Российские власти планируют ввести оборотные штрафы для компаний за утечки персональных данных. Собеседники “Ъ FM” считают это слишком суровым наказанием. Минцифры намерено установить размер взыскания в 3% от оборота. Глава министерства Максут Шадаев предполагает, что это будет стимулировать бизнес вкладываться в безопасность данных. К тому же ведомство предусмотрело систему смягчающих обстоятельств, которые позволят избежать наказания. Подробности — у Владислава Викторова.
Фото: Дмитрий Азаров, Коммерсантъ
Фото: Дмитрий Азаров, Коммерсантъ
За последнюю неделю стало известно о нескольких крупных утечках. 9 декабря появились персональные данные «нескольких сотен тысяч» клиентов «Вкусвилла». 13 декабря пришла аналогичная информация о «Московской электронной школе», а на следующий день печальная участь постигла сервис Level.Travel. После начала боевых действий на Украине таких случаев становится только больше.
Поэтому в Минцифры предлагают бороться с этим штрафами в размере 3% от оборота. Но, например, учредитель торговой сети «Spar Калининград» Олег Пономарев считает, что это слишком суровое наказание. Ведь важно учитывать и то, какая информация оказалась в открытом доступе, говорит он:
«Оборотных штрафов надо избегать. Представляете, какого размера они будут у крупных организаций? Мы же понимаем, что персональных данных, допустим, у торговых компаний, не так много. Если кто-то узнал номер карточки лояльности, является ли это утечкой личных сведений? Финансовую информацию надо защищать в полном объеме, а значительное количество технической, даже номера телефонов, и так находится в доступе».
Но с определением того, насколько чувствительной оказалась украденная информация, есть сложности. С одной стороны, если это только номер телефона, то от лишней рекламной смс ничего не случится. С другой стороны, когда в сеть попали данные клиентов сервиса «Яндекс.Еда», по ним удалось даже создать интерактивную карту с адресами пострадавших. Поэтому оборотный штраф — объективное наказание, говорят юристы.
К тому же в Минцифры предусмотрели смягчающие обстоятельства. Например, если компания предварительно сертифицировала всю свою инфраструктуру и в целом вкладывалась в безопасность, то сурового взыскания не будет. Однако гендиректор сетей Orange Fitness и City Fitness Анастасия Юсина считает, что в этом случае под ударом окажется только малый и средний бизнес:
«Предприниматель, к сожалению, никак не защищен от недобросовестных сотрудников, потребительского экстремизма. Крупные компании откупятся. К тому же у них есть возможная защита номеров, и они всегда могут сказать: "Ребят, мы все сделали, у нас все защищено, везде все подписано". А потом возникает вопрос: а судьи кто? Кто будет оценивать, насколько ты старался защитить эти данные?»
Глава Минцифры Максут Шадаев говорит, что ведомство не ставит перед собой цели пополнить казну. Идея с оборотными штрафами в том, чтобы стимулировать вкладываться в защиту информации. А изначально министерство хотело и вовсе обязать компании возмещать ущерб пострадавшим. Но с этим были бы трудности, говорит ведущий эксперт по защите персональных данных консалтинговой компании «Б-152» Максим Лагутин:
«Представьте, у вас произошла утечка, большая база данных, где просто email какой-нибудь, телефон, и все. Как нам понять, чьи это сведения? Это, конечно, требует отдельной сноровки. Хорошо, что появились смягчающие обстоятельства, это большой плюс. И компании могут подумать, что им выгоднее: вложиться в безопасность или не вкладываться в нее. Весь крупный бизнес тратит на нее очень много денег. Насчет среднего и малого бизнеса уже возникает вопрос».
Как бы то ни было, эксперты сходятся во мнении, что компаниям действительно следует уделять повышенное внимание защите информации о клиентах. Тем более что, по прогнозам «Лаборатории Касперского», в следующем году краж персональных данных станет больше. Причем злоумышленники будут не просто размещать базы в открытом доступе, а компилировать целые досье. И это может стать серьезной проблемой.
Новости в вашем ритме — Telegram-канал "Ъ FM".