В Госдуму внесли законопроект об ужесточении наказания за утечки данных

Читать в полной версии

В понедельник, 4 декабря, в Госдуму внесли поправки в Кодекс об административных нарушениях (КоАП) и Уголовный кодекс, касающиеся ужесточения ответственности за нарушения при работе с персональными данными, следует из данных информационной системы нижней палаты парламента.

Как говорится в сообщении «Единой России», авторы инициативы — сенаторы Андрей Турчак и Андрей Клишас, депутат Госдумы Александр Хинштейн и другие сенаторы и депутаты.

• Согласно поправкам в КоАП, если утечка касается от 1 тыс. до 10 тыс. субъектов персональных данных (то есть граждан), штраф для юрлиц и индивидуальных предпринимателей, которые в поправках приравнены к компаниям, составит от 3 млн до 5 млн руб.; за утечку данных от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн руб.; более 100 тыс. — от 10 млн до 15 млн руб.
• За повторное нарушение при любом объеме дискредитированной информации от 1 тыс. субъектов предлагается штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб.
• За утечку информации, включающей специальную категорию персональных данных (например, медицинской информации), штраф для юрлиц составит от 10 млн до 15 млн руб. Также поправки предусматривают за перечисленные нарушения повышенные штрафы для физлиц и сотрудников государственных или муниципальных организаций.
• Согласно изменениям в Уголовный кодекс, вводится уголовная ответственность для тех, кто незаконно собирает, хранит, использует и (или) передает компьютерную информацию с персональными данными. Ответственность будет усиливаться, если преступление совершено группой лиц по предварительному сговору; если оно причинило крупный ущерб; если совершалось в целях обогащения или с использованием служебного положения и «шпионских устройств».
• Незаконное использование, передача или сбор персональных данных, полученных неправомерным путем, будут наказываться штрафом до 300 тыс. руб. или принудительными работами / лишением свободы на срок до четырех лет. До пяти лет — если информация содержит специальные категории персональных данных и (или) биометрические персональные данные.

• Наказание до шести лет лишения свободы со штрафом до 1 млн руб. предлагается ввести за незаконное использование персональных данных из корыстной заинтересованности, повлекшее крупный ущерб, совершенное группой лиц по предварительному сговору или с использованием служебного положения.
• Преступления, связанные с трансграничной передачей персональных данных, предлагается наказывать лишением свободы на срок до восьми лет со штрафом до 2 млн руб., с повышением срока и суммы до десяти лет и 3 млн руб., если были тяжкие последствия или преступление совершено организованной группой.
• Создание ресурсов в интернете или компьютерных программ, предназначенных для незаконного хранения, распространения персональных данных, предлагается наказывать принудительными работами / лишением свободы на срок до пяти лет со штрафом до 700 тыс. руб.

В пояснительной записке к поправкам в КоАП отмечается, что сейчас для компаний, допустивших утечки персональных данных, максимальный штраф составляет до 100 тыс. руб. и до 300 тыс. руб. при повторном нарушении. «Указанный размер не соразмерен с возможными последствиями от произошедших утечек. Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений», — говорится в документе. Поправки, по мнению их авторов, должны стимулировать операторов персональных данных инвестировать в информационную безопасность и защиту данных своих пользователей.

В пояснительной записке к поправкам в Уголовный кодекс указано, что на начало 2022 года интернетом пользовались 130 млн россиян. При этом общий объем официально выявленных утечек персональных данных за 2022 год составил более 1,13 млрд записей. «Черный рынок персональных данных постоянно растет, а основными источниками утечек являются сторонние злоумышленники или сами сотрудники компаний, которые продают или отдают бесплатно конфиденциальные данные своих клиентов. По отдельным оценкам, в 2020 году общий ущерб от утечек личных данных превысил 3 млрд руб., а в 2022 году указанный ущерб уже превысил 8 млрд руб», — говорится в записке.

«За последние годы количество утечек возросло, поэтому повышение ответственности бизнеса является необходимым шагом, — приводятся слова Андрея Турчака в сообщении «Единой России». — Цель наших законопроектов — защитить данные россиян. Бизнес должен осознать, что это не источник заработка, а ценность, которую необходимо тщательно охранять». Серьезные сроки за кражу персональных данных призваны не только наказать преступников, но и отпугнуть потенциальных злоумышленников, предупредить их о возможных последствиях, считает сенатор Ирина Рукавишникова.

Заявления о необходимости ужесточить ответственность за утечки персональных данных звучат с апреля прошлого года. После начала специальной военной операции российские компании, обладающие большим объемом персональных данных, стали постоянной мишенью для атак хакеров. Среди пострадавших компаний оказались «Яндекс.Еда», СДЭК, «Гемотест» и многие другие.

Прошлым летом появились первые детали обсуждаемых изменений. Тогда чиновники и законодатели обсуждали необходимость дифференцировать штрафы в зависимости от объема утекших данных и что при их назначении нужно учитывать смягчающие обстоятельства, если компания приложила максимум усилий по защите информации. Об этом просили участники рынка: по их мнению, если данные клиентов или сотрудников были скомпрометированы впервые, компания должна отделаться предупреждением, а в случае повторной компрометации — получить крупный штраф и только при третьей утечке — оборотный. Позиция Минцифры сводилась к тому, что смягчающими обстоятельствами может быть возмещение компанией ущерба двум третям пострадавших. В сентябре правительственная комиссия по законопроектной деятельности поддержала идею включить в законопроект положения о выплате компенсации пострадавшим.

Финальная версия поправок была подготовлена в конце июля этого года. Внесенный в Госдуму документ практически не отличается от указанной версии, убедился РБК.

В сообщении в своем телеграм-канале в конце ноября Александр Хинштейн писал, что при обсуждении поправок остались неразрешенными вопросы со снижением ответственности в случае компенсации потерпевшим, а также реальных инвестиций в систему инфобеза. «Окончательно этот вопрос будем решать при обсуждении законопроекта ко второму чтению. Главное, чтобы этот механизм не стал лазейкой для нарушителей, которые избегают ответственности», — отмечал он. В сообщении «Единой России» приводятся его слова о том, что размер оборотного штрафа должен учитывать меры, которые бизнес принял для защиты данных. «Если после утечки оператор докажет, что инвестировал существенные суммы в информационную безопасность, то суд может принять этот факт во внимание и назначить штраф меньше. Но ответственность за нарушение обязательно наступит. Методикой расчета оптимальных затрат на цифровую безопасность сейчас занимается Минцифры», — сказал Хинштейн.