Снижение штрафов за утечки персональных данных, которые к тому же до сих пор не приняты, необоснованно и сделает саму инициативу бесполезной, считают разработчики законопроекта, устанавливающего санкции до 500 миллионов рублей за инциденты с личными данными людей. Бизнес, в свою очередь, настаивает на введении смягчающих обстоятельств, которые позволят избежать штрафа или снизить его размер. «Парламентская газета» узнала подробности.
Кому скидку
С начала 2024 года достоянием общественности уже стали полмиллиарда записей, касающихся россиян, сообщил нашему изданию глава Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн. Он соавтор законопроекта, вводящего серьезные, в том числе оборотные, то есть зависящие от выручки, штрафы для компаний, допустивших утечки персональных данных. Документ приняли в первом чтении в декабре, а сейчас работают над поправками. В частности, были опубликованы предложения Минэкономразвития, основанные на консультациях с представителями бизнес-сообщества.
Ведомство предложило снизить штрафы для юрлиц относительно тех, что прописаны в законопроекте: вдвое — до 1,5-2 миллионов рублей, если утечка затронула от одной до десяти тысяч пользователей; втрое — до 3-5 миллионов рублей, если пострадали больше ста тысяч субъектов персональных данных. Оборотные штрафы за повторные утечки предложили сохранить в прежнем объеме, от 0,1 до 3 процентов от выручки либо размера капитала кредитной организации на дату инцидента, но максимальный размер выплаты снизить в десять раз — до 50 миллионов.
Предложение будет обсуждаться, но такое смягчение «необоснованно и выхолащивает саму суть инициативы», считает Александр Хинштейн. «Без осознания оператором своей ответственности и понимания того, что ему придется платить рублем за утечки, никаких кардинальных перемен не произойдет», — отметил депутат.
Бюджет на штрафы
Крупные операторы персональных данных с первого дня критиковали законопроект, указывая на слишком высокие суммы штрафов, отметила в беседе с «Парламентской газетой» первый зампред Комитета Совфеда по конституционному законодательству и госстроительству Ирина Рукавишникова. Она согласилась с главой думского IT-комитета: высокие штрафы должны мотивировать компании вкладываться в информационную безопасность. Александр Хинштейн в свою очередь сказал, что если штрафы станут относительно низкими, то компаниям будет «дешевле откупаться, чем строить свою инфраструктуру информационной безопасности».
Помимо снижения штрафов, в Минэкономразвития предложили предусмотреть смягчающие ответственность компаний обстоятельства. Например, высокие расходы на безопасность — минимум 0,1 процента выручки. В «Ассоциации больших данных» (АБД) нашему изданию подтвердили наличие таких предложений и их поддержку крупными операторами. Там считают, что в законопроекте нужно конкретизировать состав правонарушения.
АБД предложила и другие направления доработки смягчающих вину компаний обстоятельств, которые будут «стимулировать бизнес к усилению мер по защите данных и мотивировать инвестировать в обеспечение безопасности, а не просто закладывать бюджеты на штрафы».
Где зависли поправки
Операторами персональных данных в России являются больше пяти миллионов юрлиц и индивидуальных предпринимателей. В думском IT-комитете уверены, что далеко не все из них способны защитить информацию, особенно в условиях кибервойны. Там предложили решение: создать доверенных специальных операторов, которые смогут хранить данные тех, кто не может самостоятельно обеспечить их безопасность. «Аналогия та же, что и банковское хранилище: если у тебя на дверях нет замков, не держи деньги дома. Понадобились? Банк всегда открыт», — объяснил суть технологии Александр Хинштейн.
Проработку создания в России профессиональных операторов данных нашему изданию подтвердил член президентского Совета по правам человека Игорь Ашманов. Доступ к этому хранилищу, по его словам, будет иметь ограниченный круг лиц, а другие компании смогут запрашивать оттуда сведения, если понадобится.
Будут ли вносить поправки о «супероператорах» в законопроект о штрафах за утечки, пока неизвестно. Однако Александр Хинштейн надеется на принятие документа до конца 2024 года.