0,1% на безопасность или 3% на штрафы: что готовит новый КоАП для бизнеса?

Forbes ознакомился с проектом поправок в Кодекс об административных правонарушениях (КоАП), предусматривающих оборотные штрафы для бизнеса за повторные утечки персональных данных. В новой версии документа указаны смягчающие обстоятельства: компаниям предлагается инвестировать не менее 0,1% годовой выручки в информационную безопасность (ИБ) в течение хотя бы трех лет. Однако такие вложения предполагают наличие у компании лицензии ФСБ на разработку систем с использованием криптографии либо сотрудничество с организацией, обладающей такой лицензией. Для банков предусмотрена возможность рассчитывать штрафы не от выручки, а от размера капитала.

Дополнительно появилась ответственность за обработку биометрических данных (в том числе векторов — персональных данных, полученных после математического преобразования биометрических данных клиентов) для организаций, не получивших аккредитацию от Минцифры. Размер санкций составит от 500 тыс. до 1 млн рублей.

Если сравнивать с редакцией конца 2023 года, в новой версии уменьшены штрафы для должностных лиц — с 3–5 млн до 1,1–1,2 млн рублей. При этом ответственность распространяется на должностные лица государственных, муниципальных органов и некоммерческих организаций. Для юридических лиц штрафы увеличены с 0,1–3% до 1–3% от годовой выручки.

Сейчас документ готовится ко второму чтению. В первом чтении законопроект был принят 23 января этого года. Представители Минцифры заявили Forbes, что текст еще обсуждается. В Минюсте, Центробанке и других ведомствах на запросы не ответили, а крупные компании, включая «Яндекс», МТС и VK, отказались от комментариев.

Источник Forebs, знакомый с текстом законопроекта, указал, что текущая версия документа пока не согласована с органами исполнительной власти и правительством. Он считает проект компромиссным, но указал на недостатки. В частности, в описании смягчающих обстоятельств не уточняется, в какие направления следует направлять инвестиции в информационную безопасность. По его словам, это требование может свестись к простому приобретению лицензий ФСБ на разработку систем с использованием криптографии. Кроме того, остаются неясности в формулировках административного нарушения. Текущий текст предполагает ответственность за действие или бездействие, повлекшее передачу персональных данных, независимо от наличия ущерба. Это определение, по его мнению, может включать такие действия, как работа ИБ-компаний с утечками или проведение тестов на проникновение (пентестов) для оценки безопасности.

В Ассоциации больших данных отметили, что проект закона в организацию пока не поступал. Основные замечания АБД остаются неизменными: штрафы такого уровня должны быть экономически обоснованными и применяться только при четком и недвусмысленном составе правонарушения.

Источник Forbes в IT-отрасли обратил внимание на необходимость конкретизации норм, касающихся обработки биометрических данных. Он отметил, что биометрия является особой категорией персональных данных, требующей отдельного регулирования. Уточнение законодательства, по его мнению, может уменьшить правовую неопределенность, которая сейчас охватывает такие сферы, как системы идентификации магазинных воров или платформы учета рабочего времени.

Предложенные изменения могут привести к росту затрат на ИБ со стороны крупных компаний, но осложнят положение малого бизнеса, работающего с персональными данными. Ужесточение требований к обработке биометрии также способно вызвать реструктуризацию рынка и удорожание услуг.

Юристы обращают внимание на дисбаланс между рисками и санкциями. Некоторые отмечают, что административные штрафы за утечки превышают санкции за общественно опасные деяния в уголовном законодательстве.