Виновников утечек можно строго наказывать уже сейчас
20 июля в Международном мультимедийном пресс-центре агентства "РИА Новости" прошла пресс-конференция "Защита персональных данных россиян: достижения и проблемы". Она была посвящена изменениям в законодательстве о защите персональных данных, которые приняты в конце весенней сессии Государственной Думы и дальнейшим планам по их совершенствованию.
Председатель Комитета Госдумы РФ по информационной политике, информационным технологиям и связи Александр Хинштейн среди мер, которые только будут приняты, назвал то, что к ответственности теперь будут привлекать не только непосредственных виновников утечек, но и тех, кто распространяет полученные в ходе них данные. Будет увеличиваться и ответственность для виновников утечек, вплоть до уголовной. Хотя Александр Хинштейн отметил, что никто не мешает привлекать виновников утечек уже сейчас, так как значительная часть эпизодов вполне подпадает под ст.293 УК РФ (халатность). Особенно это относится к сотрудникам госучреждений, по вине которых происходит немало утечек данных.
"Хищения персональных данных должны являться предметом уголовного наказания. Ведется работа по подготовке соответствующих инициатив, - сообщил Александр Хинштейн. - Наш комитет и Госдума в целом осознают всю серьезность вопросов утечек и незаконного оборота персональных данных. За это должна быть соразмерная ответственность". При этом персональные данные не должны быть объектом купли-продажи. Также Александр Хинштейн выступил против создания биржи больших данных. По его мнению, обработка таких данных может привести к их деанонимизации со всеми вытекающими последствиями.
"Являются ли имуществом персональные данные? Мы консультируемся с правоведами, начинаем делать запросы по этому поводу. Утверждается, что преступное манипулирование не является хищением. Но база данных - это уже результат труда, имущество, которое имеет ценность. Если это признается имуществом, тогда уголовные статьи начнут работать и появится возможность сделать наказание жестче", - заявил советник президента РФ, председатель Совета при президенте РФ по развитию гражданского общества и правам человека Валерий Фадеев. Также он, сославшись на данные компании DLBI, заявил, что есть примеры привлечения к уголовной ответственности тех, кто занимался так называемым "черным пробивом" или продажей данных.
Другой мерой являются оборотные штрафы, но тут, по мнению председателя профильного комитета нижней палаты, необходима осторожность. По мнению Александра Хинштейна, если прямой вины компании нет, а данные похищены в результате атаки извне, применять такую меру не стоит.
Однако член СПЧ, управляющий партнер, генеральный директор компании "Ашманов и партнеры" Игорь Ашманов, наоборот, назвал слишком осторожное использование такой меры результатом лоббизма бизнеса, который, по его мнению, и является конечным бенефициаром сбора персональных данных, в том числе биометрических. Спецслужбы и правоохранительные органы, по его словам, не заинтересованы в тотальном сборе данных того же видеонаблюдения, однако они очень интересны банкам. Штраф в 1% от оборота, по мнению Игоря Ашманова, не является действенной мерой с учетом маржинальности бизнеса в российских условиях.
Также Игорь Ашманов призвал регламентировать поведение в цифровом пространстве. Это может быть как единый документ, так и набор разных законов, где были бы заданы правила игры в цифровом пространстве для бизнеса, государства и граждан. По его словам, такая работа уже ведется. Законодательство по защите персональных данных - важный элемент такого цифрового кодекса, но одного его недостаточно. Необходимы четкие правила игры, аналогичные правилам дорожного движения.
Директор центра разработки Artezio Дмитрий Паршин считает, что важно обеспечить практическую ценность любых законодательных инициатив, которые создаются для стимулирования рынка ИТ: "Если цифровой кодекс принесет практическую пользу, то его разработка и существование, безусловно, будут оправданны. Но сейчас достаточно сложно прогнозировать развитие ИТ-индустрии и тем более законодательно закреплять какие-то прогнозы и регламенты. Сложность заключается в том, что многие технологии и подходы к разработке программных и аппаратных решений постоянно изменяются. Кроме этого, на индустрию оказывают влияние внешние факторы. Например, пандемия подстегнула разработку решений, упрощающих дистанционное взаимодействие людей, стала стимулом для создания и внедрения новых инструментов автоматизации бизнес-процессов. За последние два года ситуация на рынке ИТ-решений серьезно изменилась, обострилась нехватка кадров в ИТ и другие проблемы, связанные с повышенным спросом на цифровые продукты. Поэтому, если бы сейчас мы имели на руках какой-то законодательный прогноз или регламент, принятый до начала пандемии, его бы пришлось серьезно менять, выставлять новые приоритеты".
Президент IW Group Алексей Синица напоминает, что разговоры о разработке цифрового кодекса идут давно, но создание документов постоянно откладывалось, и в целом в сегодняшних реалиях цифровой кодекс создавать нет смысла: отрасль динамически изменяется и процесс еще идет. "Любой документ, созданный сегодня, уже завтра рискует быть неактуальным, а значит, будет тормозить отрасль в развитии. Все, что необходимо сегодня ИT-сегменту, - это помощь и поддержка со стороны государства и бизнеса. Впереди очень много работы по восстановлению, импортозамещению глобальных продуктов и сервисов, цифровизации отраслей и бизнеса. В данный момент невозможно сказать, что цифровизация у нас в стране состоялась: у нас еще огромный океан задач и возможностей. А составлять законы необходимо на стабильной платформе. Повторюсь, главное сейчас - поддерживать, а не создавать новые барьеры внутри. Если смотреть на перспективу, то становится ясно, что рано или поздно "цифровой кодекс" в нашей стране появится. Понятно, что это задача, над которой необходимо работать не один год. В обсуждении законопроекта должны принимать участие все заинтересованные стороны - разработчики ПО, поставщики инфраструктурных решений, операторы связи, сервис-провайдеры и др.", - говорит он.
"На мой взгляд, законодательная инициатива в сфере ИТ должна фокусироваться на поддержке технологической инициативы, создавать условия для комфортной работы ИТ-компаний и свободного внедрения новых решений. Сейчас в ИТ много нерешенных проблем, которые требуют внимания законодателей. Одна из них - это повышение качества подготовки кадров и выпуск достаточного количества востребованных специалистов. Еще одна задача - стимулирование разработки доступного инструментария для разработчиков, который мог бы применяться российскими компаниями в случае отсутствия аналогичного решения, - полагает Дмитрий Паршин. - Иными словами, перед ИТ стоит много ключевых задач, которые нуждаются в законодательной поддержке и видятся наиболее приоритетными сегодня, чем разработка общего "цифрового кодекса" с прогнозами и регламентами работы".
Директор по правовым вопросам "МойОфис" Константин Кокурин рекомендует сосредоточиться на содержании норм, а не на их форме: "В правовом регулировании вопросов в различных областях экономики, включая ИТ, приоритетное значение имеет именно содержание применимых норм, а не форма правовых актов, в которых они отражены. В области ИТ важной задачей остается устранение "белых пятен" и спорных вопросов через уточнение и конкретизацию уже действующего нормативно-правового инструментария. Будет ли это сделано в рамках нового кодекса, который будет являться федеральным законом, либо в форме изменений к уже действующим федеральным законам - вопрос вторичный".