Закон об утечках данных попал под критику экспертов

Ассоциация больших данных (АБД) подвергла критике законопроект об оборотных штрафах за утечку персональных данных. Члены ассоциации, а в их список входят Яндекс, VK, Сбер, Мегафон, Ростелеком, QIWI, МТС, Авито и другие, считают, что законопроект бесполезный, ведь он не достигнет своей цели.

Предполагается, что документ должен «стимулировать бизнес инвестировать в развитие инфраструктуры ИБ и защиту персональных данных своих пользователей». Однако неопределенность состава правонарушения в его положениях фактически приводит к введению безвиновной ответственности. Ведь если хакеры взломают компанию и выложат данные ее клиентов в сеть, виновным автоматически станет сам бизнес. В АБД считают, что это несправедливо и противоречит базовым принципам гражданского законодательства и КоАП.

Мало того, принятие законопроекта в текущем виде может привести к снижению инвестиций в защиту персональных данных, так ответственность без вины не дает бизнесу стимулов для усиления безопасности.

Напомним, сенаторы Андрей Турчак, Ирина Рукавишникова и депутат Александр Хинштейн предложили финальную версию законопроекта, вводящего оборотные штрафы за утечки персональных данных. Документ оформлен как поправки в Кодекс об административных нарушениях.

Согласно инициативе:

• за утечку, если она касается от 1 тыс. до 10 тыс. субъектов персональных данных (то есть граждан), штраф для юрлиц составит от 3 млн до 5 млн руб.;

• за утечку данных от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн руб.;

• за утечку данных более 100 тыс. субъектов — от 10 млн до 15 млн руб.

Самое важное: за повторное нарушение при любом объеме дискредитированной информации от 1 тыс. субъектов предлагается штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб.

В АКИТ уверяют, что если закон примут, можно забыть о самом понятии «поддержка бизнеса». Кроме этого в законопроекте не решены ключевые проблемы, а именно, как быть, если компания выполнила все требования по обеспечению защищенности, но хакер добился своего. Также нет порядка верификации баз данных, когда любую базу данных, в том числе открытую, например, из соцсетей, можно объявить утечкой.