Солидарники производства
Ответственность за утечки персональных данных предложено распределить и смягчить
Общественная организация «Деловая Россия» направила в Госдуму предложения по смягчению ответственности операторов персональных данных за утечки, в частности по уменьшению штрафов на порядок — с 500 млн до 50 млн руб. Также речь идет о том, чтобы разделить ответственность допустившей утечку компании с поставщиком решений в области защиты данных. Участники рынка кибербезопасности предсказуемо возражают, что за использование их продуктов отвечает оператор данных. Снижение же штрафов, полагают эксперты и депутаты, снизит эффективность мер.
“Ъ” ознакомился с предложениями «Деловой России» к законопроекту об оборотных штрафах за утечки персональных данных (принят в первом чтении 23 января), направленными в Госдуму 2 февраля.
В частности, в организации считают нужным снизить предельные размеры штрафов для компаний до 50 млн руб.
Согласно текущей версии законопроекта, базовые штрафы для юрлиц составят 3–5 млн руб., если утечка содержала данные до 10 тыс. субъектов, 5–10 млн руб.— если объем данных был до 100 тыс. субъектов, 10–15 млн руб.— при объеме более 100 тыс. субъектов. Максимальный штраф за повторные утечки установлен в 0,1–3% выручки за год, но не более 500 млн руб.
Также в проекте «Деловой России» предусмотрены смягчающие обстоятельства для операторов, например, подтверждение вложений в кибербезопасность от 0,1% годовой выручки в течение трех и более лет до инцидента. Текущая версия не предполагает смягчающих обстоятельств, хотя это обсуждалось при подготовке законопроекта (см. “Ъ” от 4 декабря 2023 года).
Более того, в «Деловой России» хотят ввести «солидарную» ответственность оператора данных и его поставщика услуг в области кибербезопасности: если нарушений использования систем защиты данных не было, вендор должен понести наказание: «Это стимулирует участников рынка оказывать услуги на должном уровне».
Для введения ответственности вендоров нужно дополнить текст законопроекта новой частью ст. 18.
«На этапе подготовки законопроекта и сейчас, перед вторым чтением, мы поддерживаем диалог с бизнес-сообществом, многие предложения оказались конструктивными,— говорит руководитель комитета Госдумы по информполитике, связи и IT Александр Хинштейн.— Но часто приходится слышать от компаний, что размер предлагаемых штрафов необоснованно велик и может привести к большим убыткам, в этом я категорически не согласен». Без усиления ответственности за инциденты с данными, подчеркнул депутат, «бизнес невозможно заставить вкладываться в кибербезопасность».
Желание десятикратно уменьшить сумму штрафа понятно, но в текущих условиях это маловероятно, полагает бизнес-консультант Positive Technologies Алексей Лукацкий. Снижение суммы уменьшит и желание операторов персональных данных заниматься кибербезопасностью, признает он.
Но механизм начисления штрафов можно обозначить четче, отмечают участники рынка.
«Сейчас размер штрафов ориентирован на размер выручки компаний без учета специфики ее работы,— отмечает директор по маркетингу МТС RED Никита Аронов.— Например, в холдинговых компаниях утечка может затрагивать лишь отдельный сегмент, тогда как распространение ответственности предполагается на весь холдинг». По его мнению, законопроект разумно дополнить мерами по защите данных, исполнение которых могло бы служить смягчающим обстоятельством при вынесении решения о размере штрафа в каждом конкретном случае.
Предложение солидарной ответственности поставщиков решений в области защиты данных с операторами господин Лукацкий поддерживает: «Только так можно повысить качество и продуктов, и услуг». Однако сами поставщики считают, что ни за что отвечать не должны. Если и делить ответственность, подчеркивает директор департамента консалтинга и аудита компании «Информзащита» Александр Барышников, «то между оператором и тем, кому он передает данные, но не с ИБ-компаниями».