Страховщики запустят возмещения от утечек данных до конца 2025 года

Страхование ответственности операторов персональных данных, по которому предполагается выплата «морального ущерба» клиентам, чьи данные «утекли», может появиться в России до конца 2025 года. Об этом РБК рассказал представитель Всероссийского союза страховщиков (ВСС).

Впервые ВСС рассказал о разработке концепции этого вида страхования в октябре текущего года. На прошлой неделе проект был представлен на круглом столе в Совете Федерации с участием первого заместителя председателя комитета СФ по конституционному законодательству и государственному строительству Артемом Шейкиным.

По словам директора по рискам «СберСтрахования», руководителя рабочей группы ВСС по развитию киберстрахования Владимира Новикова, в Совете Федерации рассматривают возможность сделать такой вид страхования вмененным (то есть добровольным, но необходимым для доступа к определенным видам деятельности). Представитель ВСС подчеркнул, что вопрос сделать этот вид страхования обязательным не обсуждается. «Мы выступаем за добровольное страхование, также идет диалог о том, что у информационной платформы или другого держателя данных должны быть разные варианты защиты, например банковская гарантия», — сказал он, добавив, что о заинтересованности в продаже такого продукта сейчас заявили порядка пяти страховых компаний, но их количество может увеличиться до десяти.

В Банк России не поступал на рассмотрение проект страхования, предусматривающий в том числе возможность сделать такой вид страхования вмененным, сказал представитель регулятора. «Свою позицию Банк России сформулирует после получения данного проекта и его всестороннего изучения», — подчеркнул он, но добавил, что по своей природе страхование обеспечивает лишь возмещение ущерба от страхового события, но не предотвращает его наступление.

Условия страхования персональных данных

• О своем намерении запустить новый вид страхования РБК сообщили «СберСтрахование» и ВСК. Компания «Абсолют Страхование» пока не приняла решение, так как «нет однозначной позиции о наличии перестраховочных емкостей». «Согласие» состоит в рабочей группе ВСС по обсуждению проекта, но на вопрос о заинтересованности в продаже продукта представитель компании не ответил. «РЕСО-Гарантия» не планирует заниматься этим видом страхования.
   
• ВСС предлагает выплачивать «моральный ущерб» клиентам компаний, чьи данные «утекли», следует из презентации, которую ВСС представил в Совете Федерации. Его размер будет зависеть от категории персональных данных: 1 тыс. руб. за утечку простых персональных данных (Ф.И.О., дата и место рождения, семейное положение, социальный статус, имущество, размер доходов и т.п.), 2 тыс. — за утечку специальных персональных данных (политические взгляды, религия, расовая и национальная принадлежность, состояние здоровья, интимная жизнь и т.п.), 5 тыс. руб. — за утечку биометрических данных.
   
• Если при утечке персональных данных будет нанесен вред здоровью и имуществу, то размер выплаты должен соответствовать фактическому ущербу, но не более лимита 50 тыс. руб. При этом общий лимит на такие случаи составляет 20% от страховой суммы. Если размер ущерба будет превышать страховую сумму, то выплата уменьшится пропорционально числу обратившихся.
   
• Страховая сумма будет высчитываться из числа персональных данных, которые хранятся у компании: 5 млн руб., если компания хранит до 1 тыс. персональных данных, 20 млн руб. — при хранении 10 тыс. данных, 100 млн руб. — при хранении 100 тыс. персональных данных, 500 млн руб. — при хранении 1 млн данных и 1 млрд руб. — при хранении более 1 млн данных.

Плюсы и минусы инициативы

«Сейчас об актуальности такого страхования говорят и власти, и бизнес — спрос на страхование есть, универсальные подходы помогут бизнесу защититься от киберрисков», — считает представитель ВСС.

Опрошенные РБК страховщики также называют этот вид страхования перспективным. «Он позволит выплатить компенсации на законных основаниях и без лишних проволочек лицам, чьи персональные данные будут утрачены либо похищены. В настоящий момент получить такую выплату можно только по решению суда», — говорит руководитель дирекции корпоративных продаж Страхового дома ВСК Антон Казиев. Без соответствующего полиса оператор персональных данных будет вынужден сам компенсировать своим клиентам нанесенный ущерб, добавляет директор департамента андеррайтинга и перестрахования «Абсолют Страхования» Евгений Ильченко.

Однако концепция ВСС нуждается в доработке, отмечают страховые компании. Например, проработки требует вопрос определения страхового случая, так как факт утечки персональных данных сам по себе может как причинить существенный вред в виде мошеннических списаний с карты или с депозита, так и пройти бесследно в виде нескольких спам-звонков, рассуждает операционный директор «Совкомбанк Страхования» Владислав Синцов: «При этом «эффект» для застрахованного от такой утечки может возникнуть спустя какое-то время».

Также следует проработать вопрос с разграничением последствий старых утечек от новых, а также привязки компенсации к факту возникновения утечки, добавляет директор департамента страхования финансовых рисков и ответственности «АльфаСтрахования» Денис Зенка: «Видится более правильным ориентироваться на причинение ущерба».

Наступление страховых случаев оценивается как достаточно частое явление, говорит Казиев. Количество пострадавших в результате одной утечки может исчисляться сотнями тысяч, добавляет Новиков. «Учитывая крайне негативную статистику утечек персональных данных российских операторов за последние два года, такой продукт требует детальной экспертизы каждого потенциального клиента со стороны страховщика и должного перестрахования», — подчеркивает Ильченко.

В «Росгосстрахе» считают, что пока по ряду вопросов нет единого решения, говорить о разработке конкретных страховых продуктов преждевременно. К таким вопросам представитель компании отнес определение причины страхового события, разработку методики определения ущерба, статус страхования — обязательное, вмененное или добровольное.

Спрос на страхование от утечек

Пока на российском рынке страхование ответственности за утечку персональных данных фактически отсутствует, отмечает директор группы рейтингов финансовых институтов АКРА Алексей Бредихин: «Утечки персональных данных происходят почти ежедневно. Государство накладывает штрафы, однако пока не сложилась практика оценки ущерба, понесенного самими гражданами. Инициатива ВСС предлагает конкретные ориентиры для оценки этого ущерба». Некоторые страховые компании предлагают полисы, покрывающие убытки от киберинцидентов, которые включают и защиту от утечек персональных данных, но предложение ВСС специально ориентировано на защиту персональных данных и делает продукт более целевым и понятным для клиентов, объясняет старший директор группы финансовых институтов рейтинговой службы НРА Сергей Туруев.

Если страхование будет добровольным, то спрос на него будет зависеть от того, насколько операторы персональных данных будут подвержены потенциальным судебным претензиям в связи с утечками и какими будут штрафы от регулирующих органов, рассуждает управляющий директор группы рейтингов страховых компаний агентства НКР Евгений Шарапов. «Пока мы не видим массового характера таких судебных процессов, поскольку самое трудное в этой ситуации для потерпевшего — доказать, откуда была утечка и когда она произошла. Если появится инструмент, определяющий факт и время события, то неизбежно возникнут вопросы об обоснованности суммы ущерба, и этот вопрос требует дополнительной проработки, поскольку фигурируемые суммы видятся невысокими. Если впоследствии потерпевший обратится в суд за взысканием полной сумы ущерба, то не исключено, что в определенных случаях сумма возмещения может быть значительно выше, чем совокупный лимит по полису», — предупреждает Шарапов.

С учетом грядущих оборотных штрафов данная концепция страхования видится весьма актуальной, а в перспективе — востребованной, так как в соответствии с поправками компенсация субъектам персональных данных нанесенного утечкой ущерба будет признаваться смягчающим обстоятельством и может снизить размер штрафа, напоминает управляющий партнер Comply Артем Дмитриев. Сейчас на рассмотрении в Госдуме находится законопроект, который предлагает кратно повысить размер штрафов за утечки данных клиентов — до 500 млн руб.

Размер компенсации

Предлагаемая сумма выплаты за «моральный ущерб» является средней — именно столько обычно и взыскивают суды в качестве компенсации морального вреда, рассказывает юрист коммерческой практики юридической фирмы «Косенков и Суворов» Дарья Куклина: «Моральный вред предназначен для покрытия нравственных и физических страданий, которые не так просто оценить. При этом вполне возможны ситуации, когда утечка причинит более существенный моральный вред — например, если были разглашены данные, относящиеся к специальным категориям (о здоровье, политических и идеологических взглядах и т.д.) или если данные попали к злоумышленникам, которые использовали или смогут использовать их против субъекта данных».

Предлагаемый размер «морального ущерба» является чрезвычайно низким, но страховщики, скорее всего, ориентировались на судебную практику при определении такого лимита, соглашается юрист практики «страхование» адвокатского бюро КИАП Каролина Цмыг. Она допускает, что впоследствии страховщики могут провести определенную корректировку суммы. Опыт ЕС показывает, что при сегодняшнем кросс-курсе компенсации составляют 25–50 тыс. руб., но могут быть и выше, говорит Дмитриев.

Хотя уже сегодня в судебной практике бывают исключения, добавляет Дмитриев: «К примеру, Центр правовой помощи (подразделение, созданное Роскомнадзором и занимающееся вопросами, связанными с незаконным использованием персональных данных граждан) взыскивал по этой категории судебных дел и по 150 тыс. руб. Однако ситуация была специфическая: пострадавшая имела проблемы со здоровьем, что усугубило ее морально-нравственные страдания от незаконно оформленного на ее имя кредита».

Евгения Чернышова