Директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ), преподаватель Moscow Digital School Александра Орехович рассказала "Газете.Ru", как утечки персональных данных стали универсальной проблемой и провела юридический анализ истории вопроса в России. Затрагивая вопрос решения проблемы, эксперт сообщила, что в настоящее время готовится законопроект, вводящий оборотные штрафы для компаний за утечку персональных данных граждан.
Утечки персональных данных – тема, которую регулярно обсуждают как обычные пользователи, так и руководство страны. Гадать, почему эта тема стала столь популярна, не нужно: по разным оценкам количество утекших персональных данных измеряется десятками миллионов записей. А согласно исследованию специалистов российского сервиса разведки утечек данных и мониторинга даркнета DLBI, в открытом доступе оказались данные трех четвертей граждан России.
Впечатляет не только количество утекших в паблик записей, но и количество компаний, допустивших утечки. По данным Роскомнадзора, с 1 сентября 2022 года им было получено около 100 соответствующих уведомлений.
Масштаб утечек наглядно демонстрирует то, что цены на базы данных, не содержащих чувствительной информации, снизились почти вдвое. По оценке Positive Technologies, если в 2021 году стоимость "простой" базы, содержащей только личные данные пользователей, составляла $200–250, то в 2022-м — $100–150. Эксперты связывают такой объем утечек с большой активностью хакер-активистов.
Опыт России в данном случае не уникален: от атаки хакеров не застрахована ни одна страна или компания.
Так, недавно стало известно о том, что два года назад хакер украл персональные данные всех жителей Австрии, население которой составляет 9 млн человек.
Базу данных киберпреступник рассматривал исключительно как товар и средство личного обогащения. В ней содержались детальные сведения почти о каждом австрийце.В то же время, как считают некоторые эксперты, вина за столь резкий всплеск утечек данных за последний год может лежать не только на хакерах, но и на многих российских компаниях, которые оказались не готовы защищать свои данные. Такая позиция повлекла за собой ряд мер со стороны государства – например, наделение Роскомнадзора правом проводить внеплановые проверки (было приостановлено постановлением правительства 10 марта 2022 года) аккредитованных IT-компаний в случае, если установлен факт распространения в интернете баз данных, или их части, содержащих ПД.
А 10 февраля глава Минцифры РФ Максут Шадаев заявил, что законопроект об оборотных штрафах за утечку персданных появится до конца февраля.
Ранее президент России Владимир Путин поручил правительству до 1 июля 2023 года рассмотреть вопрос о введении оборотных штрафов для компаний, допустивших утечку персональных данных россиян.
Напомню, в настоящее время штрафы для компаний за утечки персональных данных варьируются в законодательстве от 60 тыс. до полумиллиона рублей. Практика их назначения демонстрирует еще более либеральный подход. Так, летом 2021 года из баз данных крупной косметической компании произошла утечка скан-копий паспортов более 1 млн клиентов. Ряд экспертов оценил возможный ущерб для клиентов на сумму свыше 100 млн рублей, в то время как суд оштрафовал компанию ниже низшего предела: на 30 тысяч рублей. Прогремевшая на всю страну утечка данных о 7 млн пользователей сервиса доставки еды завершилась штрафом для компании на 60 тыс. рублей.
Очевидно, что при таких обстоятельствах назрел вопрос не только о введении оборотных штрафов, но и компенсаций самим пользователям – по сути, наиболее пострадавшей от утечек стороне. Именно такие меры, по мнению регулятора, станут стимулом для компаний по усилению мер по обеспечению сохранности данных пользователей. На мой взгляд, тут появляется ряд правовых и практических вопросов.
Практика оборотных штрафов в российских правовых реалиях невелика. Уже несколько лет они применяются за нарушение антимонопольного регулирования, а в части данных – за нарушение требований о локализации. Основной "подводный камень" представляется в расчете оборотного штрафа.
В антимонопольном законодательстве он понятен и справедлив: как правило, берется выручка от реализации товара, на рынке которого совершено правонарушение. Во втором же случае не совсем понятно, относительно какого "товара", работы или услуги высчитывать оборотный штраф за утечки. Еще один вопрос – как вычленить выручку именно от оборота данных, ведь как таковой ее у компаний скорее всего нет.
Скорее всего, законодатель пойдет по пути наложения оборотного штрафа в сумме выручки компании от реализации ею всей ее деятельности, за весь период.
Это означает, что штрафы, очевидно, будут крайне внушительными для компаний.
Так же надо учитывать и "вину" компании при введении оборотных штрафов. К примеру, если причиной утечки стала плохая защита персданных, то тогда наложение оборотных штрафов может быть целесообразным. А если утечка произошла в результате мощной кибератаки, а компания в свою очередь приняла все необходимые меры и использовала все требуемые способы защиты ПД, то стоит решить, уместны ли многомиллионные или даже многомиллиардные штрафы в этом случае.
К тому же, такой подход "безвиновной ответственности" противоречит общей части КоАП. Действующие нормы российского законодательства предусматривают возможность наступления ответственности только в случае совершения конкретных и определенных действий. Так, в соответствии со статьей 2.1 КоАП административным правонарушением признается не только противоправное, но и виновное действие (бездействие) физических или юридических лиц. Соответственно, наличие вины – необходимое условие привлечения к административной ответственности.
Помимо этого, пунктом 2 ст. 2.1 установлено, что компания признается виновной, если будет установлено, что у нее имелась возможность для соблюдения правил и норм, но данным лицом не были приняты все зависящие от него меры по их соблюдению. Таким образом, ответственность за утечки должна наступать исключительно в случае несоблюдения технических, организационных и правовых мер защиты информации операторов персональных данных.
Компенсации пострадавшим пользователям – отдельная тема со множеством вопросов. И главный из них: "Как определить размер компенсации?".
Очевидно, что сама компания, допустившая утечку, не сможет справиться с такой задачей. Кроме того, обязанность компаний по выплате компенсаций пользователям несет в себе риск возрастания потребительского экстремизма со стороны пострадавших.
Таким образом, при выработке положений законодательства об оборотных штрафах регуляторам необходимо учесть многие аспекты, чтобы ужесточение ответственности действительно стало стимулом усиления мер, предпринимаемых компаниями для обеспечения сохранности данных своих пользователей и увеличения резистентности к хакерским атакам.
Свежие комментарии