АБР: оборотные штрафы за утечки данных ударят по IT-отрасли

Ассоциация банков России (АБР) в начале марта направила письма в Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры) с предложением отказаться от введения оборотных штрафов за утечку информации при повторном нарушении. Об этом со ссылкой на письма организации пишет «Коммерсантъ». Ранее Государственная Дума приняла в первом чтении законопроект о таких штрафах.

В одном из писем АБР указывает, что предлагаемая мера является дискриминационной, поскольку у государственных учреждений нет оборота, соответственно, взыскать с них оборотный штраф невозможно в отличие от коммерческих организаций. Таким образом, как подчеркивают в АБР, «совершение одного и того же правонарушения влечет для первого и второго разную ответственность, что является нарушением конституционного принципа равенства всех перед законом и судом». В письме приводятся примеры утечек, произошедших из государственных и муниципальных учреждений.

Кроме того, в другом письме указывается, что оборотные штрафы «могут негативно повлиять на компании, занимающиеся информационной безопасностью, и всю IT-отрасль в целом». АБР поясняет, что кредитные организации взаимодействуют со многими сервисами, и во всех случаях происходит автоматический обмен файлами. Таким образом, в случае проникновения в систему одного из участников обмена высока вероятность заражения или кражи данных у других участников. При этом, учитывая сложившуюся судебную практику, административный штраф относится к реальному ущербу, то есть можно предъявить регрессные требования к контрагенту.

Исполняющий обязанности президента АБР Алексей Войлуков считает несправедливой ситуацию, когда ответственность для коммерческих организаций за утечки существенно ужесточается, а государственные учреждения фактически остаются безнаказанными. По его мнению, можно отказаться от оборотных штрафов и оставить фиксированный размер штрафа от 20 до 500 миллионов рублей, как предусмотрено в настоящее время.

Войлуков также полагает, что верхний порог штрафа является чрезмерным, поскольку, например, крупный банк, получив подобный штраф, может предъявить регрессный иск компании-поставщику программного обеспечения, ставшего причиной утечки. Для большинства таких компаний штраф в сотни миллионов рублей может привести к банкротству, добавил он.

Глава Национального совета финансового рынка Андрей Емелин добавляет, что оборотный штраф как санкция предполагает извлечение нарушителем экономической выгоды из своего поведения. Однако утечки персональных данных оборачиваются для допустивших их компаний и банков лишь убытками, поскольку сопряжены с прямыми и косвенными издержками — влекут за собой ущерб IT-инфраструктуре, бизнес-процессам, несут репутационный ущерб, приводят к оттоку клиентов, подчеркивает господин Емелин.

По мнению Емелина, совокупность потерь от утечек с учетом оборотных штрафов может привести к приостановке бизнеса и даже банкротству.