Наказание за повторные утечки ужесточат, но появятся и смягчающие обстоятельства при условии инвестиций и наличия лицензии ФСБ. В Минцифры подчеркнули, что еще обсуждают инициативу, а эксперты назвали риски для малого бизнеса
Минимальный размер штрафа для юридических лиц за повторную утечку данных вырастет с 0,1–3 до 1–3% от годовой выручки, следует из новой версии законопроекта, который готовится ко второму чтению, пишет Forbes.
По сравнению с принятым в первом чтении документом штрафы для должностных лиц уменьшаются с 3–5 млн до 1,1–1,2 млн руб., а под действие закона подпадают чиновники государственного или муниципального уровня.
Документ предполагает появление смягчающих обстоятельств для компании, допустившей утечку, если та инвестирует не менее 0,1% годовой выручки в мероприятия, посвященные информационной безопасности. Потребуется также лицензия ФСБ на разработку систем с использованием криптографии илиже привлечь подрядчика с таким документом. Банкам позволят рассчитать оборотный штраф не от выручки, а от объема капитала— собственных средств.
Источник Forbes рассказал, что эту версию законопроекта еще не согласовали с правительством и органами исполнительной власти, а сам документ «вполне компромиссный», причем есть моменты, «на которые стоит обратить внимание». Он также отметил, что в описании смягчающих обстоятельств не уточняется, на что следует направить инвестиции в сфере информационной безопасности и на какие направления.
«По сути, это требование может вылиться просто в приобретение бизнесом лицензий ФСБ [на разработку систем с использованием криптографии]. Все еще остаются вопросы к составу административного нарушения: текущая формулировка предполагает наказание за действие или бездействие, повлекшее передачу персональных данных независимо от ущерба, который она повлекла или не повлекла»,— пояснил собеседник издания.
Со слов источника, такое определение включают работа ИБ-компаний с утечками и оценка безопасности компьютерных систем моделированием атаки (пентесты).
Законопроект приняли в первом чтении в январе 2024 года. Сейчас максимальный размер штрафа для юридических лиц составляет до 100 тыс. руб., за повторное нарушение — до 300 тыс. руб. Документ предполагает также введение оборотных штрафов за повторные утечки персональных данных: для граждан — в размере от 400 тыс. до 600 тыс. руб., для должностных лиц— от 2 млн до 4 млн руб.В отношении юридических лиц предусматривается оборотный штрафот 0,1до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн и не более 500 млн руб.
«Думаю, что у нас есть компромиссные решения, которые устроят всех. Решения, которые, с одной стороны, не станут лазейкой для ухода от ответственности и возможности откупиться нарушителю. А с другой стороны, действительно позволят участникам рынка, которые вкладываются в информационную безопасность, снижать масштабы ответственности»,— рассказал в июле глава думского комитета по информационной политике Александр Хинштейн. По его мнению, законопроект примут в этом году.
Этот вариант поправок прорабатывался в профильном комитете Госдумы, заявили в аппарате вице-премьера Дмитрия Григоренко, но отказались подтвердить актуальность информации. В Минцифры сообщили, что итоговая версия законопроекта еще на обсуждении, иподелились ожиданием, что его одобрение станет для IТ-компаний стимулом более внимательно соблюдать требования информационной безопасности и инвестиций в защиту персональных и других данных.
В Ассоциации больших данных (АБД: «Яндекс», МТС, «МегаФон», «Билайн», Сбербанк, ВТБ, «Авито» и др.) сообщили, что пока не получали эту версию документа, но главные замечания остались прежними: столь большие штрафы следует экономически обосноватьи налагатьтолько при составе правонарушения, который будет отвечать критериям точности, недвусмысленности и формальной определенности правовых норм.
Собеседник Forbes из IТ-индустрии подчеркнул необходимость конкретизировать случаи, когда компании будут нести ответственность за неправомерную обработку биометрии, чтобы сократить серую зону, в которой работают, к примеру, системы идентификации воров в магазинах и платформы учета рабочего времени.
Опрошенные изданием эксперты скептически отнеслись к инициативе.
«Пропорциональность соотношения риска и ответственности закономерно вызывает вопросы: не совсем понятно, за счет каких доходов, к примеру, должностное лицо может выплатить штраф в размере 1,5 млн руб.за утечку. Как известно, про утечки говорят не «если», а «когда» они произойдут»,— считает директор юридического департамента DRC Ольга Захарова. Она такжеобратила внимание, что сейчас в Уголовном кодексе предусмотрены более мягкие наказания за совершение преступлений— общественно-опасных деяний, нежели в административном за правонарушения.
Законопроект, если будет принят, увеличит инвестиции крупного бизнеса в кибербезопасность, но грозит вытеснить с рынка небольших игроков, работающих с персональными данными, убеждена советник практики интеллектуальной собственности юридической компании ЭБР Кристина Мкртчян: «Дополнительное давление создают новые требования по обработке биометрии, что в совокупности может привести к реструктуризации рынка и повышению стоимости услуг для конечных потребителей, поскольку бизнес будет вынужден закладывать возросшие риски и затраты на безопасность в цену своих продуктов».
Поделиться Поделиться Вконтакте Одноклассники Telegram