Нет, не влияет!
Последние недели в СМИ стала раскручиваться история про необходимость ужесточения наказания за нарушение законодательства с персональными данными и за иные киберпреступления:
- законопроект об оборотных штрафах за утечки ПДн
- законопроект об уголовной ответственности за незаконный оборот ПДн
- законопроект о конфискации имущества за преступления в сфере высоких технологий.
И надо признать, что многие коллеги-ибшники разделяют этот подход, считая, что усиление ответственности должно привести к снижению числа утечек, пробивов и иных киберпреступлений. Но так ли это на самом деле? Я тут наткнулся на исследование, в котором проводился анализ правоприменительной практики в различных странах (США, Финляндия, Швейцария, Германии, Португалии и России) и оно уверенно доказывает отсутствие такой корреляции.
Два ярких примера, на которых можно было собрать достаточную статистику — «закон трех страйков» (он же «закон трех ошибок» или «закон трех преступлений») и политики нулевой толерантности. В первом случае речь идет о законе, принятом во многих американских штатах, который подразумевал максимально жесткое наказание за три совершенных преступления. Как показала статистика до вступления закона в силу и после — число преступлений практически не поменялось. Политика нулевой толерантности подразумевает назначение максимально возможного по закону наказания даже за незначительные правонарушения. Статистика до и после показывает, что должного эффекта эта политика также не имела. Однако, на уровне общества ситуация обстояла с точностью наоборот — рядовые граждане считают, что именно нулевая толерантность позитивно сказывается на снижении числа преступлений.
Тут впору напомнить о психологии восприятия риска, в которой проводится четкая грань между реальностью и ощущениями. Мы часто преувеличиваем одни угрозы и преуменьшаем другие, опираясь не на реальные цифры, а на то, как мы их чувствуем.
В Финляндии декриминализация ряда статей привела к снижению числа преступлений. Аналогичные результаты были отмечены и в кантонах Швейцарии и федеральных землях Германии, где ужесточение не приводит к существенному сокращению противоправных действий, в том числе и рецидивов. В Португалии и России схожие тенденции, что позволяет сделать вывод о том, что это общая история, независящая от государства и его правовой системы.
Причин у такой ситуации несколько (хотя авторы исследования сами с собой спорят о том, насколько эти причины верны):
- Наказание должно быть незамедлительным, что малореально при той загрузке надзорных органов, следователей и судов.
- Высокая нераскрываемость киберпреступлений, которая приводит к безнаказанности, рассматриваемой преступниками как «награда».
- Условные сроки приводят к тому, что еще непойманные преступники рассчитывают на повтор такой «награды» и в отношении себя.
Получается, что все разговоры о необходимости ужесточения ответственности за утечки ПДн, а также за незаконный их оборот, — это «разговоры для бедных». Никакого существенного влияния на уровень сохранности наших данных эти поправки не имеют и не будут иметь. А вот затраты на полицию, следствие, суды и иные элементы правоохранительной системы возрастают в разы — в США этот рост составлял от 400 до 600% по разным направлениям. Зато все при деле и все по запросу и в интересах граждан!
Возможно, это ни для кого и не секрет, но мне было интересно посмотреть на цифры, доказывающие отсутствие корреляции между ужесточением наказания и снижением числа преступлений.
Заметка Влияет ли ужесточение наказания на снижение числа преступлений? была впервые опубликована на Бизнес без опасности .