Страхование ответственности операторов персональных данных, по которому предполагается выплата «морального ущерба» клиентам, чьи данные «утекли», может появиться в России до конца 2025 года. Об этом РБК рассказал представитель Всероссийского союза страховщиков (ВСС).
Впервые ВСС рассказал о разработке концепции этого вида страхования в октябре текущего года. На прошлой неделе проект был представлен на круглом столе в Совете Федерации с участием первого заместителя председателя комитета СФ по конституционному законодательству и государственному строительству Артемом Шейкиным.
По словам директора по рискам «СберСтрахования», руководителя рабочей группы ВСС по развитию киберстрахования Владимира Новикова, в Совете Федерации рассматривают возможность сделать такой вид страхования вмененным (то есть добровольным, но необходимым для доступа к определенным видам деятельности). Представитель ВСС подчеркнул, что вопрос сделать этот вид страхования обязательным не обсуждается. «Мы выступаем за добровольное страхование, также идет диалог о том, что у информационной платформы или другого держателя данных должны быть разные варианты защиты, например банковская гарантия», — сказал он, добавив, что о заинтересованности в продаже такого продукта сейчас заявили порядка пяти страховых компаний, но их количество может увеличиться до десяти.
В Банк России не поступал на рассмотрение проект страхования, предусматривающий в том числе возможность сделать такой вид страхования вмененным, сказал представитель регулятора. «Свою позицию Банк России сформулирует после получения данного проекта и его всестороннего изучения», — подчеркнул он, но добавил, что по своей природе страхование обеспечивает лишь возмещение ущерба от страхового события, но не предотвращает его наступление.
«Сейчас об актуальности такого страхования говорят и власти, и бизнес — спрос на страхование есть, универсальные подходы помогут бизнесу защититься от киберрисков», — считает представитель ВСС.
Опрошенные РБК страховщики также называют этот вид страхования перспективным. «Он позволит выплатить компенсации на законных основаниях и без лишних проволочек лицам, чьи персональные данные будут утрачены либо похищены. В настоящий момент получить такую выплату можно только по решению суда», — говорит руководитель дирекции корпоративных продаж Страхового дома ВСК Антон Казиев. Без соответствующего полиса оператор персональных данных будет вынужден сам компенсировать своим клиентам нанесенный ущерб, добавляет директор департамента андеррайтинга и перестрахования «Абсолют Страхования» Евгений Ильченко.
Однако концепция ВСС нуждается в доработке, отмечают страховые компании. Например, проработки требует вопрос определения страхового случая, так как факт утечки персональных данных сам по себе может как причинить существенный вред в виде мошеннических списаний с карты или с депозита, так и пройти бесследно в виде нескольких спам-звонков, рассуждает операционный директор «Совкомбанк Страхования» Владислав Синцов: «При этом «эффект» для застрахованного от такой утечки может возникнуть спустя какое-то время».
Также следует проработать вопрос с разграничением последствий старых утечек от новых, а также привязки компенсации к факту возникновения утечки, добавляет директор департамента страхования финансовых рисков и ответственности «АльфаСтрахования» Денис Зенка: «Видится более правильным ориентироваться на причинение ущерба».
Наступление страховых случаев оценивается как достаточно частое явление, говорит Казиев. Количество пострадавших в результате одной утечки может исчисляться сотнями тысяч, добавляет Новиков. «Учитывая крайне негативную статистику утечек персональных данных российских операторов за последние два года, такой продукт требует детальной экспертизы каждого потенциального клиента со стороны страховщика и должного перестрахования», — подчеркивает Ильченко.
В «Росгосстрахе» считают, что пока по ряду вопросов нет единого решения, говорить о разработке конкретных страховых продуктов преждевременно. К таким вопросам представитель компании отнес определение причины страхового события, разработку методики определения ущерба, статус страхования — обязательное, вмененное или добровольное.
Пока на российском рынке страхование ответственности за утечку персональных данных фактически отсутствует, отмечает директор группы рейтингов финансовых институтов АКРА Алексей Бредихин: «Утечки персональных данных происходят почти ежедневно. Государство накладывает штрафы, однако пока не сложилась практика оценки ущерба, понесенного самими гражданами. Инициатива ВСС предлагает конкретные ориентиры для оценки этого ущерба». Некоторые страховые компании предлагают полисы, покрывающие убытки от киберинцидентов, которые включают и защиту от утечек персональных данных, но предложение ВСС специально ориентировано на защиту персональных данных и делает продукт более целевым и понятным для клиентов, объясняет старший директор группы финансовых институтов рейтинговой службы НРА Сергей Туруев.
Если страхование будет добровольным, то спрос на него будет зависеть от того, насколько операторы персональных данных будут подвержены потенциальным судебным претензиям в связи с утечками и какими будут штрафы от регулирующих органов, рассуждает управляющий директор группы рейтингов страховых компаний агентства НКР Евгений Шарапов. «Пока мы не видим массового характера таких судебных процессов, поскольку самое трудное в этой ситуации для потерпевшего — доказать, откуда была утечка и когда она произошла. Если появится инструмент, определяющий факт и время события, то неизбежно возникнут вопросы об обоснованности суммы ущерба, и этот вопрос требует дополнительной проработки, поскольку фигурируемые суммы видятся невысокими. Если впоследствии потерпевший обратится в суд за взысканием полной сумы ущерба, то не исключено, что в определенных случаях сумма возмещения может быть значительно выше, чем совокупный лимит по полису», — предупреждает Шарапов.
С учетом грядущих оборотных штрафов данная концепция страхования видится весьма актуальной, а в перспективе — востребованной, так как в соответствии с поправками компенсация субъектам персональных данных нанесенного утечкой ущерба будет признаваться смягчающим обстоятельством и может снизить размер штрафа, напоминает управляющий партнер Comply Артем Дмитриев. Сейчас на рассмотрении в Госдуме находится законопроект, который предлагает кратно повысить размер штрафов за утечки данных клиентов — до 500 млн руб.
Предлагаемая сумма выплаты за «моральный ущерб» является средней — именно столько обычно и взыскивают суды в качестве компенсации морального вреда, рассказывает юрист коммерческой практики юридической фирмы «Косенков и Суворов» Дарья Куклина: «Моральный вред предназначен для покрытия нравственных и физических страданий, которые не так просто оценить. При этом вполне возможны ситуации, когда утечка причинит более существенный моральный вред — например, если были разглашены данные, относящиеся к специальным категориям (о здоровье, политических и идеологических взглядах и т.д.) или если данные попали к злоумышленникам, которые использовали или смогут использовать их против субъекта данных».
Предлагаемый размер «морального ущерба» является чрезвычайно низким, но страховщики, скорее всего, ориентировались на судебную практику при определении такого лимита, соглашается юрист практики «страхование» адвокатского бюро КИАП Каролина Цмыг. Она допускает, что впоследствии страховщики могут провести определенную корректировку суммы. Опыт ЕС показывает, что при сегодняшнем кросс-курсе компенсации составляют 25–50 тыс. руб., но могут быть и выше, говорит Дмитриев.
Хотя уже сегодня в судебной практике бывают исключения, добавляет Дмитриев: «К примеру, Центр правовой помощи (подразделение, созданное Роскомнадзором и занимающееся вопросами, связанными с незаконным использованием персональных данных граждан) взыскивал по этой категории судебных дел и по 150 тыс. руб. Однако ситуация была специфическая: пострадавшая имела проблемы со здоровьем, что усугубило ее морально-нравственные страдания от незаконно оформленного на ее имя кредита».
Евгения Чернышова