Утечки персональных данных хотят укротить рублём

​​​​

По данным главы Минцифры Максута Шадаева, каждое третье преступление сегодня связано с использованием цифровых технологий, а раскрываемость по ним хуже, чем по другим нарушениям закона. После вступления в силу изменений в Кодекс РФ об административных правонарушениях операторам персональных данных грозят крупные штрафы за утечку. А вот компенсация пострадавшим на сегодняшний день по-прежнему не предусмотрена. Данные граждан собираются всеми, кому не лень,в избыточном объёме – это создаёт дополнительные риски.

Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» вступит в силу через 180 дней – с 30 мая 2025 года. Согласно документу, в случае незаконной передачи данных 1–10 тыс. человек должностным лицам государственного или муниципального органа либо некоммерческой организации грозит штраф от 200 тыс. до 400 тыс. рублей, ИП и компаниям – от 3 до 5 млн руб. Такие же штрафные санкции предусмотрены в случае утечки данных от 10 до 100 тыс. идентификаторов физических лиц. Отказ заключить, исполнить, изменить или расторгнуть договор с потребителем из-за отказа от идентификации по биометрии повлечёт для должностных лиц и ИП штраф в размере 50–100 тыс. рублей, для компаний – 200–500 тыс.

В 2022 году Минцифры задумывалось о создании специального фонда для выплаты компенсаций россиянам, данные которых утекли третьим лицам, но от этой идеи в конце концов отказались. В начале ноября 2024 года председатель рабочей группы Всероссийского союза страховщиков по страхованию информационных рисков Владимир Новиков предложил выплачивать пострадавшим 1–5 тыс. рублей на человека в зависимости от типа украденных данных. Но вопрос снова был снят с обсуждения. В итоге среди нововведений пункта о компенсации тем, чьи данные оказались в открытом доступе, по-прежнему нет.

Объединение данных – угроза нацбезопасности

Новый закон окажет оздоровительный эффект на сферу обработки персональных данных, считает кандидат юридических наук и общественный деятель Анна Швабауэр. Вопрос со страхованием и компенсациями гражданам сейчас подвешен, но, судя по комментариям чиновников, к его обсуждению ещё вернутся. Юридически он непрост и требует серьёзной проработки большого количества неоднозначных моментов: например, механизма и методики определения ущерба, виновных, выявления причин страхового события.

– Основная проблема в другом: на сегодняшний день данные подавляющего большинства населения России уже утекли. Причём из разных точек. И есть реальная сложность с установлением источника утечки, – объясняет эксперт. – Никакие базы не имеют стопроцентной гарантии безопасности персональных данных. Главная защита человека – его конституционное право самостоятельно решать вопросы управления информацией о частной жизни, а также соглашаться на обработку персональных данных или отказываться от неё.

Угрозой национальной, личной и информационной безопасности юрист считает создание государством огромного количества централизованных информационных систем во всех сферах жизни, а также единой биометрической системы.

Слив данных в единые базы (например, в Единый федеральный информационный реестр) часто происходит без получения согласия владельца. Это нарушение Конституции.

Людям «выкручивают руки» при получении госуслуг, требуя подписать согласие на обработку данных с идентификацией по СНИЛС. Хотя для этого должно быть достаточно факта подачи заявления на предоставление услуги и документа, удостоверяющего личность.

– Зачем складывать яйца в одну корзину, давая злоумышленникам и врагам России оружие – ключ ко всему населению с детализацией чувствительных личных данных? Самым лучшим вариантом защиты персональных данных была бы ликвидация централизованных баз или как минимум запрет на сбор в них данных о детях. Для взрослых должен быть исключительно добровольный сбор, без ущерба прав и санкций за отказ. Ничто не мешает для управления страной или регионом использовать статистические данные, без персонификации.

При этом надо учитывать, что «обезличивание» персональных данных не решает проблему, поскольку это те же самые данные, но под чётко определённым идентификатором. Их деобезличивание всегда возможно, – делится своим мнением с «Октагоном» собеседница.

За информационную безопасность придётся заплатить

Беспокойство граждан о компенсации ущерба понять можно – нарушений в сфере персональных данных стало слишком много. Однако Кодекс об административных правонарушениях не может содержать нормы страховании и и информацию о компенсациях, объясняет адвокат Олег Матюнин.

– Обязательные виды страхования регулируются отдельными федеральными законами. – рассказывает эксперт. – Что касается денежных выплат пострадавшим, то их взыскание возможно в любом случае – на основаниях и в порядке, установленных гражданским законодательством. Например, в виде возмещения причинённого реального ущерба, упущенной выгоды или компенсации морального вреда.

Сегодня персональные данные собирают все – от салонов красот до управляющих компаний, большинство из которых не задумываются об их грамотном хранении. К тому же у мелких компаний просто нет средств на обеспечение защиты информации.

Персональные данные россиян собирают все – от МФЦ до салонов красоты. Фото: Вадим Ахметов/URA.RU/ТАСС

Начать наводить порядок в сфере информационного оборота следует с отказа от сбора избыточных данных, которые нужны бизнесу не для исполнения договора с клиентом, а «на всякий случай». Они собираются просто потому, что это технически просто, считает глава информационно-аналитической службы ОД «Информация для всех» Евгений Альтовский:

– Что дёшево достаётся и ценится так же. Если бизнес начнут реально «бить рублём» за необоснованный сбор персональных данных, а тем более за их утечку, ситуация быстро изменится. Пока же надзорные органы всеми силами увиливают от исполнения своих обязанностей в данной сфере. Никакие декларативные запреты и кары не перекроют каналы утечек.

Эффективность законопроекта, кажущегося на первый взгляд сбалансированным, подтвердит только его практическая реализация, считает директор компании, специализирующейся на защите персональных данных ООО «Комрунет» Фёдор Петрушенко.

– Штрафы, предусмотренные законом, не являются губительными для бизнеса, если компания действительно инвестировала в безопасность и приняла меры для защиты данных. Я не ожидаю, что через год после принятия документа утечки полностью прекратятся, но его принятие определённо улучшит ситуацию, поскольку увеличит финансирование в области цифровой безопасности, – комментирует он.

«Бизнес, возможно, переложит эти затраты на потребителей, но я, например, готов платить за услуги на два–три процента больше, если это повысит безопасность информационного пространства для меня и моих детей».

Фёдор Петрушенко
директор ООО «Комрунет»

Пока одни парламентарии пытаются бороться с цифровыми преступлениями штрафами, другие предлагают внести в существующие нормы коррективы, учитывающие современные тренды. Например, депутаты от «Новых людей» предложили указывать в согласии на обработку персональных данных, что информация будет обрабатываться, в том числе с использованием технологий искусственного интеллекта.

– Это предложение не учитывает отсутствие правового регулирования искусственного интеллекта в федеральном законе. Само понятие ИИ спорно. Ряд экспертов говорят, что это просто словоблудие, ибо интеллект не может быть искусственным: есть просто машинные алгоритмы. Для обработки машинными алгоритмами уже существует Федеральный закон «О персональных данных», в котором есть необходимые нормы и общее правило о допустимости такой обработки только с согласия самого человека, – указывает Анна Швабауэр.

Ольга Боровкова