В январе этого года Государственная дума РФ приняла в первом чтении поправки в Кодекс об административных правонарушениях и Уголовный кодекс об усилении ответственности за утечку персональных данных.
«Информационные технологии вошли в нашу жизнь, касаются уже каждого человека, каждой семьи. Вместе с этим возросли и риски: участились случаи, когда персональные данные попадают в руки мошенников. К нам обращаются граждане с просьбой решить эту проблему», — сказал председатель Госдумы Вячеслав Володин.
Что готовит новый закон?
Сейчас компании, допустившие утечки личных данных клиентов, могут привлечь к ответственности по части 1 статьи 13.11 КоАП. Она предусматривает максимальный размер штрафа для юридических лиц до 100 тысяч рублей, а при повторном совершении правонарушения — до 300 тысяч рублей.
«Указанный размер штрафа не соразмерен с возможными последствиями от произошедших утечек. Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений», — говорится в пояснительной записке.
Так, советник, глава практики цифрового права и интеллектуальной собственности Владислав Елговский SEAMLESS Legal и юрист практики цифрового права и интеллектуальной собственности Елизавета Исаева SEAMLESS Legal отмечают, что не всегда за повторное нарушение компанию могут наказать большим штрафом. В деле ПАО «Вымпел-Коммуникации» суд назначил штраф в размере 100 тыс. рублей за повторную утечку.
«В целом штрафы сейчас являются очень маленькими в разрезе крупного бизнеса. Этот факт часто отмечается как недостаток российского законодательства, так как потенциальный штраф значительно ниже расходов на защиту от утечек, что делает для компаний нарушение экономически более эффективной опцией», — подчеркивают специалисты.
В Госдуме РФ уже находится законопроект, который может ужесточить наказания за слив персональных данных. Инициаторы уверены, что это поможет подтолкнуть бизнес к развитию инфраструктуры информационной безопасности и защитить личные данные клиентов.
Законотворцы предложили назначать штрафы для компаний, у которых впервые утекли данных клиентов в Сеть, в зависимости от количества записей, оказавшихся в открытом доступе. Цена «расплаты» будет варьироваться от 3 млн рублей до 15 млн рублей. Также инициаторы законопроекта установили наказание и для тех компаний, кто упустил персональные данные граждан повторно.
«За повторные утечки мы предлагаем ввести оборотные штрафы от 0,1 до 3% выручки за календарный год или за часть текущего года, не менее 15 млн рублей и не более 500 млн рублей», — рассказал в своем Telegram-канале один из соавторов инициативы глава комитета Госдумы по информполитике Александр Хинштейн.
За период с января по июнь 2022 года каждое четвертое преступление совершено с использованием информационно-телекоммуникационных технологий (ИТТ), а по итогам 2021 года зарегистрировано 517,7 тыс. преступлений, совершенных с использованием ИТТ или в сфере компьютерной информации, что на 1,4% больше, чем за аналогичный период 2020 года. К тяжким и особо тяжким из них относят 55,7%, среди которых кражи или мошенничества – 9,9%, совершенные с целью незаконного производства, сбыта или пересылки наркотических средств.
Что касается уголовной ответственности, то за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем, а также за создание информационных ресурсов, распространяющих такие данные, злоумышленнику может грозить тюремное заключение вплоть до 10 лет.
Громкие скандалы
Как отмечает юрист адвокатского бюро Asterisk Софья Волкова, такие компании, как Яндекс или VK регулярно оказываются в центре скандалов, связанных с утечкой персональных данных. И не только они.
«В марте 2022 года сервис доставки «Яндекс.Еда» сообщил об утечке данных тысяч пользователей и миллионов информационных строк, а в январе 2023 года в открытом доступе оказались данные 3,5 млн пользователей Mail.ru. Эти случаи наиболее громкие, но не единичные», — добавила она.
Но какими бы громкими скандалы или судебные разбирательства не были, они не заканчиваются адекватными цифрами штрафов и компенсаций. После каждого подобного эпизода Роскомнадзор обращается в суд с заявлением о привлечении компании к административной ответственности на основании протокола об административном правонарушении по части 1 статьи 13.11 КоАП. Но может потребовать от бизнеса только штраф в размере до 100 тысяч рублей.
«Понятно, что для крупной компании подобные штрафы не выглядят хоть сколько-нибудь серьезно, так как нет весомого наказания за утечку персональных данных. Также нет и должного внимания и осторожности со стороны операторов к проблеме слива личных данных клиентов. А количество инцидентов продолжает набирать обороты», — рассказала в комментарии «Сфере» Софья Волкова.
Владислав Елтовский и Елизавета Исаева отметили, что в историях, связанных с утечками персональной информации, фигурировали такие компании, как СДЭК, ВТБ, Wildberries, «Билайн» и ряд других крупных предприятий.
«Одними из самых известных в 2023 году были утечки информации о пользователях программы лояльности Сбербанка «Спасибо» (более 50 млн записей) и клиентах Спортмастера (более 58 млн записей). Также привлекло к себе внимание дело об утечке в МТС-Банке, так как были предположения, что утекли и данные о банковских картах пользователей», — добавляют спикеры.
Количество утечек в 2024 году не стремится к уменьшению. Так, с начала этого года за утечку персональных данных были оштрафованы такие крупные компании, как:
- ООО «Издательство АСТ» (дело № 12-0529/2024)
- ООО «Литрес» (дело № 05-0019/376/2024)
- ООО «Никамед» (дело № 05-0381/349/2024)
- ООО «Аптечная сеть «Эвалар» (дело № 05-0109/425/2024)
На ком ответственность?
Юрист адвокатского бюро Asterisk замечает, что сейчас компании, допустившие кражу данных мало того, что не несут большой административной ответственности перед государством, но и перед непосредственными жертвами, чьи личные номера телефонов или карт утекли в Сеть.
«Несколько пользователей, пострадавших от истории утечек «Яндекс.Еды», получили компенсации всего в размере 5 000 рублей. Это связано с тем, что в России получить справедливую компенсацию за моральный вред в принципе крайне сложно», — комментирует случай Софья Волкова.
Для получения какой-либо справедливой компенсации через суд гражданину потребуется доказать не только факт нарушения, но характер и объем нравственных страданий.
«Истцам придется доказать, что из-за утечки данных для них наступили реальные негативные последствия, которые могли выразиться, например, в болезни или краже из квартиры. Однако будет крайне проблематично доказать наличие причинно-следственной связи между сливом информации и кражей», — добавляет эксперт.
Почему «утекают» данные?
Причин для утечки персональных данных может быть несколько. Владислав Елтовский и Елизавета Исаева, в частности, относят к ним уход крупных иностранных компаний из России из-за санкций. Это привело к повсеместному появлению уязвимостей в информационных системах отечественных компаний. Кроме того, растет и «квалификация» злоумышленников. В своей незаконной деятельности они могут использовать не только уязвимости систем и спланированные атаки, но и обман сотрудников компаний, в том числе с использованием искусственного интеллекта.
Из объективных причин, почему число утечек растет, эксперты называют и цифровизацию экономики в целом. Крупные игроки рынка электронной коммерции или компании в сфере связи создают крупные хранилища данных своих пользователей, которые и являются основными мишенями для хакеров. Кроме того, не стоит сбрасывать геополитическую обстановку. Она влияет на повышенную активность хакеров и атак на инфраструктуру различных стран, включая Россию.
