Кнут без пряника: Борьба за снижение оборотных штрафов продолжается. Малые предприятия проигрывают

На прошлой неделе СМИ писали, что государственно-правовое управление президента не поддержало смягчение наказания для бизнеса за утечки персональных данных (ПДн), если те выполняют определенные условия. Проблема утечек ПДн актуальна как никогда, однако игроки рынка уверены, что большими штрафами ее не решить. А вот испортить жизнь малым и средним предприятиям штрафы могут.

В начале апреля в администрации президента подготовили отрицательный отзыв на поправки о смягчении штрафов за утечки. Их разрабатывали при участии Министерства цифрового развития, связи и массовых коммуникаций ко второму чтению законопроекта об оборотных штрафах за утечки персональных данных. Об этом "Коммерсанту" рассказали четыре источника, знакомые с содержанием поправок.

https://www.comnews.ru/content/232861/2024-04-24/2024-w17/1008/pravitelstvo-i-administraciya-prezidenta-ne-odobrili-smyagchenie-shtrafov-za-utechki-personalnykh-dannykh

Поправки предлагали смягчить штрафы, если компании направляют 0,1% оборота на информационную безопасность (ИБ) и выплачивают компенсации пострадавшим от утечек - в таком случае, по мнению авторов поправок, наказание должно быть минимальным.

Пока за первое нарушение, повлекшее утечку ПДн, можно получить штраф до 15 млн рублей. При повторном нарушении предполагается оборотный штраф в размере от 0,1% до 3% от выручки за предшествующий календарный год. При этом размер штрафа не может быть меньше 15 млн рублей и больше 500 млн рублей.

Безусловно, проблема с утечками стоит остро. В феврале этого года Роскомнадзор сообщал, что с начала 2024 года ведомство зафиксировало 19 утечек: в сеть ушло более 510 млн данных россиян. При этом, по данным DLBI, в I квартале 2024 года утекло 121 млн уникальных телефонных номеров и 38 млн e-mail. Это значительно больше, чем в I квартале 2023-го - тогда в открытый доступ попали 11 млн телефонов и 23 млн e-mail.

Что бороться с утечками надо, никто не сомневается. Но все еще идут споры - как? Изначально прописанные в законе штрафы за утечки не испугали крупные компании: они с легкостью смогли бы их оплатить. Тогда было решено ударить компании кнутом: увеличить размеры штрафов.

Представители рынка сразу же попросили пряник. Конечно, никто не хочет платить штрафы, но причина не только в этом: большие штрафы, по мнению многих, не очень эффективны, а для малых предприятий даже губительны.

Утечки из малых компаний реже попадают в поле зрения общественности, поэтому Роскомнадзор будет скорее наказывать крупных игроков. Однако небольшие предприятия все равно под угрозой: уровень их инфобезопасности часто ниже, чем у крупных компаний. А данные малые предприятия тоже собирают.

О том, что малые и средние предприятия под угрозой, бьют тревогу Торгово-промышленная палата, общественная организация малого и среднего предпринимательства "Опора России" и сами представители малых предприятий.

Специалисты по инфобезопасности говорят, что в некоторых случаях утечку предотвратить невозможно. В 2022 году крупнейшие штрафы за это получили Didi Global, Amazon, Equifax, Instagram*, TikTok - компании, которые вкладывают в кибербезопасность очень много средств. К тому же крупные игроки, вероятно, создадут внутри организаций специальные фонды, из которых будут выделять средства на штрафы. Суммы оборотных штрафов для гигантов практически незначительны. У малых предприятий нет таких возможностей.

https://www.comnews.ru/content/230160/2023-11-15/2023-w46/1008/oborot-ne-tuda-biznes-i-ib-kompanii-vyskazali-pretenzii-k-zakonoproektu-ob-oborotnykh-shtrafakh-za-utechki

Что тогда можно сделать? Игроки рынка высказывают много предложений. Главное - побудить компании вкладываться в кибербезопасность. Для этого можно смягчать штрафы, если компания отправит часть из них на обеспечение безопасности. Малым и средним предприятиям можно снизить размер штрафа, чтобы он не был для них губительным. Также полезно было бы давать им скидки, льготы на внедрение качественных решений для информационной безопасности.

Звучало предложение создать платформу для коллективных исков: компании чаще боятся не столько штрафа, сколько недовольства общественности и судебных разбирательств. Если бы каждый раз после утечки их заваливали заявлениями недовольные пострадавшие, то это стимулировало бы компании гораздо больше, чем штрафы.

И, как бы странно ни звучало, но компаниям нужно образовываться в сфере кибербеза: необходимо создать просветительский портал со всей нужной информацией, чтобы компания с любыми возможностями могла изучить, что она может сделать для предотвращения утечек ПДн.

Это тот случай, когда пряник работает намного лучше кнута. Пока не поздно, вместо того чтобы размышлять, как ужесточить законодательство об утечках данных, лучше обсуждать вопрос, как помочь отрасли, чтобы утечек не было. Штрафы никто получать не хочет, но и за пряниками компании тянутся не просто так: бизнес бизнесом, но все-таки всем хочется, чтобы закон об утечках реально боролся с ними.

* принадлежат Meta - компании, признанной экстремистской и террористической; запрещена в РФ.

https://www.comnews.ru/content/231749/2024-02-27/2024-w09/1008/otnoshenie-biznesa-k-uzhestocheniyu-otvetstvennosti-za-utechki-persdannykh-neodnoznachnoe