Версия для слабовидящих
Разногласия по законопроекту возникли главным образом по двум вопросам: следует ли засчитывать добровольные выплаты операторов гражданам, чьи данные утекли, в качестве смягчающего обстоятельства, а также каким именно должен быть размер штрафа (предлагается установить его на уровне 0,1–3% от оборота). Минюст считает, что в документе нужно предусмотреть возможность добровольной компенсации операторами персональных данных предполагаемого вреда и учитывать это как смягчающее обстоятельство. Также министерство предлагает авторам инициативы дополнительно обосновать предлагаемый размер штрафов и дифференцировать ответственность за утечку в зависимости от характера правонарушения и степени вреда. Кроме того, Минюст считает необходимым разграничить ответственность для юрлиц и индивидуальных предпринимателей (для соблюдения нормы КоАПа об учете имущественного положения привлекаемого к ответственности).
Представители Минфина и Минэка ответили, что получили письмо и рассматривают материалы Минюста.
Источник, близкий к Минцифры, также подтвердил получение письма. Представитель Минюста ответил, что законопроект проходит процедуру согласования с заинтересованными органами государственной власти. «Считаем актуальным вопрос дополнительного регулирования ответственности за утечку персональных данных, который надо решать с учетом позиции бизнеса», — добавил представитель Минэка. «Ведомости» направили запрос в правительство.
Хинштейн сообщил «Ведомостям», что ему об этом отзыве не известно. «Будем отталкиваться от официального отзыва правительства», — сказал депутат.
По сведениям «Ведомостей», законопроект вызвал споры среди его разработчиков. На комитете по информационной политике Госдумы в конце июля Минцифры и депутаты так и не пришли к единой позиции по поводу механизма действия законопроекта: устанавливать ли денежные выплаты пострадавшим (пользователям, персональные данные которых утекли) или нет. В более ранней версии документ уже предусматривал добровольные компенсации в качестве меры для смягчения наказания. Однако затем ее исключили, в последней версии (от 26 июля) в законопроекте этой новеллы не было.
Ранее РБК писал, что Минэк предложил уменьшить оборотные штрафы для компаний за утечки персональных данных, так как предлагаемый размер наказания, по мнению ведомства, был «неоправданно высоким». Столь существенное увеличение размеров штрафов может оказать негативное влияние на развитие рынка электронной коммерции, сказал «Ведомостям» федеральный чиновник, знакомый с ходом обсуждения. Необходимо дополнительно проработать порядок определения размера ответственности, согласен он.
Опасения бизнеса
Законопроектом предлагается повысить размер штрафов в 150 раз за первое правонарушение и в 1667 раз за повторное по сравнению с действующими тарифами, что указывает на репрессивный характер предлагаемого регулирования, напомнил Председатель Комитета «ОПОРЫ РОССИИ» по развитию предпринимательства на цифровых платформах Дмитрий Гавриленко. По его словам, объединение предлагает рассмотреть возможность введения смягчающих обстоятельств, таких как прохождение добровольной сертификации или аудита по обеспечению безопасности данных, сообщение об утечке регулятору и содействие в установлении обстоятельств, а также компенсация предполагаемого вреда.
Ранее о рисках для бизнеса в случае принятия законопроекта предупреждала Ассоциация компаний интернет-торговли (АКИТ; в нее входят крупнейшие маркетплейсы и интернет-магазины — Ozon, Wildberries, «Яндекс.Маркет»). Ассоциация направила письмо в Минфин, в котором предложила применять оборотные штрафы только к тем операторам, которые повторно допустили утечку данных свыше 1 млн пользователей. Об этом «Ведомости» писали 17 августа. «Мнение бизнеса, в том числе и АКИТ, учтено в части компетенции министерства», — сообщил тогда представитель Минэка.
Минцифры проработало смягчающие обстоятельства для провинившихся, заявлял в декабре 2022 года Министр цифрового развития Максут Шадаев. В числе предложений – сертификация инфраструктуры в соответствии с требованиями безопасности, компенсация ущерба двум третям пострадавших от утечки, создание фонда материальных компенсаций.
О рисках законопроекта предупреждала и «ОПОРА РОССИИ». Взыскания окажутся особенно критичными для предприятий малого и среднего бизнеса, которые не смогут выплатить их без риска банкротства, сообщал Президент бизнес-объединения Александр Калинин Заместителю Председателя Правительства — руководителю аппарата Правительства Дмитрию Григоренко (письмо Калинина Григоренко есть у «Ведомостей», источник в кабмине подтвердил его получение).
Особенности регулирования
Официальный отзыв выражает позицию правительства, но не является обязательным к исполнению, отмечает руководитель направления «Разрешение IT&IP споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле. При этом, по его словам, документ имеет весомое значение и должен быть принят во внимание в процессе утверждения поправок.
Текущий законопроект не гарантирует защиту данных, а штрафы являются достаточно большими и они могут даже стать элементом конкурентной борьбы, считает партнер Б1 Сергей Никитчук. Важно, чтобы кроме штрафов в нем были зафиксированы критерии, по которым можно понять, были ли приняты все меры по защите данных: где они хранились, как защищались, добавляет эксперт. Сам законопроект нужен, потому что сейчас все собирают данные, но многие компании недостаточно профессионально их сохраняют, указывает он.
Подход с оборотными штрафами используется в ЕС и США, но он предусматривает риск-ориентированную оценку степени вреда субъектам, указывает замдиректора группы по оказанию услуг в области кибербезопасности Kept Кристина Боровикова. Их размер рассчитывается по формулам и методикам расчета, опубликованным на ресурсах регуляторов, и учитывает степень влияния нарушения на субъект (объем утекших данных, уязвимы или неуязвимы пострадавшие, при каких условиях было осуществлено нарушение, как вел себя контролер при устранении утечки, какие риски это несет). Для пострадавших можно было бы учесть опыт ЕС, когда субъекты имеют право на возмещение ущерба, считает Боровикова.
Для внедрения в жизнь протоколов безопасности операторы должны создать и поддерживать специальную инфраструктуру – она требует серьезных финансовых вложений и времени, указывает Шицле. В то же время операторы не делали этого именно из-за незначительности штрафов. В законопроекте можно было бы предусмотреть переходный период, считает юрист.
Источник, фото: Ведомости
