Пора ужесточить наказание за утечку персональных данных

В этом году стало известно о целом ряде крупных утечек данных интернет-сервисов, телекоммуникационных компаний, служб доставки и т. п. Пострадали пользователи и сотрудники компаний. За утечку 300 Гб персональных данных (ПД) клиентов компания «Гемотест» была оштрафована на 60 000 руб. Аналогичную сумму суд потребовал взыскать с компании «Яндекс.Еда» за утечку массива данных из нескольких миллионов строк с фамилиями, именами, отчествами пользователей, их адресами, телефонами, электронной почтой и общей суммой заказов. Инцидент «Яндекс.Еды» затронул более 58 000 человек. Утечка данных сотрудников и пользователей «Ростелекома» грозит компании штрафом максимум в 100 000 руб.
На этом фоне были предприняты определенные шаги по защите ПД. В сентябре вступают в силу положения закона, который, в частности, требует от бизнеса в течение трех суток провести расследование инцидента и сообщить государству о людях, чьи действия привели к утечке ПД. Не удивлюсь, если виноватым в итоге окажется некий «недобросовестный сотрудник». Хотя организацией киберзащиты, весьма затратного направления, в компаниях традиционно занимаются руководители. Например, в Китае именно руководители компаний – нарушителей правил обращения с ПД подвергаются штрафам. Исполнительный директор сервиса такси Didi Чен Вэй и президент компании Джин Лю были оштрафованы администрацией киберпространства Китая на $148 000 каждый в рамках дела о нарушении Didi законодательства о защите ПД. Регулятор установил, что Didi нелегально сохранила информацию о распознанных лицах, семейных связях и пользовательских фотоальбомах своих клиентов. Применявшиеся в Didi методы сбора пользовательских данных создали «существенные риски безопасности» для государства, решил регулятор Китая и оштрафовал компанию на $1,4 млрд.
С точки зрения санкций действующее законодательство России остается чересчур лояльным к компаниям, которые допускают утечки ПД. Штраф в размере до 100 000 руб. не представляет совершенно никакого риска для любого действующего крупного бизнеса. Поэтому компаниям выгодно собирать любые данные, ведь за утечку информации они фактически ничем не отвечают.
Весной государство и бизнес начали обсуждать поправки в КоАП, касающиеся усиления ответственности за утечки ПД. На первом этапе дискуссии предлагалось обложить нарушителей закона о ПД штрафами в размере 1–3% от годовой выручки. Но сейчас рассматривается более мягкий вариант, по которому за первую утечку нарушитель может отделаться предупреждением, избежав крупного штрафа, а за повторное нарушение предлагают назначать взыскание менее 1% годового оборота, писала газета «Коммерсантъ».
Мягкое наказание не позволит радикально уменьшить число утечек. Полагаю, что штрафы за утечки ПД нужно увеличить хотя бы до 5–10% от оборота компании. В таком случае возможное наказание станет серьезной мотивацией не нарушать закон и ответственно относиться к выбору того, какие данные нужно хранить, как их обрабатывать, какое программное обеспечение закупать и какие требования предъявлять при найме сотрудников. Возможно, также следует присмотреться к китайскому опыту персональной ответственности руководителей.
Такие шаги принесут зримую пользу обществу. За счет компенсации ущерба от утечки будет возможно нивелировать последствия подобных инцидентов и возместить затраты на решение возникших проблем. Например, в случае кражи паспортных данных деньги можно направить на покрытие расходов граждан в связи с заменой удостоверения личности.
В России также пора развивать практику финансового урегулирования между компанией-нарушителем и пострадавшими гражданами. Со стороны пользователей запрос на это есть, но требования не превышают 100 000 руб. каждому пострадавшему. Возможно, нам стоит обратить внимание на опыт других стран, где операторы ПД уже выплачивают компенсации пострадавшим пользователям. Недавний пример – соглашение телекоммуникационной группы T-Mobile в связи с утечкой данных от 40 млн до 100 млн пользователей. Общий объем выплат T-Mobile достигает $500 млн. На выплату компенсаций пользователям компания направит $350 млн.