Утечки персональных данных – тема, которую регулярно обсуждают и обычные пользователи, и руководство страны. Гадать, почему она стала так популярна, не нужно: по разным оценкам, количество утекших персональных данных измеряется десятками миллионов записей. А согласно исследованию специалистов российского сервиса разведки утечек данных и мониторинга даркнета DLBI, в открытом доступе оказались данные почти трех четвертей граждан России. Вот как комментирует тему директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович:
- Впечатляет не только количество утекших записей, но и количество компаний, допустивших утечки. По данным Роскомнадзора, с 1 сентября 2022 года им было получено около 100 соответствующих уведомлений. Масштаб утечек наглядно показывает то, что цены на базы данных, не содержащих чувствительной информации, снизились почти вдвое. По оценке Positive Technologies, в 2021 году стоимость «простой» базы, содержащей только личные данные пользователей, составляла $200-250, а в 2022-м — $100-150.
Эксперты связывают такой объем утечек с большой активностью хакер-активистов. Опыт России в данном случае не уникален: от атаки хакеров не застрахована ни одна страна или компания. Так, например, два года назад хакер украл персональные данные всех жителей Австрии, население которой составляет около 9 млн. человек. Базу данных он рассматривал исключительно как товар и средство личного обогащения. В ней содержались детальные сведения почти о каждом австрийце.
В то же время, как считают некоторые эксперты, вина за столь резкий всплеск утечек данных за последний год может лежать не только на хакерах, но и на многих российских компаниях, которые оказались не готовы защищать свои данные. Такая позиция повлекла за собой ряд мер со стороны государства. Например, наделение Роскомнадзора правом проводить внеплановые проверки (было приостановлено постановлением правительства 10 марта 2022 года) аккредитованных IT-компаний в случае, если установлен факт распространения в интернете баз данных или их части, содержащих ПД.
Ранее президент России В.Путин поручил правительству до 1 июля 2023 года рассмотреть вопрос о введении оборотных штрафов для компаний, допустивших утечку данных россиян. В настоящее время штрафы для компаний за подобные нарушения варьируются от 60 до 500 тыс. рублей. Практика их назначения показывает еще более либеральный подход.
Так, например, летом 2021 года из баз данных крупной косметической компании произошла утечка скан-копий паспортов более 1 млн. клиентов. Ряд экспертов оценил возможный ущерб для клиентов на сумму свыше 100 млн. рублей, в то время как суд оштрафовал компанию ниже низшего предела – на 30 тысяч рублей. Прогремевшая на всю страну утечка данных о 7 млн. пользователей сервиса доставки еды завершилась штрафом для компании в размере 60 тыс. руб.
Очевидно, что при таких обстоятельствах назрел вопрос не только о введении оборотных штрафов, но и о компенсациях самим пользователям – наиболее пострадавшей стороне. Именно такие меры станут стимулом для компаний по усилению мер сохранности данных. Но тут появляется ряд правовых и практических вопросов.
Практика оборотных штрафов в российских реалиях невелика. Уже несколько лет они применяются за нарушение антимонопольного регулирования, а в части данных – за нарушение требований о локализации. Основной «подводный камень» - в том, как рассчитать размер оборотного штрафа. В антимонопольном законодательстве он понятен и справедлив: как правило, берется выручка от реализации товара, на рынке которого совершено правонарушение. А тут не совсем понятно, относительно какого «товара», работы или услуги высчитывать оборотный штраф за утечки.
Еще один вопрос – как вычленить выручку именно от оборота данных, ведь как таковой ее у компаний, скорее всего, нет. Возможно, законодатель пойдет по пути наложения оборотного штрафа в сумме выручки компании от реализации ею всей ее деятельности за весь период. Это означает, что штрафы для компаний будут крайне внушительными.
Так же надо учитывать и вину компании при введении штрафов. К примеру, если причиной утечки стала плохая защита персданных, то наложение оборотных штрафов может быть целесообразным. А если утечка произошла в результате мощной кибератаки, а компания приняла необходимые меры и использовала все способы защиты ПД, то стоит решить, уместны ли в этом случае многомиллионные штрафы.
Компенсации пострадавшим пользователям – отдельная тема со множеством вопросов. И главный из них – как определить размер компенсации? Очевидно, что сама компания, допустившая утечку, не сможет справиться с такой задачей. Кроме того, обязанность компаний по выплате компенсаций пользователям несет в себе риск возрастания потребительского экстремизма со стороны пострадавших.
Таким образом, при выработке положений законодательства об оборотных штрафах регуляторам необходимо учесть многие аспекты, чтобы ужесточение ответственности действительно стало стимулом для усиления мер сохранности данных своих пользователей и увеличения сопротивляемости хакерским атакам.
Источник: https://www.gazeta.ru
- Впечатляет не только количество утекших записей, но и количество компаний, допустивших утечки. По данным Роскомнадзора, с 1 сентября 2022 года им было получено около 100 соответствующих уведомлений. Масштаб утечек наглядно показывает то, что цены на базы данных, не содержащих чувствительной информации, снизились почти вдвое. По оценке Positive Technologies, в 2021 году стоимость «простой» базы, содержащей только личные данные пользователей, составляла $200-250, а в 2022-м — $100-150.
Эксперты связывают такой объем утечек с большой активностью хакер-активистов. Опыт России в данном случае не уникален: от атаки хакеров не застрахована ни одна страна или компания. Так, например, два года назад хакер украл персональные данные всех жителей Австрии, население которой составляет около 9 млн. человек. Базу данных он рассматривал исключительно как товар и средство личного обогащения. В ней содержались детальные сведения почти о каждом австрийце.
В то же время, как считают некоторые эксперты, вина за столь резкий всплеск утечек данных за последний год может лежать не только на хакерах, но и на многих российских компаниях, которые оказались не готовы защищать свои данные. Такая позиция повлекла за собой ряд мер со стороны государства. Например, наделение Роскомнадзора правом проводить внеплановые проверки (было приостановлено постановлением правительства 10 марта 2022 года) аккредитованных IT-компаний в случае, если установлен факт распространения в интернете баз данных или их части, содержащих ПД.
Ранее президент России В.Путин поручил правительству до 1 июля 2023 года рассмотреть вопрос о введении оборотных штрафов для компаний, допустивших утечку данных россиян. В настоящее время штрафы для компаний за подобные нарушения варьируются от 60 до 500 тыс. рублей. Практика их назначения показывает еще более либеральный подход.
Так, например, летом 2021 года из баз данных крупной косметической компании произошла утечка скан-копий паспортов более 1 млн. клиентов. Ряд экспертов оценил возможный ущерб для клиентов на сумму свыше 100 млн. рублей, в то время как суд оштрафовал компанию ниже низшего предела – на 30 тысяч рублей. Прогремевшая на всю страну утечка данных о 7 млн. пользователей сервиса доставки еды завершилась штрафом для компании в размере 60 тыс. руб.
Очевидно, что при таких обстоятельствах назрел вопрос не только о введении оборотных штрафов, но и о компенсациях самим пользователям – наиболее пострадавшей стороне. Именно такие меры станут стимулом для компаний по усилению мер сохранности данных. Но тут появляется ряд правовых и практических вопросов.
Практика оборотных штрафов в российских реалиях невелика. Уже несколько лет они применяются за нарушение антимонопольного регулирования, а в части данных – за нарушение требований о локализации. Основной «подводный камень» - в том, как рассчитать размер оборотного штрафа. В антимонопольном законодательстве он понятен и справедлив: как правило, берется выручка от реализации товара, на рынке которого совершено правонарушение. А тут не совсем понятно, относительно какого «товара», работы или услуги высчитывать оборотный штраф за утечки.
Еще один вопрос – как вычленить выручку именно от оборота данных, ведь как таковой ее у компаний, скорее всего, нет. Возможно, законодатель пойдет по пути наложения оборотного штрафа в сумме выручки компании от реализации ею всей ее деятельности за весь период. Это означает, что штрафы для компаний будут крайне внушительными.
Так же надо учитывать и вину компании при введении штрафов. К примеру, если причиной утечки стала плохая защита персданных, то наложение оборотных штрафов может быть целесообразным. А если утечка произошла в результате мощной кибератаки, а компания приняла необходимые меры и использовала все способы защиты ПД, то стоит решить, уместны ли в этом случае многомиллионные штрафы.
Компенсации пострадавшим пользователям – отдельная тема со множеством вопросов. И главный из них – как определить размер компенсации? Очевидно, что сама компания, допустившая утечку, не сможет справиться с такой задачей. Кроме того, обязанность компаний по выплате компенсаций пользователям несет в себе риск возрастания потребительского экстремизма со стороны пострадавших.
Таким образом, при выработке положений законодательства об оборотных штрафах регуляторам необходимо учесть многие аспекты, чтобы ужесточение ответственности действительно стало стимулом для усиления мер сохранности данных своих пользователей и увеличения сопротивляемости хакерским атакам.
Источник: https://www.gazeta.ru