Оборотные штрафы за утечки могут заставить бизнес более серьёзно относиться к защите личных данных пользователей. Но из–за несовершенства доказательной базы пострадать могут и невиновные.
За последнее время сразу несколько крупных компаний были оштрафованы за утечку личных данных пользователей. Самый свежий пример — штраф "Ростелекому" 60 тыс. рублей, выписанный недавно мировым судьёй в Петербурге. Суд указал, что была выявлена информация о продаже данных клиентов и работников через мессенджер и сайт. По анализу фрагментов указанных баз установлено наличие ФИО, номеров телефонов, электронной почты и должностей клиентов и сотрудников. В марте на такие же суммы были оштрафованы Skyeng и "Туту.ру" из–за утечки данных пользователей. Во всех случаях штраф наложили в рамках ч. 1 ст. 13.11 КоАП — нарушение законодательства РФ в области персональных данных. Максимальная сумма штрафа по ней составляет 100 тыс. рублей.
Между тем до 1 июля по поручению президента РФ правительство должно рассмотреть вопрос о введении оборотных штрафов для компаний за утечку персональных данных россиян. Предполагается, что в КоАП внесут поправки, согласно которым за утечку компания должна будет заплатить 1% от годового оборота. В случае сокрытия утечки компанию оштрафуют на 3% от годового оборота.
Европейский опыт
Как только заговорили об оборотных штрафах, у компаний появились серьёзные вопросы. Например, отсутствие чётких критериев для наложения штрафов (какие данные должны присутствовать в утекшей базе; каким должно быть число пользователей, которых затронула утечка). Также вызывает тревогу и то, как будет доказываться вина компании. Ведь зачастую преступники перепродают старые базы данных, которым уже несколько лет. Или сливают в одну базу несколько старых, причём источники могут быть различны. Потому такую базу на чёрном рынке пытаются продать как новую, рассказывает Артём Сычев, советник генерального директора Positive Technologies.
“
"Ответственность за утечку данных должна ужесточаться, это однозначно. Вопрос в том, как доказать, что утечка действительно была и это именно вина компании в том, что она произошла? В таком случае необходимо ввести механизм по расследованию подобных нарушений. Ответственный орган должен выяснить, где, как и по чьей вине произошла утечка и произошла ли она. Внутреннее расследование должна провести и сама компания. Проблема в том, что это будет занимать очень много времени. С момента утечки до окончательного решения суда могут пройти месяцы", — объясняет эксперт.
Андрей Инюшин, директор по управлению проектами компании ITentika, замечает, что идея со штрафами, видимо, пришла из практики европейского законодательства в этой сфере — GDPR (General Data Protection Regulation). Эти нормы устанавливают максимальный штраф за нарушения в размере 20 млн евро или 4% годового оборота компании–нарушителя, в зависимости от того, что больше.
“
"Угроза такого огромного штрафа привела к существенным инвестициям в безопасность информационных систем, соприкасающихся с персональными данными, а также к пересмотру подходов различных организаций к сбору персональных данных и анонимизации там, где это возможно. В любом случае вина организации должна быть доказана, и у неё должна быть возможность защиты", — подчёркивает он.
По его словам, не так уж редки случаи, когда злоумышленники, как для собственной рекламы, так и для нанесения ущерба репутации организаций, фальсифицируют якобы произошедшую утечку данных или взлом. А потом либо представляют данные, которые уже давно гуляют по даркнету, либо "масштабируют утечку", добавляя к небольшому объёму действительно похищенных данных сгенерированные или уже устаревшие.
"Если говорить о штрафах, то здесь важно понимать, какая цель преследуется. Разорить бизнес? Или всё–таки повысить мотивацию уделять больше внимания защите персональных данных", — рассуждает Инюшин.
Охота на серую зону
Дарья Зубрицкая, директор по маркетингу и коммуникациям цифровой платформы "Ракета", поддерживает идею, что нужны ясные механизмы расследования факта утечки данных. "Такая процедура необходима, чтобы избежать ложных обвинений. Роскомнадзор уже проработал процедуру расследования инцидентов, связанных с утечками персональных данных. Необходимо на практике увидеть, как она будет работать, и довести её до реально работающего алгоритма. И самое главное, чтобы эти механизмы применялись для всех компаний одинаково вне зависимости от их размера", — говорит она.
Эффективность оборотных штрафов станет ясна лишь со временем. Но, как считает Зубрицкая, некоторые результаты уже есть — многие компании внедряют системы защиты информации. "Конечно, на первых этапах могут возникнуть проблемы, что контролирующие органы будут видеть информацию об утечке и выставлять штрафы компаниям. Чтобы такого не происходило, необходимо проработать и отточить процедуру признания утечки актуальной", — заключает она.
Михаил Телегин, заместитель генерального директора по стратегическим проектам "Обит", считает, что в целом введение оборотного штрафа за утечку данных не должно повлечь за собой каких–либо кардинальных перемен. "Комплекс мер по предотвращению утечек закреплён на отраслевом уровне и для ответственных игроков является данностью уже не один год. С высокой долей вероятности оборотные штрафы могут заставить компании, которые работали в серой зоне и уклонялись от выполнения требований по защите персональных данных, подходить более сознательно к своим обязательствам", — считает он.
Кроме того, ужесточение штрафов сделает персональные данные более важным с точки зрения критичности для бизнеса активом, и компании, имеющие с ними дело, будут прилагать больше усилий по их защите.
"На сегодняшний день утечка персональных данных пользователей грозит компаниям в основном репутационными рисками. И, как правило, не влечёт за собой непосредственных материальных потерь. Усиление административной ответственности за утечки персональных данных станет убедительным поводом для того, чтобы принять дополнительные меры по их сохранности, уравняв их с другой критически важной для бизнеса информацией", — полагает Телегин.
Какие ваши доказательства?
Павел Катков, юрист, член комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций, обращает внимание на то, что сейчас компании предъявляется штраф за утечку следующим образом: "РКН составляет протокол о нарушении. На этом этапе у ведомства уже должны быть доказательства утечки. Они могут быть самыми разными: из опубликованных данных может следовать, что они хранились компанией. Из заявления анонимного взломщика. Из публичного признания самой компании. Из источника утечки".
Максим Али, партнёр, руководитель практики IP / IT Maxima Legal, отмечает, что в идеале сама компания должна сообщить об утечке в течение суток. "Но сейчас серьёзных стимулов для этого нет. 78% компаний открыто не комментируют утечки. Вторая ситуация — когда об утечке известно, но компания её отрицает. В 2022 году только в 19% случаев компании однозначно опровергли факт утечек. Причём верифицировать утечки как подлинные можно — специалисты по информационной безопасности уже сегодня занимаются этим", — рассказывает юрист.