Фонд защиты сданных
Обсуждается механизм выплат пострадавшим от утечек информации
Как выяснил “Ъ”, в РФ может появиться фонд материальной компенсаций для граждан, пострадавших от утечек их персональных данных из компаний. Наполнять его планируется средствами, полученными в качестве штрафов от компаний, допустивших утечки. Участники рынка не против этой идеи, но эксперты отмечают, что реализация механизма потребует существенных административных издержек, а доказать ущерб гражданам будет непросто.
Минцифры обсуждает с рядом крупных IT-компаний возможность создания фонда материальной компенсации для граждан, ставших жертвами утечек баз данных. Об этом “Ъ” рассказали два собеседника, близких к диалогу, и подтвердил источник в крупной российской IT-компании.
Средства, по их словам, могут быть выделены из оборотных штрафов, которые компании обяжут выплачивать за утечки их данных.
В Минцифры уточнили “Ъ”, что сейчас прорабатывается механизм компенсаций: «Нужно определить, как будет высчитываться объем, при каких условиях можно будет претендовать на выплаты, другие детали».
Минцифры приступило к обсуждению законопроекта о введении наказаний для компаний, допустивших утечки данных, в конце мая. Идея предполагает введение в КоАП поправок, по которым компания, где произошла утечка, может быть оштрафована на 1% от годового оборота. Размер штрафа вырастет до 3%, если компания попыталась скрыть проблему (см. “Ъ” от 30 мая). С начала весны массовые утечки данных допустили «Ростелеком», СДЭК, «Яндекс.Еда», Delivery Club и другие крупные компании.
Пострадавшие граждане уже пытаются получить компенсации. Так, клиенты сервиса экспресс-доставки СДЭК подали к компании коллективный иск на 2,2 млн руб., в связи с тем, что в феврале в сеть попали ФИО клиентов, номера телефонов, адресами и другие «чувствительные данные» (см. “Ъ” от 7 июня). В марте аналогичный иск подали пострадавшие от утечки клиенты «Яндекс.Еды», каждый истец требовал по 100 тыс. руб.
Эксперты положительно оценивают идею Минцифры.
Текущая версия законопроекта, вводящего оборотные штрафы за утечки, не учитывает интересы жертв утечек: штрафы пойдут в федеральный бюджет, отмечает директор НКО «Информационная культура» Иван Бегтин. Однако он опасается, что разработка и утверждение механизма могут занять длительное время, вплоть до года, поскольку потребует согласования с правительством, депутатами и участниками рынка.
По данным InfoWatch, в РФ в первом полугодии «утекли» 305 баз данных, что на 45,9% больше, чем за тот же период 2021 года. Объем похищенной информации увеличился более чем в 16 раз, составив 187,6 млн записей. Сейчас максимальный штраф за утечку персональных данных для организаций ограничивается 100 тыс. руб. Delivery Club, например, 18 августа назначен административный штраф в размере 80 тыс. руб., «Яндекс» ранее получил два штрафа в размере 60 тыс. руб. каждый.
Концепция выглядит разумно, согласен глава комитета по информационной безопасности АРПП «Отечественный софт» Роман Карпов, «подобная саморегулируемая система может повысить зрелость компаний в части организации защиты информации». Что касается механизма реализации, важно предусмотреть создание соответствующего цифрового сервиса на «Госуслугах» для выплаты компенсаций, считает он.
Коллективные иски не гарантируют успеха, причем суды даже за вполне материальный ущерб нередко присуждают символические компенсации, не соответствующие уровню проблемы, отмечает GR-директор «СерчИнформ» Ольга Минаева.
«Создание фонда в любом случае шаг вперед, при этом компенсация должна зависеть от реального или потенциального ущерба пользователя, но определить его бывает сложно, и практики для ориентира сейчас нет»,— говорит она.
Но остается и много вопросов. Создание фонда для выплаты компенсаций потребует существенных административных издержек, содержания бюрократического аппарата, системы учета и распределения компенсаций, поясняет зампред комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Борис Едидин. До сих пор неясно также, придется ли гражданам, пострадавшим от утечки, обосновывать ущерб и доказывать его, «в этом случае компенсацию смогут получить единицы», добавляет директор центра разработки Artezio Дмитрий Паршин. Если же компенсация будет разделена между всеми жертвами утечек, добавляет он, то сумма на каждого может оказаться незначительной.