Штрафы для бизнеса за повторные утечки данных могут составить до 1-3% от выручки
Forbes ознакомился с проектом поправок в КоАП, предусматривающих оборотные штрафы для бизнеса, допустившего повторную утечку персональных данных. В новой версии появились смягчающие обстоятельства: компания должна инвестировать не менее 0,1% годовой выручки в мероприятия, посвященные информационной безопасности (ИБ), на протяжении хотя бы трех лет. Однако просто инвестиций в ИБ будет недостаточно: в тексте указано, что нужно также иметь лицензию Федеральной службы безопасности на разработку систем с использованием криптографии или привлечь организацию, обладающую такой лицензией. Банкам оборотный штраф можно рассчитывать не от выручки, а от размера капитала (собственных средств).
Кроме того, появилась ответственность за обработку биометрических данных (в том числе векторов — персональных данных, полученных после математического преобразования биометрических данных клиентов) для организаций, не получивших аккредитацию от Минцифры, — от 500 000 рублей до 1 млн рублей.
Если сравнивать текст с версией, внесенной в конце 2023 года и принятой в первом чтении, то в новой уменьшились размеры штрафов для должностных лиц с 3-5 млн рублей до 1,1-1,2 млн рублей. Причем указано, что под действие законопроекта подпадают также должностные лица государственных или муниципальных органов, а также некоммерческих организаций. Размеры штрафов для юрлиц выросли с 0,1-3% до 1-3% от годовой выручки.
Сейчас эти поправки готовятся ко второму чтению. В первом чтении законопроект был принят 23 января этого года. В июне глава комитета Госдумы по информполитике Александр Хинштейн рассчитывал, что законопроект примут до конца года. «Коллеги из Минцифры и других заинтересованных ведомств совместно с нами подготовили редакцию второго чтения — она сейчас находится на проработке в ГПУ (государственно-правовом управлении) президента. И наша задача в текущем году эту норму во втором и третьем чтениях принять», — надеялся Хинштейн.
В аппарате вице-премьера Дмитрия Григоренко сообщили, что этот вариант поправок прорабатывался в профильном комитете Госдумы. «Обсуждение проходило при участии представителей заинтересованных министерств и ведомств. При этом процедура не предполагает обязательного предоставления депутатами итоговой версии документа на площадку аппарата правительства, в связи с чем мы не можем подтвердить актуальность указанной в запросе информации», — добавили в аппарате.
В Минцифры Forbes заявили, что итоговая версия документа еще обсуждается. «Ожидаем, что принятие документа станет стимулом для IT-компаний более тщательно соблюдать требования информационной безопасности, вкладываться в защиту данных, в том числе персональных», — добавили в министерстве.
В Минфине запрос Forbes переадресовали в Минэкономразвития. В Минюсте, Центробанке, администрации президента, комитете Госдумы по информполитике не ответили на запрос. В «Яндексе», МТС, «Вымпелкоме», «Мегафоне», Ozon, VK отказались от комментариев.
Независимо от ущерба
Источник, знакомый с текстом законопроекта, отметил, что эта версия документа еще не была согласована с органами исполнительной власти и правительством. По его мнению, этот вариант носит «вполне компромиссный» характер, но есть моменты, «на которые стоит обратить внимание».
В частности, в описании смягчающих обстоятельств не указано, на что именно следует делать инвестиции в ИБ, в какие направления, говорит собеседник Forbes. «По сути, это требование может вылиться просто в приобретение бизнесом лицензий ФСБ [на разработку систем с использованием криптографии]. Все еще остаются вопросы к составу административного нарушения — текущая формулировка предполагает наказание за действие или бездействие, повлекшее передачу персональных данных, независимо от ущерба, который она повлекла или не повлекла, — продолжает он. — Под это определение подпадает работа ИБ-компаний с утечками, проведение пентестов (оценка безопасности компьютерных систем моделированием атаки)».
В Ассоциации больших данных (АБД, объединяет в том числе МТС, билайн, «Мегафон», «Яндекс», «Ростелеком», Сбербанк, ВТБ) отметили, что эту версию законопроекта в организацию еще не направляли. Основные замечания АБД к законопроекту прежние: такие высокие суммы штрафов должны быть экономически обоснованы и накладываться только при составе правонарушения, который будет отвечать критериям точности, недвусмысленности и формальной определенности правовых норм, указывают там.
Отдельно на штрафах за незаконное использование биометрии останавливается источник Forbes в IT-отрасли. «Биометрия — особый вид персональных данных, требующий отдельного регулирования. Необходимо конкретизировать случаи, в которых организации будут нести ответственность за неправомерную обработку таких данных», — добавляет он. По его мнению, уточнение норм законодательства поможет сократить серую зону, в которой, например, действуют системы идентификации шоплифтеров (магазинных воров) и некоторые платформы учета рабочего времени.
Дополнительное давление
Руководитель отдела консалтинга и аудита Angara Security Александр Хонин сомневается в том, что считать инвестиции в ИБ от годовой выручки — хорошая идея. «Здесь бюджет может быть как огромным, так и небольшим. Бывает, что ежегодно больших внедрений и не требуется, а зачастую в принципе необходимы только организационные мероприятия», — считает он.
Формальное появление смягчающих обстоятельств не облегчит положение бизнеса, уверен эксперт по защите персональных данных и соучредитель Regional Privacy Professionals Association (RPPA.pro) Алексей Мунтян: «Да и сам объем инвестиций в ИБ не связан напрямую с защищенностью компании от утечек». По его мнению, появление смягчающих обстоятельств скорее камуфлирует ужесточение ответственности в виде поднятия нижней планки размера оборотных штрафов. «Предложенные изменения в законопроект не столько стимулируют компании к ответственному поведению, сколько имеют карательный характер», — резюмирует он.
По мнению советника практики интеллектуальной собственности юридической компании ЭБР Кристины Мкртчян, если законопроект будет принят в таком виде, это может привести к значительному росту инвестиций в кибербезопасность со стороны крупных компаний, но одновременно с этим — вытеснить с рынка небольших игроков, работающих с персональными данными. «Дополнительное давление создают новые требования по обработке биометрии, что в совокупности может привести к реструктуризации рынка и повышению стоимости услуг для конечных потребителей, поскольку бизнес будет вынужден закладывать возросшие риски и затраты на безопасность в цену своих продуктов», — заключает она.
Принятие законопроекта об оборотных штрафах осложнит и без того нелегкую участь бизнеса, считает директор юридического департамента DRC Ольга Захарова. «Пропорциональность соотношения риска и ответственности закономерно вызывает вопросы: не совсем понятно, за счет каких доходов, к примеру, должностное лицо может выплатить штраф в размере 1,5 млн рублей за утечку. Как известно, про утечки говорят не «если», а «когда» они произойдут», — рассуждает она. По словам Захаровой, сегодня в уголовном законодательстве более мягкие наказания за совершение преступлений — общественно опасных деяний, нежели в административном за правонарушения.