В конце 2023 года Роскомнадзор внёс в Госдуму законопроект о проведении внеплановых проверок IT-компаний, связанных с утечкой персональных данных. Предполагается, что Роскомнадзор выведут из-под действия существующего сейчас моратория. Он был введён для защиты малого и среднего бизнеса в условиях санкций, но, как считают авторы законопроекта, часто используется компаниями для ухода от ответственности за киберинциденты. Основанием для внеплановых проверок станет факт утечки персональных данных, о котором сообщили в Роскомнадзор.
Также законопроект предусматривает вывод РКН из-под моратория государственного контроля и надзора в сфере связи. Из-за него Роскомнадзор не может провести внеплановую проверку абонентских номеров, достоверности данных об абонентах, пропуска трафика и ограничения доступа к запрещенной информации. Согласно законопроекту, изменения внесут в статью 27 закона "О связи" и закон "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации". Между тем, игроки рынка считают, что одними проверками проблему не решить.
Как наказывать за утечку данных пользователей
О том, что более строгий надзор и контроль в сфере связи действительно нужен, часто говорят в связи с участившимися случаями утечек данных пользователей. С этой проблемой сталкиваются самые разные сервисы. При этом, из-за отсутствия прозрачного регулирования никто толком не понёс ответственности. Впрочем, отвечать компании должны в первую очередь не перед государством, а перед своими клиентами. Объём ответственности должен быть зарегулирован и исчисляться в процентах от оборота, считает руководитель отдела R&D "Комфортела" Александр Васильев.
"Объём ответственности должен быть существенным, но не уничтожать компанию экономически. Государство же должно следить за исполнением обязательств компаний по компенсациям пострадавшим клиентам. В случае ненадлежащего исполнения этих обязательств — вмешиваться и проводить проверки, выписывать штрафы и тому подобное", — поясняет он.
Таким образом, механизм проверок должен включаться только после случившегося инцидента. Васильев считает, что полностью избежать утечек данных невозможно. Но последствия должны быть достаточно дорогими для компаний, чтобы они уделяли достаточное внимание безопасности хранения персональных данных.
Генеральный директор оператора связи "Комфортел" Дмитрий Петров считает, что в первую очередь должна существовать уголовная статья для граждан, которые украли и распространили персональные данные.
“
"Если человек, являясь сотрудником банка, взял деньги со счёта и украл, то его за это посадить можно совершенно точно. А вот, если так же украсть информационную базу, то за это посадить не смогут. Статья о краже абсолютно обиходная, простая и понятная. Так вот своровать данные — тоже кража. Давайте добавим в УК РФ соответствующую часть статьи о краже персональных данных. Тогда всё, по крайней мере, приобретёт завершённую форму регулирования. Когда пытаются наказать только бизнес, но не граждан, которые в этом бизнесе работают и его подставляют, получается полная ахинея", — прокомментировал Петров.
С ним солидарен Васильев: "Отдельно компаниям должно быть запрещено торговать персональными данными без уведомления пользователей о передаче таких данных третьим лицам. То есть не как сейчас пользователю предлагают подписать документ, что он не против передачи данных третьим лицам, и дальше компании могут на основании этой бумаги делать, что хотят. Должно быть так: даже если пользователь не против, компании обязаны каждый раз в момент передачи уведомлять клиента о передаче его данных, будь то госорганам или частным компаниями. В идеале ещё писать причину передачи. Например, запрос из госорганов или продажа. Тогда пользователь будет знать, чего ждать".
Как влияют проверки на работу IT-компаний
"Следует учесть, что для IT-компаний такие проверки могут быть дополнительной нагрузкой и вызывать определённые неудобства. Также стоит учитывать, что эффективность проверок зависит от компетентности и объективности проводящих её специалистов", — говорит коммерческий директор Art Engineering Артем Стенюшкин.
Эффективными мерами по предотвращению утечек данных, по его мнению, являются обучение сотрудников правилам безопасности, использование современных методов шифрования, регулярное обновление программного обеспечения.
Со стороны государства необходимы юридические меры, такие как принятие законов о защите персональных данных, наказание за нарушение законодательства и механизмы регулярной проверки компаний. "Снятие моратория на госконтроль в сфере связи позволит регулятору более эффективно контролировать деятельность IT-компаний и операторов связи, что поможет предотвратить угрозы и повысить уровень защиты персональных данных. Однако, это наверняка приведет к увеличению административной нагрузки на компании и повышению затрат на соблюдение требований регулятора. Отмена моратория требует балансирования между безопасностью и свободой деятельности компаний", — добавляет Стенюшкин.
“
"Внеплановые проверки, как и другие государственные инициативы в сфере защиты данных, имеют положительное намерение обеспечить безопасность бизнесу и людям. Однако с точки зрения реализации чаще всего не до конца продуманы, ввиду чего их выполнение обычно влечёт за собой финансовые и организационные сложности для операторов связи и IT-компаний", — соглашается заместитель генерального директора по стратегическим проектам "ОБИТ" Михаил Телегин.
Как защитить личные данные от утечек
В первую очередь важно направить общие усилия государства и компаний на улучшение функционирования текущей системы противодействия утечкам данных, и только потом рассматривать новые меры, уверен он. Поэтому следует стремиться к тому, чтобы государство гибко действовало в нынешних условиях, и новые меры не ограничивали бизнес, а помогали ему эффективно соблюдать требования по защите данных. Предоставление технической экспертизы и аккредитованных точечных решений со стороны государства существенно помогут в оперативном и эффективном внедрении подобных законопроектов.
"Относительно влияния моратория на регулятор: в настоящее время данная мера лишает регулятор возможности прямо реагировать на зафиксированную утечку персональных данных. Именно этот пробел должен закрыть законопроект, разрешив экстренное вмешательство регулятора в особых случаях. В некоторых исключительных случаях это право может быть применено. Но не хотелось бы, чтобы это право превратилось в дополнительную нагрузку на бизнес", — резюмирует Телегин.