- Специальный корреспондент
Минцифры предлагает перейти на персональную ответственность за утечки данных. Регулятор доработал законопроект об оборотных штрафах и внес в него материальную ответственность для должностных лиц. Руководителей компаний хотят наказывать за халатность в обращении с внутренней информацией на 200-400 тыс. руб. Представители отрасли, в свою очередь, предлагают направлять деньги пострадавшим от утечки, а не в казну.
[H2]Введение персональной ответственности [/H2]
Минцифры России доработало об оборотных штрафах и предусмотрело в нем ответственность для должностных лиц компании, допустившей утечку информации. Об этом пишут « » со ссылкой на документ, который будут 6 октября 2022 г. рассматривать на совещании вопросам регулирования законодательства в области персональных данных.
В новом варианте документа предусмотрены штрафы не только для организаций, не уследившими за утекшими данными, но и для их руководителей. Так, если в открытом доступе оказалось от 10-100 тыс. строчек, главу компании оштрафуют на 200-400 тыс. руб. Для индивидуальных предпринимателей и юридических лиц штраф за аналогичный инцидент составит 0,02% оборота, но не меньше 1 млн руб.
Сейчас в КоАП прописаны штрафы за утечку данных только для , и они довольно скромные. 60-100 тыс. руб. компания должна уплатить при первой утечке, при повторной – до 500 тыс. руб.
По данным Group-B, общее количество строк всех «летних сливов» составило 304 млн
Что касается более крупных инцидентов – например, если в сети оказалась база данных, содержащая больше 100 тыс. записей, к компании применят жесткие штрафы в размере 1% годовой выручки и до 3%, если она попыталась скрыть проблему от Роскомнадзора.
В обновленной версии документа также указано, что оборотные штрафы применят и в том в случае, утекшие данные (в размере 10-100 тыс. записей) позволяют определить их принадлежность не менее чем 1000 конкретным субъектам. Что касается «сливов» больше 100 тыс. строк, будет проанализировано, затронуты ли напрямую 10 тыс. владельцев персональных данных. Таким образом, жестко карать компании за утечки «бесхозной» информации, которая не может потенциально навредить конкретным людям, регулятор все же не будет.
[H2]Брешь в законодательстве[/H2]
представители рынка соглашаются, что необходимость в ужесточении наказания в области информационной безопасности назрела давно.
Эксперт по информационной безопасности компании Axenix (бывшая Accenture) Евгений Качуров в беседе с CNews заметил, что оборотные и иные штрафы в части утечек персональных данных являются предсказуемым шагом регулятора. По его мнению, изменения законодательства трансформируют подходы компаний в части защиты персональных данных, а значит, изменится и уровень ущерба от киберугроз.
«В западных странах уже давно введены подобные меры в GDPR (General Data Protection Regulation) и оборотный штраф там составляет 4%, – уточнил эксперт. – Однако там может быть наложен крупный штраф не только за утечку персональных данных, но и за иные нарушения»
Качуров вспомнил отчет аналитиков Tessian, в котором сообщается, что с 2020 по 2022 гг. одним из самых крупнейших штрафов (около $877 млн) стал штраф, наложенный на компанию Amazon, предположительно из-за отсутствия согласия пользователей на использование файлов cookie.
Ведущий CorpSoft24 в беседе с CNews согласился, что в законодательстве необходимо скорее закрывать, так как сейчас максимальный штраф за утечку составляет 100 тыс. руб., а по факту присуждают штрафы в районе 60 тыс. руб.
«Любой компании экономически выгоднее заплатить небольшой штраф, чем держать в штате специалиста по безопасности, который может обходиться бюджету в сумму пяти штрафов в месяц, – объяснил Сергеев. – Поэтому штраф должен быть именно оборотный, чтобы не погубить небольшие организации. И, кстати, есть смысл распределять эти деньги между пострадавшими от , а не направлять их в бюджет».
[H2]История законопроекта[/H2]
Напомним, в мае 2022 г. стало известно, что В России могут в миллионы раз штрафы за утечку персональных данных, допущенных их операторами. Речь шла об 1% годового дохода компании. Минцифры планировало подготовить поправки к КоАП и направить их в Госдуму до конца 2022 г.
В июле 2022 г. регулятор пошел на смягчение. Это случилось после того, как представители «Ростелекома», МТС, «Вымпелкома», , «Яндекса», «Авито» и Ozon против введения неподъемных штрафов в условиях нестабильной экономической ситуации. В итоге Минцифры сообщило, что в законопроекте определят, что именно будет является объектом утечки персональных данных и как будет устанавливаться вина конкретной компании (так как злоумышленники часто выкладывают в сети компиляцию из разных баз, выдавая их за утекшие данные из конкретной компании).
В документе регулятор планировал учесть смягчающие и отягчающие обстоятельства (сокрытие факта утечки, попытки защитить информацию и т.д). Анонсировалась и процедура добровольной аккредитации компаний по критериям информационной безопасности – она может послужить подтверждением того, что организация пыталась защитить информацию. Появятся ли все эти пункты в обновленном законопроекте, пока неизвестно.
[H2]Введение персональной ответственности [/H2]
Минцифры России доработало об оборотных штрафах и предусмотрело в нем ответственность для должностных лиц компании, допустившей утечку информации. Об этом пишут « » со ссылкой на документ, который будут 6 октября 2022 г. рассматривать на совещании вопросам регулирования законодательства в области персональных данных.
В новом варианте документа предусмотрены штрафы не только для организаций, не уследившими за утекшими данными, но и для их руководителей. Так, если в открытом доступе оказалось от 10-100 тыс. строчек, главу компании оштрафуют на 200-400 тыс. руб. Для индивидуальных предпринимателей и юридических лиц штраф за аналогичный инцидент составит 0,02% оборота, но не меньше 1 млн руб.
Сейчас в КоАП прописаны штрафы за утечку данных только для , и они довольно скромные. 60-100 тыс. руб. компания должна уплатить при первой утечке, при повторной – до 500 тыс. руб.
По данным Group-B, общее количество строк всех «летних сливов» составило 304 млн
Что касается более крупных инцидентов – например, если в сети оказалась база данных, содержащая больше 100 тыс. записей, к компании применят жесткие штрафы в размере 1% годовой выручки и до 3%, если она попыталась скрыть проблему от Роскомнадзора.
В обновленной версии документа также указано, что оборотные штрафы применят и в том в случае, утекшие данные (в размере 10-100 тыс. записей) позволяют определить их принадлежность не менее чем 1000 конкретным субъектам. Что касается «сливов» больше 100 тыс. строк, будет проанализировано, затронуты ли напрямую 10 тыс. владельцев персональных данных. Таким образом, жестко карать компании за утечки «бесхозной» информации, которая не может потенциально навредить конкретным людям, регулятор все же не будет.
[H2]Брешь в законодательстве[/H2]
представители рынка соглашаются, что необходимость в ужесточении наказания в области информационной безопасности назрела давно.
Эксперт по информационной безопасности компании Axenix (бывшая Accenture) Евгений Качуров в беседе с CNews заметил, что оборотные и иные штрафы в части утечек персональных данных являются предсказуемым шагом регулятора. По его мнению, изменения законодательства трансформируют подходы компаний в части защиты персональных данных, а значит, изменится и уровень ущерба от киберугроз.
«В западных странах уже давно введены подобные меры в GDPR (General Data Protection Regulation) и оборотный штраф там составляет 4%, – уточнил эксперт. – Однако там может быть наложен крупный штраф не только за утечку персональных данных, но и за иные нарушения»
Качуров вспомнил отчет аналитиков Tessian, в котором сообщается, что с 2020 по 2022 гг. одним из самых крупнейших штрафов (около $877 млн) стал штраф, наложенный на компанию Amazon, предположительно из-за отсутствия согласия пользователей на использование файлов cookie.
Ведущий CorpSoft24 в беседе с CNews согласился, что в законодательстве необходимо скорее закрывать, так как сейчас максимальный штраф за утечку составляет 100 тыс. руб., а по факту присуждают штрафы в районе 60 тыс. руб.
«Любой компании экономически выгоднее заплатить небольшой штраф, чем держать в штате специалиста по безопасности, который может обходиться бюджету в сумму пяти штрафов в месяц, – объяснил Сергеев. – Поэтому штраф должен быть именно оборотный, чтобы не погубить небольшие организации. И, кстати, есть смысл распределять эти деньги между пострадавшими от , а не направлять их в бюджет».
[H2]История законопроекта[/H2]
Напомним, в мае 2022 г. стало известно, что В России могут в миллионы раз штрафы за утечку персональных данных, допущенных их операторами. Речь шла об 1% годового дохода компании. Минцифры планировало подготовить поправки к КоАП и направить их в Госдуму до конца 2022 г.
В июле 2022 г. регулятор пошел на смягчение. Это случилось после того, как представители «Ростелекома», МТС, «Вымпелкома», , «Яндекса», «Авито» и Ozon против введения неподъемных штрафов в условиях нестабильной экономической ситуации. В итоге Минцифры сообщило, что в законопроекте определят, что именно будет является объектом утечки персональных данных и как будет устанавливаться вина конкретной компании (так как злоумышленники часто выкладывают в сети компиляцию из разных баз, выдавая их за утекшие данные из конкретной компании).
В документе регулятор планировал учесть смягчающие и отягчающие обстоятельства (сокрытие факта утечки, попытки защитить информацию и т.д). Анонсировалась и процедура добровольной аккредитации компаний по критериям информационной безопасности – она может послужить подтверждением того, что организация пыталась защитить информацию. Появятся ли все эти пункты в обновленном законопроекте, пока неизвестно.
