Госдума приняла в первом чтении пакет законопроектов об ужесточении ответственности за утечки данных. Авторами выступила группа депутатов и сенаторов, куда входят Андрей Клишас и Александр Хинштейн.
Речь идёт о следующих документах:
Как анонсировалось ранее, согласно поправкам в КоАП, если утечка касается от 1 тыс. до 10 тыс. субъектов персональных данных (то есть граждан), штраф для юрлиц и индивидуальных предпринимателей, которые в поправках приравнены к компаниям, составит от 3 млн до 5 млн руб.; за утечку данных от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн руб.; более 100 тыс. — от 10 млн до 15 млн руб.
За повторное нарушение при любом объеме дискредитированной информации от 1 тыс. субъектов предлагается штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб.
За утечку информации, включающей специальную категорию персональных данных (например, медицинской информации), штраф для юрлиц составит от 10 млн до 15 млн руб. Также поправки предусматривают за перечисленные нарушения повышенные штрафы для физлиц и сотрудников государственных или муниципальных организаций.
Согласно изменениям в Уголовный кодекс, вводится уголовная ответственность для тех, кто незаконно собирает, хранит, использует и (или) передает компьютерную информацию с персональными данными. Ответственность будет усиливаться, если преступление совершено группой лиц по предварительному сговору; если оно причинило крупный ущерб; если совершалось в целях обогащения или с использованием служебного положения и «шпионских устройств». Для организованной группы лиц предусмотрены сроки до 10 лет.
Незаконное использование, передача или сбор персональных данных, полученных неправомерным путем, будут наказываться штрафом до 300 тыс. руб. или принудительными работами / лишением свободы на срок до четырех лет. До пяти лет — если информация содержит специальные категории персональных данных и (или) биометрические персональные данные. Десятилетний срок предусмотрен также для организованной группы лиц.
Наказание до шести лет лишения свободы со штрафом до 1 млн руб. предлагается ввести за незаконное использование персональных данных из корыстной заинтересованности, повлекшее крупный ущерб, совершенное группой лиц по предварительному сговору или с использованием служебного положения. Как и в случаях выше, 10 лет будут давать в случае совершения группой лиц.
Преступления, связанные с трансграничной передачей персональных данных, предлагается наказывать лишением свободы на срок до восьми лет со штрафом до 2 млн руб., с повышением срока и суммы до десяти лет и 3 млн руб., если были тяжкие последствия или преступление совершено организованной группой.
Создание ресурсов в интернете или компьютерных программ, предназначенных для незаконного хранения, распространения персональных данных, предлагается наказывать принудительными работами / лишением свободы на срок до пяти лет со штрафом до 700 тыс. руб.
Перед голосованием с докладом выступил единоросс Александр Хинштейн, который также является главой ИТ-комитета Госдумы.
По его словам, поправки не создают новых норм, они лишь вносят изменения в уже существующее законодательство, и наказывать будут только за незаконные деяния с персональными данными. В этом же докладе он сказал, что вводится ответственность для операторов персональных данных, если они не уведомили регулятор об утечках, а также вводится отдельная ответственность за утечки данных «специальной категории лиц».
Хинштейн рассказал о существовании сервисов, распространяющих персональные данные незаконным образом, видимо, имея в виду нашумевший «Глаз бога».
«Можно только рублём понудить исполнять закон», – заявил депутат.
Часто депутат говорил о «специальной военной операции», после которой случаи утечек возросли кратно.
Поправки вводят оборотные штрафы — за повторное нарушение полумиллиарда рублей, и наказания также будут отличаться своей суровостью в зависимости от объёма утекшей информации.
Уголовная ответственность в основном касается тех, кто сознательно делает это, заявил Хинштейн.
Депутаты знают, что бизнес не со всеми новеллами согласен, «но мы убеждены, что без серьёзной ответственности невозможно кардинально переломить ситуацию, но готовы работать с отраслью ко второму чтению».
«Любые механизмы смягчения ответственности должны быть прозрачны. Интересы граждан сильнее интересов бизнеса», – подытожил Хинштейн.
Затем депутаты задавали вопросы инициаторам обоих законопроектов. Многие опасаются, что новые поправки будут использоваться для злоупотреблений, а также не очень ясна ситуация с трансграничной передачей данных. Депутат Хинштейн не увидел рисков, озвученных коллегами, во втором же вопросе ссылался на уже существующее законодательство, в котором описана такая передача.
Практически все фракции поддержали изменения в КоАП, но вот законопроект об уголовной ответственности из-за слишком расширительных формулировок вызвал больше всего вопросов. Тем не менее, оба документа были приняты в текущем виде.
Поправки в КоАП:
Поправки в УК:
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.