Нарушать пока дешевле

Эксперты: предлагаемые Минкомсвязью штрафы за утечку данных никак не изменят ситуацию на рынке

По запросу Роскомнадзора Сбербанк начал расследование утечки персональных данных 420 тыс. сотрудников. Даже если компанию признают виновной в административном правонарушении, последствия для нее будут незначительными. В КоАП до сих пор не прописана ответственность за утечку данных, соответствующие предложения Минкомсвязи находятся в стадии согласования. Согласно документу, максимальный штраф для юридических лиц за подобные инциденты составит 40 тыс. рублей. Опрошенные RSpectr эксперты считают, что эта сумма не будет мотивировать бизнес заботиться о сохранности персональных данных. Для определения точного размера штрафа требуется разработать механизмы оценки ущерба.

40 тысяч рублей за утечку

Несанкционированное распространение информации из российских компаний происходит регулярно. И разглашение данных сотрудников Сбербанка – далеко не первый подобный случай. Согласно отчету InfoWatch, в 2017 году было зафиксировано 254 утечки. Около 80% скомпрометированной информации относится к персональным данным (ПД).

С утечкой конфиденциальных сведений по меньшей мере один раз за 2017 год столкнулись 32% российских компаний; 40% скомпрометированной информации – личные данные клиентов и сотрудников, говорится в отчете, представленном «Лабораторией Касперского» и B2B International.

Размеры штрафов за неисполнение требований российского законодательства о ПД указаны в КоАП в ст. 13.11. Но среди составов нарушений нет пункта об утечке персональных данных. Чтобы устранить этот пробел, в апреле 2018 года Минкомсвязь разработала соответствующие дополнения в Кодекс.

Сейчас поправки в КоАП об ответственности за утечку данных находятся на этапе оценки регулирующего воздействия. Минэкономразвития уже дало положительное заключение на законопроект

Документ вносит два новых состава правонарушений. Первый связан с несоблюдением требований локализации данных российских граждан на территории РФ. Второй – с незаконным раскрытием и передачей ПД третьим лицам.

«Второй состав сформулирован довольно широко. Он включает в себя как случаи утечки персональных данных, так и сознательную передачу данных третьим лицам без согласия субъектов ПД», – объяснил RSpectr юрист международной юридической компании CMS Владислав Елтовский.

За это нарушение для юрлиц предусмотрено наказание в виде предупреждения или штрафа в размере от 20 тыс. до 40 тыс. рублей.

Предупреждение рынку

По мнению экспертов, важность ПД в современном обществе непропорциональна предполагаемому штрафу за их утечку.

«Сумма, предложенная в законопроекте, не отвечает ценности ресурса», – рассказал RSpectr генеральный директор АНО «ПравоРоботов», эксперт экспертного совета Госдумы РФ Никита Куликов. По его словам, рынок будущего будет представлять собой рынок данных. В свою очередь, ПД дают доступ к потенциальному клиенту, что принципиально важно для компаний, предлагающих товары и услуги. Эксперт уверен, что в вопросе незаконного оборота ПД государству следует пойти на более серьезное ужесточение наказаний и отталкиваться от концепции «штраф как предупреждение остальным участникам рынка». «Он должен быть многомиллионным, даже если после его назначения компания будет закрыта или станет банкротом», – говорит Н. Куликов.

По мнению Романа Волова, руководителя направления дистрибуции компании TESSIS, увеличение размера штрафа станет положительным моментом: «Тем самым государство на законодательном уровне повышает уровень значимости этих данных, требует от компаний, кто вовлечен в процесс обработки таких сведений, более тщательно подходить к вопросу их защиты».

Алексей Парфентьев, ведущий аналитик компании «СёрчИнформ», указал RSpectr на то, что сейчас нарушение закона в России обходится дешевле, чем его исполнение. В качестве примера он привел ситуацию на гостиничном рынке в России. В любом отеле с паспорта клиента снимают копию, но сохранность этих данных не обеспечивают. Стоимость ПО для гостиницы среднего размера составит 250-300 тыс. рублей плюс расходы на техподдержку. При этом штрафы за неисполнение требований в несколько раз меньше. В итоге многие компании не только экономят на покупке ПО, но и не внедряют даже те инструменты контроля и защиты данных, которые ничего не стоят, например, регламент работы с чувствительной информацией и разграничение прав доступа.

«Я против введения драконовских штрафов, которые бы ставили бизнес на грань разорения. Но пока наказания, по сути, вообще нет», – считает А. Парфентьев.

Р. Волов уверен, что

штраф должен быть выше стоимости построения среднестатистической системы безопасности

Он добавил, что большие компании точно не будут руководствоваться этой нормой при защите данных. Скорее, они станут учитывать репутационные риски и требования GDPR.

«Представляется сомнительным, что закрепление штрафа в 40 тыс. рублей будет являться серьезным мотиватором для внедрения новых мер по защите персональных данных», – согласен В. Елтовский.

С оглядкой на GDPR

Эксперты говорят, что определить оптимальный размер штрафа сложно. «На мой взгляд, очень правильно привязываться не к конкретной цифре, а к проценту от годового оборота компании», – говорит Р. Волов.

Этот путь выбрал Евросоюз при разработке Общего регламента по защите данных (GDPR), который вступил в силу 25 мая 2018 года. Его исполнение обязательно для всех организаций, в том числе российских, при обработке персональной информации граждан, находящихся на территории ЕС.

Максимальный штраф за нарушения положений GDPR составляет 20 млн или 4% от оборота компании (в зависимости от того, какая сумма больше).

«До вступления GDPR в силу официальные представители ЕС напрямую заявляли, что высокие штрафы служат единственной цели – обеспечить реальное соблюдение законодательства в сфере персональных данных», – объясняет В. Елтовский. В противном случае операторы зачастую игнорировали требования по защите ПД.

Введение жесткого наказания будет мотивировать бизнес, считают эксперты. Но при этом объем санкции должен зависеть от ряда факторов. «Без штрафов не обойтись. Но нужно учитывать сумму обстоятельств, а не один лишь факт утечки», – уверен А. Парфентьев.

«При установлении наказания за утечку ПД оправданным кажется гибкий подход, разработанный в Европе, который включает в себя оценку множества параметров: набор данных, объем утечки, применяемые организацией защитные меры, последствия и так далее», – рассказала RSpectr директор по консалтингу ГК InfoWatch Мария Воронова.

Механизмы справедливой оценки

Руководитель подразделения информационной безопасности «Первый БИТ:7000» Сергей Иванов считает, что для установления адекватной величины штрафов нужно разработать и законодательно утвердить механизмы:

• оценки стоимости данных (с учетом объема, состава данных, коммерческого потенциала и т. п.);
• оценки финансового, морального и другого ущерба, который был нанесен субъекту персональных данных;
• оценки рисков нанесения ущерба, которые выросли в результате утечки;
• доказательства утечки именно от этого оператора персональных данных;
• определения лица в штате оператора, которое несет персональную ответственность за утечку;
• определения ответственности производителей средств защиты информации, если утечка произошла в результате их сбоя;
• определения ответственности разработчика формальных требований к защите персональных данных, если меры, принятые в полном объеме, не были достаточными для обеспечения их безопасности.

«Эти механизмы могут изменить сложившийся рынок услуг информационной безопасности», – рассказал RSpectr С. Иванов. По его словам, с их помощью можно скорректировать требования законодательства, согласно которым сейчас наказывают не за утечку данных, а за невыполнение формальных требований. Но для разработки этих механизмов регулятору необходимо наладить плотное взаимодействие с экспертами отрасли и юристами, уточнил С. Иванов.

8 ноября в Москве состоится ежегодная международная конференция «Защита персональных данных». Вполне вероятно, что тема штрафных санкций найдет свое отражение в выступлениях отечественных и иностранных регуляторов и экспертов.

Изображение: RSpectr, freepik.com