Урожай сливов: кабмин намерен смягчить санкции за утечку персональных данных
Санкции за утечку персональных данных предлагают смягчить. Наказание уменьшится при соблюдении оператором ряда важных условий. Соответствующие поправки к пакету законопроектов о штрафах за утечки разрабатывает кабмин РФ. Сочетание строгих наказаний с возможностью их смягчения поможет сформировать у операторов более ответственный подход к обеспечению информационной безопасности, считают эксперты. «Известия» узнали, какие изменения хотят внести.
От кнута к прянику
Ответственность за «утекшие» в Сеть персональные данные могут смягчить. Соответствующие поправки ко второму чтению пакета законопроектов о штрафах за утечки прорабатывает кабмин. Наказание будет менее жестким при соблюдении ряда условий. Об этом в беседе с ТАСС заявил зампред совета по развитию цифровой экономики при СФ Артем Шейкин.
Работу над документом ведут Минюст, Минцифры и другие заинтересованные федеральные органы исполнительной власти.
Профильные ведомства определят ряд условий, которые необходимо соблюсти для смягчения наказания.
Пакет законопроектов об усилении административной и уголовной ответственности за утечки и незаконное использование персональных данных был внесен в Госдуму в декабре 2023 года. 23 января этого года в первом чтении приняли проект поправок в КоАП, увеличивающий штрафы за нарушение отдельных требований законодательства в области персональных данных.
Редакция «Известий» направила запросы в Минцифры и Минюст РФ. На момент выхода публикации ответы не поступили.
Условия смягчения
Поправки создадут более сбалансированный подход к регулированию ответственности операторов данных, считает управляющий партнер компании «Русяев и партнеры» юрист Илья Русяев. По его мнению, смягчение наказания свидетельствует о стремлении государства не только наказывать за нарушения, но и стимулировать ответственное поведение компаний.
Для смягчения наказания оператор персональных данных должен выполнить несколько условий одновременно, указывает юрист.
— Во-первых, компания должна ежегодно инвестировать значительные средства в мероприятия по обеспечению информационной безопасности. Это покажет серьезность намерений оператора в вопросах защиты данных и его готовность вкладывать ресурсы в превентивные меры, — поясняет он.
Во-вторых, в случае утечки оператор обязан произвести денежные выплаты пострадавшим гражданам, перечисляет Русяев. Такой подход, по его мнению, продемонстрирует ответственность компании перед своими клиентами и готовность компенсировать возможный ущерб.
Это также может послужить дополнительным стимулом для более тщательного подхода к вопросам защиты персональных данных.
— В-третьих, оператор должен подтвердить соблюдение требований к защите персональных данных при их обработке в соответствующих информационных системах. Это условие гарантирует, что компания не просто формально выполняет требования законодательства, но и реально обеспечивает надлежащий уровень защиты информации, — считает собеседник «Известий».
При этом для уменьшения размера наказания не должно быть обстоятельств, отягчающих административную ответственность, дополняет эксперт. Это положение призвано исключить возможность злоупотреблений со стороны недобросовестных операторов.
Достичь баланса
Подобный комплексный подход, по мнению Ильи Русяева, представляется обоснованным и эффективным. С одной стороны, он стимулирует операторов инвестировать в информационную безопасность и ответственно подходить к защите персональных данных.
— С другой стороны, сохраняется принцип неотвратимости наказания за нарушения, что должно удерживать компании от пренебрежения требованиями закона, — подчеркивает юрист.
Смягчение наказания, по словам эксперта, не означает ослабления контроля или снижения ответственности. Напротив, такой подход может стимулировать операторов к более активным действиям по предотвращению утечек и минимизации их последствий.
Что грозит
В настоящее время ответственность за утечку персональных данных регулируется различными нормативными актами, включая Федеральный закон «О персональных данных» и Кодекс об административных правонарушениях, напоминает Илья Русяев. Существующие санкции включают в себя штрафы, размер которых зависит от характера нарушения и статуса нарушителя (физическое лицо, должностное лицо, юридическое лицо).
Поправки в КоАП и УК РФ, усиливающие санкции за утечку персональных данных, уже приняты в первом чтении. Они, в частности, устанавливают административную ответственность за действия оператора, из-за которых произошла незаконная передача сведений о физлицах.
— Если утечка персональных данных произошла в отношении от 1 тыс. до 10 тыс. субъектов, то штраф для юридических лиц составит от 3 млн до 5 млн рублей, от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн рублей, более 100 тыс. — от 10 млн до 15 млн рублей, — разъясняет основатель профессиональной юридической группы АИД Давид Адамс.
За повторные утечки оператору могут грозить оборотные штрафы от 0,1 до 3% выручки. Сумма составит от 15 млн до 500 млн рублей.
— Ответственность юридических лиц за обработку персональных данных в случаях, не предусмотренных законодательством, либо обработку персональных данных, несовместимую с целями их сбора, будет предполагать штраф от 150 тыс. до 300 тыс. рублей. Повторное совершение административного правонарушения повлечет штраф от 300 тыс. до 500 тыс. рублей, — дополняет юрист.
Кроме того, Уголовный кодекс РФ хотят дополнить ст. 272.1, вводящей ответственность за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем, а также за создание информационных ресурсов, распространяющих такие данные. Максимальный срок лишения свободы, грозящий за данное преступление, — 10 лет.
Ужесточение ответственности за утечку персональных данных имеет в первую очередь превентивную функцию, убежден Адамс.
— Введение же смягчающих обстоятельств позволит компенсировать пострадавшим субъектам вред, причиненный неправомерными действиями, — считает он.
Распространенная проблема
Общая доля утечек персональных данных из организаций в первом полугодии 2024 года продемонстрировала значительное снижение, сократившись на 15%, указывает руководить исследовательской группы Positive Technologies Федор Чунижеков. При этом если учитывать все украденные у организации сведения, то чаще всего в результате успешных атак в публичный доступ попадали именно персональные данные (31%).
— Тем не менее, несмотря на некоторое снижение общего количества утечек персональных сведений, злоумышленникам удается компрометировать крупные компании и извлекать большие базы данных. Похищенная информация затем используется в разных целях, например для мошеннических операций, шантажа или фишинговых кампаний с целью выманивания денежных средств или для продажи каких-то услуг, — подчеркивает собеседник «Известий».
Злоумышленники продолжают охотиться за различными конфиденциальными сведениями, однако всплеск публикаций на специализированных платформах, где предлагали бы приобрести такую информацию, не наблюдается, обращает внимание главный эксперт «Лаборатории Касперского» Сергей Голованов.
— Вероятно, злоумышленники предпочитают не сразу сообщать о полученной информации, они могут выжидать или использовать ее в своих целях, — отмечает он.
В числе основных методов успешных атак, приводящих к утечкам персональных данных, Чунижеков выделяет использование злоумышленниками вредоносного ПО (38%), социальную инженерию (31%) и эксплуатацию уязвимостей (19%).
Кроме того, по итогам первого полугодия 2024-го, значимым фактором, который повлиял на рост утечек конфиденциальной информации из организаций, стало множественное заражение вредоносным ПО открытых репозиториев, используемых разработчиками.
— Утечка данных из одной компании может послужить основой для проведения атак на другие — это происходит в том случае, если утечка затронула данные не только жертвы, но и, например, ее клиентов.
В первом полугодии 2024 года мы выявили тенденцию на утечки информации из государственных структур вследствие компрометации их подрядчиков и контрагентов, — сообщает эксперт.
С технической точки зрения слабым звеном в защите организации часто оказываются простые пароли, использование устаревшего оборудования и отсутствие оперативных обновлений безопасности, перечисляет Голованов.
— Безопасность данных — комплексный процесс. Необходимо обеспечить безопасность конечных устройств, предусмотреть решения для защиты от сложных угроз, внедрить политику предоставления доступов, постоянно мониторить процессы внутри организации и обучать персонал правилам кибербезопасности, — резюмирует он.
