В Роскомнадзоре заявили о необходимости преследования похитителей данных
Фото: Игорь Иванко / Коммерсантъ
Необходимо признать действия людей, которые занимаются кражей или последующим распространением персональных данных россиян, преступными и установить за них ответственность. Такое мнение высказал в четверг глава Роскомнадзора Андрей Липов. Об этом сообщает ТАСС.
«У нас растет доля нелегально обрабатываемых персональных данных. И здесь мы должны четко сформулировать, что у нас есть тот, у кого украли персональные данные — это те компании, в отношении которых теперь предлагается применять оборотные штрафы. Однако в их деяниях есть нарушения по мерам защиты, но, скорее всего, нет умысла. Также есть те, кто крадет персональные данные и те, кто впоследствии их продает — там умысел уже, очевидно, есть. Нужно думать о криминализации деяний, связанных со вторым и третьим этапами, с участниками этой цепочки. И, в особенности, в отношении последних — тех, кто продает. Они, получая деньги от продажи украденных персональных данных, и формируют всю эту криминальную цепочку», — сказал он на заседании общественного совета при Роскомнадзоре, посвященного нововведениям в регулировании оборота персональных данных.
По мнению Липова, такой подход позволит сократить долю нелегального оборота персональных данных. При этом, в том числе в отношении компаний, у которых происходят утечки данных, должен быть проработан механизм сбора неотвратимых доказательств вины в таких ситуациях. Только в таком случае для суда будет обоснованным наказание в виде оборотных штрафов, которое в данный момент находится на стадии обсуждения.
«Здесь возникает вопрос, связанный со сбором и адекватностью доказательств этих деяний. Если мы говорим о крупных компаниях, а все резонансные кражи персональных данных в последнее время касаются крупных компаний, то при применении к ним оборотных штрафов мы должны предоставлять соответствующего уровня доказательства. И чтобы эти доказательства были приняты судом», — заключил он.
Одна из основных проблем защиты прав субъектов персональных данных заключается в том, что для операторов утечка данных зачастую проблемой не является, отметил директор по методологии и стандартизации компании Positive Technologies Дмитрий Кузнецов. С точки зрения их бизнеса затраты на создание эффективной защиты не имеют смысла, что и приводит к многочисленным фактам резонансных утечек больших объемов данных.
«Механизм борьбы с этим явлением отработан в европейском законодательстве: оператор обязан информировать уполномоченный орган об инцидентах, и добросовестность исполнения этой обязанности учитывается наряду с другими факторами при назначении фактического размера оборотного штрафа. Своевременное информирование позволяет субъектам персональных данных раньше узнать о проблеме и успеть принять хоть какие-то меры для защиты своих интересов, а возможность снизить наказание стимулирует операторов не уклоняться от исполнения этой обязанности. И необходимость аналогичного механизма в России давно назрела», — заявил он в беседе с ТАСС.
В апреле глава Минцифры России Максут Шадаев предложил ввести большие оборотные штрафы для компаний, допустивших утечку персональных данных. Позднее директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин заявил, что такие штрафы могут быть введены до конца года. В частности, для должностных лиц штраф может составить от 500 до 700 тысяч рублей, для юрлиц и индивидуальных предпринимателей — 1 процентов от совокупной выручки за год, но не менее 3 миллионов рублей.