В начале декабря прошлого года группа депутатов и сенаторов от «Единой России» внесли в Госдуму законопроект «О внесении изменений в КоАП в части усиления ответственности за нарушения порядка обработки ПД». Этого самого усиления мы ждали уже очень давно, и штрафы за утечки и некорректный сбор ПД действительно вырастут, вот только самое строгое наказание получат частные компании, а не чиновники и отдельно взятые граждане, организовавшие/допустившую утечку. Наши законотворцы тут явно решили пойти по китайской модели, однако и в Китае штрафы для компаний повыше, к тому же, там выделена категория критически значимых ПД гражданина вроде его биометрии, ПД детей младше 14 лет и т.д. РИА «Катюша» считает, что надо усиливать ответственность за утечки именно для чиновников и ответственных госорганов – вплоть до увольнений проштрафившихся госслужащих/айтишников. Спикер Госдумы Володин, по нашим данным, получил соответствующее предложение от общественников.
Утечки ПД граждан и компаний стали в наших реалиях перманентными, а преступные действия на базе этих утечек – будничными и касающимися каждого. По данным Генпрокуратуры РФ, в 2020 году произошло 510,3 тыс. преступлений в этой сфере. Они составили 25% среди всех преступлений, зарегистрированных в стране. Еще шесть лет назад в общей структуре преступности на их долю приходилось менее 2%. По данным опроса "Лаборатории Касперского" в 2021 году, каждая четвертая организация в России (24%) столкнулась с утечкой данных о сотрудниках в результате киберинцидента. При этом вы можете не знать, что ваши данные утекали. В 2020 году хакеры украли 250 тыс. баз данных и продавали каждую по $500. В 2018 году на одном из форумов за 8 биткойнов продавали сведения о 70 млн. пользователей Telegram.
По данным той же "Лаборатории Касперского", за 2022 год было зафиксировано 168 случаев публикаций значимых баз данных российских компаний. Всего было опубликовано более 2 млрд. записей или почти 300 млн. пользовательских данных, из которых 16% - около 48 млн.строк - содержали пароли… Большая часть пользовательских данных (64%) были скомпрометированы в результате атак на крупный бизнес.
Только по официальным данным, за первые полгода 2023 г. в российских организациях произошло 76 утечек. Это в четыре раза больше, чем за аналогичный период в прошлом году, отметили в Роскомнадзоре. Причем в сеть попадала не только техническая документация фирм, но и личные данные россиян – от номера телефона до перечня последних покупок. Как рассказали РИА «Новости» в Роскачестве, около четверти всех инцидентов с конфиденциальной информацией происходит в компаниях ритейла, а каждый двенадцатый — в финансовых и ИТ-организациях. Только за последние три месяца количество раскрытых учетных записей превысило десять миллионов.
По оценкам Сбербанка, данные уже 80 млн. россиян оказались в мошеннических базах. При этом количество украденных строк в целом уже превышает 500 миллионов. Сегодня за деньгами и данными граждан и компаний охотится около миллиона мошенников в русскоязычном теневом интернете.
Формально административная ответственность за утечку ПД в нашем законодательстве присутствует, но с учетом денег, которые можно заработать на их хищении, и ущерба, который могут в следствии этого понести люди, она носит символический характер. Штраф за утечку для граждан – от 2 до 6 тыс. рублей, для должностных лиц – 10-20 тыс. рублей, для юрлиц – 60-100 тыс. рублей. Как отмечает Ашот Оганесян, основатель компании DeviceLock, «на практике в России контролируется скорее формальная сторона – наличие регламентов и прочих документов, и если они в порядке, компании ничего не грозит в случае утечки».
И вот мы подошли к ключевому моменту. Какое же ужесточение наказания предлагают авторы ПФЗ № 502104-8 (https://sozd.duma.gov.ru/bill/502104-8), принятого Госдумой в первом чтении 21 января с.г.? В первой части рассматриваемых поправок в статью 13.11 КоАП РФ они хотят увеличить штраф за обработку ПД в случаях, не предусмотренных законодательством РФ в области ПД, а также за обработку, несовместимую с целью сбора: для граждан от 10 до 15 тыс. рублей, для должностных лиц – 50-100 тыс. рублей, юрлиц – 150-300 тыс. рублей.
За повторное совершение административного правонарушения, предусмотренного ч. 1 настоящей статьи, предусматривается наложение штрафа на граждан – 15-30 тыс. рублей, на должностных лиц – 100-200 тыс. рублей, на юрлиц – 300-500 тыс. рублей.
Дополнительно данную статью КОАП планируется дополнить частями 10-17 следующего содержания:
«10. Невыполнение и (или) несвоевременное выполнение оператором
предусмотренной законодательством РФ в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных,
влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей.
- Невыполнение и (или) несвоевременное выполнение оператором
предусмотренной законодательством РФ в области
персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае установления факта неправомерной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных,
влечет наложение административного штрафа на граждан в размере от
пятидесяти тысяч до ста тысяч рублей; на должностных лиц - от четырехсот тысяч до восьмисот тысяч рублей; на юридических лиц - от одного миллиона до трех миллионов рублей.
- Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от одной тысячи до десяти тысяч субъектов персональных данных, и (или) от десяти тысяч до ста тысяч уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц (далее - идентификаторы), если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния,
влечет наложение административного штрафа на граждан в размере от ста тысяч до двухсот тысяч рублей; на должностных лиц - от восьмисот тысяч до одного миллиона рублей; на юридических лиц - от трех миллионов до пяти миллионов рублей.
- Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от десяти тысяч до ста тысяч субъектов персональных данных, и (или) от ста тысяч до одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, -
влечет наложение административного штрафа на граждан в размере от двухсот тысяч до трехсот тысяч рублей; на должностных лиц - от одного миллиона до одного миллиона пятисот тысяч рублей; на юридических лиц - от пяти миллионов до десяти миллионов рублей.
- Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные более ста тысяч субъектов персональных данных, и (или) более одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, - влечет наложение административного штрафа на граждан в размере от трехсот тысяч до четырехсот тысяч рублей; на должностных лиц - от одного миллиона пятисот тысяч до двух миллионов рублей; на юридических лиц – от десяти миллионов до пятнадцати миллионов рублей.
- Совершение административного правонарушения, предусмотренного
частями 12-14 настоящей статьи, лицом, подвергнутым административному наказанию за административное правонарушение, предусмотренное частями 12 - 14 настоящей статьи,
влечет наложение административного штрафа на граждан в размере от
четырехсот тысяч до шестисот тысяч рублей; на должностных лиц - от двух миллионов до четырех миллионов рублей, на юридических лиц - от одной десятой процента до трех процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявленного административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, но не менее пятнадцати миллионов рублей и не более пятисот миллионов рублей.
- Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных,
влечет наложение административного штрафа на граждан в размере от
трехсот тысяч до четырехсот тысяч рублей; на должностных лиц - от одного миллиона пятисот тысяч до двух миллионов рублей; на юридических лиц – от десяти миллионов до пятнадцати миллионов рублей.
Не секрет, что, значительная часть отечественной политэлиты ориентируется на Запад. Так вот, 25 мая 2018 г. в Европейском Союзе вступил в силу закон, устанавливающий принципы и требования к защите персональных данных — General Data Protection Regulation (GDPR). Цель принятого закона — укрепить права субъектов персональных данных на территории ЕС. GDPR подразумевает более серьезную ответственность за несоблюдение правил хранения и обработки персональной информации и устанавливает глобальные стандарты защиты данных.
Согласно этому документу, за нарушение базовых принципов обработки данных, нарушение правил передачи персональных данных, игнорирование запрета надзорного органа на обработку данных, нарушение прав субъекта и др. на компанию будет наложен штраф в размере 4% от общего годового оборота предприятия или 20 млн евро (в зависимости от того, какая сумма окажется больше). За нарушение порядка уведомления об инциденте, отсутствие сотрудника по защите данных, где это необходимо, незаконную обработку ПД ребенка и др. предусмотрены меньшие, однако не менее существенные штрафы — 10 млн евро или 2% от общего годового оборота предприятия.
Закон, ограничивающий сбор пользовательских данных технологическими компаниями, был принят в Китае в 2021 г. Согласно ему, ни одна организация или индивидуальное лицо не должны незаконно собирать, использовать обрабатывать и передавать личную информацию, торговать ею, предоставлять или раскрывать данные других людей. Компаниям, нарушающим новые правила, будет грозить штраф в размере до 50 млн юаней ($7,7 млн) или до 5% их годовой выручки. Закон также предусматривает, что онлайн-платформы с большим количеством пользователей должны разработать подробные правила поведения сторон, предоставляющих услуги через эти платформы. Они должны четко определить нормы обработки данных и обязательства по защите личной информации провайдерами продуктов или услуг на онлайн-платформах.
Кроме того, в новом законе КНР предусмотрена категория чувствительной персональной информации. Это такая информация, утечка или незаконное использование которой приведет к серьезному ущербу для физических лиц, их безопасности, а также безопасности их имущества. В частности, это:
- Биометрическая информация;
- Религиозные убеждения;
- Информация о здоровье;
- Информация о счетах в финансовых учреждениях;
- Информация о геопозиции пользователя.
- личная информация несовершеннолетних до 14 лет. (https://apptractor.ru/info/articles/pipl.html)
Следует заметить, что 20 млн. евро по текущему курсу 97 руб. - это 1 млрд 940 млн. руб., а 50 млн юаней по текущему курсу 12,44 руб. – это 622 млн. руб. Поскольку максимальный штраф, предусмотренный нашим ПФЗ, не должен превышать пятисот млн. рублей, очевидно, что он ближе к китайской модели.
По сравнению с иностранным законодательством, наши законотворцы устанавливают самый низкий процент возможных штрафов, от 0,1 до 3% совокупного размера суммы выручки, против 4% в ЕС и 5% в КНР. Если уж разработчики законопроекта ориентировались на китайский вариант, то и соответствующий процент надо было установить такой же, как в Китае. Другим недостатком ПФЗ является то, что ответственность за утечку ПД начинается от одной тысячи . Таким образом, утечка данных, например, 950 человек по данному законопроекту остается безнаказанной. Естественно, с подобным подходом, оставляющим удобную лазейку злоумышленникам, согласиться никак нельзя и ответственность должна начинаться за утечку ПД одного человека.
Хотя в пояснительной записке и говорится, что «за утечку специальных категорий ПД, относящихся к наиболее чувствительным данным, предполагается установление повышенных административных штрафов», однако само это понятие в ПФЗ не раскрывается. Ст. 10 152-ФЗ предусматривает понятие «специальных категорий персональных данных», касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, однако в данном перечне отсутствуют такие важные составляющие, как биометрическая информация, информация о счетах в финансовых учреждениях, информация о геопозиции пользователя и личная информация несовершеннолетних. Очевидно, что с учетом китайского опыта необходимо расширить перечень специальных категорий персональных данных, - и наиболее логично это сделать в данном законопроекте.
Нетрудно заметить, что самые жесткие наказания в ПФЗ предусмотрены для коммерческих структур. Однако не меньший, если не больший, массив ПД сконцентрирован в различных ГИС, откуда также регулярно происходят утечки. Для пресечения последних в документе предусмотрены лишь штрафы для должностных лиц государственных или муниципальных органов.
Ужесточение ответственности за утечки ПД – правильная, давно перезревшая инициатива. Но будет очень логично увеличить размер штрафов за утечки для ответственных чиновников и, самое главное, в случае повторного правонарушения предусмотреть увольнение руководства соответствующего органа и лиц, отвечающих в нем за безопасность ПД. Если же и при новом руководстве и сотрудниках вновь произойдет утечка, то скомпрометировавшая себя ГИС должна быть ликвидирована, а содержащиеся в ней данные – уничтожены.
И самое главное – жизнь и взаимодействие в социуме, с госорганами каждого гражданина никак не должна зависеть от желания/нежелания гражданина предоставить кому-либо на обработку свои персональные данные. И без внесения в базы и реестры граждане должны полностью сохранять базовые права на медобслуживание, на образование, на выплату положенных им по закону пособий, на трудоустройство, на получение любых нужных им «госуслуг» и т.д. В соответствии со своим конституционным правом на личную, семейную тайну, на не обработку личных сведений. Как неоднократно отмечали ведущие IT-специалисты страны Наталья Касперская и Игорь Ашманов, человеческий фактор в обращении с ПД – не убрать. А значит, утечки неизбежны, это только вопрос времени. Так что намного проще предупредить этот пожар, чем потом пытаться его потушить. И перестать клепать цифровых колоссов вроде огромных сводных реестров больших данных «Гостех» под управлением Сбера трансгуманиста-западника Германа Грефа, перестать загонять всех граждан на mos.ru и портал Госуслуг, отказывая им в традиционной форме госуслуг и так далее. Когда хранящиеся ПД и их набор перестанут быть критической, рисковой «массой», тогда и опасности их утечки кратно снизятся.
