Как проходит подготовка законопроектов о наказании за утечку персональных данных? И какие обсуждаются варианты компенсации для пострадавших клиентов компаний? На вопросы Ильи Сизова в студии “Ъ FM” на Петербургском международном экономическом форуме отвечал сенатор Артем Шейкин.
Фото: Дмитрий Духанин, Коммерсантъ
Фото: Дмитрий Духанин, Коммерсантъ
— Я бы хотел начать с утечек информации, оборотные штрафы за такое нарушение обсуждаются с весны прошлого года. С тех пор мы видели только какие-то идеи, концепции, но в целом документа нет. Не могли бы вы рассказать, на какой он сейчас стадии?
— Вы правы, документ готовится достаточно давно. По поручению президента законопроект должны внести до 1 июля. Ожидаем — 1 июля совсем близко. Сейчас как раз разрабатываются два законопроекта. Первый — оборотные штрафы за утечки данных. За первое такое нарушение обсуждается фиксированный штраф в зависимости от того, какое количество информации было похищено и утекло. За вторую — оборотный штраф 3%, но максимальная его сумма не может быть более 500 млн руб. Еще есть возможность сделать оборотный штраф минимальным для компании, которая урегулировала все проблемы с большинством потерпевших. Второй законопроект предполагает введение уголовной ответственности за использование в противоправных целях персональных данных, которые были похищены, либо создание теневых ресурсов по продаже таких сведений. Надеюсь, эти документы в ближайшее время будут внесены в Государственную думу.
— Если говорить о возмещении ущерба, здесь какие-то новации планируются? Судя по тому, что мы видим, немногие люди, которым все-таки удается добиться какой-то компенсации, получают не больше 5 тыс. руб. Вот в этом смысле что-то поменяется, предполагается такое в законопроекте?
— Сейчас обсуждаются разные новшества, в том числе относительно того, как потерпевшие смогут получать компенсацию. Есть несколько инициатив, и некоторые из них не совсем понятны. Была идея, например, предоставить дополнительные скидки людям, у которых похитили персональные данные. Я не думаю, что она будет в финальном законопроекте, но по поводу других инициатив ведутся большие дискуссии, особенно с отраслевыми предприятиями. Министерство цифрового развития пытается найти баланс между отраслью и существующей проблемой. Большинство компаний, которые работают в IT-секторе, говорят, что даже отличная киберзащита не гарантирует, что личные данные не будут утекать, поскольку никуда не делся метод социальной инженерии, когда людей вынуждают, заставляют воровать персональные сведения, воровать информацию и отдавать ее злоумышленникам.
— Еще я слышал, что обсуждается создание некоего фонда, в который будут вкладываться компании, допустившие утечки персональных данных, и потом из этого фонда деньги будут переведены пострадавшим.
— Эта идея тоже обсуждалась. Думаю, дальше она не пойдет, отраслевое сообщество против этого инструмента. Не до конца был понятен механизм выплаты компенсаций потерпевшим, поэтому ждем. Министерство цифрового развития активно работает в этом направлении, собрав все инициативы, собрав все пожелания. Количество идей было колоссальное. Ждем от него итоговый документ. После его внесения в Государственную думу будем готовить поправки.
— Наверное, самый интересный вопрос в утечках персональных данных — определение степени вины компании. Вы уже упомянули, что гарантировать 100%-ю защиту от утечек невозможно. Обсуждаются ли какие-то механизмы именно определения степени вины? То есть чтобы не всех наказывали одинаково.
— Здесь все будет зависеть от того, насколько компания была защищена на момент похищения персональных данных, насколько были соблюдены требования по безопасности, какое количество информации было украдено. Я думаю, от этого и будет зависеть наказание.
— А почему все-таки долго идет это обсуждение?
— Как я уже сказал, вопрос довольно-таки непростой. Идет плотное обсуждение с отраслевыми компаниями и экспертами. Министерство цифрового развития пытается найти баланс: чтобы компании, у которых часто воруют персональные данные, не задохнулись от штрафов, и чтобы жители нашей страны чувствовали себя защищенными, не находили себя в списках все новых и новых утечек.