Инвестиции в информационную безопасность простимулируют штрафами и сроками

В Госдуму внесены законопроекты, ужесточающие наказание за утечку персональных данных, их незаконное использование и распространение. Согласно инициативам, организации, допустившие утечку, могут быть оштрафованы на сумму до 500 млн рублей, а за незаконное использование украденной информации преступникам может грозить тюремное заключение сроком до 10 лет. Эксперты критикуют предложения за отсутствие смягчающих обстоятельств, нечеткость формулировок и независимость наказания от масштаба утечки.

4 декабря в Госдуму внесены два законопроекта с поправками в Кодекс об административных нарушениях (КоАП) и Уголовный кодекс, предполагающими ужесточение ответственности за утечку персональных данных (ПД) и умышленные незаконные действия с ними. Оба – одной группой депутатов и сенаторов во главе с руководителем комитета Госдумы по информполитике, связи и IT Александром Хинштейном.

Какие изменения предлагается внести в КоАП

Согласно поправкам в КоАП, юрлицо, допустившее утечку ПД, может быть оштрафовано на сумму:

• от 3 млн до 5 млн руб., если утечка содержала данные от 1 тыс. до 10 тыс. субъектов ПД;
• от 5 млн до 10 млн рублей (от 10 тыс. до 100 тыс. субъектов ПД);
• от 10 млн до 15 млн рублей (более 100 тыс. субъектов ПД).

Максимальное наказание для юрлиц за повторные утечки ПД предполагает оборотный штраф в размере 0,1 – 3% выручки за календарный год, но не более 500 млн рублей.

Должностных лиц и физлиц, допустивших утечку, законодатели предлагают штрафовать на 0,8-1 млн рублей (максимум 1,5-2 млн рублей) и 100-200 тыс. руб. (максимум 300-400 тыс. рублей), соответственно.

Также в законопроект включены штрафы за несоблюдение требований по оповещению Роскомнадзора об инцидентах утечки данных: до 100 тыс. рублей для физлиц, до 800 тыс. рублей для должностных лиц и до 3 млн рублей для организаций.

В пояснительной записке к законопроекту отмечается, что сейчас компании, допустившие утечку ПД, штрафуются на 100 –300 тыс. рублей, согласно ч. 1 ст. 13.11 КоАП.

«Указанный размер штрафа не соразмерен с возможными последствиями от произошедших утечек. Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений».

«Суровые меры административного наказания, предусмотренные законопроектом, станут существенным стимулом для инвестиций операторов персональных данных в информационную безопасность и окажут превентивное воздействие на операторов, не соблюдающих требования законодательства о персональных данных», — считают парламентарии.

Что хотят изменить в Уголовном кодексе

Поправки в Уголовный кодекс (УК) предусматривают сроки лишения свободы до 5 лет за незаконное использование или незаконные передачу, сбор, хранение компьютерной информации, содержащей ПД, «полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование». В случае если незаконные действия с ПД сопряжены с трансграничной передачей компьютерной информации или перемещением физического носителя с ПД, то максимальный срок лишения свободы может составить 8 лет. Самое суровое наказание, до 10 лет тюрьмы, предлагается применять, если преступление повлекло тяжкие последствия, либо было совершено организованной группой.

Отдельное наказание предлагается ввести за создание информационных ресурсов (например, сайтов), заведомо предназначенных для незаконного хранения и распространения информации, содержащей ПД. По мнению законодателей, за это преступление нужно наказывать штрафом до 700 тыс. рублей или лишением свободы до 5 лет.

По мнению авторов законопроекта, он позволит «эффективно привлекать к уголовной ответственности злоумышленников, совершающих преступления в сфере персональных данных, а также реализует превентивные механизмы уголовного права, что позволит предотвратить многие преступления в данной сфере».

Мнения экспертов

Юрист практики технологии, медиа, телекоммуникации «Меллинг, Войтишкин и Партнеры» Роман Власов отмечает, что проект «предусматривает уголовную ответственность как для киберпреступников, так и для сотрудников компаний, но первых ее введение вряд ли остановит», пишет «Коммерсант».

Источники издания на IT-рынке рассказали, что вопросы вызывают «формальная неопределенность» состава правонарушения в целом — не понятно, что именно влечет ответственность, а также необходимость определения размера штрафа в зависимости от количества данных в утечке.

Бизнес беспокоит «неопределенный состав правонарушения: из предлагаемой редакции не ясно, какие действия (бездействие) оператора влекут административную ответственность», — прокомментировала «Ведомостям» законодательную инициативу директор Ассоциации больших данных (АБД) по стратегическим проектам Ирина Левова. Также претензию у эксперта вызвало отсутствие смягчающих обстоятельств:

«По текущему тексту, оператор несет ответственность независимо от наличия вины и мер, которые он принял для недопущения утечки».