Государственная Дума одобрила в первом чтении два законопроекта об ужесточении наказаний за утечки персональных данных. Один из них вносит поправки в Уголовный кодекс РФ (УК), другой – в Кодекс об административных правонарушениях (КоАП).
Документы были разработаны по поручению Правительства РФ и Президента Владимира Путина рядом депутатов и сенаторов, включая председателя Комитета Госдумы по информационной политике, ИТ и связи Александра Хинштейна, вице-спикера Совета Федерации Андрея Турчака и председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству Андрея Клишаса.
Уголовный кодекс дополняется статьей 272.1: «Незаконное использование или передача, сбор или хранение компьютерной информации, содержащей персональные данные, а равно создание или обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения или распространения». Наказание за соответствующие деяния предусматривается в виде штрафа в размере до 300 тыс. руб., либо принудительных работ на срок до 4 лет, либо лишения свободы на аналогичный срок.
В случае, если нарушение относится к биометрической информации, то размер штрафа составит до 700 тыс. руб. или будет соразмерен размеру заработной платы осужденного за период до одного года с лишением права занимать определенные должности на срок до двух лет. Наказанием также могут стать принудительные работы сроком до пяти лет либо лишение свободы на тот же срок.
Если указанные деяния производились из корыстной заинтересованности, повлекли причинение крупного ущерба, совершались группой лиц по предварительному сговору или с использованием служебного положения, то размер штрафа составит до 1 млн руб. или в размере заработной платы осужденного за срок до двух лет с лишением права занимать определенные должности на срок до трех лет (или без такового). Также суд может назначить наказание в виде принудительных работ сроком до пяти лет со штрафом в размере до 1 млн руб. либо лишение свободы на срок до шести лет со штрафом в размере до 1 млн руб.
Если указанные деяния связаны с трансграничной передачей данных, то наказанием будет лишение свободы на срок до 8 лет со штрафом в размере до 2 млн руб. или в размере заработной платы осуществленного за период до трех лет с лишением права занимать определенные должности на срок до 4 лет.
Если указанные деяния повлекли за собой тяжкие последствия либо были совершены организованной группой, то наказанием станет лишение свободы на срок до 10 лет со штрафом в размере до 3 млн руб. либо в размере заработной платы за период до 4 лет с лишением права занимать определенные должности на срок до пяти лет.
Отдельное наказание вводится за создание сайтов в сети Интернет и программ для ЭВМ, заведомо предназначенных для незаконного хранения и передачи компьютерной информации, содержащей персональные данные. Наказанием будет штраф в размере до 700 тыс. руб. или в размере заработной платы на срок до двух лет с лишением права занимать определенные должности на срок до двух лет. Либо – принудительные работы на срок до пяти лет со штрафом в размере до 700 тыс. руб. или лишение свободы на срок до 5 лет со штрафом в размере до 700 тыс. руб.
Как поясняют авторы законопроекта, подавляющее большинство «утечек» - это базы данных, состоящие из записей о конкретных людях, то есть компьютерная информация. Если ранее утечки исчислялись сотнями или тысячами записей, то в последние годы речь идет уже о миллионах записей. В связи с этим вводится специальный объект преступного посягательства – компьютерная информация, содержащая персональные данные, полученные путем неправомерного доступа к средствам ее обработки.
В то же время оговаривается, что не будут рассматриваться случаи, когда персональные данные используются правомерно в личных или семейных целях. Также уголовные меры наказания будут применяться к злоумышленникам, которые незаконно передают базы данных с персональными данными иностранным гражданам и организациям, в том числе вывозят такую компьютерную информацию из России на любых электронных носителях, включая флеш-накопители и жесткие диски.
Введение же уголовной ответственности для лиц, которые создают веб-сайты, незаконно хранящие и предоставляющие доступ к компьютерной информации с персональными данными на платной основе, позволит пресечь деятельность подобных коммерческих интернет-ресурсов, считают авторы законопроекта.
Правительство в своем отзыве на законопроект указало на необходимость уточнить ряд понятий, таких, как «массив данных независимо от формы, содержания и характеристик» и «фиксация гражданина и его действий». Кроме того, отмечается, что понятие «массив данных» не позволяет определить объем передаваемой информации.
В настоящее время за нарушения, предусмотренные законом «О персональных данных», а именно за обработку персональных данных в случаях, законодательно не предусмотренных, в КоАП установлен штраф в размере от 16 тыс. до 100 тыс. руб. (для юридических лиц). За повторное нарушение размер штрафа составляет от 100 тыс. до 300 тыс. руб.
Теперь размер штрафа для юридических лиц составит от 160 тыс. до 300 тыс. руб. (за повторное нарушение – от 200 тыс. до 500 тыс. руб.), для должностных лиц от 50 тыс. до 100 тыс. руб. (за повторное нарушение – от 100 тыс. до 200 тыс. руб.), для физических лиц – 10 тыс. до 15 тыс. руб. (за повторное нарушение – от 15 тыс. до 30 тыс. руб.).
Также КоАП дополняется новыми пунктами о наказаниях за нарушения в области персональных данных. При этом в случае нарушения государственными и муниципальными органами власти этих пунктов штрафы будут накладываться только на должностных лиц.
Так, за неуведомление Роскомнадзора о намерении производить обработку персональных данных на юридических лиц накладывается штраф в размере от 100 тыс. до 300 тыс. руб., на должностных лиц – от 30 тыс. до 50 тыс. руб., на граждан – от 5 тыс. до 10 тыс. руб.
Неуведомление Роскомнадзора о факте утечки персональных данных влечет наложение штрафа на юридических лиц в размере от 1 млн до 3 млн руб., на должностных лиц – от 400 тыс. до 800 тыс. руб., на физических лиц – от 50 тыс. до 100 тыс. руб.
Действия операторов персональных данных, повлекшие неправомерную передачу информации, включая персональные данные от 1 тыс. до 10 тыс. субъектов или от 10 тыс. до 100 тыс. уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц, если эти действия не содержат признаков уголовно наказуемого деяния, наказываются штрафом: для юридических лиц в размере от 3 млн до 5 млн руб., для должностных лиц – от 800 тыс. до 1 млн руб., для граждан – от 100 тыс. до 200 тыс. руб.
В случае утечки персональных данных от 10 тыс. до 100 тыс. субъектов или от 100 тыс. до 1 млн уникальных обозначений физических лиц размер штрафа для юридических лиц составит от 5 млн до 10 млн руб., для должностных лиц – от 1 млн до 1,5 млн руб., для физических лиц – от 200 тыс. до 300 тыс. руб.
В случае утечки персональных данных более чем 100 тыс. субъектов или более 1 млн уникальных идентификаторов физических лиц размер штрафа для юридических лиц составит от 10 млн до 15 млн руб., для должностных лиц – от 1,5 млн до 2 млн руб., для физических лиц – от 300 тыс. до 400 тыс. руб.
За повторные нарушения в указанных случаях размер штрафа для юридических лиц составит от 0,1% до 3% от выручки указанного субъекта за календарный год, предшествующий году, в котором было выявлено нарушение. При этом размер штрафа должен быть не менее 15 млн руб. и не более 500 млн руб. Для должностных лиц размер штрафа составит от 2 млн руб. до 4 млн руб., для физических лиц – от 400 тыс. до 600 тыс. руб.
Действия оператора, повлекшие неправомерную передачу информации, включающей специальную категорию персональных данных (относятся к расовой и национальной принадлежности, религиозных или философских убеждений, политической принадлежности, интимной жизни, состояния здоровья), влечет наложение административного штрафа на юридических лиц в размере от 10 млн до 15 млн руб., на должностных лиц – от 1,5 млн до 2 млн руб., на физических лиц - от 300 тыс. до 400 тыс. руб.
Повторное нарушение приводит к штрафам для юридических лиц в размере от 0,1% до 3% от совокупного размера выручки, полученного за календарный год, предшествующий году, в течение которого было выявлено нарушение. В абсолютных цифрах размер такого штрафа должен быть не менее 20 млн руб., но и не более 500 млн руб. Для должностных лиц размер штрафа составит от 3 млн до 5 млн руб., для физических лиц – от 500 тыс. до 800 тыс. руб.
Согласно пояснительной записке к законопроекту, существующий размер штрафов за утечки персональных данных не соразмерен с возможными последствиями от произошедших утечек. «Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений», - говорят авторы законопроекта.
В обозначенных случаях продолжение противоправного поведения и игнорирование требований уполномоченных органов его прекратить будут считаться отягчающими обстоятельствами.
Законопроект, по мнению его авторов, будет стимулировать операторов персональных данных инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных своих пользователей, а также окажут превентивное воздействие на операторов, не соблюдающих требования о персональных данных. Таким образом, после принятия законопроектов ожидается значительное сокращение числа «утечек» персональных данных.
Правительство в своем отзыве на законопроект указало на неясность термина «уникальные обозначения сведений о физических лицах, необходимые для определения такого лица», который в законодательстве используется для регулирования биометрических персональных данных. Также Правительство предлагает дифференцировать ответственность за утечку персональных данных специальной категории и биометрических персональных данных в зависимости от характера административного правонарушения и степени его общественной вредности.