ожидаем, что принятие документа станет стимулом для IT-компаний более тщательно соблюдать требования информационной безопасности, вкладываться в защиту данных, в том числе персональных», — добавили в министерстве.

В Минфине запрос Forbes переадресовали в Минэкономразвития. В Минюсте, Центробанке, администрации президента, комитете Госдумы по информполитике не ответили на запрос. В «Яндексе», МТС, «Вымпелкоме», «Мегафоне», Ozon, VK отказались от комментариев.

Независимо от ущерба

Источник, знакомый с текстом законопроекта, отметил, что эта версия документа еще не была согласована с органами исполнительной власти и правительством. По его мнению, этот вариант носит «вполне компромиссный» характер, но есть моменты, «на которые стоит обратить внимание».

 

В частности, в описании смягчающих обстоятельств не указано, на что именно следует делать инвестиции в ИБ, в какие направления, говорит собеседник Forbes. «По сути, это требование может вылиться просто в приобретение бизнесом лицензий ФСБ [на разработку систем с использованием криптографии]. Все еще остаются вопросы к составу административного нарушения — текущая формулировка предполагает наказание за действие или бездействие, повлекшее передачу персональных данных, независимо от ущерба, который она повлекла или не повлекла, — продолжает он. — Под это определение подпадает работа ИБ-компаний с утечками, проведение пентестов (оценка безопасности компьютерных систем моделированием атаки)».

В Ассоциации больших данных (АБД, объединяет в том числе МТС, билайн, «Мегафон», «Яндекс», «Ростелеком», Сбербанк, ВТБ) отметили, что эту версию законопроекта в организацию еще не направляли. Основные замечания АБД к законопроекту прежние: такие высокие суммы штрафов должны быть экономически обоснованы и накладываться только при составе правонарушения, который будет отвечать критериям точности, недвусмысленности и формальной определенности правовых норм, указывают там.

Forbes.Идеи для бизнеса
Канал о стартапах, новых идеях и малом бизнесе
Подписаться

Отдельно на штрафах за незаконное использование биометрии останавливается источник Forbes в IT-отрасли. «Биометрия — особый вид персональных данных, требующий отдельного регулирования. Необходимо конкретизировать случаи, в которых организации будут нести ответственность за неправомерную обработку таких данных», — добавляет он. По его мнению, уточнение норм законодательства поможет сократить серую зону, в которой, например, действуют системы идентификации шоплифтеров (магазинных воров) и некоторые платформы учета рабочего времени.

Дополнительное давление

Руководитель отдела консалтинга и аудита Angara Security Александр Хонин сомневается в том, что считать инвестиции в ИБ от годовой выручки — хорошая идея. «Здесь бюджет может быть как огромным, так и небольшим. Бывает, что ежегодно больших внедрений и не требуется, а зачастую в принципе необходимы только организационные мероприятия», — считает он.

Формальное появление смягчающих обстоятельств не облегчит положение бизнеса, уверен эксперт по защите персональных данных и соучредитель Regional Privacy Professionals Association (RPPA.pro) Алексей Мунтян: «Да и сам объем инвестиций в ИБ не связан напрямую с защищенностью компании от утечек». По его мнению, появление смягчающих обстоятельств скорее камуфлирует ужесточение ответственности в виде поднятия нижней планки размера оборотных штрафов. «Предложенные изменения в законопроект не столько стимулируют компании к ответственному поведению, сколько имеют карательный характер», — резюмирует он.

 

По мнению советника практики интеллектуальной собственности юридической компании ЭБР Кристины Мкртчян, если законопроект будет принят в таком виде, это может привести к значительному росту инвестиций в кибербезопасность со стороны крупных компаний, но одновременно с этим — вытеснить с рынка небольших игроков, работающих с персональными данными. «Дополнительное давление создают новые требования по обработке биометрии, что в совокупности может привести к реструктуризации рынка и повышению стоимости услуг для конечных потребителей, поскольку бизнес будет вынужден закладывать возросшие риски и затраты на безопасность в цену своих продуктов», — заключает она.

Принятие законопроекта об оборотных штрафах осложнит и без того нелегкую участь бизнеса, считает директор юридического департамента DRC Ольга Захарова. «Пропорциональность соотношения риска и ответственности закономерно вызывает вопросы: не совсем понятно, за счет каких доходов, к примеру, должностное лицо может выплатить штраф в размере 1,5 млн рублей за утечку. Как известно, про утечки говорят не «если», а «когда» они произойдут», — рассуждает она. По словам Захаровой, сегодня в уголовном законодательстве более мягкие наказания за совершение преступлений — общественно опасных деяний, нежели в административном за правонарушения. 

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+