Власти уже давно собирались ужесточить наказание за утечки персональных данных, ведь ранее максимальный размер санкций за это нарушение не превышал 300 000 рублей.
По сообщению информагентства Известия, в 2023 году произошло более 290 утечек, в результате которых злоумышленники получили доступ к 240 млн уникальных телефонных номеров и 123 млн e-mail-адресов российских пользователей.
На днях депутаты Госдумы приняли в первом чтении поправки в Кодекс об административных правонарушениях и Уголовный кодекс об усилении ответственности за утечку персональных данных.
Считаю, что штрафы и компенсации за утечку данных должны быть соразмерны последствиям, так как данные пользователей могут быть использованы неправомерно и разрушить жизнь человека. Ежедневно мошенники, используя методы социальной инженерии, подталкивают граждан переводить деньги на их счета. В СМИ постоянно появляются новости об обманутых пенсионерах, которые переводят свои сбережения на счета мошенников. Не редки случаи, когда мошенники взламывают аккаунты пользователей, используя личную информацию, оказавшуюся в открытом доступе в сети, и шантажируют их публикацией фото- и видеоматериалов в социальных сетях.
Принятые штрафы и наказания в рамках законопроекта вполне справедливы, главный вопрос в их практической реализации. Есть риск, что принятые поправки могут стать инструментом давления на бизнес или использованы в нечистоплотной конкуренции. Также существуют разногласия по внедрению компенсаций пострадавшим от утечек, т.к. встречаются случаи, когда субъекты самостоятельно раскрывают данные и выкладывают их в свободный доступ, а их публикуют под видом утечек – за что компании могут не совсем несправедливо привлечь к ответственности.
В принятом законопроекте вводятся оборотные штрафы для компаний, допустивших утечку личной информации граждан. Они будут составлять до 3% выручки. За нарушение, допущенное впервые, должностных лиц могут оштрафовать на сумму до 2 млн рублей, юридических — до 15 млн. Размеры штрафов дифференцированы в зависимости от масштаба утечек. Одновременно вводится уголовная ответственность за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем, а также за создание информационных ресурсов, распространяющих такие данные. Максимальный срок лишения свободы — до 10 лет.
Осенью 2023 года бизнес-сообщество направило вице-спикеру Госдумы Вячеславу Володину письмо, в котором предлагалось увеличить оборотный штраф за каждый повторный факт утечки персональных данных клиентов.
Законопроект в нынешней версии привязывает размер штрафа к доле совокупного размера годовой выручки в размере от 15 млн до 500 млн руб. Авторы письма предлагают рассчитывать оборотный штраф за повторную утечку иначе. По их мнению, размер предыдущего штрафа нужно умножить на порядковый номер правонарушения. К примеру, если юридическое лицо в третий раз допустило утечку, а размер последнего штрафа составил 15 млн руб., то новый штраф должен составить 30 млн. Для «бесконечно нарушающих» требования авторы письма предлагали ввести уголовную ответственность. Также предлагается привязать размер штрафа к чистой прибыли компании за календарный год, а не к сумме всей выручки за тот же период. При отсутствии прибыли предлагается установить фиксированный размер штрафа.
Также обсуждается законопроект об отстранении от работы на 10 лет топ-менеджеров банков за неоднократную утечку данных. Документ предусматривает повышение уровня персональной ответственности замглавы банка по информационной безопасности за нарушения требований по защите информации, которые привели к утечке персональных данных или банковской тайны.
Наказание довольно жесткое и несет в себе риски, в том числе с нехваткой профильных специалистов в будущем. Или допустим, утечка данных произошла по вине подчиненного, а дисквалифицируют за это руководителя на десять долгих лет.
В Уголовном кодексе лишение права занимать определенные должности или заниматься какой-то деятельностью устанавливается на срок от одного года до пяти лет. По административному кодексу, который регулирует в том числе сами нарушения в финансовой деятельности, сроки от полугода до трех лет.
На мой взгляд, необходимо разработать меры поддержки, которые стимулировали бы компании инвестировать в информационную безопасность во избежание подобных ситуаций.
