Всем доброго времени суток! Просматривая сегодня периодическое (электронное) издание «Российской Газеты» я обратил внимание на любопытную публикацию под названием:
В Думу внесен законопроект об оборотных штрафах за утечку персональных данных.
Внимательно ознакомившись с данной статьей и найдя ее достаточно актуальной, решил довести эту новость до сведения своего Уважаемого Читателя!
Итак, в настоящее время в Государственную Думу внесен законопроект, существенно повышающий ответственность операторов, допустивших утечку в сеть персональных данных своих клиентов.
Согласно Федеральному закону от 27.07.2006 № 152 «О персональных данных», к последним относятся:
- Общие данные, включающие в себя: Ф.И.О.; место жительства (регистрации); сведения об образовании и месте работы; адрес личной электронной почты гражданина.
- Специальные данные, содержащие в себе: сведения о расовой и национальной принадлежности человека; его религиозных и политических взглядах; сведения о состоянии здоровья, а также информацию о судимостях и привлечении к административной и уголовной ответственности.
- Биометрические данные лица.
Предпосылкой для внесенения в Думу указанного законопроекта, послужил факт возникновения ряда утечек данных у таких крупных компаний, как:
- «ЯндексЕда»;
- «СДЭК» (транспортная компания);
- «Гемотест».
Как отмечается в официальном издании «РГ», основная проблема подобных утечек заключается в том, что в случае попадания вышеобозначенных персональных данных граждан в Глобальную Сеть «Интернет», они автоматически становятся доступны злоумышленникам, которые в любой момент способны использовать их в своих преступных целях, таких как «компьютерная атака» на любого гражданина, реально угрожающая его благосостоянию.
Для того чтобы предотвратить подобные факты, Законодатель планирует внести соответствующие изменения в КоАП РФ и УК РФ. При этом в качестве главного нововведения предполагается ввести в отношении нарушителей - операторов данных, систему многомиллионных вариативных штрафов, окончательный размер которых будет зависеть, от объема утечки информации и максимальная сумма которых будет доходить до 15.000.000 рублей!
Подобные жесткие меры, по мнению законодателей, как следствие положительно повлияют на решение двух проблем, а именно:
- Проблему повышения по сути материальной ответственности компаний за произошедшие по их вине факты утечек персональных данных.
- Проблему необходимости инвестирования компаниями дополнительных финансовых средств в ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ.
Как пояснял "РГ" глава минцифры Максут Шадаев, существующие сейчас штрафы не решают этой задачи.
Полагаю, что с заявленной позицией сложно не согласиться, поскольку в эпоху глобальной «цифровизации», участниками которой, по сути, являемся все мы, вопросы «компьютерной» безопасности все больше и больше выходят на передний план. Однако порой менталитет тех, кто владеет информацией, не направлен на необходимость несения дополнительных издержек для обеспечения эффективно той самой безопасности. Поэтому жить по принципу «меньше вложений и больше прибыли» уже ни у кого не получится…
Интересным нюансом во вновь рассматриваемом Законе, является и введение дополнительной ответственности нарушителя (оператора) за не уведомления РОСКОМНАДЗОРА о произошедшем факте утечки. Другими словами, орган государственного контроля берет на себя обязанность учета, анализа и возможно «включения» в перспективе механизма неблагоприятных последствий для нарушителя.
Также ответственность, но уже уголовная будет введена новой статьей УК РФ, предусматривающей наказание и за использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные граждан, и полученной противоправным путем. Санкция этой статьи предполагает наказание от штрафа до 300.000 рублей до лишения свободы на срок до 4-х лет (преступление средней тяжести, согласно ст. 15 УК РФ).
Тем не менее, юристы-практики понимают, что основной проблемой во всех этих нововведениях останется сложность доказывания наличия утечки информации, и ее принадлежности к той или иной компании. Все дело в том, что если данные в утечке прямо не указывают на определенную фирму или сервис, то выявить источник по Ф.И.О., адресам и телефонным номерам, будет очень и очень проблематично. Также добавить сложностей в процесс доказывания этого «интеллектуального» преступления, безусловно, и может и то, что определенные утечки являются «дообогащенными» из иных «синтезированных» утечек.
С целью пресечения подобных фактов, Законодатель планирует также предусмотреть уголовную ответственность и в отношении субъектов, создающих ресурсы, которые позволяют незаконно хранить и предоставлять доступ к персональным данным граждан.
Надо решать проблему наказания комплексно и привлекать преступников, которые занимаются торговлей персональных данных в Сети, к уголовной ответственности - в противном случае плачевная ситуация с персональными данными может только усугубиться, отмечает член комитета Госдумы по информполитике Антон Немкин.
В любом случае, по мнению официального первоисточника «РГ», предложенные меры нуждаются в уточнении, заключающемся:
- В обозначении в отношении оператора рамок административной ответственности.
- В определении меры вины оператора за совершенное деяние, поскольку по справедливости необходимо учитывать и наличие смягчающих обстоятельств в действиях последнего, в частности полноту и достаточность мер, которые он предпринял для недопущения утечки, с учетом требований «Отраслевого стандарта защиты данных».
- Размеры штрафных санкций, предполагаемые к назначению в качестве наказания нарушителям, безусловно, должны иметь и определенное экономическое обоснование.
