Расследуешь утечку — нужен капитал и лицензия. Минцифры обсуждает исключения

Бизнес вместе с регулятором обсуждает возможность выведения из-под уголовной ответственности, которая сейчас грозит за незаконные использование и передачу персональных данных, расследование утечек последних. Об этом заявила директор по стратегическим проектам АБД Ирина Левова на конференции Data Fusion. По её словам, как компании, непосредственно работающие в сфере кибербезопасности, так и бизнес «со зрелым уровнем ИБ», для которого эта деятельность не является профильной. Инициатива обсуждается на площадке Минцифры и, как уточняют в АБД, проект поправок пока не финален и будет доработан.

Закон, устанавливающий уголовную ответственность за незаконное использование, передачу, сбор или хранение персональных данных, был принят в ноябре 2024 года и вступил в силу в декабре. Согласно действующей редакции, за утечку предусмотрены штрафы, принудительные работы сроком до четырёх лет либо лишение свободы на тот же срок. В случае трансграничной утечки с тяжкими последствиями наказание может достигать 10 лет лишения свободы.

Согласно проекту изменений, действие этих норм не будет распространяться на компании и организации, проводящие исследования утечек на предмет компрометации персональных данных своих клиентов. Также предполагается, что уголовная ответственность не будет также грозить крупным участникам рынка кибербезопасности, ведущим такие исследования и имеющим лицензию на «техническую защиту конфиденциальной информации». В качестве критериев рассматриваются капитал в размере не менее 1 млрд рублей либо не менее 100 млн рублей при условии, что более 50% доходов поступает от деятельности в области защиты информации.

В Минцифры подтвердили Forbes, что предложения АБД в настоящее время прорабатываются совместно с заинтересованными ведомствами и отраслью.

В Ассоциации больших данных (АБД) считают ужесточение ответственности за утечки персональных данных «вполне логичной мерой». Однако, по мнению ассоциации, необходимо чётко определить законные случаи работы с подобной информацией, чтобы исключить неоднозначное толкование в рамках правоприменительной практики.

К числу ситуаций, которые оказались в «серой зоне», в АБД относят: расследования инцидентов ИБ-подразделениями, установление факта принадлежности утечки конкретной компании, действия по защите клиентов, чьи данные скомпрометированы, уведомление Роскомнадзора при подтверждённой утечке, а также проведение пентестов . Сейчас, как пояснили в ассоциации, обсуждается модель, при которой такую деятельность смогут вести либо компании с «зрелой» системой информационной безопасности, либо профессиональные участники рынка ИБ. У регулятора должно быть понимание, кто именно имеет на это право, и такие компании должны соответствовать установленным требованиям.

По словам одного из собеседников Forbes, существующие противоречия «ставят под угрозу ИБ-специалистов», поскольку их повседневная работа фактически приравнивается к уголовно наказуемой деятельности.

По словам другого источника издания, сейчас работа с утечками ведётся «на свой страх и риск», в том числе мониторинг даркнета на предмет появления скомпрометированных данных клиентов. Эксперт полагает, что установление минимального порога капитала необходимо для отсечения «серого» сегмента рынка, но призывает доработать критерии допуска к такой деятельности.

Инициатива, по мнению экспертов, может создать более прозрачные и безопасные условия для расследований инцидентов, связанных с утечками персональных данных. Сейчас даже ознакомление с файлами, содержащими скомпрометированные данные, без официального поручения может повлечь уголовную ответственность. Юристы подчёркивают, что любое взаимодействие с такими данными в рамках действующего законодательства запрещено.

В то же время специалисты предупреждают о возможных негативных последствиях. Поправки могут укрепить позиции крупных игроков на рынке и снизить конкуренцию: малые компании будут вынуждены передавать контракты более крупным, а сами — работать на подряде. Это, в свою очередь, может затруднить коммуникацию между участниками и привести к удорожанию услуг. Отмечается также, что предложенные изменения в большей степени учитывают интересы лидеров ИБ-рынка, пострадавших от ужесточения законодательства в конце 2024 года.