В личные данные подгружают ответственность
Госдума приступила к ужесточению правил работы с информацией
В профильный комитет Госдумы переданы два законопроекта Минцифры, которые разрабатывались с начала 2022 года: об усилении административной ответственности компаний за утечки персональных данных и введении уголовной ответственности за кражу и продажу такой информации. Обсуждаемые нормы приведут к росту цен на услуги операторов связи, онлайн-сервисов и других компаний, чья работа связана с обработкой данных, считают эксперты. Введение же уголовной ответственности, говорят участники рынка, может спровоцировать рост цен в том числе на инсайдерскую информацию, которая распространяется в даркнете.
Минцифры передало на рассмотрение Комитета госдумы по информполитике, IT и связи два законопроекта, которые ужесточают порядок работы с персональными данными россиян, рассказали “Ъ” собеседники в правительстве. Первый документ вводит оборотные штрафы для компаний, допустивших утечку информации. Второй вносит изменения в Уголовный кодекс РФ и распространяется на граждан, совершивших противоправные действия с использованием персональных данных: кражу, продажу, а также создание теневых форумов, где незаконно распространяются личные данные граждан.
О том, что законопроект об усилении административной ответственности за утечки данных должен поступить на рассмотрение в Госдуму уже в апреле, 15 марта сообщил глава Минцифры Максут Шадаев:
«Законопроект, предусматривающий административную ответственность за утечку, в частности, оборотные штрафы, уже готов в финальной версии».
В документе оговорены ответственность за утечки баз данных, фиксированный штраф при первичном инциденте и оборотный штраф — при повторном, смягчающие и отягчающие обстоятельства, уточнили в министерстве. Законопроект должен предусматривать оборотный штраф для компаний в размере 5–500 млн руб., при этом максимальный штраф компания получит, если допустила утечку данных повторно с момента вступления закона в силу (см. “Ъ” от 26 декабря 2022 года).
В апреле Госдума также рассмотрит законопроект об «уголовной ответственности за кражу персональных данных и создание сайтов и других каналов для их распространения», следует из презентации к выступлению министра. По словам собеседника “Ъ” в правительстве, речь идет о внесении изменений в статьи 272, 273 и 274 УК РФ, которые касаются неправомерного доступа к компьютерной информации, распространения вредоносных программ и нарушения правил эксплуатации средств хранения, обработки или передачи компьютерной информации.
Как в декабре сообщало «РИА Новости», наказание будет рассчитано на физических лиц и пока предусмотрено в размере от 300 тыс. руб. до 2 млн руб., также рассматривается наказание в виде лишения свободы в зависимости от тяжести преступления до шести лет, при отягчающих обстоятельствах — до десяти лет.
Необходимо разделять ответственность за факт утечки и факт продажи украденных данных, подчеркивает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян: «Уголовная ответственность вряд ли повлияет на торговцев в даркнете — теневые форумы обеспечивают анонимность всех участников».
Усиление уголовной ответственности за похищение данных повлияет на действия инсайдеров, которые в основном и «попадаются в сети правоохранительных органов», считает эксперт.
«После появления первых приговоров по новой норме стоимость инсайдерских данных, безусловно, вырастет»,— поясняет господин Оганесян.
Введение оборотных штрафов потребует от крупных операторов персональных данных (в реестре Роскомнадзора на данный момент зарегистрировано 882 тыс. таких структур) не только модернизации инфраструктуры и процессов обработки, но и увеличения бюджета на оплату возможных штрафов, считает главный юрисконсульт практики интеллектуальной собственности юридической компании «ЭБР» Кирилл Ляхманов: «То есть можно ожидать повышения цен на услуги телеком-операторов и потенциально — изменения ставок финансовых организаций. Изменения экономической модели также могут коснуться классифайдов и других онлайн-проектов, сфокусированных на работе с данными».