Если Госдума примет законопроект, то физическим лицам за кражу, продажу и распространение персональных данных клиентов компаний теперь может грозить не только административная, но и уголовная ответственность. Для юридических лиц действуют оборотные штрафы: от 200 до 400 тыс. руб. за базу клиентов, выложенную в открытый доступ; 0,02% оборота компании, но не менее 1 млн руб., за повторный инцидент утечки данных. Для крупных компаний штраф составляет от 5 до 500 млн руб. или 1-3% от годовой выручки.
Эксперты в рамках межотраслевого форума директоров по информационной безопасности обсудили законопроект и высказались о целесообразности введения уголовной ответственности. СЕО "Стахановец" Александр Канатов не поддержал инициативу сенаторов: "Невозможно полностью исключить утечки персональных данных в ближайшие 5-10 лет, пока не появится ChatGPT, который подскажет нам идеальный алгоритм, как полностью исключить подобное. Пока этого не произошло, утечки все равно будут. Поэтому криминализация статьи для должностных лиц - слишком опасная инициатива. Под нее могут попасть все, что повлечет за собой другие последствия. Например, люди будут отказываться от должности, чтобы не попасть под статью".
Директор по информационной безопасности "СДЭК" Павел Куликов предложил разобраться в вопросе, что именно следует считать "утечкой данных". "Перед тем, как карать юридических или физических лиц уголовными сроками, нужно сначала договориться на уровне права, за что мы собираемся карать. На мой взгляд, нужно разделять понятия "утечки данных" и "кражи". Если компания стала жертвой хакерской целенаправленной атаки, тогда это кража, а не случайная утечка. Иначе получается интересная картина. Если на меня на улице напали и отобрали деньги, то это можно назвать утечкой денег из моего кармана в чужой. Я это говорю к тому, что слово "утечка" слишком общее. Поэтому на законодательном уровне нужно закрепить четкие определения, чтобы понять, за какие действия нужно наказывать уголовным сроком", - заявил Павел Куликов.
СЕО Privacy Advocates, соучредитель в сообществе профессионалов в области приватности RPPA.ru Алексей Мунтян рассказал о практике предупреждения компаний от Роскомнадзора о возможных утечках данных во избежание штрафов. "Получение подобного письма от Роскомнадзора требует реагирования. Вопрос в том, какое это уведомление - по утечке или подозрению на утечку данных. Компания проводит проверку. Если факта утечки не было, то нужно отправить соответствующее письмо в Роскомнадзор. Невыполнение этого порядка повлечет административную ответственность. Другой вопрос - нужно ли уведомлять об утечке самих субъектов персональных данных. Для людей это возможность узнать об инциденте как можно скорее и самостоятельно предпринять действия по избежанию потенциального вреда, который может быть им нанесен", - рассказал Алексей Мунтян.
Директор по информационной безопасности компании Cortel Вероника Нечаева предложила вариант взаимодействия с клиентами в случае утечек данных: "С одной стороны, в законе не написано, что компания обязана уведомлять клиента. Но с другой стороны, есть инициатива заранее договариваться с субъектами персональных данных о компенсации. В половине случаев мы понимаем, что нам все равно - утекут ли наши данные или нет. Есть классический пример. Компания предлагает нам карту лояльности. Мы соглашаемся и отдаем все персональные данные. Ставим галочку, что разрешаем партнерам их передавать. Но уйдут ли они дальше партнеров - непонятно. И вот здесь можно договариваться о компенсации. Тут уже личное отношение. Кто-то строит бизнес "человек-человек", а кто-то просто для заработка денег. Мне ближе первый вариант".
Павел Королев