Данным подбирают компенсацию
Операторы смогут выбрать между страховкой и денежным фондом
Совет федерации, который готовит законопроект о страховании киберрисков для компаний, обрабатывающих персональные данные, хочет сузить его действие только на риски утечек. Компаниям-операторам предложат либо создавать обязательный денежный фонд для компенсации вреда гражданам, чьи данные были украдены, либо страховать этот риск. Участники страхового рынка приветствуют инициативу, но, как и операторы данных, призывают конкретизировать формулировки проекта.
Фото: Александр Миридонов, Коммерсантъ
“Ъ” ознакомился с законопроектом Совета федерации, который должен закрепить механизм финансового покрытия рисков из-за утечек данных для компаний и граждан. Речь идет о возмещении морального и имущественного вреда, который может быть причинен субъектам персональных данных из-за утечки в компании-операторе. Правки планируется внести в 152-ФЗ «О персональных данных».
Согласно документу, операторы персональных данных будут обязаны либо создать резервный денежный фонд в объеме, «необходимом для возмещения морального и имущественного вреда гражданам», чьи данные попали в открытый доступ, либо заключить договор страхования, покрывающий эти риски, либо банковской гарантии финансового обеспечения этого риска.
Последнее, уточнили “Ъ” в Совете федерации,— это документ, который банк выдает клиенту, обязуясь погасить его долг перед третьими лицами. Механизм расчета компенсации ущерба операторами предлагается записать отдельно ответственными ФОИВ. Предоставлять данные операторам связи будет необходимо в Роскомнадзор. В случае принятия документ должен вступить в силу не ранее чем через месяц со дня опубликования.
В пояснительной записке сказано, что «данные используются преступниками для их продажи, мошеннических схем и кражи средств», при этом «установление новых штрафов не гарантирует субъектам персональных данных компенсацию причиненного им вреда». Речь о внесенном в декабре в Госдуму законопроекте об оборотных штрафах для компаний, допустивших утечку (см. “Ъ” от 4 декабря 2023 года).
Обсуждение инициативы запланировано на конец февраля, сообщили “Ъ” в Совете федерации. В том числе речь пойдет о том, для каких операторов требования станут обязательными, уточнил зампред совета по развитию цифровой экономики при Совете федерации Артем Шейкин. В Роскомнадзоре и Минцифры сообщили, что законопроект к ним еще не поступал. В ЦБ не ответили “Ъ”.
Общий рост объема премий по направлению киберстрахования в РФ за 2023 год составил около 80%, примерно до 1,3 млрд руб., оценивали в ПСБ. Но банк включает в этот показатель страхование от разных видов киберрисков, в том числе последствий DDoS-атак (см. “Ъ” от 29 января).
По данным Роскомнадзора на февраль, в реестре операторов персональных данных зарегистрировано 936,4 тыс. компаний.
В Национальной страховой информационной системе считают правильным, что такой вид страхования будет носить обязательный характер. Но по мнению гендиректора системы Николая Галушина, необходимо, во-первых, решить, как определяется страховая сумма, во-вторых, выработать подходы и принципы урегулирования убытков и оценки ущерба, конкретизировать набор рисков. Глава совета Ассоциации профессиональных страховых брокеров Катерина Якунина уточняет, что заинтересованные в защите от киберрисков компании стремятся инвестировать в развитие собственных компетенций, а к страхованию «относится сдержанно, в том числе из-за необходимости раскрытия информации для оценки рисков».
В то же время в Ассоциации больших данных (АБД; объединяет VK, «Яндекс», «Сбер», «Ростелеком» и т. д.) считают, что, хотя механизмы покрытия потенциального ущерба являются важным инструментом компаний при работе с данными, сейчас отсутствуют общепринятые подходы к определению размера вреда субъекту данных при утечках, «поэтому процесс расчета обеспечения сложен и зависит от множества факторов». В АБД полагают, что до введения нового регулирования его подходы должны быть «апробированы в рамках саморегулирования». Например, через практики Кодекса этики работы с данными, принятого в 2019 году свода правил для саморегулирования участников рынка.