Бизнес считает неэффективным механизм компенсаций за утечки данных

Ассоциация больших данных (АБД), в которую входят компании Яндекс, VK, Сбербанк, Ростелеком и другие раскритиковала предложение Минцифры о создании фонда материальной компенсации для граждан, пострадавшим от утечек данных. Об этом сообщает «Ъ», ознакомившийся с позицией ассоциации, которая была представлена Минцифры 21 октября текущего года.

Министерство с лета обсуждает с бизнесом возможность создания фонда материальной компенсации для граждан, ставших жертвами утечек баз персональных данных. Пополняться он должен из оборотных штрафов компании, допустившей инцидент, — 1% от годового оборота.

В АБД считают, что создание фонда компенсаций жертвам утечек нецелесообразно, так как «деятельность административно-управленческого аппарата потребует постоянного финансирования из средств федерального бюджета», а фактические суммы компенсаций «будут непредсказуемы». Ассоциация полагает, что компаниям было бы целесообразнее инвестировать в аудиты своих информсистем, нежели переводить средства в фонд.

Единая методика расчета компенсации не будет учитывать реальную степень защищенности данных и виновности компании, что «демотивирует инвестировать в кибербезопасность», следует из позиции АБД. Возможность избежать оборотного штрафа в случае нарушения, напротив, будет стимулировать компании, работающие с данными, проводить добровольный аудит систем безопасности, отметила президент АБД Анна Серебряникова.

Предлагаемая схема фонда напоминает деятельность аккредитованных обществ по коллективному управлению правами, например, Российского авторского общества (РАО), которые собирают деньги за использование объектов авторских и смежных прав, а потом самостоятельно распределяют их между правообладателями, говорит член Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Вадим Перевалов. За 2021 год РАО собрало 3, 8 млрд руб., а фактически выплатило правообладателям только 2,5 млрд руб., то есть примерно 65% от собранной суммы, а расходы самого РАО составили примерно 35% от собранных средств, отмечает эксперт.

С позицией бизнеса сложно не согласиться, говорит юрист «Роскомсвободы» Никита Истомин. По его мнению,  создание фонда с единой методикой расчета — это по сути дела возведение в принцип подхода, по которому компании просто будут оплачивать компенсации как постоянную издержку.

«К тому же речь идёт о защите личных прав, и зачем здесь встраивание посредника в виде постоянного действующего фонда, деятельность которого требует финансирования — непонятно», – считает эксперт.

Для субъекта персональных данных (ПД), напоминает Никита Истомин, сейчас создано достаточно органов, куда он может обратиться за помощью или с жалобой на оператора ПД, добавив:

«Наконец, оплачивать работу фонда будут в основном крупные компании и они в любом случае будут в той или иной степени вкладываться в системы безопасности (по причине повышенного интереса к ним государства). А что с мелкими и небольшими операторами данных, которые в силу размера пролетают под радаром надзорных органов?»

«Наконец создание такого фонда, на идейном уровне деперсонализирует персональные данные с точки зрения логики их защиты, – замечает юрист «Роскомсвободы». – Это дело каждого человека — защищать свои личные неимущественные права. Иными словами, создание такого рентного подхода в вопросе компенсаций не помогает повысить и без того низкое правосознание ни среди операторов ПД, ни среди пользователей. Размер компенсаций за утечки как за моральный вред должны быть труднопрогнозируемымими для операторов, в этом случае это будет работающим инструментом, мотивирующим операторов ПД. Не стоит забывать, что последние утечки были у тех операторов, кто представляет свои товары и услуги населению и у которых есть конкуренты».