Утечкам не позволили смягчиться

Законопроект об оборотных штрафах для компаний правится с трудом

Администрация президента не одобрила поправки ко второму чтению законопроекта об оборотных штрафах за утечки персональных данных, подготовленные Минцифры. Они предполагали смягчить наказание для проштрафившихся компаний при соблюдении определенных условий. Представители крупного бизнеса и профильных ассоциаций надеются, что смягчающие обстоятельства попадут в заключительную версию законопроекта.

Фото: Ирина Бужор, Коммерсантъ

Фото: Ирина Бужор, Коммерсантъ

Государственно-правовое управление президента в начале апреля подготовило отрицательный отзыв на поправки ко второму чтению законопроекта об оборотных штрафах за утечки перcональных данных, утверждают источники “Ъ”. Поправки были разработаны при участии Минцифры и направлены в аппарат президента (АП) в середине марта, рассказали “Ъ” четыре источника, знакомые с проектом поправок. По их словам, в поправках предлагалось ввести смягчающие обстоятельства для компаний: направлять 0,1% оборотных средств на кибербезопасность, при этом выплачивать компенсации пострадавшим и соответствовать требованиям закона о персональных данных. Если компания соблюдает все условия, то ей назначается наказание по нижней границе.

Принятые в первом чтении поправки к КоАП за первое нарушение, повлекшее утечку персональных данных граждан, предполагают штраф до 15 млн руб. При повторном нарушении — оборотный штраф от 0,1% до 3% выручки за календарный год, но не менее 15 млн руб. и не более 500 млн руб.

Предложение о выделении обязательного процента от оборотных средств на кибербезопасность не нашло поддержки в управлении АП. Кроме того, определение идентификатора, который позволит определить размер утечки, должно быть указано в законе о персональных данных, а не в КоАП, как предложено сейчас, а компенсации должен назначать суд. Также в отзыве указано, что состав правонарушения должен быть четко определен, сейчас он описан как «действие или бездействие лица, повлекшее неправомерную передачу информации».

В Минцифры “Ъ” сказали, что вместе с «заинтересованными ведомствами» прорабатывают поправки ко второму чтению, а итоговая версия еще не сформирована. Глава комитета Госдумы по информполитике Александр Хинштейн говорит, что поправки ко второму чтению «будут, некоторые из них сейчас обсуждаются». В администрации президента не ответили “Ъ”.

Появление в законе смягчающих обстоятельств в компании «МегаФон» считают справедливым. «Применение такого механизма дифференциации административной ответственности позволит избежать необоснованно высоких штрафов в отношении компаний, которые несут существенные затраты на обеспечение информационной безопасности и защиту персональных данных»,— сказали “Ъ” в пресс-службе компании. В МТС добавляют, что при ужесточении ответственности за утечки «необходимы и смягчающие обстоятельства». В компании считают, что «мера ответственности тех, кто ничего не делал для обеспечения защиты данных, и тех, кто предпринял максимум имеющихся возможностей, не может быть одинаковой».

Вопрос определения степени вины компании за утечку данных пользователей является спорным для участников рынка.

Так, руководитель группы OSINT центра противодействия киберугрозам SOC CyberART Innostage Альберт Антонов считает, что компания в любом случае несет ответственность за утечку, даже если она была атакована, а не допустила ошибку. В Ассоциации больших данных (АБД; объединяет МТС, «Сбер», «Яндекс» и др.) считают, что если компания «невиновна в утечке», то ее привлечение к ответственности недопустимо. В АБД сказали, что выступают за «четкую формулировку состава правонарушения и перечень смягчающих обстоятельств, стимулирующих компании инвестировать в информационную безопасность». Однако там добавили, что механизм компенсаций пострадавшим от утечек «вызывает вопросы в части администрирования и несет риски злоупотреблений».

Руководитель направления защиты информации облачного провайдера «Нубес» (Nubes) Дмитрий Шкуропат добавляет, что у компаний «все более популярным является использование механизма аутсорсинга для обеспечения ИБ». Это может стать проблемой в случае утечки, предупреждает он: «Все стороны будут перекладывать вину на другого, в таком случае нужно сразу разграничивать зоны ответственности на уровне договоров».

Алексей Жабин

Зарегистрируйтесь или войдите, чтобы дочитать статью

Это бесплатно и вы сможете читать все закрытые статьи «Ъ»

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...