Поможет ли увеличение штрафов снизить число утечек личной информации граждан

Депутат Госдумы Сергей Миронов предложил ужесточить наказание бизнеса за первую утечку персональных данных. По его мнению, минимальная сумма штрафа должна составить 25 млн рублей. Однако усиление ответственности должно идти вместе с появлением четких механизмов защиты подобной информации, полагают эксперты. Как участники рынка оценивают эту инициативу – в материале RSpectr.

КОАП НАКАЖЕТ

Руководитель фракции «Справедливая Россия – За правду» в Госдуме Сергей Миронов направил председателю правительства РФ Михаилу Мишустину обращение с предложением установить оборотный штраф для бизнеса за первую утечку персональных данных.

Сергей Миронов, Госдума:

– Из-за низких штрафов многие операторы персданных халатно относятся к защите информации. Минимальная сумма штрафа должна составить 25 млн рублей. В этом случае компаниям будет выгоднее заняться решением вопроса, чтобы не платить высокий штраф.

Усиление законодательства может сыграть важную роль в снижении числа утечек, но это не единственный и не главный инструмент, поделилась в беседе с RSpectr главный юрист продуктовой группы «Контур.Эгида» («СКБ Контур») Ольга Попова.

Ольга Попова, «Контур.Эгида»:

– Уровень штрафов уже достаточно высок, чтобы мотивировать компании относиться к защите персданных серьезно. Проблема в другом: малый и средний бизнес до сих пор недооценивают масштабы рисков и считают, что оборотные штрафы их не коснутся.

По ее мнению, у топ-менеджмента часто отсутствует понимание, зачем вообще вкладываться в информбезопасность, а это ведет к халатности. Эксперт уверена, что ужесточение ответственности должно идти в связке с появлением понятных и выполнимых механизмов защиты персональной информации.

«Бизнесу нужны не только запреты и санкции, но и практические инструменты, стандарты и рекомендации, которые реально можно внедрить. Без этого законодательное давление рискует потерять эффект: снаружи правила станут жестче, но внутри компании продолжат работать как раньше», – полагает Ольга Попова.

Директор департамента сертификации и безопасной разработки «Инферит» (ГК Softline) Максим Фокин, полагает, что законодательство в сфере защиты персданных стоит ужесточать, но делать это необходимо точечно. Если посмотреть на ч. 10 ст. 13.11 КоАП, то станет ясно, почему малый и средний бизнес «халатно относится» к уведомлению регулятора о самом факте обработки персданных – предусмотренный для юрлиц штраф составляет всего 100–300 тыс. рублей, обратил внимание он.

Максим Фокин, «Инферит»:

– При таком штрафе нет смысла идти к регулятору и заявлять о том, что компания является оператором персональных данных, так как после этого она сразу станет обязана защищать информацию и выполнять установленные требования.

В результате юридические лица предпочитают скрывать факт обработки персональной информации. Формально они не являются операторами и практически не несут ответственности. Чтобы решить проблему, действительно стоит увеличить штрафы, но не за утечку данных, а за неуведомление регулятора о том, что юрлицо намеревается их обрабатывать, подчеркнул эксперт.

ГИБКИЕ ШТРАФЫ

Ужесточение законодательства необходимо, однако предложенный размер штрафа должен быть более гибким и дифференцированным, поделился с RSpectr директор департамента «Информационная безопасность» «Рексофт» Сергей Бабкин. Ключевой критерий – это категория утекших данных и масштаб потенциального вреда, считает он.

Сергей Бабкин, «Рексофт»:

– Штрафы как минимум должны различаться в зависимости от типа сведений. Наиболее строгие санкции стоит применять за утечку специальных категорий данных, к которым закон относит информацию о состоянии здоровья, биометрии, расовой и национальной принадлежности, политических взглядах, религиозных убеждениях.

По мнению эксперта, было бы правильно направлять часть штрафных средств на персональную компенсацию пострадавшим гражданам. Регулирование должно быть направлено на стимулирование инвестиций в кибербезопасность, а не на то, чтобы операторы закладывали средства в рисковый бюджет, заявили RSpectr в пресс-службе Ассоциации больших данных (АБД). Так существующий состав содержит фиксированный высокий размер штрафа (15 млн рублей) за первую утечку и фактически безвиновную ответственность.

Пресс-служба, Ассоциация больших данных:

– Отсутствует возможность смягчения ответственности в случае доказательства оператором, что он сделал все возможное для защиты данных. Смягчающие обстоятельства работают только в случае повторной утечки и предполагают серьезные инвестиции в мероприятия по ИБ.

В этой связи оператор уже вынужден закладывать высокий штраф в рисковый бюджет вместо того чтобы направлять его на мероприятия по информационной безопасности. Предлагаемая инициатива без возможности смягчения ответственности только усилит уже существующий регуляторный дисбаланс, полагают в АБД. Бизнес заинтересован в получении за вложенные деньги адекватной защиты от инцидентов и минимизации их последствий (в том числе в форме штрафов), включая возможность передачи части рисков, например, путем развития соответствующих страховых продуктов, отметил в беседе с RSpectr начальник отдела ИТ «Газинформсервис» Сергей Коловангин.

Сергей Коловангин, «Газинформсервис»:

– Однако бизнесу предлагается самостоятельно решать фундаментальные проблемы, находясь под постоянным прессом осознания, что в свете новой инициативы штраф будет выписан независимо от прилагаемых усилий.

Ведущий юрист Lukash & Partners Эльшан Мамедов обратил внимание RSpectr, что малый и средний бизнес штрафы не простимулируют, а поставят под удар банкротства. Ведь в соответствии со ст. 13.11 КоАП РФ размеры штрафов за утечки для индивидуальных предпринимателей ровно такие же, как для крупного бизнеса. Он напомнил, что согласно майским изменениям размер первого штрафа за утечку уже составляет от 3 млн до 5 млн рублей.

Эльшан Мамедов, Lukash & Partners:

– Предлагаемый оборотный штраф от 25 млн рублей может оказаться непосильным бременем для небольших компаний. Даже добросовестные игроки могут пострадать из-за единичных ошибок или непредвиденных обстоятельств.

По словам эксперта, предлагаемая инициатива создаст мощный стимул для бизнеса инвестировать в технологии и процессы, направленные на предотвращение утечек персональных данных. Однако их введение требует тщательной проработки механизма назначения и справедливого распределения ответственности между операторами и подрядчиками по защите информации.