+7 495 980 0770

Данные защитят капиталом

Минцифры и другие ведомства поддержали введение штрафа с оборота для операторов, теряющих персональные данные (ПД) пользователей. Действующие меры неспособны остановить поток уходящей «налево» личной информации из организаций. Каковы перспективы нового вида наказания и как сделать его эффективным, вместе с участниками рынка выяснял RSpectr.

Зачем штрафовать с оборота

Предложение об ужесточении санкций за утечку персональных данных прозвучало 17 февраля в Совфеде в ходе круглого стола на тему совершенствования законодательства в сфере оборота ПД. Участник мероприятия, директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ) Александра Орехович рассказала RSpectr, что такую инициативу высказало Минцифры, а представители Совфеда ее поддержали. При этом эксперт уточнила, что предложение пока «не облечено в форму конкретного законопроекта».

В пресс-службе Минцифры RSpectr подтвердили инициативу, сообщив, что введение оборотных штрафов «будет способствовать снижению количества инцидентов, связанных с утечками ПД».

Минцифры, пресс-служба:

– Важно отметить, что существующие сегодня штрафные санкции не побуждают операторов к безусловному выполнению требований законодательства в области персональных данных.

«Вопрос о повышении ответственности за утечки ПД обсуждается давно и пока бесплодно. Отсутствие серьезного наказания за 15 лет действия закона ничего, кроме удивления, вызывать не может. Ни одного законопроекта, дошедшего до обсуждения в парламенте, мне не известно», – сообщил RSpectr управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.

Мы видим консенсус, и можно ожидать, что работа над соответствующими нормами выйдет в активную фазу, прогнозирует руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев в разговоре с RSpectr.

А.Орехович соглашается с тем, что оборотные штрафы действительно могут повлиять на снижение числа утечек ПД. Сходная позиция у многих участников рынка. «Вспомним Oriflame, у которой 1,3 млн данных клиентов были выставлены на продажу хакерами. Тогда компания заплатила штраф в 30 тыс. рублей. При таких символических суммах бороться за безопасность личной информации крупным игрокам нет смысла», – рассказывает RSpectr исполнительный директор компании HFLabs (занимается обработкой и структурированием ПД в крупных компаниях) Константин Степанов.

Однако участники круглого стола отметили необходимость учитывать степень вины и влияние человеческого фактора при выявлении нарушений, уточнила А.Орехович.

Александра Орехович, ФРИИ:

– Одно дело, когда утечка явилась следствием ненадлежащего исполнения организацией своих обязанностей по обеспечению сохранности данных. То есть не выполнила необходимых мероприятий технического или административного характера. И совсем другое, когда она произошла из-за неправомерных действий сотрудника, несмотря на все меры, предпринятые компанией.

Ситуация с хранением конфиденциальных сведений в госкомпаниях плачевная. По данным «СёрчИнформ», в 2021 году чаще всего ПД пропадали из государственных учреждений:

- здравоохранения (45%);
- силовых структур (38,5%);
- органов госуправления (23,5%).

Без жесткой ответственности за нарушения проблему не решить, но подход должен быть взвешенный и дифференцированный, считает А.Парфентьев

Константин Степанов, HFLabs:

– Разные данные имеют разную ценность. Если злоумышленникам станет известен адрес человека и суммы на его банковских счетах, это опасно для жизни. А если узнают, что кто-то зарегистрирован на сайте по продаже товаров, это не так критично.

Разделяй и наказывай

Эксперты сходятся во мнении, что оборотные штрафы идеально градируют степень ответственности. При этом важно учитывать ряд факторов при наказании, отмечает М.Емельянников:

- размер утечки (количество пострадавших субъектов);
- состав данных, к которым получен неправомерный доступ (специальные категории, платежная информация, биометрия как минимум);
- потенциальные последствия утраты ПД для субъектов, состав и содержание мер, принятых оператором для защиты от их пропажи.

Эти факторы в большей мере можно учесть в правоприменительной практике при определении размера ответственности. Хотя часть из них, например, количество субъектов и категории данных, могут быть прямо указаны в законе, говорит М.Емельянников.

Директор департамента информационной безопасности Oberon Евгений Суханов считает, что следует учесть в законе фактор инцидента. Оператор должен понести более суровое наказание при утечке, чем при выявлении несоответствия безопасности в ходе штатного аудита регулятора, отметил он в разговоре с RSpectr.

[...]

Бизнес и госструктуры – кто ответит?

Естественно, инициатива в первую очередь должна затронуть именно крупнейшие корпорации с госучастием, такие как «Ростелеком», Сбербанк, ВТБ, которые являются крупнейшими операторами ПД, считает М.Емельянников. При этом эксперт признает, что с госструктурами ситуация более сложная – здесь уместней штрафовать должностных лиц, которые отвечают за безопасность личных сведений.

Безусловно, закон должен распространяться в равной степени на государственные и коммерческие организация, потому что с точки зрения субъекта ПД нет разницы, откуда они утекут, сообщил RSpectr руководитель отдела информационной безопасности компании Linxdatacenter Георгий Беляков.

Алексей Парфентьев, «СёрчИнформ»:

– Проблема госсектора не в отсутствии ИБ-бюджетов или низкой оснащенности защитными инструментами, а в дефиците профильных кадров. Зарплатная политика госучреждения не позволит конкурировать по условиям труда с коммерческим сектором.

Европейский пример заразителен

В Евросоюзе уже не первый год применяются денежные наказания в зависимости от размера выручки. Эти санкции предусмотрены «Общим регламентом по защите данных» (GDPR). В ЕС уже четыре года практикуют как штрафы с оборота, так и фиксируемые суммы за утечки. Последние измеряются миллионами евро. Безусловно, такие меры показали результат: европейские компании вынуждены либо лучше охранять данные, либо вовсе не быть оператором ПД, говорит А.Парфентьев.

[...]

«Помимо штрафов, которые для корпораций могут быть несущественны, еще важен репутационный ущерб. Это значит, что итоги проверок должны широко освещаться для общественности», – пояснил Е. Суханов.

Также в 2021 году в десять раз вырос штраф за разглашение конфиденциальной информации. В рамках защиты прав потребителей запретили собирать избыточные, ненужные для оказания услуги данные. Звонки «службы безопасности банка» официально приравняли к мошенничеству.

В то же время Г.Беляков считает, что пока утечка ПД не будет наносить реальный и существенный репутационный ущерб операторам, никакие штрафы работать не будут.

Подробнее в материале