Законопроект об утечках данных: между защитой граждан и интересами бизнеса

Законопроект об утечках данных: между защитой граждан и интересами бизнеса

Минэкономразвития настаивает на снижении размера санкций.

image

Снижение штрафов за утечки персональных данных, которые пока ещё не утверждены, является необоснованным и приведёт к тому, что инициатива утратит свою эффективность. Такую точку зрения высказали разработчики законопроекта, устанавливающего санкции до 500 миллионов рублей за инциденты, связанные с утечками личных данных. В то же время представители бизнеса предлагают ввести смягчающие обстоятельства, которые позволят избежать штрафов или значительно их уменьшить. Как сообщает «Парламентская газета», обсуждения продолжаются.

С начала 2024 года в публичном доступе оказалось около полумиллиарда записей, содержащих персональные данные россиян, сообщил изданию глава Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн. Он является соавтором законопроекта, который вводит серьёзные штрафные санкции, включая оборотные штрафы, зависящие от выручки компаний, допустивших утечку данных. Документ был принят в первом чтении в декабре, и в настоящее время ведётся работа над поправками. Одной из таких поправок стало предложение Минэкономразвития, основанное на консультациях с бизнес-сообществом.

Ведомство предложило снизить размер штрафов для юридических лиц по сравнению с изначальными положениями законопроекта: в два раза — до 1,5-2 миллионов рублей, если утечка затронула от одной до десяти тысяч пользователей; в три раза — до 3-5 миллионов рублей, если пострадало более ста тысяч субъектов персональных данных. Однако предложено сохранить оборотные штрафы за повторные утечки в том же диапазоне — от 0,1 до 3 процентов от выручки или капитала кредитной организации, но с уменьшением максимальной суммы штрафа до 50 миллионов рублей.

Эти предложения будут обсуждаться, но «смягчение необоснованно и выхолащивает саму суть инициативы», заявил Александр Хинштейн. По его словам, «без осознания оператором своей ответственности и понимания того, что за утечки придётся заплатить, никаких кардинальных перемен не произойдёт».

Крупные операторы персональных данных с самого начала критиковали законопроект, указывая на слишком высокие штрафы, как рассказала «Парламентской газете» первый зампред Комитета Совета Федерации по конституционному законодательству Ирина Рукавишникова. Однако она согласилась с Хинштейном, что именно высокие штрафы должны стимулировать компании инвестировать в информационную безопасность. Александр Хинштейн добавил, что, если штрафы будут слишком низкими, «компаниям станет дешевле откупаться, чем вкладываться в создание инфраструктуры информационной безопасности».

Помимо снижения штрафов, в Минэкономразвития предложили предусмотреть смягчающие ответственность компаний обстоятельства. Например, высокие расходы на безопасность — минимум 0,1 процента выручки. В «Ассоциации больших данных» (АБД) подтвердили изданию, что подобные предложения обсуждаются и поддерживаются крупными операторами. В АБД полагают, что законопроект должен уточнять состав правонарушений.

Кроме того, в АБД предложили другие меры по смягчению ответственности компаний, направленные на «стимулирование бизнеса усиливать защиту данных и мотивировать инвестировать в безопасность, а не просто закладывать штрафы в бюджет».

По оценкам, в России более пяти миллионов юридических лиц и индивидуальных предпринимателей являются операторами персональных данных. В Комитете Госдумы по информационной политике уверены, что не все компании могут самостоятельно обеспечить защиту данных, особенно в условиях кибервойны. Одним из предложений стало создание специальных доверенных операторов, которые смогут хранить данные компаний, неспособных обеспечить их защиту.

О создании профессиональных операторов данных заявил и член Совета по правам человека Игорь Ашманов. Он добавил, что доступ к этим данным будет ограничен, а другие компании смогут запрашивать информацию при необходимости.

Вопрос о том, будут ли поправки о «супероператорах» включены в законопроект о штрафах за утечки, пока остаётся открытым. Однако Александр Хинштейн надеется, что закон будет принят до конца 2024 года.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий