Основные изменения в законодательстве в области информационной безопасности в России в 2023 году

В 2023 году в сфере информационной безопасности основными проблемами стали внутренние угрозы, такие как: утечки данных, мошенничество, информационные инциденты из-за низкой цифровой грамотности граждан.

Государство в свою очередь активно пытается влиять на ситуацию и вводит меры по ужесточению законодательства в области защиты информации. Важные и значительные изменения законодательства в первую очередь коснулись вопросов защиты персональных данных, а также совершенствования правовых механизмов предотвращения утечек информации.

Практически любое юридическое лицо считается оператором персональных данных, поэтому для компаний введены наибольшие изменения при осуществлении сбора, обработки и использования персональных данных. Защита информации от утечек и неправомерного использования стала наиболее объёмной и важной сферой обеспечения информационной безопасности бизнеса, поэтому стоит рассмотреть наиболее важные изменения именно в данной области.

• Внеплановые проверки в случае утечки данных. Согласно постановлению Правительства РФ № 161 от 4 февраля 2023 года пересмотрены условия моратория (ограничений) на проведение контрольных мероприятий. Так, с 14 февраля 2023 года допускается проведение внеплановых проверок по контролю за обработкой персональных данных, если будет установлен факт распространения (предоставления) в сети Интернет баз данных, содержащих персональные данные граждан, являющихся клиентами проверяемой компании. Контрольные мероприятия проводятся Роскомнадзором и должны согласовываться с органами прокуратуры. После согласования РКН может внепланово проверить не только аккредитованную IT-компанию, но и любую другую организацию.
• Ограничение обработки биометрических персональных данных. С 1 июня 2023 года согласно требованиям ст. 15 ФЗ “Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных” юридическим лицам и ИП запрещено обрабатывать биометрические персональные данные в своих информационных системах (автоматизированным способом) для идентификации и аутентификации физических лиц без использования государственной единой биометрической системы (ЕБС). Для подключения к ЕБС требуется аккредитация оператора данных (компании) в Минцифры. Например, установка автоматической системы контроля на производстве, распознающей лица работников, теперь невозможна без указанной аккредитации. Однако, такие требования распространяются только на системы, использующие биометрические данные в целях идентификации человека. Простая видеозапись без целей идентификации пока не является сбором биометрии, но в текущем году все может измениться.
• Актирование уничтожения персональных данных. С 1 марта 2023 года согласно изменениям в ч. 7 ст. 21 ФЗ “О персональных данных” операторы должны подтверждать уничтожение персональных данных в порядке, установленном в приказе Роскомнадзора от 28.10.2022 № 179 “Об утверждении требований к подтверждению уничтожения персональных данных”. Об уничтожении документов (материальных носителей) составляется акт, содержащий наименование каждого материального носителя и количество листов, причину уничтожения, ФИО и/или другие идентификаторы субъекта, чьи данные уничтожены. Удаление данных из информационных систем (например, в системе «1С») отражается в выгрузках из журнала регистрации событий и указанных выше актах. Персональные данные нужно уничтожать, если они собраны незаконно, достигнуты цели их сбора и если этого требует сам владелец данных, что теперь подтверждается актом.
• Трансграничная передача данных: без согласия, но с уведомлением. С 1 марта 2023 года согласно изменениям в ст. 12 ФЗ “О персональных данных” разрешено передавать персональные данные на территории иностранных государств лишь после предварительного направления уведомления в Роскомнадзор. При этом отменена обязанность получать согласие РКН на такую передачу данных. В уведомлении указываются основание и цель передачи, категории и перечень передаваемых данных, список государств, куда планируется передача, и другие сведения. Перед предоставлением уведомления отправителю необходимо получить у иностранного контрагента некоторые сведения и провести оценку того, как он будет соблюдать конфиденциальность и обеспечивать безопасность персональных данных. Методика оценки законом не установлена, её субъективно определяет отправитель данных. Роскомнадзор вправе во внесудебном порядке запретить или ограничить трансграничную передачу для защиты нравственности, здоровья, прав и законных интересов граждан, защиты экономических и финансовых интересов России и в других целях. Вопросов по указанным изменениям много, и ответы на них, вероятно, будут получены в 2024 году в новых разъяснениях или изменениях законодательства.
• Использование рекомендательных технологий в интернете. С 1 октября 2023 года вступили в силу изменения в ст. 10.2-2 ФЗ “Об информации, информационных технологиях и о защите информации”, которыми установлены требования по использованию в сети Интернет рекомендательных технологий. При использовании сервисов, анализирующих поведение пользователей (например, изучение запросов пользователей для персонализированного показа товаров и услуг), владелец веб-ресурса обязан разместить предупреждение для пользователей о таких действиях по сбору информации. Относятся ли рекомендательные технологии и собранные сведения о поведении пользователей к персональным данным – пока вопрос открытый. Но согласно тренду по изменениям в законодательстве, скорее не будут относиться, поскольку указанные технологии не предполагают идентификацию пользователя по ФИО и другим данным, а лишь анализируют предпочтения для показа рекламы, а не идентификации. Окончательную точку в этом вопросе поставит правоприменительная практика, которая пока отсутствует.

Подводя итоги, следует отметить находящиеся на рассмотрении важные законодательные инициативы в области информационной безопасности и защиты данных: введение оборотных штрафов за утечки персональных данных, возможное создание института спецоператоров, которым небольшие компании смогут делегировать полномочия по обработке и хранению персональных данных, введение дисквалификации руководителей ИБ кредитных организаций при неоднократном возникновении информационных инцидентов.

Отдельно стоит отметить, что в начале декабря в Государственную Думу РФ были вынесены два законопроекта об усилении ответственности за утечку персональных данных. В части увеличения штрафов: если произошла утечка данных от 1000 до 10 000 субъектов персональных данных, штраф для компаний составит от 3 до 5 млн рублей; за утечку данных 10 000–100 000 субъектов штраф составит от 5 до 10 млн рублей; более 100 000 граждан штраф будет от 10 до 15 млн рублей. За повторные утечки предлагается ввести оборотные штрафы от 0,1 до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн. и не более 500 млн. рублей.

Второй законопроект предлагает ввести уголовную ответственность за использование, передачу, сбор и хранение персональных данных, полученных незаконным путём, и за создание информационных ресурсов, которые их распространяют. Для этого предложено ввести статью 272.1 УК РФ «Незаконные действия с компьютерной информацией, содержащей персональные данные». Минимальное наказание составит штраф 300 000 рублей, а максимальным будет лишение свободы на срок до десяти лет, если наступили тяжкие последствия.

Указанные проекты законов свидетельствуют о важности информационной безопасности и защиты данных в условиях тотальной цифровизации, развития электронного взаимодействия и роста количества кибер-преступлений. Очевидно, что вопросы инфобезопасности будут крайне актуальными в течение всего 2024 года, общество ждёт множество нововведений в этой сфере, в том числе ужесточение контроля за информационной безопасностью компаний и усиление ответственности за действия, повлекшие за собой наступление информационного происшествия.

Автор: Баранов Игорь Павлович, преподаватель АИС, адвокат, ведущий эксперт по проверкам правоохранительными органами субъектов предпринимательской деятельности.

Оригинал публикации на сайте CISOCLUB: "Основные изменения в законодательстве в области информационной безопасности в России в 2023 году".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.