Поправки к законопроекту об оборотных штрафах за утечки не нашли положительного отзыва

'/upload/iblock/879/9tddwfwnpyael65c0ts784o73i9o292o/pe_daa_22_4.jpg'

Государственно-правовое управление президента подготовило отрицательный отзыв на разработанные Минцифры поправки ко второму чтению законопроекта об оборотных штрафах за утечки персональных данных, сообщили «Коммерсанту» четыре источника, знакомые с проектом поправок.

Поправки предполагали возможность смягчения наказания, если компания выполнила условия: выделила 0,1% оборотных средств на кибербезопасность, выплатила компенсации пострадавшим, соответствовала требованиям закона о персональных данных.

Принятые в первом чтении поправки к КоАП за первое нарушение, повлекшее утечку персональных данных граждан, предполагают штраф до ₽15 млн. При повторном нарушении – оборотный штраф от 0,1% до 3% выручки за календарный год, но не менее ₽15 млн и не более ₽500 млн.

Администрация не поддержала предложение о выделении обязательного процента от оборотных средств на кибербезопасность. Определение идентификатора, который позволит определить размер утечки, должно быть указано в законе о персональных данных, а не в КоАП, а компенсации должен назначать суд. В отзыве указано, что состав правонарушения должен быть четко определен, сейчас он описан как «действие или бездействие лица, повлекшее неправомерную передачу информации».

В Минцифры «Ъ» сказали, что вместе с «заинтересованными ведомствами» прорабатывают поправки ко второму чтению, а итоговая версия еще не сформирована. Глава комитета Госдумы по информполитике Александр Хинштейн отметил, что поправки ко второму чтению «будут, некоторые из них сейчас обсуждаются».

Операторы связи поддержали включение смягчающих обстоятельств в итоговую версию законопроекта. Так, в МТС полагают, что при ужесточении ответственности за утечки «необходимы и смягчающие обстоятельства». В компании считают, что «мера ответственности тех, кто ничего не делал для обеспечения защиты данных, и тех, кто предпринял максимум имеющихся возможностей, не может быть одинаковой».

Компания в любом случае несет ответственность за утечку, даже если она была атакована, а не допустила ошибку, указывает руководитель группы OSINT центра противодействия киберугрозам SOC CyberART Innostage Альберт Антонов.

В Ассоциации больших данных (АБД; объединяет МТС, «Сбер», «Яндекс» и др.) считают, что если компания «невиновна в утечке», то ее привлечение к ответственности недопустимо. АБД выступает за «четкую формулировку состава правонарушения и перечень смягчающих обстоятельств, стимулирующих компании инвестировать в информационную безопасность». Там добавили, что механизм компенсаций пострадавшим от утечек «вызывает вопросы в части администрирования и несет риски злоупотреблений».

Руководитель направления защиты информации облачного провайдера «Нубес» (Nubes) Дмитрий Шкуропат добавляет, что у компаний «все более популярным является использование механизма аутсорсинга для обеспечения ИБ. Все стороны будут перекладывать вину на другого, в таком случае нужно сразу разграничивать зоны ответственности на уровне договоров».

Напомним, ранее Ассоциация банков России обратилась в Минцифры с предложением отказаться от введения оборотных штрафов за утечку информации при повторном нарушении. LR