Ассоциация больших данных (АБД), объединяющая «Яндекс», VK, Сбербанк, «Ростелеком» и другие IT-компании, критикует инициативу Минцифры о создании фонда материальной компенсации для граждан, ставших жертвами утечек баз персональных данных. Он может финансироваться из оборотных штрафов компаний, допустивших утечки. Бизнес считает, что фонд потребует и бюджетных вложений, а объем компенсаций окажется незначительным. Альтернативой, считают юристы, может стать взыскание компенсации морального вреда, размер которой установит суд: это стимулирует граждан более активно использовать институт коллективных исков.
Фото: Евгений Павленко, Коммерсантъ
“Ъ” ознакомился с позицией АБД о создании в России фонда выплат компенсаций жертвам утечек персональных данных, направленной в Минцифры 21 октября. Министерство с лета обсуждает с бизнесом возможность создания фонда материальной компенсации для граждан, ставших жертвами утечек баз персональных данных. Пополняться он должен из оборотных штрафов компании, допустившей инцидент,— 1% от годового оборота (см. “Ъ” от 19 августа).
О возможном введении оборотных штрафов стало известно весной, для реализации механизма предлагается внести поправки в КоАП. Минцифры предлагает назначать штраф, если в сеть попала база с 10 тыс. записей, из которых минимум 1 тыс. человек можно точно установить. В случаях, когда в базе больше 100 тыс. строк, руководство компании оштрафуют, если удастся идентифицировать 10 тыс. человек (см. “Ъ” от 6 октября).
В АБД считают, что создание фонда компенсаций жертвам утечек нецелесообразно, так как «деятельность административно-управленческого аппарата потребует постоянного финансирования из средств федерального бюджета», а фактические суммы компенсаций «будут непредсказуемы».
Ассоциация полагает, что компаниям было бы целесообразнее инвестировать в аудиты своих информсистем, нежели переводить средства в фонд.
Единая методика расчета компенсации не будет учитывать реальную степень защищенности данных и виновности компании, что «демотивирует инвестировать в кибербезопасность», следует из позиции АБД. Возможность избежать оборотного штрафа в случае нарушения, напротив, будет стимулировать компании, работающие с данными, проводить добровольный аудит систем безопасности, отметила президент АБД Анна Серебряникова. В Минцифры не ответили “Ъ”.
Специально созданный административный аппарат потребует постоянного бюджетного финансирования и будет стремиться максимально расширить состав правонарушений для взимания штрафов для наполнения фонда, согласны в Ozon: «При этом компенсации для пострадавших в случае массовых утечек окажутся незначительными на фоне причиненного ущерба».
В 2022 году утечки персональных данных в России резко возросли. По данным InfoWatch, в РФ в первом полугодии попали в сеть 305 баз данных, что на 45,9% больше, чем за тот же период 2021 года. Объем похищенной информации увеличился более чем в 16 раз, составив 187,6 млн записей. Сейчас максимальный штраф за утечку персональных данных для организаций ограничивается 100 тыс. руб.
Максут Шадаев, глава Минцифры, 28 сентября:
«Мы надеемся, что после принятия документа об оборотных штрафах компании задумаются о том, что вкладывать средства в безопасность для них выгоднее, чем платить штрафы».
Предлагаемая схема фонда напоминает деятельность аккредитованных обществ по коллективному управлению правами, например, Российского авторского общества (РАО), которые собирают деньги за использование объектов авторских и смежных прав, а потом самостоятельно распределяют их между правообладателями, говорит член Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Вадим Перевалов. За 2021 год РАО собрало 3, 8 млрд руб., а фактически выплатило правообладателям только 2,5 млрд руб., то есть примерно 65% от собранной суммы, а расходы самого РАО составили примерно 35% от собранных средств, отмечает эксперт.
По его мнению, альтернативой может стать подход взыскания компенсации морального вреда в рамках установленного законом диапазона, когда точный размер будет определять суд с учетом обстоятельств конкретного дела. В таком случае граждане смогут более активно использовать институт коллективных исков и будут прямо экономически заинтересованы в защите своих прав в результате утечек, добавляет господин Перевалов: «Аналогичный механизм определения размера был предусмотрен законодательством об интеллектуальной собственности и показал высокое удобство и эффективность для правообладателей».