Банки и бизнес испугались «потребительского экстремизма» из-за закона об утечке данных

Ассоциация больших данных (АБД, куда входят банки, интернет-компании и операторы связи) выступила против предложения о добровольных компенсациях пострадавшим от утечек данных клиентам. Такая норма появилась в последней редакции законопроекта об оборотных штрафах за утечки персональных данных, над которым еще с весны работает Минцифры. АБД направила в министерство свои возражения по обновленной версии проекта, пишут «Ведомости», ознакомившиеся с письмом.

В чем суть предложения Минцифры

Механизм добровольных компенсаций включили в версию законопроекта от 24 ноября, следует из письма АБД. Согласно документу, если компания возместит вред от утечки во внесудебном порядке не менее чем 60% пользователей, которых затронул инцидент, это будет смягчающим обстоятельством при определении размера штрафа.

То есть компенсировав ущерб 2/3 пострадавших, компания сможет рассчитывать на минимальное наказание, объяснил РБК глава Минцифры Максут Шадаев. «Мы говорим: двум третям тех граждан, чьи данные утекли, пожалуйста, компенсируйте ущерб. Если вы подписали соглашение, что вы урегулировали с ними вопросы, то идете по нижней планке», — рассказал министр.

Как будут высчитывать число пострадавших от утечки, которым компенсировали ущерб, в пресс-службе Минцифры не пояснили. «Компания в добровольном порядке сможет выплатить компенсации и сообщить об этом в Роскомнадзор. Если данные подтвердятся в суде, штраф [за утечку] будет снижен. Это существенное послабление, так как в текущей версии законопроекта размер фиксированного штрафа для первого случая утечки может составлять до 10 миллионов рублей», — отметил представитель ведомства.

Сейчас максимальный штраф за утечку персональных данных для бизнеса составляет 500 тыс. рублей. Власти неоднократно обсуждали необходимость ужесточить наказание за такое нарушение.

С весны Минцифры обсуждает новый законопроект о введении оборотных штрафов в отношении компаний, допустивших утечку данных своих клиентов. Разработка документа началась на фоне крупных утечек данных пользователей у российских компаний — в том числе сервисов «Яндекс.Еда», Delivery Club и медицинской лаборатории «Гемотест».

В первой версии законопроекта для компании, допустившей утечку, предусматривался штраф в размере 1% от годовой выручки и до 3%, если компания своевременно не сообщила об утечке в Роскомнадзор.

Позже Минцифры разъяснило, что при первой утечке компания будет платить штраф, соразмерный объему попавшей в открытый доступ информации, при повторном случае будет наложен оборотный штраф. При этом будут учитывать смягчающие (если компания приложила максимум усилий к защите информации) и отягчающие (если скрывала факт утечки) обстоятельства.

Также сообщалось, что может появиться фонд материальной компенсации, в который направлялись бы собранные с компаний штрафы для выплат пострадавшим.

Но от первоначальной идеи с созданием фонда отказались, сообщили «Ведомостям» в Минцифры. Вместо нее и предложена конструкция с добровольной компенсацией пострадавшим, объяснил Шадаев РБК.

За что идею раскритиковали в АБД

По оценке АБД, предлагаемая норма «создаст предпосылки для развития потребительского экстремизма» и «приведет к перегрузке судов жалобами на неадекватный, по мнению пользователя, размер предложенной оператором компенсации». При этом усилиями оператора заранее установить размер морального вреда невозможно, отмечено в письме. К тому же предложенный механизм создаст риски мошенничества и обмана пользователей в Интернете, предположили в АБД.

«Таким образом, указанное условие нереализуемо на практике в силу индивидуальности восприятия ущерба субъектом, что делает всю конструкцию смягчающих обстоятельств неработоспособной», — заключили в ассоциации.

Представитель АБД заявил, что законопроект должен стимулировать компании инвестировать в информационную безопасность и содержать перечень выполнимых мер, реализовав которые, компания будет освобождаться от ответственности при отсутствии вины.

Также ассоциация попросила в письме снизить размер штрафов, установить «максимальный фиксированный предел оборотного штрафа» и конкретизировать срок повторности в один год.

В свежей версии законопроекта компании, допустившей утечку данных 1 000–10 000 граждан, грозит штраф до 5 млн рублей, должностным лицам — до 600 000 рублей; при утечке свыше 10 000 записей штраф для компании составит до 10 млн рублей, для должностных лиц — до 800 000 рублей. Повторные утечки будут стоить бизнесу уже 0,5–3% от годовой выручки.

Письмо АБД в Минцифры получили, сообщил «Ведомостям» источник в ведомстве.

У экспертов тоже есть вопросы

Предложение Минцифры о добровольных компенсациях вызывает вопросы у экспертов. С одной стороны, инициатива может создать проблемы для компаний.

Принятие законопроекта в текущей версии может иметь негативные последствия для IT-рынка и нивелировать позитивный эффект от мер поддержки, заявил заместитель управляющего директора Оzon Алексей Минаев.

Непонятно, как именно будут выявлять, кому принадлежат утекшие данные, отметил ведущий эксперт по защите персональных данных консалтинговой компании Б-152 Максим Лагутин. «После утечки компаниям придется выяснять, чьи данные утекли, что это за люди, каким-то образом связываться с ними, а если данных недостаточно, искать способы, как с ними связаться», — объяснил он.

К тому же у компаний не всегда есть простые способы массово выплатить компенсацию. Даже если удастся уточнить, куда переводить деньги, юридические департаменты компаний просто «сойдут с ума», предрек Лагутин.

Сложно сказать и как именно будут рассчитывать компенсации пострадавшим от утечки, отметил бизнес-консультант по ИБ Positive Technologies Алексей Лукацкий. «Подход, основанный на расчете компенсации конкретным субъектам ПД, может оказаться несравнимым по своей "ощутимости" для штрафуемых организаций», — заключил эксперт.

С другой стороны, предложенный механизм может усложнить ситуацию и для пострадавших. Юристы компаний, допустивших утечки, могут «торговаться» с пострадавшими пользователями, «предлагать им копейки», допустил основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.

По его мнению, любое усиление ответственности за утечки окажет положительный эффект, но введение степени ответственности и смягчающих обстоятельств усложнит и затянет процесс доказывания утечки и наказания виновного, что нивелирует положительный эффект от нового законопроекта.