Кнут без пряника: Борьба за снижение оборотных штрафов продолжается. Малые предприятия проигрывают

Ан­на Шве­цова
кор­рес­пон­дент ComNews.ru

© ComNews

02.05.2024

На прошлой неделе СМИ писали о том, что государственно-правовое управление президента не поддержало смягчение наказания для бизнеса за утечки персональных данных (ПДн), если те выполняют определенные условия. Проблема утечек ПДн актуальна как никогда, однако игроки рынка уверены, что большими штрафами ее не решить. А вот испортить жизнь малым и средним предприятия штрафы могут.

В начале апреля 2024 г. в администрации президента подготовили отрицательный отзыв на поправки о смягчении штрафов за утечки. Их разрабатывали при участии Министерства цифрового развития, связи и массовых коммуникаций ко второму чтению законопроекта об оборотных штрафах за утечки персональных данных. Об этом "Коммерсанту" рассказали четыре источника, знакомые с содержанием поправок.

ЧИТАЙТЕ ТАКЖЕ Правительство и администрация президента не одобрили смягчение штрафов за утечки персональных данных Администрация президента, а затем и правительство РФ отклонили предложения по смягчению поправок ко второму чтению законопроекта, который усиливает ответственность для виновников утечек данных вплоть до уголовной. По мнению экспертов, уголовная ответственность позволит поднять расследования таких инцидентов на новый уровень.

Поправки предлагали смягчить штрафы, если компании направляют 0,1% оборота на информационную безопасность (ИБ) и выплачивают компенсации пострадавшим от утечек - в таком случае, по мнению авторов поправок, наказание должно быть минимальным.Пока за первое нарушение, повлекшее утечку ПДн, можно получить штраф до 15 млн руб. При повторном нарушении предполагается оборотный штраф в размере от 0,1% до 3% от выручки за предшествующий календарный год. При этом размер штрафа не может быть меньше 15 млн руб. и больше 500 млн руб.

Безусловно, проблема с утечками стоит остро. В феврале этого года Роскомнадзор сообщал, что с начала 2024 г. ведомство зафиксировало 19 утечек: в сеть ушло более 510 млн данных россиян. При этом по данным DLBI, в I квартале 2024 г. утекло 121 млн уникальных телефонных номеров и 38 млн e-mail. Это значительно больше, чем в I квартале 2023 г. - тогда в открытый доступ попали 11 млн телефонов и 23 млн e-mail.

То, что бороться с утечками надо, никто не сомневается. Но все еще идут споры - как? Изначально прописанные в законе штрафы за утечки не испугали крупные компании: они с легкостью смогли бы их оплатить. Тогда было решено ударить компании кнутом: увеличить размеры штрафов.

Представители рынка сразу же попросили пряник. Конечно, никто не хочет платить штрафы, но причина не только в этом: большие штрафы, по мнению многих, не очень эффективны, а для малых предприятий даже губительны.

Утечки из малых компаний реже попадают в поле зрения общественности, поэтому Роскомнадзор будет скорее наказывать крупных игроков. Однако небольшие предприятия все равно под угрозой: уровень их инфобезопасности часто ниже, чем у крупных компаний. А данные малые предприятия тоже собирают.

О том, что малые и средние предприятия под угрозой, бьют тревогу Торгово-промышленная палата, общественная организация малого и среднего предпринимательства "Опора России" и сами представители малых предприятий.

Специалисты по инфобезопасности говорят, что в некоторых случаях утечку предотвратить невозможно. В 2022 г. крупнейшие штрафы за это получили Didi Global, Amazon, Equifax, Instagram*, TikTok - компании, которые вкладывают в кибербезопасность очень много средств. К тому же крупные игроки, вероятно, создадут внутри организаций специальные фонды, из которых будут выделять средства на штрафы. Суммы оборотных штрафов для гигантов практически незначительны. У малых предприятий нет таких возможностей.

ЧИТАЙТЕ ТАКЖЕ Оборот не туда: бизнес и ИБ-компании высказали претензии к законопроекту об оборотных штрафах за утечки Бизнесмены и сотрудники компаний в сфере информационной безопасности раскритиковали законопроект об оборотных штрафах за утечку персональных данных. Документ, по их мнению, не только не решит проблему с утечками, но и создаст трудности для бизнеса.

Что тогда можно сделать? Игроки рынка высказывают много предложений. Главное - побудить компании вкладываться в кибербезопасность. Для этого можно смягчать штрафы, если компания отправит часть из них на обеспечение безопасности. Малым и средним предприятиям можно снизить размер штрафа, чтобы он не был для них губительным. Также полезно было бы давать им скидки, льготы на внедрение качественных решений для информационной безопасности.

Звучало предложение создать платформу для коллективных исков: компании чаще боятся не столько штрафа, сколько недовольства общественности и судебных разбирательств. Если бы каждый раз после утечки их заваливали заявлениями недовольные пострадавшие, то это стимулировало бы компании гораздо больше, чем штрафы.

И, как бы отстраненно ни звучало, но компаниям нужно образовываться в сфере кибербеза: необходимо создать просветительский портал со всей нужной информацией, чтобы компания с любыми возможностями могла бы изучить, что она может сделать для предотвращения утечек ПДн.

Это тот случай, когда пряник работает намного лучше кнута. Пока не поздно, вместо того, чтобы размышлять, как ужесточить законодательство об утечках данных, лучше обсуждать вопрос, как помочь отрасли, чтобы утечек не было. Штрафы никто получать не хочет, но и за пряниками компании тянутся не просто так - бизнес бизнесом, но все-таки всем хочется, чтобы закон об утечках реально боролся с ними.

* принадлежат Meta - компании, признанной экстремистской и террористической; запрещена в РФ.

ЧИТАЙТЕ ТАКЖЕ Отношение бизнеса к ужесточению ответственности за утечки персданных неоднозначное Меньше половины (44%) операторов персональных данных (ПДн) полностью поддерживают ужесточение ответственности за утечки. Треть из них опасается роста давления на бизнес и избыточного количества проверок, а без малого четверть (23%) заявила, что увеличение штрафов не изменит ситуацию с утечками ПДн.