Государство ужесточит наказание за утечки персональных данных

По словам председателя комитета Госдумы РФ по информационной политике, информационным технологиям и связи Александра Хинштейна, за период осенней сессии парламента комитет вел работу над 36 законопроектами. Из них над шестью работу завершили. Четыре законопроекта Госдума приняла в трех окончательных чтениях. Все они уже подписаны президентом и стали федеральными законами. В целом за 2023 г. комитет провел 11 законов. Все они стали федеральными. Из наиболее знаковых законов Александр Хинштейн назвал введение долгожданной ответственности за утечки персональных данных.

"Это одна из самых острых и горячих тем. К сожалению, количество утечек не сокращается. Пока административная ответственность остается совсем смехотворной, не соответствует тяжести содеянного, не служит профилактическим фактором, никак не мотивирует участников рынка инвестировать в информационную безопасность. По нашему замыслу, административная ответственность будет серьезная. При повторном случае утечек будут введены оборотные штрафы. Максимальная сумма штрафа составит 500 млн руб. Также мы предлагаем ввести уголовную ответственность", - отметил Александр Хинштейн.

Также он напомнил о введении уголовной ответственности за передачу в места лишения свободы средств связи: "Раньше максимальная санкция за подобное нарушение составляла 5000 руб. независимо от количества таких нарушений. Теперь на первый раз будет штраф в размере 50 тыс. руб. При повторном нарушении - до двух лет лишения свободы. Четверть преступлений совершаются через мошеннические звонки. Но их количество уже сократилось после введения больших штрафов".

Руководитель отдела консалтинга и аудита системного интегратора в области информационной безопасности Angara Security Александр Хонин считает, что введение уголовной ответственности за повторные утечки персональных данных - это избыточная мера: "В России в принципе не проработаны меры наказания за утечки, а именно - не учитываются все факторы, при которых такие утечки могут происходить. Поэтому в первую очередь необходимо выстроить механизмы оборотных штрафов. При правильных подходах данная мера будет действенной и принесет плоды".

Руководитель департамента информационной безопасности компании "Сиссофт" Дмитрий Ковалев поразмышлял, как будет складываться ситуация с утечками персональных данных в дальнейшем: "Ужесточение законодательства, в частности уровень ответственности и объем штрафов, должно обратить внимание компаний на необходимость минимизировать риски утечек. Кибератак в 2024 г. меньше не станет. Однако шаги, которые должны будут предпринимать компании, чтобы выполнять требования регуляторов и государства, будут способствовать снижению вероятности утечек и усилению информационной безопасности".

Ведущий консультант по информационной безопасности компании Innostage, специализирующейся на решении задач в области кибербезопасности, Татьяна Никонорова уверена, что количество утечек в перспективе сократится в разы: "В настоящее время на утечки персональных данных обратили внимание все: бизнес, государство, пользователи. Проблема утечек стала очевидной. Рынок активно ищет решение, которое устраивало бы, с одной стороны, бизнес с точки зрения затрат на структуру защиты, с другой - государство и пользователей в разрезе ее обеспечения. Но в каком бы виде законопроект ни был принят в итоге, он в любом случае положит начало к выстраиванию адекватных систем защиты данных, мотивированных на ее обеспечение, а не на выплату номинального штрафа. В результате количество утечек сократится в разы".

Александр Хонин считает, что пока рано давать какие-либо прогнозы: "Сейчас сложно спрогнозировать, станет ли меньше фактов утечки персональных данных в связи с ужесточением законодательства. Пока не до конца понятны критерии и условия оборотных штрафов, при которых они будут применяться. С одной стороны, ужесточение законодательства должно вызвать повышение ответственности в области обработки и защиты персональных данных. С другой стороны, может быть и обратный эффект, когда подобные утечки будут "замалчиваться", что и происходит в том числе в настоящее время".

Александр Хинштейн рассказал, какой главный вектор работы комитета в плане утечек персональных данных на 2024 г.: "По нашему замыслу, основанием для проверок должен стать сам факт поступившей информации об утечке. Пока, к сожалению, проверка Роскомнадзором утечки персональных данных происходит по очень сложной схеме. Должно быть или решение правительства РФ или поручение прокуратуры. И даже понимая и зная, что утечка есть, Роскомнадзор не может просто прийти и проверить. Получается абсурдная ситуация. С одной стороны, мы говорим, что нужно навести порядок, вводим штрафы, ужесточаем ответственность. С другой стороны, даже по установленным и выявленным фактам утечек регулятор не может прийти и объективно во всем разобраться. Если виновный в утечке не хочет пускать регулятора, он вправе его не пустить. В нашем законопроекте предусматривается, что само наличие информации об утечке будет являться основанием для внеплановых проверок".