Создателям сайтов по сбору персональных данных грозят тюремные сроки
Госдума ввела оборотные штрафы для организаций за утечки персональных данных в размере до 500 млн руб., а также установила уголовную ответственность за незаконный сбор и распространение персональных данных, в том числе путем создания специализированных сайтов. Участники рынка высказывают свои опасения, в том числе относительно компиляции фальшивых утечек для компрометации организаций.
Уголовная ответственность за незаконное распространение персональных данных
Государственная дума приняла во втором и третьем чтениях поправки в Кодекс об административных правонарушениях (КоАП) и Уголовный кодекс (УК), касающиеся наказания за незаконный оборот и утечки персональных данных (ПД). Документ был разработан рядом парламентариев, включая председателя Комитета по информационной политике Александра Хинштейна и вице-премьера Андрея Турчака.
В УК вводится статья за использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные, полученные путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем, за исключением деяний, совершенных в отношении компьютерной информации. Наказание предусматривает штраф в размере от 300 тыс. руб. или размере заработной платы осужденного за период до одного года или принудительными работами на срок до 4 лет или лишением свободы на срок до 4 лет.
Те же деяния, совершенные в отношении компьютерной информации, содержащей персональные данные несовершеннолетних лиц, специальных категорий ПД, или биометрических ПД, наказывается штрафом в размере до 700 тыс. руб. или заработной платы осужденного на срок до двух лет с лишением права занимать определенные должности на срок до 2 лет либо принудительными работами на срок до 5 лет либо лишением свободы на срок до 5 лет.
Те же деяния, совершенные из корыстной заинтересованности, с причинением крупного ущерба, группой лиц по предварительному сговору, с использованием своего служебного положения, наказываются штрафом в размере до 1 млн руб. или в размер заработной платы осужденного за период до трех лет с лишением права занимать определенные должности на срок до трех лет или лишением свободы на срок до шести лет со штрафом в размере до 1 млн руб. или заработной платы осужденного за период до трех лет или с лишением права занимать определенные должности на срок до трех лет.
Те же деяния, сопряженные с трансграничной передачей компьютерной информации, содержащей персональные данные, или трансграничным перемещением носителей информации, содержащих ПД, наказываются лишением свободы на срок до 8 лет со штрафом в размере до 2 млн руб. или в размере заработной платы осужденного за период до трех лет с лишением права занимать определенные должности на срок до 4 лет.
Те же деяния, которые повлекли последствия либо совершены организованной группой, наказываются лишением свободы на срок до 10 лет со штрафом в размере до 3 млн руб. или в размере заработной платы осужденного за период до 4 лет с лишением права занимать определенные должности на срок до 5 лет.
Создание, функционирование информационного ресурса в сети интернет, заведомо предназначенного для незаконного хранения, передачи компьютерной информации, содержащей персональные данные, полученные незаконным путем, наказываются штрафом в размере до 700 тыс. руб. или в размере заработной платы осужденного за период до двух лет с лишением права занимать определенные должности на срок до двух лет либо принудительными работами на срок до пяти лет со штрафом в размере до 700 тыс. руб или иного дохода осужденного за период до двух лет либо лишением свободы на срок до 5 лети со штрафом в размере до 700 тыс. руб. или иного дохода осужденного за период до двух лет с лишением права занимать определенные должности за период до двух лет.
Оборотные штрафы за утечки персональных данных
Согласно поправкам в КоАП, за действия или бездействия оператора персональных данных, повлекших неправомерную передачу персональных данных, включающий от 1 тыс. до 10 тыс. субъектов ПД, или от 10 тыс. до 100 тыс. субъектов ПД, если эти действия не содержат признаков уголовного деяния, размер штрафа для юридических лиц составит 3-5 млн руб., для должностных лиц – от 200 тыс. руб. до 400 тыс. руб., для физических лиц – от 100 тыс. руб. до 200 тыс. руб.
Если указанные действия привели к утечке данных от 10 тыс. до 100 тыс. субъектов ПД или от 100 тыс. до 1 млн субъектов ПД, если они не содержат уголовно наказуемого деяния, размер штрафа для юридических лиц составит 5-10 млн руб., на должностных лиц – от 300 тыс. руб. до 500 тыс. руб., на физических лиц – от 200 тыс. до 300 тыс. руб.
В случае утечки данных более 100 тыс. субъектов ПД или более 1 млн субъектов ПД без признаков уголовно наказуемого деяния, размер штрафа для юридических лиц составит 10-15 млн руб., на должностных лиц – от 400 тыс. до 600 тыс. руб., для физических лиц – от 300 тыс. до 400 тыс. руб.
За повторное нарушение размер штрафа для юридических лиц составит 1-3% от совокупного размера выручки, полученной от реализации всех товаров за календарный год, предшествующий году, в котором было выявлено нарушение, либо за предшествующий дате выявления административного правонарушения части календарного года, в котором было выявлено правонарушение, если данный субъект не осуществлял деятельность по реализации товаров за предшествующий календарном году. В случае с кредитной организаций размер штрафа составит 1-3% от ее собственных средств. В абсолютных выражениях размер штрафа составит не менее 20 млн руб. и не более 500 млн руб.
За действие или бездействия оператора персональных данных, повлекшие за собой неправомерную передачу информации, включающую специальные категории персональных данных, размер штрафа для юридических лиц составит 9-15 млн руб., для должностных лиц – от 1 млн руб. до 1,3 млн руб., для физических лиц – от 300 тыс. руб. до 400 тыс. руб.
Действия или бездействия оператора персональных данных, повлекшие неправомерную передачу информации, включающую биометрические персональные данные, для юридических лиц составит 15-20 млн руб., для должностных лиц – 1,3-1,5 млн руб., для физических лиц – 400-500 тыс. руб.
За повторные нарушения размер штрафа для юридических лиц составит 1-3% от суммы выручки, полученной реализации всех товаров за предшествующий календарный год, но не менее 20 млн руб. и не более 500 млн руб. Для должностных лиц размер штрафа составит 1,5-2 млн руб., для граждан – 500-800 тыс. руб.
Штрафы за утечки биометрических данных
Нарушение порядка обработки биометрических персональных данных в Единой биометрической системы (ЕБС), порядка обработки биометрических ПД, векторов единой биометрической системы в информационных системах государственных органов, Центробанка, организаций, прошедших аккредитацию и осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов ЕБС в целях проведения идентификации, наказываются штрафом для юридических лиц в размере от 500 тыс. до 1 млн руб., для должностных лиц – 100-300 тыс. руб.
Непринятие организационных и технических мер по обеспечению безопасности биометрических ПД при их обработке в ЕБС, ее взаимодействие с иными информационными системами либо непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных при их обработке в иных информационных системах, обеспечивающих аутентификацию с использованием биометрических персональных данных, наказывается штрафом в размере 1-1,5 млн руб., на должностных лиц - 300-500 тыс. руб.
Обработка биометрических персональных данных, векторов ЕБС для аутентификации физических лиц в информационных системах государственных органов, организаций информационной системы Центробанка без аккредитации в случае, если аккредитация приостановлена или прекращена, наказывается штрафом для юридических лиц в размере 1-2 млн руб., для должностных лиц – от 500 тыс. до 1 млн руб.
Закон повышает размеры и некоторых уже существующих штрафов. За обработку персональных данных в непредусмотренных законом целях размер штрафа для юридических лиц будет повышен с 60-100 тыс. руб. до 100-300 тыс. руб. За повторное нарушение размер штрафа будет повышен со 100-300 тыс. руб. до 300-500 тыс. руб.
За невыполнение (или несвоевременное выполнение) оператором персональных данных обязанности уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных размер штрафа для юридических лиц составит 100-300 тыс. руб., для должностных лиц – 30-50 тыс. руб., для физических лиц – 5-10 тыс. руб.
За неуведомление Роскомнадзора о случаях установления факта неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов ПД, размер штрафа для юридических составит 1-3 млн руб., для должностных лиц – 400-800 тыс. руб., для физических лиц – 50-100 тыс. руб.
Штрафы за принуждение сдавать биометрию
Отдельные штрафы вводятся за дискриминацию граждан в случае отказа ими от использования ЕБС. За отказ организаций в заключении, изменении или расторжении договора с потребителем в связи с отказом потребителя от прохождения идентификации или аутентификации с использованием биометрических персональных данных, размер штрафа для юридических лиц составит 200-500 тыс. руб., должностных лиц – 50-100 тыс. руб.
За отказ органов государственной и муниципальной власти в предоставлении услуги в связи отказом гражданина в прохождении биометрической идентификации, размер штрафа для должностного лица составит 20-25 тыс. руб. или дисквалификация на шесть месяцев. За аналогичный отказ сотрудника МФЦ (многофункциональный центр государственных и муниципальных услуг) размер штрафа для сотрудника МФЦ составит 5-10 тыс. руб. или дисквалификация сроком на шесть месяцев.
Штрафы за незаконное использование радиоэлектронных средств
Увеличиваются штрафы за нарушения требований по регистрации радиоэлектронных средств (РЭС). За неосуществление установки РЭС по месту его регистрации размер штрафа для юридических лиц будет увеличен с 5-10 тыс. руб. до 15-30 тыс. руб. За использование РЭС без регистрации размер штрафа для юридических лиц будет увеличен с 10-20 тыс. руб. с конфискацией РЭС до 30-60 тыс. руб. (также с конфискацией РЭС). Новые нормы в КоАП вступят в силу в течение 180 дней после их принятия.
Мнения против нового закона
Принятие закона вызвало оживленную дискуссию среди представителей бизнеса и органов госвласти, которая, в том числе, происходила на круглом столе в Госдуме.
Глава Департамента цифрового развития и экономики данных Минэкономразвития Владимир Волошин отмечает, что существующие в законодательстве штрафы за нарушения в сфере персональных данных – в размере 100 тыс. руб. – давно устарели и «вряд ли кого-то запугают». Но новый закон – «это инструмент, которым нужно пользоваться очень осторожно».
Волошин указывает, что множество отраслевых ассоциаций – туризм, транспорт, энергетика, маркетплейсы, образование, телекоммуникации, банки – заявили о неготовности исполнять требования нового закона. А для компаний малого и среднего бизнеса в четырех из пяти случаев применение оборотных штрафов приведет к их банкротству. По мнению Минэкономразвития, вступление в силу закона надо перенести, так как на внедрение ERP-системы обычно требуется 1,5-2 года.
Вице-президент «Вымпелкома» (торговая марка «Билайн») по информационной безопасности Арсений Волков считает, что сейчас неподходящее время для вступление в силу нового закона. С момента начала СВО (специальная военная операция России на Украине) инциденты с утечками случались даже у крупных компаний, занимающихся информационной безопасности. Соответственно, даже если компания потратит 100% бюджета на защиту данных, атакующие все равно найдут способ для получения доступа к данным, так как их ресурсы, бюджеты и компетенции больше.
Кроме того, Волков опасается насчет объективности расследований утечек персональных данных, так как «любую утечку в интернете «можно слепить» и затем «раскачать ее через СМИ». В случае с малым и среднем бизнесом закон «станет» кормушкой для шантажистов. Сейчас компании шантажируют путем шифрования их данных, а далее будут шанжировать гендиректором утечками данных.
Директор Института исследований интернета Ирина Левова указывает на нечеткую формулировку закона: «действие или бездействие, повлекшее за собой утечку персональных данных». По мнению эксперта, даже если компания примет все необходимые меры по защиту информации, утечки данных все равно не удастся избежать. Поэтому компанию будут вынуждены закладывать штрафы за утечку персональных данных в рисковый бюджет.
Вице-президент Газпромбанка Александр Егоркин напоминает, что защита любой информационной системы строится исходя из противодействия определенной модели угроз. Но любую систему можно взломать «с помощью паяльника для системного администратора» или уничтожить залповым огнем артиллерии.
Егоркин предупреждает, что после вступления в силу нового закона искусственный интеллект будет собирать данные из различных утекших баз, например, в отношение клиентов Газпромбанка, а затем будут обвинять сам Газпромбанк. Таким образом будет способ «завалить конкурента». Против закона выступил и глава Ассоциации предприятий компьютерных и информационных технологий (АПКИТ) также выступил против нового закона из-за отсутствия в нем необходимого баланса, хотя и признал, что для ИТ-отрасли он выгоден.
Мнения в поддержку принятие законопроекта
Регулирующие органы, наоборот, поддержали принятия закона. По мнению замглавы Роскомнадзора Милоша Вагнера, в настоящее время ни одна страна в мире, кроме России, не подвергается такому информационному давлению извне, включая сайты по сбору персональных данных, «сервисы разведки» и др. Вагнер напоминает, что новых требований по защите персональных данных закон не вводит, а лишь устанавливает ответственность за невыполнение существующие требований.
Замглавы ФСТЭК (Федеральная служба технологического и экспортного контроля) Виталий Лютиков полагает, что данный закон надо было принимать еще до 2022 г., тогда бы сейчас уже обсуждались другие аспекты по защите персональных данных. «Если в компании специалист по информационной безопасности говорит, что компания не готова к вступлению нового закона, значит, он либо не разбирается в собственной инфраструктуре, или не уверен в своей работе», - считает замглавы ФСТЭК.
Лютиков добавил, что, по результатам расследований утечек персональных данных, в большинстве случаев причинами утечек являются слабые пароли, использование уязвимого ПО, отсутствие мер защиты данных при работе с подрядчиками, отсутствие мониторинга и реагирования.
Председатель Комитета Госдумы по информационной политике Александр Хинштейн отмечает, что если бизнес-сообщество выступает за снижение размера штрафов за утечки персональных данных, то Центробанк, например, считает необходимым их увеличить. «Мы считаем, что установленные в законы штрафы адекватны: они не смехотворны и не чрезмерны и соответствуют реалиям времени, - говорит Хинштейн. – Пока рублем не заставишь, значительная часть участников рынка будет желать сэкономить».