В кабмин передан законопроект об уголовной ответственности за утечки персональных данных

Законопроект о введении уголовной ответственности за хищение, незаконное распространение и продажу личных данных российских граждан, который был разработан в Совете Федерации вместе с Минцифры РФ, направлен на рассмотрение в правительство.

В соответствии с представленной документацией, предлагается наказывать штрафами до 2 млн. рублей или тюремным заключением (в зависимости от тяжести преступления) до 6 лет, а в ряде случаев и до 10 лет. Соответствующее заявление сделали представители Минцифры РФ во время общения с журналистами агентства ТАСС.

«Проект закона о внесении изменений в УК РФ уже существует. Он был создан группой сенаторов при участии представителей Минцифры РФ. Этот проект закона поступил на рассмотрение правительством и уже согласован в министерстве», — об этом заявили в Минцифры РФ в ответ на запрос журналистов издания ТАСС.

В Минцифры РФ также отдельно подчеркнули, что проект поправок предполагает введение штрафов в размере от 300 тыс. до 2 млн. рублей за утечки персональных данных российских граждан. Кроме того, виновные лица могут быть наказаны тюремным заключением, в зависимости от тяжести преступления, сроком до 6 лет, а в некоторых случаях и до 10 лет.

В министерстве указали и на то, что в тех случаях, когда неправомерный сбор, использование, хранение и передача персональных данных российских граждан повлекли за собой тяжкие последствия, были совершены с применением служебного положения или организованы группой лиц, то суд может вполне рассматривать возможность назначения максимальной ответственности за совершение подобных преступлений.

В ситуациях, когда целенаправленные действия преступников привели к утечке существенных объемов персональных данных россиян, или же, когда публикация конфиденциальной информации представляет вред для конкретных граждан, то ответственность будет наступать вне зависимости от занимаемой виновными лицами должности, резюмировали в Минцифры РФ.

Александр Дворянский, директор департамента информационной безопасности и специальных решений Sitronics Group, прокомментировал внесение законопроекта об уголовной ответственности за утечки персональных данных в кабмин: «С одной стороны, текущие штрафы за утечку персональных данных сегодня незначительны. С другой стороны, введение уголовной ответственности маловероятно, так как фактически может «задушить» бизнес, так как помимо финансовых потерь, имиджевых и репутационных рисков, добавляется уголовная ответственность.

В текущей ситуации гораздо более вероятным видится введение оборотных штрафов (% от годового оборота компании). Ранее Минцифры уже выступала с инициативой об оборотных штрафах за утечку персональных данных. Введение оборотных штрафов позволит руководству бизнеса реально оценивать потенциальные риски и финансовые потери в случае утечки или компрометации персональных данных. Введение оборотных штрафов также положительно отразится на отношении руководителей к финансированию и выполнению необходимого комплекса требований по технической и организационной защите персональных данных.

Также планируется установить соразмерность штрафов за утечки объемам и критичности персональных данных, появившихся в незаконном обороте. Штрафы планируют применять в два этапа: за первую утечку штраф будет фиксированным, его размер будет зависеть от объема и критичности данных. В случае повторной утечки применяется оборотный штраф. Планируется так же предусмотреть процедуру добровольной аккредитации компаний по критериям информационной безопасности. Подобная аккредитация может стать подтверждением организационных и технических мер, реализованных компанией для защиты своей инфраструктуры от утечек персональных данных. Настоящая аккредитация, безусловно, потребует проведения аудитов на регулярной основе специализированными компаниями, подтверждающих выполнение всех необходимых требований».

Своим мнение поделился по этому поводу и Михаил Савельев, директор по развитию бизнеса компании «Гарда Технологии»: «Это безусловно правильная инициатива. Она, если не снизит число утечек, то, как минимум, скажется на каналах распространения утекшей информации. Злоумышленники будут многократно перепроверять запросы от покупателей, подозревая в них оперативников. Другое дело, что зачастую сами атаки и торговля украденными данными осуществляется на серверах вне юрисдикции российских правоохранительных органов и осуществляется за криптовалюты. Это означает, что реально привлечь злоумышленников к ответственности будет сложно.

Если говорить об ответственности компаний за недопущение утечек, то это подстегнет руководителей уделять большее внимание вопросам безопасности. Но проблема в том, что ни одна защита не обеспечивает 100% гарантии от утечки. К примеру, имея большой штат сотрудников, которым для работы с физлицами необходимы доступы к базам ПДн, гарантированно исключить фактор инсайдерской утечки фактически невозможно. Поэтому потребуется методика оценки действий компаний и определения того, что ими были предприняты должные действия по защите. Если такой методики не будет, то должности руководителей ИТ-подразделений и подразделений безопасности станут слишком рисковыми, что создаст проблемы для бизнеса».

Роман Мискевич, технический директор, ПО Anwork, отметил: «За последние 2 года случаи утечки данных приобрели беспрецедентный масштаб. Только за первое полугодие российский бизнес столкнулся с большим объемом утечек данных, составляющих коммерческую тайну, — этот показатель вырос на 45%. Самые громкие из них — утечка данных почти 50 миллионов пользователей, 6,9 миллиона телефонных номеров из-за недобросовестных действий одного из сотрудников “Яндекс.Еда”, 31 миллион строк с данными из 554 миллиона заказов пациентов “Гемотеста” из-за уязвимости в ИТ-системы компании. Последней громкой утечкой — стала потеря данных 500 миллионов пользователь популярного мессенджера WhatsApp, в том числе данные о 10 миллионах российских аккаунтов.

Основные каналы утечки данных — незащищенные средства коммуникации. Компаниям следует вводить изменения во внутренние корпоративные стандарты по обращению с критически важной информацией и обучать сотрудников. Руководителям или собственникам бизнеса необходимо использовать защищенные сервисы для внешних коммуникаций, а также инициировать регулярный аудит этих сервисов на предмет появления новых уязвимостей. Также стоит уделить внимание созданию новой или изменению действующей корпоративной культуры: установить в компании стандарты коммуникаций во внешнем периметре, ввести ответственность за их нарушение, но при этом обязательно формировать в коллективе атмосферу, которая будет способствовать повышению лояльности сотрудников«.