Утечки персональных данных в нашей стране стали привычной реальностью, но наказания за эти нарушения часто несоразмерны ущербу. К такому выводу пришли эксперты на круглом столе «Защищенность персональных данных: зарубежные практики и российская действительность» в пресс-центре ТАСС. Чтобы изменить ситуацию, они предлагают ужесточить наказание за кражу данных.

Время закручивать гайки?

По данным экспертно-аналитического центра InfoWatch, только в первом полугодии 2022 года в России насчитали 305 утечек — это на 45,9% больше, чем в аналогичном периоде 2021 года. В международном рейтинге кибербезопасности NCSI наша страна находится на 28-м месте. При населении 145,5 млн человек только в этом году в открытом доступе оказались более 230 млн записей с персональными данными россиян. Эти цифры озвучили на круглом столе.

При этом действующее законодательство в сфере защиты персональных данных нельзя назвать устаревшим или неадекватным, отметили эксперты. Проблема заключается в соразмерности наказаний. За правонарушения, связанные с утечкой личной информации, статья 13 КоАП РФ предусматривает штраф от 60 до 300 тыс. рублей. Для многих крупных компаний и маркетплейсов эта сумма не может стать «кнутом», который замотивирует их относиться к защите персональных данных ответственно и четко исполнять требования закона.

Зарубежная практика намного жестче. На Западе штрафные санкции нередко исчисляются миллионами. Например, в 2019 году Национальная комиссия по информационным технологиям и правам человека (CNIL) Франции оштрафовала Google на 50 млн евро за непрозрачность при согласии на обработку и использование персональных данных пользователей. А годом ранее Управление комиссара по информации Великобритании (ICO) наложило на авиакомпанию British Airways один из крупнейших штрафов в истории. Тогда за утечку 420 тыс. записей персональных данных пассажиров и работников перевозчик заплатил 204,6 млн евро.

«Уравнять крупные и малые компании»

Очевидно, что российское законодательство в области защиты личной информации нуждается в развитии. С 1 сентября уже усилили требования к операторам по обработке персональных данных — новый закон №266-ФЗ приблизил отечественные требования к положениям действующего в Евросоюзе Регламента по защите данных GDPR. Но останавливаться еще рано, уверены эксперты.

По мнению специалистов в сфере защиты персональных данных, есть еще несколько важных моментов, которые нужно прописать в законодательстве. Это, в частности, предоставление права обработки значительных массивов персональных данных только тем организациям, которые смогут, с одной стороны, доказать свою способность надежно защитить эту информацию, а с другой — обеспечить свободный доступ к своим данным.

Также важно привязать размер наказания к объему выручки компании, которая допустила утечку данных. Такая практика называется «оборотными штрафами». Ее успешно применяют, например, при нарушениях антимонопольного законодательства. Поскольку пренебрежение защитой персональных данных потенциально может привести к большим финансовым или репутационным потерям пострадавших, логично использовать такие штрафы для повышения ответственности компаний-операторов.

— Оборотные штрафы хороши не только своей величиной, которая заставляет вкладываться в защиту персональных данных, но и тем, что эта система позволяет уравнять крупные и малые компании, — сказал и. о. директора Института конкурентной политики и регулирования рынков НИУ ВШЭ Олег Москвитин.

Эта идея достаточно взвешенная, особенно если за первое нарушение будет налагаться фиксированный штраф, добавил эксперт.

Некоторые специалисты считают оборотные штрафы чуть ли не единственным рабочим инструментом в решении таких проблем.

— Инициативы нашего профильного министерства касались оборотных штрафов компаний, которые допускают утечку. Отлично, этого достаточно, — убежден руководитель агентства Content Review Сергей Половников. — Это единственный способ, за рубежом с помощью него очень хорошо все регулируют. Просто эти штрафы должны быть неизбежными и крупными. Тогда будет защита.

«Надо наказывать жестко»

Еще одна возможная новация, которую предлагают эксперты — увеличение размеров штрафов для конкретных сотрудников, которые допустили утечку данных. Сейчас за «дырявые» системы безопасности расплачиваются главным образом юридические лица — компании, которым ничего не стоит сразу заложить в свои цены потери от неработающей защиты. В результате даже незначительные штрафы, что сегодня прописаны в КоАП, оплачивают, по сути, сами жертвы утечек.

И, наконец, самым радикальным способом борьбы с утечками может стать криминализация их нелегального использования. Естественно, только когда речь идет о заведомо противоправных случаях. Если за кражу, распространение и использование персональных данных ввести уголовную ответственность, борьба с хакерами и мошенниками пойдет значительно эффективнее, уверены эксперты.

— Мы видим новости о продажах целых баз персональных данных детей, — говорит Олег Москвитин. — Это надо наказывать жестко, вводить дополнительные составы в Уголовный кодекс, потому что уголовная ответственность позволяет существенно сдерживать такие нарушения.

Он подчеркнул, что важен не сам факт наличия уголовной ответственности, а неотвратимость преследования. При этом за мелкие нарушения в работе с персональными данными лишение свободы применять не стоит.

— Мы предлагаем вводить уголовную ответственность за намеренный несанкционированный доступ и распространение персональных данных со злым умыслом, — добавил юрист коллегии адвокатов «Муранов, Черняков и партнеры» Алим Березгов. — Привлекать к уголовной ответственности нужно за серьезные нарушения, такие как незаконное приобретение персональных данных несовершеннолетних и их последующие распространение и продажа.

Эту же позицию последовательно занимает Роскомнадзор. Руководитель ведомства Андрей Липов ранее заявлял, что «только так можно остановить вал преступлений, связанных с утечками и незаконной продажей чувствительной для россиян информации». Кроме того, в августе глава Роскомнадзора подчеркнул, что компании, которые допустили утечки персональных данных, обычно виноваты только в нарушении мер защиты. Но действия тех, кто крадет и перепродает эту информацию, необходимо признать преступными, чтобы привлекать виновных к ответственности по всей строгости закона.