Борьба с утечками персональных данных: неотвратимость штрафа важнее его размера
Шпунт корреспондент ComNews.ru
Разговоры о повышении штрафов для компаний, которые допустили утечки персональных данных, идут уже год с лишним. Похоже, что процесс согласования завершился, и в осеннюю сессию 2023 г. Госдума примет соответствующие поправки в законодательство РФ.
С одной стороны, повышение ответственности - мера не просто назревшая, а даже перезревшая. И до вала атак, одним из результатов которых стал кратный рост количества утечек данных из российских компаний, количество инцидентов постоянно и неуклонно росло. В 2022 году, как сообщил Роскомнадзор, объем утекших записей персональных данных превысил численность населения России. В 2023 году рост ускорился: за первые полгода количество инцидентов в годовом выражении выросло в четыре раза, а утекших данных - в 3,5 раза.
При этом наказание для нарушителей не ужесточалось. В итоге даже виновники крупных инцидентов отделывались незначительными выплатами. Например, штраф, который получила компания "Яндекс. Еда" за утечку данных 7 млн клиентов по всей России, составил лишь 60 тыс. руб.
https://www.comnews.ru/content/219965/2022-04-25/2022-w17/yandekseda-ot…
После утечки данных из "Яндекс. Еды" в России случилось еще несколько громких инцидентов, но и их виновники тоже отделались легким испугом. Впрочем, после утечки в сети медлабораторий "Гемотест" было возбуждено несколько уголовных дел, расследование которых продолжается, так что точка в процессе еще не поставлена. Но в целом, как показал анализ судебной практики, который провели аналитики InfoWatch, корреляция между тяжестью проступка и размером наказания до сих пор отсутствует.
https://www.comnews.ru/content/219322/2022-03-18/2022-w11/lish-40-narus…
Представим, что ответственность за утечки усилили. Приведет ли это к улучшению ситуации? Возможно, и то не сразу. Как показывает зарубежный опыт, например, накопленный в странах ЕС после введения норм GDPR в полном объеме, заметное улучшение наступило лишь через три года: после того как повышенным штрафам, в том числе оборотным, подвергли целые отрасли, причем с большим удельным весом рецидива. Данные по некоторым странам показывают, что уровень повторных нарушений в ряде особо запущенных сегментов достигал 75%.
Есть сомнения, что предложенные меры окажутся действенными. Так, в Совет по правам человека обратили внимание, что российский бизнес имеет более высокую маржинальность, чем европейский. В итоге даже оборотные штрафы за крупные утечки в случае рецидива, по максимальной ставке, могут не оказать существенного эффекта на нарушителей, и им будет проще принять такой риск и включить возможные расходы на штрафы в стоимость товаров или услуг.
Не исключено и то, что российский бизнес начнет создавать новые инсорсинговые структуры, единственной функцией которых будет обработка персональных данных. При этом оборот таких структур будет небольшим - как следствие, и величина оборотных штрафов для них окажется смехотворна.
В конце концов, виновники могут просто умышленно скрывать утечки. Впрочем, и сейчас уровень латентности такого рода инцидентов, по данным последней статистики InfoWatch, составляет около 80%, и большой разницы между разными странами нет. Наличие законодательного требования об уведомлении регуляторов о такого рода инцидентах также если и влияет, то мало.
Применительно к российским условиям такой сценарий видится, пожалуй, наиболее вероятным. Тем более, по некоторым данным, до 90% утечек данных в России по итогам 2022 года были из разряда фейковых - или полностью фальсифицированных, или полученных компиляцией из потерявших актуальность данных. Размещение информации о таких псевдоутечках стало одной из форм давления на компании, особенно в сегментах с высокой конкуренцией, или производится с целью снижения цены при M&A-сделках. Тем более что мониторинг информации об утечках - дело не слишком простое и требует длительного внедрения в ресурсы, которые отнюдь не общедоступны. Плюс ко всему, законодатели не оставляют попытки внести инициативы, которые по факту затрудняют или делают невозможным вести такой мониторинг, - например, пытаясь ввести полный запрет на использование ресурсов даркнета, где злоумышленники размещают украденные или утекшие данные.
По мнению многих представителей ИБ-сообщества и регуляторов, не меньше вреда нанес мораторий на плановые проверки, в том числе того же Роскомнадзора по профилактике нарушений законодательства по защите персональных данных. Этот мораторий продлен до 2030 года, пусть и с некоторыми оговорками. А в области ИБ профилактика не менее важна, чем в медицине.
Также важно безусловное соблюдение принципа неотвратимости наказания. С этим тоже далеко не все в порядке. По данным исследования судебной практики, которое провели аналитики InfoWatch, к ответственности привлекают лишь 40% нарушителей. Видя такую ситуацию, многим кажется, что проще не принимать никакие меры, и повышение штрафов или даже перевод нарушений в плоскость уголовных проступков вряд ли сильно поможет.