Законопроект об оборотных штрафах
Чувствительный для бизнеса законопроект об оборотных штрафах за утечки персональных данных планируют принять до конца 2024 г., однако вступление закона в силу может быть отложено. Об этом в середине сентября 2024 г. пишет издание «Коммерсант». Также депутаты прорабатывают количественные параметры законопроекта. До сих пор нет даже определения, что в целях исполнения будущего закона считать оборотом компании - выручку холдинга, отдельного бренда или непосредственно компании-оператора данных.
Однако заместитель председателя комитета Госдумы по информполитике, связи и ИТ Андрей Свинцов сообщил, принятие законопроекта в первом чтении послужило сигналом для отрасли, что инициатива будет полностью принята в ближайшем будущем, и пока мы рассчитываем принять его до конца года. Однако есть риск, что компании, работающие с персональными данными, начнут нести большие финансовые потери, что отразится на стоимости их продуктов и услуг, и нагрузка ляжет по итогу на потребителя. Свинцов добавил, что сам срок самого вступления в силу закона может быть отложен в зависимости от готовности бизнеса к регулированию.
С другой стороны, рассказал Свинцов, мы понимаем, что бизнес будет вынужден выделить сегмент, работающий с персональными данными, в отдельное подразделение с минимальной выручкой, которому оборотные штрафы будут не критичны. До сих пор нет четкого определения, что в таком случае считать оборотом компании - выручку холдинга, отдельного бренда или непосредственно компании-оператора данных.
Цель законопроекта об оборотных штрафах - ввести реальную ответственность за инциденты, чтобы заставить компании инвестировать в кибербезопасность, защищать данные своих клиентов. Утечки в последние два года стали настоящей проблемой российского бизнеса, решение которой кроется в новом законопроекте. Оборотные штрафы должны заставить компании задуматься, что выгоднее: инвестировать в кибербезопасность или платить огромные деньги за ИТ-инциденты.
Законопроект о штрафах за утечки депутаты во главе с руководителем комитета по информполитике Александром Хинштейном внесли на рассмотрение в декабре 2023 г., принята текущая версия в первом чтении была в январе этого года. Максимальный штраф для юридических лиц, допустивших утечку, составит 0,1–3% выручки за год, но не более 500 млн руб. На 19 сентября, по данным Роскомнадзора, было зарегистрировано более 923 тыс. операторов персональных данных. В настоящее время максимальный размер штрафа для юридических лиц составляет до 100 тыс. руб., а при повторном совершении административного правонарушения - до 300 тыс. руб.
В сети продолжают расти утечки информации, в 2024 г. все чаще ими становятся именно данные компаний. По информации F.A.С.С.T. (ранее Group-IB), в черной паутине за первые полгода были опубликованы данные 150 компаний, которые до этого нигде не появлялись, а годом ранее таких было 119. Но утечки также содержали персональные данные сотрудников.
По информации «Коммерсант», редакция законопроекта, принятая в первом чтении, нуждается в доработке: уточнении состава правонарушения и дополнении смягчающими обстоятельствами, стимулирующими к мерам повышения безопасности, считают в Ассоциации больших данных (АБД), которая объединяет «Сбер», «Ростелеком», «Яндекс» и другие крупные ИТ-компании. Скорее всего, в законе будет предусмотрена ответственность группы лиц, что потенциально позволит привлекать к ней все компании, входящие в группу, объясняет юрист Comply Артем Сафьянников. Такой подход уже известен российскому законодательству (к примеру, в конкурентном праве), поэтому, скорее всего, искусственное дробление бизнеса никак не поможет избежать исчисления штрафа в пропорции от выручки всех компаний, входящих в группу лиц, считает Сафьянников.
Новый уровень ответственности
Новый уровень ответственности за утечки точно внесет изменения в существующие системы защиты. Эксперты считают, компании начнут выстраивать процессы, привлекать специалистов и применять инновационные средства защиты информации. Повышения ответственности также позитивно скажется на темпах развития отечественных ИБ-компаний, у которых точно станет больше клиентов и важных задач.
В России часто проблема утечек и защиты информации в целом заключается в неправильном распределение ролей. Функции специалиста по защите информации в компании может выполнять обычный специалист по информационной безопасности (ИБ) или даже юрист.
Новый же уровень ответственности должен спровоцировать и пересмотр ролей в компании. Вероятнее всего, осуществлять контроль за защитой информации будут представители высшего менеджмента, заинтересованные в сохранение бюджета. Возможно, будут привлекаться сторонние ИБ-специалисты или компании, заказываться аудиторские услуги и прочее.
Часто вина за утечку данных ложится не на компанию-оператора персональных данных, а на различных подрядчиков, оказывающих услуги. Представители компаний редко задаются вопросом обеспечения ИБ в подрядной организации, хотя последствия утечки точно отразятся на ее работе.
Законопроект об оборотных штрафах за утечки персональных данных — это важный шаг для развития ИБ-отрасли в России и в частных компаниях. Инициатива в долгосрочной перспективе поможет снизить количество ИТ-инцидентов и заставить компании инвестирования в безопасность данных столько, сколько требуется. Не останутся в стороне и ИБ-компания, предлагающие аудиторский и другие услуги, а также разрабатывающие средства и решения для защиты данных.
Китайский закон о безопасности данных
Закон Китайской Народной Республики о безопасности данных (далее – Закон) был принят 10 июня 2021 г. и вступил в силу 1 сентября того же года и направлен на регулирование отношений, связанных с обработкой данных. В соответствии с Законом предусмотрено дальнейшее принятие подзаконных актов в целях детализации требований Закона.
Регулирование сферы обработки данных Китаем направлено прежде всего на установление преимущества КНР как цифрового государства на глобальной арене и на недопущение создания альтернативных центров силы в виде крупных технологических компаний внутри страны. Более того, власти опасаются, что организации могут делиться данными с иностранными компаниями и государствами, что подрывает национальную безопасность страны. Китай настоящим Законом подчеркивает, что данные, накопленные частными компаниями, следует рассматривать как национальный актив, использование которого осуществляется или ограничивается в соответствии с потребностями государства. Смысл заключается в создании управляемой государством ИТ-системы защиты данных посредством установления государственного контроля и доступа к данным. Целями Закона указываются стандартизация обработки данных, обеспечение безопасности данных, содействие разработке и использованию данных, защита законных прав и интересов физических лиц и организаций КНР, а также защита национального суверенитета, безопасности и иных интересов.
Закон устанавливает достаточно строгие наказания для организаций, нарушающих его положения. В соответствии с Законом для организаций предусмотрены следующие виды юридической ответственности: предписания об исправлении нарушений и предупреждения; штрафы для организаций за нарушение положений Закона в размере до 500 тыс. юаней (прибл. 6,6 млн руб.) и для руководителей организации или ответственных за безопасность данных – в размере до 100 тыс. юаней (прибл. 1,32 млн руб.); при повторных или серьезных нарушениях, таких как утечки данных, организации могут быть оштрафованы на сумму до 2 млн юаней (прибл. 26,28 млн руб.); при наличии угрозы национальной безопасности штраф в размере до 10 млн юаней (прибл. 132 млн руб.); при передаче важных данных за границу материковой части КНР с нарушениями Закона может быть наложен штраф в размере до 1 млн юаней (прибл. 13,14 млн руб.), а также возможно приостановление деятельности организации или отзыв соответствующей лицензии на осуществление деятельности. При этом, на руководителей организации или ответственных за безопасность данных может быть наложен на сумму до 1 млн юаней (прибл. 13,14 млн руб.); за отказ сотрудничать с китайскими властями в запросах на предоставление данных, а также за предоставление данных иностранным судебным или правоохранительным органам без разрешения соответствующих китайских властей возможен штраф в размере до 500 тыс. юаней (прибл. 6,6 млн руб.). При этом, руководители организации или ответственные за безопасность данных могут быть оштрафованы на сумму до 100 тыс. юаней (прибл. 1,31 млн руб.).
Посредством введения требования хранения всех данных, собираемых и сгенерированных в Китае, а также широкого доступа государственных органов Китая к данным частных компаний, может быть создана основа для последующей национализации всех данных. Такие изменения законодательства в КНР могут послужить примером для других стран, которые не захотят потерять конкурентное преимущество в цифровом развитии.