В законопроекте предлагается ввести оборотный штраф до 3% выручки за повторную утечку данных.
Комиссия кабмина РФ по законопроектной деятельности поддержала проект поправок к Кодексу РФ об административных правонарушениях (КоАП), повышающий штраф за утечку персональных данных и устанавливающий оборотные штрафы в случае повторной утечки. Об этом сообщил один из авторов инициативы, глава комитета Госдумы по информполитике Александр Хинштейн.
Документ оформлен как поправки в Кодекс об административных нарушениях. Согласно инициативе, за утечку, если она касается от 1 тыс. до 10 тыс. субъектов персональных данных (то есть граждан), штраф для юрлиц составит от 3 млн до 5 млн руб.; за утечку данных от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн руб.; более 100 тыс. — от 10 млн до 15 млн руб.
За повторное нарушение при любом объеме дискредитированной информации от 1 тыс. субъектов предлагается штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб. За утечки биометрических персональных данных предлагается штрафовать юрлица на сумму от 15 млн до 20 млн руб. Также проект предлагает ввести штрафы различного размера за утечки персональных лиц для граждан и должностных лиц.
В пояснительной записке к проекту приводятся данные «Лаборатории Касперского»: в 2022 году было обнаружено 168 случаев публикации значимых баз данных, относящихся к российским компаниям. Всего было опубликовано более 2 млрд записей почти с 300 млн пользовательских данных, из которых 16% содержали пароли. Лидерами по объему скомпрометированных данных были сферы доставки (34%) и ретейл (14%). При этом сейчас максимальный штраф для компаний, допустивших утечки персональных данных, составляет до 100 тыс. руб. и до 300 тыс. руб. при повторном нарушении.
В Ассоциации больших данных полагают, что смягчение наказания заставит корпорации инвестировать в информационную безопасность. Ассоциация больших данных направила 4 августа в Минцифры, Минэкономразвития и Минюст негативный отзыв на проект, предусматривающий оборотные штрафы за утечку персональных данных. В ассоциацию входят «Яндекс», VK, Сбербанк, «Газпромбанк», «Тинькофф Банк», «Россельхозбанк», «Мегафон», «Ростелеком», QIWI, «Билайн», МТС, «Авито», фонд «Сколково», Аналитический центр при правительстве, ВТБ, Центр стратегических разработок.
Ассоциация считает, что законопроект в текущей редакции не достигнет заявленных целей и даже снизит инвестиции в защиту персональных данных. По мнению аналитиков, административная ответственность вводится при фактическом отсутствии вины корпораций. Так, бизнес накажут, даже если он сделал все от него зависящее для защиты данных, но информационную систему взломали хакеры. При этом оборотные штрафы приведут к максимальной финансовой нагрузке на компании с относительно небольшой выручкой.
Кроме того, смягчение или отсутствие штрафа для компании, которая сделала все необходимое для предотвращения утечек, будет лучше мотивировать бизнес защищать персональные данные, считают в ассоциации. Например, это позволит бизнесу проводить аудиты в сфере информационной безопасности. Такой путь повысил бы защищенность персональных данных и сократил количество утечек.