Бизнес предложили штрафовать до ₽500 млн за утечку данных россиян

В России закончили работу над законопроектом об оборотных штрафах за утечки персональных данных. Итоговая версия предусматривает наказание за подобные инциденты до 3% совокупной выручки компании

Сенаторы Андрей Турчак и Ирина Рукавишникова, а также депутат Александр Хинштейн направили главе правительства Михаилу Мишустину финальную версию законопроекта, вводящего оборотные штрафы за утечки персональных данных. Копия документа есть у РБК, ее подлинность подтвердил источник, близкий к одному из авторов поправок.

Документ оформлен как поправки в Кодекс об административных нарушениях. Согласно инициативе, за утечку:

• если она касается от 1 тыс. до 10 тыс. субъектов персональных данных (то есть граждан), штраф для юрлиц составит от 3 млн до 5 млн руб.;
• за утечку данных от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн руб.;
• более 100 тыс. — от 10 млн до 15 млн руб.

За повторное нарушение при любом объеме дискредитированной информации от 1 тыс. субъектов предлагается штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб. За утечки биометрических персональных данных предлагается штрафовать юрлица на сумму от 15 млн до 20 млн руб. Также проект предлагает ввести штрафы различного размера за утечки персональных лиц для граждан и должностных лиц.

В пояснительной записке к проекту приводятся данные "Лаборатории Касперского": в 2022 году было обнаружено 168 случаев публикаций значимых баз данных, относящихся к российским компаниям. Всего было опубликовано более 2 млрд записей почти с 300 млн пользовательских данных, из которых 16% содержали пароли. Лидерами по объему скомпрометированных данных были сферы доставки (34%) и ретейл (14%). При этом сейчас максимальный штраф для компаний, допустивших утечки персональных данных, составляет до 100 тыс. руб. и до 300 тыс. руб. при повторном нарушении.

Предполагается, что поправки вступят в силу спустя 30 дней после официального опубликования.

Александр Хинштейн подтвердил РБК, что поправки в КоАП направили на отзыв в правительство. РБК направил запрос другим авторам документа, аппарат правительства и в Минцифры.

Как еще могут наказывать за утечки

По словам источника РБК, близкого к авторам поправок, также предполагается внести изменения в Уголовный кодекс: незаконное использование, передача или сбор персональных данных, полученных неправомерным путем, будут наказываться штрафом до 300 тыс. руб. или принудительными работами / лишением свободы на срок до четырех лет. До пяти лет — если информация содержит специальные категории персональных данных и (или) биометрические персональные данные.

Наказание до шести лет лишения свободы со штрафом до 1 млн руб. предлагается ввести за незаконное использование персональных данных из корыстной заинтересованности, повлекшее крупный ущерб, совершенное группой лиц по предварительному сговору или с использованием служебного положения. Преступления, связанные с трансграничной передачей персональных данных, предлагается наказывать лишением свободы на срок до восьми лет со штрафом до 2 млн руб., с повышением срока и суммы до десяти лет и 3 млн руб. соответственно, если были тяжкие последствия или преступление совершено организованной группой. Создание ресурсов в интернете или компьютерных программ, предназначенных для незаконного хранения, распространения персональных данных, предлагается наказывать принудительными работами / лишением свободы на срок до пяти лет со штрафом в размере до 700 тыс. руб.

Собеседник РБК утверждает, что на эту часть поправок авторы уже получили положительный отзыв правительства ранее. Необходимость подобных изменений он пояснил тем, что только с января по август 2022 года в России произошли утечки 197 млн записей персональных данных и платежной информации, а общий объем официально выявленных утечек персональных данных за прошлый год, о которых официально сообщалось в СМИ, составил более 1130 млн записей.

Как разрабатывали поправки

В апреле прошлого года глава Минцифры Максут Шадаев предложил ввести оборотные штрафы для компаний, допустивших утечку персональных данных, пояснив, что бизнес опасается скорее репутационных издержек, нежели штрафа. Затем, летом, министерство озвучило первые детали возможного наказания: за первую утечку штраф планировалось сделать фиксированным, а его размер должен зависеть от объема данных, при повторной утечке предлагалось применять оборотный штраф. При этом в министерстве говорили, что будут учитывать смягчающие и отягчающие обстоятельства при определении размера штрафа. Если компания приложила максимум усилий по защите информации, расценивать как смягчающее обстоятельство, если она скрывала факт утечки — как отягчающее. Рассматривалась также возможность создания специального фонда по аналогии с Агентством по страхованию вкладов, в который будут перечислять собранные штрафы и из которого станут выплачивать компенсации гражданам, пострадавшим от утечек.

Участники рынка просили ведомство смягчить наказание. В частности, выносить предупреждение компании, если данные ее клиентов или сотрудников были скомпрометированы впервые; в случае повторной компрометации — назначать крупный штраф и только при третьей утечке — оборотный. Однако в середине прошлого года рабочая группа при Минцифры обсуждала, что оборотные штрафы необходимо назначать при утечках персональных данных более чем 10 тыс. субъектов, даже если утечка произошла впервые.

В декабре 2022-го Максут Шадаев заявил, что законопроект готов. Он отмечал, что, если компания не обеспечивает сохранность данных, штраф может составить до 3% от оборота. Но оговаривался, что при назначении штрафа будут учитываться смягчающие обстоятельства, например, если компания возместила ущерб двум третям пострадавших или продемонстрировала, что инвестировала дополнительные средства в инфраструктуру для обеспечения безопасности. Но несмотря на заявление министра, работа над законопроектом продолжилась, и в финальной версии, отправленной в правительство, смягчающие обстоятельства не упоминаются.

Президент Ассоциации компаний интернет-торговли (АКИТ) Артем Соколов говорит, что законопроект не обсуждался с бизнесом, "несмотря на неоднократные просьбы". "По имеющейся информации, в законопроекте остались нерешенными ключевые проблемы: безвиновная ответственность, когда компания выполнила все требования по обеспечению защищенности, но хакер добился своего; отсутствие порядка верификации баз данных, когда любую базу данных, в том числе открытых, например из соцсетей, можно объявить утечкой. И самое главное — размеры штрафов. Совершенно очевидно, что оборотные штрафы, а тем более 3% от годовой выручки, — это несовместимая с нормальным ведением бизнеса регуляторная среда", — указал он. В случае принятия поправок в текущем виде, по мнению Соколова, можно будет забыть о самом понятии "поддержка бизнеса".

Основатель платежного сервиса Platim.ru Леонид Румянцев назвал предложенные поправками штрафы "завышенными и несоразмерными доходности российского бизнеса". Он отметил, что 1–10 тыс. субъектов персональных данных — это уровень микробизнеса: небольшой онлайн-школы, интернет-магазина или сети из трех парикмахерских. "Доход таких микробизнесов составляет сотни тысяч, а не миллионы рублей, и подобные штрафы разорят предпринимателей, которые будут вынуждены банкротиться и закрывать бизнесы. Ведь именно микробизнесы больше всего не защищены от хакерских атак", — рассуждает Румянцев.

Представитель онлайн-сервиса для поиска специалистов "Профи" отметил, что размер потенциальных штрафов сам по себе не оказывает влияния на бизнес, который соблюдает законодательство о защите персональных данных. "Наказываться должна не сама утечка, а связанные с ней нарушения правил обработки персональных данных. Введение же оборотных штрафов является, по нашему мнению, несправедливой мерой "возмездия" — у каждого бизнеса своя маржинальность, и штраф в 3% от выручки может стать смертельным для небольшой компании", — говорит он, не исключив, что утечки могут стать "способом конкурентной борьбы".