Федеральный закон от 02.08.2019 N 264-ФЗ внёс в ФЗ «О национальной платежной системе» (далее – "ФЗ О НПС") изменения, предусматривающие появление нового субъекта национальной платёжной системы – оператор услуг информационного обмена (п. 1 ст. 3 ФЗ О НПС).
Понятия
Согласно п. 33 ст. 3 ФЗ О НПС
оператор услуг информационного обмена (ОУИО) – организация, оказывающая операторам по переводу денежных средств (ОПДС) на основании договоров услуги обмена информацией при осуществлении операций с использованием электронных средств платежа между ОПДС и их клиентами и (или) между ОПДС и иностранными поставщиками платежных услуг;
услуги информационного обмена, соответственно, – это услуги обмена информацией при осуществлении операций с использованием электронных средств платежа между ОПДС и их клиентами и (или) между ОПДС и иностранными поставщиками платежных услуг.
Требования к деятельности операторов услуг информационного обмена
а. Информационные системы ОУИО, с использованием которых осуществляется взаимодействие с иностранными поставщиками платежных услуг, должны соответствовать требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (ч. 15 ст. 9.1 ФЗ О НПС);
б. ОУИО не вправе приостанавливать (прекращать) в одностороннем порядке оказание услуг информационного обмена оператору по переводу денежных средств и его клиентам (ч. 17 ст. 9.1 ФЗ О НПС);
в. ОУИО обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации (требования к защите указанной информации устанавливает Правительство Российской Федерации) (ч. 1 ст. 27 ФЗ О НПС);
г. ОУИО обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России.
Согласно п. 1 ст. 16 ФЗ "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
– обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
– соблюдение конфиденциальности информации ограниченного доступа;
– реализацию права на доступ к информации.
Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации;
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
(п. 4 ст. 16 ФЗ "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ)
Требования к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, установлены Постановлением Правительства РФ от 13.06.2012 N 584 (https://base.garant.ru/70189962/).
В пункте 1 данного Положения приведён перечень лиц, на которых распространяется его положения. ОУИО среди них нет.
Не смотря на это, предполагается, что ОУИО должен соблюдать в работе требования данного Положения, так как его требования распространяются на ОПДС, а ОУИО, привлекаемые ОПДС, должны обеспечивать уровень защиты информации, аналогичный тому уровню, что предоставляет ОПДС.
Согласно п. 2 Положения защита информации осуществляется в соответствии с требованиями к защите информации, которые включаются операторами этих платежных систем в правила платежных систем.
Таким образом, суть указанного Положения сводится к обязанности ОУИО соблюдать требования к защите информации, установленные платёжной системой, в рамках которой осуществляются операции, обмен информацией по которым обеспечивает ОУИО.
Требования к обеспечению защиты информации при осуществлении переводов денежных средств установлены Положением Банка России от 09.06.2012 N 382-П (https://www.garant.ru/products/ipo/prime/doc/70091962/).
Указанное Положение действует до 31.12.2021, а с 01.01.2022 вступят в силу новые Требования, предусмотренные Положением Банка России от 04.06.2020 N 719-П (https://www.garant.ru/products/ipo/prime/doc/74609682/).
Скорее всего, есть смысл сразу ориентироваться на них.
Ответственность оператора услуг информационного обмена
I. В случае приостановления (прекращения) ОУИО в одностороннем порядке оказания услуг информационного обмена оператору по переводу денежных средств и его клиентам Банк России взыскивает с ОУИО штраф:
– в десятикратном размере суммы вознаграждения, уплаченного ОПДС оператору услуг информационного обмена за предшествующий календарный месяц;
– в пятидесятикратном размере суммы вознаграждения, уплаченного ОПДС оператору услуг информационного обмена за предшествующий календарный месяц в случае, если оператор услуг информационного обмена ранее приостанавливал (прекращал) в одностороннем порядке оказание услуг информационного обмена любому обслуживаемому им ОПДС и его клиентам
(ч. 19 ст. 9.1 ФЗ О НПС, ст. 82.6 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)").
II. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на юридических лиц - от 20 000 тысяч до 25 000 тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой
(ч. 2 ст. 13.2 КоАП РФ).
III. Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, -
влечет наложение административного штрафа на юридических лиц - от 10 000 тысяч до 15 000 тысяч рублей
(ч. 6 ст. 13.2 КоАП РФ).
IV*. Непредставление или нарушение порядка либо сроков представления в Банк России отчетов, уведомлений и иной информации, предусмотренной законодательством и (или) необходимой для осуществления этим органом (должностным лицом) его законной деятельности, либо представление информации не в полном объеме и (или) недостоверной информации, если эти действия (бездействие) не содержат уголовно наказуемого деяния, -
влечет наложение административного штрафа на юридических лиц - от 500 000 до 700 000 рублей
(ст. 19.7.3 КоАП РФ).
* есть основания полагать, что данный штраф не может быть применён к ОУИО, так как законодательством на него не возложены обязанности по предоставлению ЦБ какой-либо информации. Однако, сложившейся судебной практики на эту тему нет и в случае спора с ЦБ такую практику придётся формировать.
