Оборотные штрафы за утечку информации будут грозить только бизнесу
27 марта 2024К госучреждениям положения нового законопроекта будут не применимы, уверяют встревоженные банкиры
Ассоциация банков России (АБР) обратилась в Минцифры с предложением отказаться от введения оборотных штрафов за утечку информации при повторном нарушении. Соответствующий законопроект Госдума приняла в первом чтении, пишет «Коммерсантъ».
В другом письме отмечается, что оборотные штрафы «могут иметь негативные последствия для компаний, занимающихся информационной безопасностью, и IT-отрасли в целом». Кредитная организация взаимодействует со многими сервисами, поясняют в АБР, и во всех случаях происходит обмен файлами в автоматическом режиме. Таким образом, при проникновении в систему одного из участников обмена «велика вероятность заражения или кражи данных у других участников». С учетом сложившейся судебной практики административный штраф относится к реальному ущербу, уточняют в АБР, то есть можно предъявить регрессные требования к контрагенту.
Как пояснил «Ъ» исполняющий обязанности президента АБР Алексей Войлуков, ситуация, когда для коммерческих организаций ответственность за утечки существенно ужесточается, а госучреждения остаются фактически безнаказанными, «представляется несправедливой». По его мнению, можно отказаться от оборотных штрафов и «зафиксировать ту вилку, которая сейчас обозначена в законе – ₽20-500 млн».
Верхний порог штрафа эксперт полагает «совершенно чрезмерным, поскольку, например, крупный банк, получив подобный штраф, может вчинить регрессивный иск компании-поставщику, от которой получил программное обеспечение, ставшее причиной утечки». Для большинства таких компаний штраф в сотни миллионов рублей «приведет к банкротству».
Глава Национального совета финансового рынка Андрей Емелин добавляет, что оборотный штраф в качестве санкции предполагает извлечение нарушителем экономической выгоды из своего поведения: «Такой штраф фактически направлен на изъятие денежных средств, полученных в виде экономической выгоды в результате противоправных действий».
Однако утечки персональных данных оборачиваются для допустивших их компаний и банков лишь убытками, поскольку сопряжены с прямыми и косвенными издержками – влекут за собой ущерб IT-инфраструктуре, бизнес-процессам, несут репутационный ущерб, приводят к оттоку клиентов, подчеркивает Емелин.
Вся совокупность потерь с учетом оборотных штрафов, по его мнению, «может привести к приостановке бизнеса и даже к банкротству».
Руководитель отдела консалтинга и аудита Angara Security Александр Хонин подтверждает, что в случае принятия законопроекта в действующей редакции риски возникают для всех участников рынка, включая IT-компании.
– В ряде случаев утечки данных не приносят никакого ущерба их владельцам, и такие аспекты стоит учитывать при определении как размера штрафа, так и в целом необходимости его применения, – полагает Хонин, но добавляет, что законопроект требует доработки «как в части определения общих механизмов применения оборотных штрафов, так и отдельных критериев при их вынесении.
Напомним, ранее в Госдуму внесли пакет поправок в Кодекс об административных правонарушениях (КоАП) и Уголовный кодекс РФ, предусматривающих ужесточение ответственности за утечки персональных данных. LR
История вопроса
Оборотные штрафы за утечку персональных данных бизнес считает «троянским конем»
«Верхний потолок» цифровых штрафов может быть головокружительным
В одном из документов АБР называет меру дискриминационной, поскольку у госучреждений нет оборота и, соответственно, с них этот штраф взять невозможно, в отличие от коммерческих организаций. Иначе говоря, «совершение одного и того же правонарушения влечет для первого и второго разную ответственность, что является нарушением конституционного принципа равенства всех перед законом и судом», подчеркивают в АБР. В письме приводятся примеры, когда утечки происходили именно из государственных и муниципальных учреждений.Оборотные штрафы за утечку персональных данных бизнес считает «троянским конем»
«Верхний потолок» цифровых штрафов может быть головокружительным
В другом письме отмечается, что оборотные штрафы «могут иметь негативные последствия для компаний, занимающихся информационной безопасностью, и IT-отрасли в целом». Кредитная организация взаимодействует со многими сервисами, поясняют в АБР, и во всех случаях происходит обмен файлами в автоматическом режиме. Таким образом, при проникновении в систему одного из участников обмена «велика вероятность заражения или кражи данных у других участников». С учетом сложившейся судебной практики административный штраф относится к реальному ущербу, уточняют в АБР, то есть можно предъявить регрессные требования к контрагенту.
Как пояснил «Ъ» исполняющий обязанности президента АБР Алексей Войлуков, ситуация, когда для коммерческих организаций ответственность за утечки существенно ужесточается, а госучреждения остаются фактически безнаказанными, «представляется несправедливой». По его мнению, можно отказаться от оборотных штрафов и «зафиксировать ту вилку, которая сейчас обозначена в законе – ₽20-500 млн».
Верхний порог штрафа эксперт полагает «совершенно чрезмерным, поскольку, например, крупный банк, получив подобный штраф, может вчинить регрессивный иск компании-поставщику, от которой получил программное обеспечение, ставшее причиной утечки». Для большинства таких компаний штраф в сотни миллионов рублей «приведет к банкротству».
Глава Национального совета финансового рынка Андрей Емелин добавляет, что оборотный штраф в качестве санкции предполагает извлечение нарушителем экономической выгоды из своего поведения: «Такой штраф фактически направлен на изъятие денежных средств, полученных в виде экономической выгоды в результате противоправных действий».
Однако утечки персональных данных оборачиваются для допустивших их компаний и банков лишь убытками, поскольку сопряжены с прямыми и косвенными издержками – влекут за собой ущерб IT-инфраструктуре, бизнес-процессам, несут репутационный ущерб, приводят к оттоку клиентов, подчеркивает Емелин.
Вся совокупность потерь с учетом оборотных штрафов, по его мнению, «может привести к приостановке бизнеса и даже к банкротству».
Руководитель отдела консалтинга и аудита Angara Security Александр Хонин подтверждает, что в случае принятия законопроекта в действующей редакции риски возникают для всех участников рынка, включая IT-компании.
– В ряде случаев утечки данных не приносят никакого ущерба их владельцам, и такие аспекты стоит учитывать при определении как размера штрафа, так и в целом необходимости его применения, – полагает Хонин, но добавляет, что законопроект требует доработки «как в части определения общих механизмов применения оборотных штрафов, так и отдельных критериев при их вынесении.
Напомним, ранее в Госдуму внесли пакет поправок в Кодекс об административных правонарушениях (КоАП) и Уголовный кодекс РФ, предусматривающих ужесточение ответственности за утечки персональных данных. LR
Тэги: кибербезопасность, штрафы, законодательство
Вам интересны самые значимые события отрасли, выставки и мероприятия, конфликты и сделки, интервью и невыдуманные истории коллег?
Подпишитесь на рассылку* и будьте в курсе!
Вам важно быть в курсе ежедневно? Читайте и подписывайтесь на наш Telegram
Хотите больше юмора, видео, инфографики - станьте нашим другом в ВКонтакте
Разместите новостной информер и на вашем сайте всегда будут обновляемые отраслевые новости