Персональные данные взяли в оборот

В Госдуму внесены два законопроекта, ужесточающих порядок работы с персональными данными. Первый вводит оборотные штрафы до 500 млн руб. для компаний и физлиц, причастных к утечкам информации. Второй — уголовную ответственность за распространение такой информации с максимальным наказанием до десяти лет лишения свободы. Операторы данных критикуют документы за отсутствие смягчающих обстоятельств. В госорганах обращают внимание на нечеткие формулировки, отказ от поддержки пострадавших и независимость штрафа от масштаба утечки, уже сейчас предлагая уточнения ко второму чтению.

Группа сенаторов и депутатов во главе с руководителем комитета Госдумы по информполитике, связи и IT Александром Хинштейном внесла два законопроекта, ужесточающих оборот персональных данных россиян. Первый вносит поправки в КоАП и устанавливает оборотные штрафы за утечку персональных данных. Второй вводит уголовную ответственность за незаконное хранение и распространение персональных данных и вносит поправки в УК РФ.

Согласно проекту поправок в КоАП, штрафы для юрлиц, допустивших утечку данных составят:

• от 3 млн до 5 млн руб., если утечка содержала данные от 1 тыс. до 10 тыс. субъектов персональных данных;
• от 5 млн до 10 млн руб., если объем данных был от 10 тыс. до 100 тыс. субъектов;
• от 10 млн до 15 млн руб.— если более 100 тыс. субъектов.

Максимальный штраф для юрлиц составит 0,1–3% выручки за календарный год, но не более 500 млн руб. 

Также устанавливаются штрафы для должностных лиц и просто граждан, допустивших утечку:

• 100–200 тыс. руб. для физлиц, максимум 300–400 тыс. руб.;
• 0,8–1 млн руб. для должностных лиц, максимум 1,5–2 млн руб.

Законопроект включает и штрафы за несоблюдение требований по оповещению Роскомнадзора об инцидентах утечки данных:

• до 100 тыс. руб. для граждан;
• до 800 тыс. руб. для должностных лиц;
• до 3 млн руб. для юрлиц.

Закон вступает в силу через 30 дней после его официального опубликования.

Инициатива обсуждается с лета 2022 года: после начала военных действий на Украине произошел резкий рост кибератак на российскую инфраструктуру, вылившийся в массовые утечки данных. Но проблема не только в хакерах. «Многие компании воспринимают личную информацию людей как способ заработка и не охраняют ее должным образом,— подчеркивает первый заместитель председателя Совета федерации Андрей Турчак в своем Telegram-канале.— В результате сегодня на черном рынке объем баз с персональными данными оценивается в 20 тыс., это информация примерно о 80% населения России». По данным Роскомнадзора, в России сейчас более 929 тыс. операторов персональных данных.

Поправки в УК обусловлены «ростом противоправных действий в отношении персональных данных, а также их незаконного использования при совершении преступлений», следует из пояснительной записки к проекту.

Документ предполагает введение уголовной ответственности за «сбор, использование и передачу» персональных данных граждан:

• штраф в размере до 300 тыс. руб. либо принудительные работы на срок до четырех лет, либо лишение свободы также до четырех лет.

Отдельное наказание предусмотрено за незаконное использование данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, биометрических персональных данных.

• Подобное нарушение может повлечь штраф в размере до 700 тыс. руб. либо принудительные работы на срок пять лет или лишение свободы на тот же срок.
• За создание ресурсов для хранения и продажи персональных данных также грозит штраф до 700 тыс. руб. и лишение свободы на срок до пяти лет.
• За распространение данных, повлекшее за собой «тяжкие последствия» (например, ущерб безопасности государства), грозит лишение свободы на срок до десяти лет со штрафом в размере до 3 млн. руб.
• Срок вступления в силу поправок не указан.

«Проект предусматривает уголовную ответственность как для киберпреступников, так и для сотрудников компаний, но первых ее введение вряд ли остановит»,— подчеркивает юрист практики технологии, медиа, телекоммуникации «Меллинг, Войтишкин и Партнеры» Роман Власов.

Наряду с оборотными штрафами обсуждалось введение компенсации жертвам утечек данных — людям, чья информация оказались в сети.

Текущие законопроекты такую возможность не оговаривают. Но в официальном отзыве вице-премьера Дмитрия Григоренко, опубликованном вместе с документами, говорится, что меру стоит рассматривать на «добровольной основе для компаний, допустивших утечку, чтобы снизить административную ответственность».

Собеседники «Ъ» на IT-рынке утверждают, что Государственно-правовое управление президента еще до внесения документа рекомендовало доработать его ко второму чтению. Среди основных вопросов — «формальная неопределенность» состава правонарушения в целом — то есть из текущей версии документов неясно, что именно влечет ответственность, поясняет один из источников «Ъ», а также необходимость определения размера штрафа в зависимости от количества данных в утечке.

В Ассоциации больших данных (АБД, объединяет VK, «Сбер», «МегаФон» и т. д.) сообщили «Ъ», что бизнес «недоволен отсутствием в тексте законопроекта смягчающих обстоятельств для компаний». «Оператор несет ответственность независимо от наличия вины и мер, которые он принял для недопущения утечки»,— подчеркивают в АБД. Также там обращают внимание, что в документах «не приводится никаких обоснований самих сумм штрафов».