Роскомнадзор повышает ответственность
Ведомство предлагает ввести уголовное наказание за торговлю личными данными
Роскомнадзор хочет ужесточить ответственность для тех, кто организует доступ к утекшим персональным данным, вплоть до введения уголовного наказания. Эту идею поддержал комитет Госдумы по информполитике, который уже подготовил ряд поправок в закон «О персональных данных». Но для реализации инициативы потребуются также поправки в КоАП и УК. Юристы сомневаются в эффективности мер, поскольку злоумышленники, продающие данные, как правило, находятся за границей. По их мнению, более действенным механизмом станет усиление ответственности для компаний, допустивших утечки, а также практики правоприменения уже действующих норм.
Заместитель руководителя Роскомнадзора Милош Вагнер на расширенном заседании комитета Госдумы по информполитике, посвященном поправкам к закону о персональных данных, предложил расширить ответственность за кражу и торговлю ими вплоть до уголовного наказания. «Нужно жестко наказывать тех, кто формирует спрос на утечки, наживаясь на распространении персональных данных. Только так можно прекратить вал мошенничества с личными данными российских граждан»,— пояснили «Ъ» в ведомстве. Глава комитета Александр Хинштейн поддержал эту идею, отметив, что стоит наказывать и тех, кто покупает персональные данные на черном рынке.
Поправки внесла в Госдуму 6 апреля группа депутатов во главе с Александром Хинштейном и сенатором Андреем Клишасом. Они вводят обязанность для операторов персональных данных информировать органы власти об утечках личной информации граждан и подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (см. “Ъ” от 11 мая).
В комитете Госдумы по информполитике уточнили, что ответственность может регулироваться только поправками в КоАП или УК, которые вносятся самостоятельными законопроектами. В Минцифры поддерживают инициативу, уточняя, что нужно ввести и оборотные штрафы для компаний, допустивших утечки личных данных. Эти меры потребуют внесения изменений в отраслевое законодательство, добавили в министерстве.
Одной из крупнейших за последнее время была утечка данных «Яндекс.Еды» в конце февраля: тогда в открытом доступе оказалась информация 58 тыс. пользователей (имена, телефоны, адреса, коды от домофона и суммы трат за полгода). Как объяснили в сервисе, причиной стали недобросовестные действия одного из сотрудников. В интернете дважды появлялась интерактивная карта с утекшими данными «Яндекс.Еды». Так, 17 мая ее дополнили базами ГИБДД и другими источниками. На сайте отображается, например, информация из СДЭК, Avito, Wildberries и Delivery Club. В компаниях утечки опровергали. «Яндекс.Еде» Мировой суд Замоскворецкого района Москвы назначил штраф 60 тыс. руб. В «Яндексе» не стали комментировать новую идею Роскомнадзора.
Член комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Вадим Перевалов считает предложения избыточными: «Кража персональных данных в результате компьютерного взлома уже сейчас может квалифицироваться по статьям 272 и 273 УК РФ, и такие уголовные дела уже существуют». Так, бывшего сотрудника Сбербанка, который осенью 2019 года украл и опубликовал в даркнете персональные данные клиентов, Красногорский городской суд приговорил к двум годам и десяти месяцам колонии-поселения.
Необходима работа с правоприменением, а не с законом, соглашается преподаватель Moscow Digital School Олег Блинов: «Полиция и прокуратура не имеют достаточно квалифицированных кадров, инструментария и даже энтузиазма к расследованию подобных дел».
Кроме того, эксперт опасается перегибов — например, что под определение незаконной торговли данными может попасть передача информации рекламным сетям.
Руководитель практики интеллектуальной собственности юридической фирмы DRC Владимир Ожерельев сомневается, что увеличение уголовных сроков остановит злоумышленников. Многие из них вне досягаемости российского правосудия, потому что работают из других стран, пояснил он. По мнению эксперта, эффективнее было бы детально проработать административную ответственность, которая будет мотивировать крупные компании повышать защиту данных и делать их менее доступными для злоумышленников. Сейчас, отмечает он, административные штрафы за утечку персональных данных не зависят от объема утечки и не особо обременяют компании, их допустившие.