Оборотные штрафы для компаний за утечку данных — эффективное ли это наказание?

Минцифры еще в прошлом году подготавливало почву для введения оборотных штрафов для компаний, допустивших утечку персональных данных. Теперь установление таких штрафов будет разрабатываться по поручению президента. Как отнесется к нему бизнес?

Обновлено в 21:43

Владимир Путин поручил установить оборотные штрафы за утечки персональных данных. Правительство до 1 июля должно рассмотреть этот вопрос. Что думают об этом эксперты и участники IT-отрасли?

Размер оборотного штрафа за утечки персональных данных пока не определен. Этим как раз и займется правительство. Но в декабре глава Минцифры Максут Шадаев говорил, что ведомство подготовило законопроект о введении штрафов до 3% от годового оборота. Если компания усилила меры безопасности и продемонстрировала, что инвестиции в средства защиты сделаны, это будет считаться смягчающим обстоятельством. А вторым смягчающим обстоятельством в Минцифры предлагают считать компенсацию ущерба в досудебном порядке двум третям пострадавших от утечки персональных данных.

Вот как прокомментировала эту инициативу президент группы компаний InfoWatch Наталья Касперская:

Наталья Касперская президент группы компаний InfoWatch «3% — мне кажется, это много. Я не очень понимаю эту привязку к процентам, она довольно странная, потому что у разного бизнеса по-разному. Есть там ретейловый бизнес, у которого маржинальность 3%, и для них 3% — это, наверное, очень много от оборота. Я думаю, что теория ровно такая, что компании будут больше думать о безопасности, лучше защищаться и наказывать своих внутренних сисадминов, потому что основные утечки, конечно, идут от внутренних сотрудников. Процентов 70 утечек, по нашей статистике, совершаются либо администраторами, либо в основном техническими сотрудниками, работающими в компании. Если кражей данных занимается человек, имеющий доступ к внутренним ресурсам, особенно если у него высокий уровень прав, то технические средства не дадут эффекта».

Но у работодателей не так много рычагов воздействия на сотрудников, допустивших утечку персональных данных. Максимум, что может сделать компания, — это уволить его. Но это не так уж просто: российское трудовое законодательство защищает в первую очередь наемных работников. Если же сотрудник действовал умышленно — например, решил продать персональные данные клиентов компании, — тогда его можно привлечь к уголовной ответственности по статье 137 УК «нарушение неприкосновенности частной жизни». Но на практике такое бывает крайне редко. И тех, кто сознательно организует утечки персональных данных, преследуя свои личные цели, это не останавливает. Комментирует юрист Павел Катков:

Павел Катков юрист «Те утечки, о которых сейчас говорят власти, — это утечки, которые возникли либо в силу халатности, либо в силу хакерской атаки, либо в силу и того и другого. И надо отличать эту правовую ситуацию от правовой ситуации, когда сам сотрудник внутри, имея доступ к персональным данным, грубо говоря, унес, утащил, продал, может, специально разгласил, чтобы насолить работодателю. С точки зрения работника, здесь возможны две ситуации. Первая: он действительно недоглядел. Тогда 137-я статья Уголовного кодекса неприменима, нет умысла. Вторая: у него был умысел, то есть он, например, был в конфликте с работодателем и специально эти данные взял и разгласил, или, например, хотел заработать — взял эти данные и продал, или еще что-то сделал. Вот тогда 137-я статья применима. Но я не вижу, чтобы ее массово применяли к работникам».

В течение последнего года было несколько сообщений о крупных утечках персональных данных — например, из сервиса «Яндекс.Еда». Из последних примеров: хакеры опубликовали базу данных 3,5 млн пользователей почтового сервиса Mail.ru. Утечка включает электронные адреса, имена и фамилии пользователей, а также номера их телефонов. В VK, которая владеет Mail.ru, заявили, что в публичном доступе оказалась база, утерянная почти год назад по вине стороннего сервиса.

Оборотные штрафы за такие нарушения уже действуют в Европе. Только там штрафуют не за сами утечки, отмечает бизнес-консультант по информационной безопасности компании Positive Technologies Алексей Лукацкий:

Алексей Лукацкий бизнес-консультант по информационной безопасности компании Positive Technologies «Вся Европа живет ровно по этим правилам. Это европейская директива GDPR, которая уже несколько лет установила до 4% штрафа от оборота компании-нарушителя за несоблюдение мер защиты информации, которое повлекло за собой утечку персональных данных. Но здесь надо отметить, что как раз отличие в том, что у нас предполагается наказание за факт утечки независимо от выполнения либо невыполнения защитных мер, а в Европе наказывается нереализация защитных мер, повлекшая за собой нанесение ущерба субъектам персональных данных. То есть немного логика другая, хотя тоже речь идет об оборотных штрафах».

Оборотный штраф — это почти что высшая мера наказания для бизнеса. Хуже может быть только приостановка деятельности. Поэтому, наверное, штрафовать компании за утечки персональных данных можно и нужно, но злоупотреблять этим не стоит.

Довольно часто персональные данные утекают не из компаний, а из госструктур. А их оборотным штрафом не накажешь, потому что коммерческой деятельности они, как правило, не ведут. И собственных доходов не имеют.