Госдума усилит ответственность за утечки и кражу персональных данных

Минцифры передало на рассмотрение комитета Госдумы по информполитике, IT и связи два законопроекта, которые ужесточают порядок работы с персональными данными россиян, рассказали «Ъ» собеседники в Правительстве.

Первый документ вводит оборотные штрафы для компаний, допустивших утечку информации. Второй вносит изменения в Уголовный кодекс РФ и распространяется на граждан, совершивших противоправные действия с использованием персональных данных: кражу, продажу, а также создание теневых форумов, где незаконно распространяются личные данные граждан.

О том, что законопроект об усилении административной ответственности за утечки данных должен поступить на рассмотрение в Госдуму уже в апреле, сообщил глава Минцифры Максут Шадаев:

«Законопроект, предусматривающий административную ответственность за утечку, в частности, оборотные штрафы, уже готов в финальной версии».

Если у компании утечки данных случились впервые, то она должна будет выплатить фиксированный штраф. Если инцидент повторится, то наложат оборотный штраф в размере от 5 млн до 500 млн рублей, но при этом примут во внимание смягчающие и отягчающие обстоятельства.

В апреле 2023 года Госдума будет рассматривать законопроект об уголовной ответственности за кражу и продажу персональных данных. Планируют внести изменения в статьи 272, 273 и 274 УК РФ. Эти поправки коснутся физических лиц, которых за нарушения могут оштрафовать от 300 тыс. рублей до 2 млн рублей. Если будут отягчающие обстоятельства, то продавцам личных данных грозит до 10 лет лишения свободы.

Эксперты к таким новациям отнеслись в основном скептически.

Необходимо разделять ответственность за факт утечки и факт продажи украденных данных, подчеркивает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян: «Уголовная ответственность вряд ли повлияет на торговцев в даркнете — теневые форумы обеспечивают анонимность всех участников».

Усиление уголовной ответственности за похищение данных повлияет на действия инсайдеров, которые в основном и «попадаются в сети правоохранительных органов», считает эксперт.

«После появления первых приговоров по новой норме стоимость инсайдерских данных, безусловно, вырастет»,— поясняет Оганесян.

Введение оборотных штрафов потребует от крупных операторов персональных данных (в реестре Роскомнадзора на данный момент зарегистрировано 882 тыс. таких структур) не только модернизации инфраструктуры и процессов обработки, но и увеличения бюджета на оплату возможных штрафов, считает главный юрисконсульт практики интеллектуальной собственности юридической компании «ЭБР» Кирилл Ляхманов:

«То есть можно ожидать повышения цен на услуги телеком-операторов и потенциально — изменения ставок финансовых организаций. Изменения экономической модели также могут коснуться классифайдов и других онлайн-проектов, сфокусированных на работе с данными».

«Очевидно всем, что с утечками надо что-то делать и модернизировать законодательство так, чтобы у операторов возникало реальная мотивация в сохранности вверенных им данных, – считает глава юридической практики «Роскомсвободы» Саркис Дарбинян. – Сейчас мы наблюдаем, что ее недостаточно, как и понимания на того, а какие меры вообще надо предпринять, чтобы утечек не возникало».

Также эксперт отмечает, что комплекс мер в этом вопросе должен быть гораздо шире:

«Инфобез, покупка дорогого железа и софта — это лишь часть работы. А еще необходимо делать прайваси комплаенс, внедрять политики в компаниях, проводить тренинги сотрудникам и разъяснять им, как работать с данными. Однако, даже этого может не хватить, чтобы предотвратить взломы, которые все равно будут случаться. Поэтому важно также думать о том, как работать с последствиями таких утечек. А об этом мало говорится».

«Если закон примут, будет интересно понаблюдать за правоприменительной практикой. Вот там будет самое интересное. Не секрет, что множество утечек произошло за последнее время на стороне госкомпаний: Почта России։ Сбер, Агентство Стратегических Инициатив, Минтруда, НИУ ВШЭ. Готово ли будет государство выпороть само себя, и какую нам, обществу, это даст пользу если суммы взысканных штрафов будут перетекать из бюджета госкомпаний в. бюджет самого государства, которое ему эти же бюджеты и выделяет?» – подытоживает Саркис Дарбинян.

UPD: Глава инфокомитета Госдумы Александр Хинштейн заявил, что из Минцифры ним не поступали законопроекты об ужесточении административной и введении уголовной ответственности за утечки персональных данных.

«На заседании Комитета вчера министр Максут Шадаев пообещал представить инициативы к апрелю. Депутаты и сенаторы активно участвуют в их доработке совместно с Минцифрой», – также ответил он.