С оглядкой на GDPR

В минувший четверг в России вступила в силу первая часть обновленных требований по защите персональных данных. Несмотря на то что закон 266-ФЗ, где эти изменения зафиксированы, внесен и принят в текущем году, ожидался он давно. При этом, как это часто бывает, некоторые нормы позаимствованы из европейского регламента по защите данных (GDPR), который появился еще в 2018 году, но до сих пор не заработал в полную силу.

И для появления GDPR, и для изменений в российское законодательство по защите персональных данных триггером стали громкие утечки и их последствия в виде волны мошенничества, в частности телефонного. "Минцифры настаивает на усилении ответственности за утечки персональных данных. Это серьезная проблема, для решения которой не хватает существующей регуляторики. Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем. На основании утекших данных часто создают мошеннические онлайн-сервисы, которые привлекают пользователей простотой и удобством и в итоге причиняют еще больший ущерб гражданам", - так мотивировало российское Минцифры предложения по усилению ответственности за утечки персональных данных.

https://www.comnews.ru/content/221226/2022-07-18/2022-w29/shtrafy-utechkam-ne-pomekha

Некоторые из этих мер, в частности экстерриториальный характер законодательства о защите персональных данных и прямой запрет рассматривать бездействие субъекта в качестве согласия, уже действуют с 1 сентября. Ряд мер вступают в действие только 1 марта 2023 года, а часть анонсированных изменений, в том числе связанных с усилением ответственности для нарушителей, еще только предстоит принять.

На Западе проблемы, связанные с ростом количества случаев разнообразного мошенничества с использованием украденных личных данных, начались еще в 2014-2015 годах. При этом целевая аудитория и схемы, используемые мошенниками, отличались от тех, которые были ориентированы на русскоязычных людей, в том числе и из ЕС.

Эта проблема сохраняет актуальность и до сих пор. В одной только Германии количество эпизодов с телефонным мошенничеством измеряется десятками тысяч. По некоторым из них удалось украсть до 5 млн евро. Использовалось (и используется до сих пор) несколько схем. В отношении русскоязычных применяются те же сценарии, что и в отношении жителей России: звонки якобы из банков о попытках вывести деньги со счетов или "мама, я попал в беду". Мигрантов с Ближнего Востока и Северной Африки пытаются шантажировать угрозами сообщить о них миграционным властям. Широкое распространение получила схема, когда злоумышленник выманивает реквизиты платежных карт якобы для того, чтобы оплатить доставленное не по адресу важное отправление, которое потенциальная жертва действительно ждет.

В 2022 году в России количество резонансных утечек большого масштаба заметно выросло. Это стало одной из форм атак на компании и учреждения. При этом, по мнению генерального директора "РТК-Солар" и вице-президента "Ростелекома" Игоря Ляпунова, до 90% утечек, о которых говорят в СМИ и интернет-пространстве, являются фейковыми, полученными компиляцией данных, собранных из открытых источников или в результате давних инцидентов. Тем не менее каждый такой случай сам по себе является атакой на компанию или одним из элементов такой атаки. Каждый подобный эпизод, согласно эмпирическим данным, приводит к оттоку 10-15% клиентов.

Другая задача, которую призван решить GDPR, - заставить соблюдать нормы по защите персональных данных крупнейшие международные ИТ-компании, прежде всего Google, Amazon, Microsoft и Meta (признана экстремистской и запрещена на территории РФ). Именно по этой причине GDPR является экстерриториальным. Без внимания не остались и структуры самого ЕС. К примеру, в начале текущего года Европол обязали удалить 4 Пбайт данных, собранных в правоохранительных органах европейских стран, которые наднациональная структура хранила незаконно, что называется, на всякий случай. Однако пока в деле укрощения зарубежных ИТ-гигантов больших успехов достичь не удалось.

А вот в деле дрессировки бизнеса из стран ЕС успехи налицо. Главным инструментом, как многие считают, тут стали оборотные штрафы. В случае первого нарушения размер такого штрафа составляет 2% от выручки, но не более 10 млн евро, в случае рецидива размер удваивается. Учитывая, что бизнес в ЕС работает с низкой маржой, подобные штрафы могут стать разорительными даже для крупных компаний. Так что если случаи рецидивов и есть, то они единичны. Да и первого штрафа для многих оказалось достаточно. Например, авиакомпания British Airways получила штраф более 200 млн евро за утечку данных 500 тысяч пассажиров, которая включала и данные платежных карт. Ненамного меньше выплатила сеть отелей Marriott за массовую утечку данных 30 млн клиентов.

Правда, появилось несколько лазеек. Одна из них - страхование киберрисков, которое покрывает такой ущерб. Но это работает только там, где законодательство допускает страхование такого рода рисков. В России, например, такое не допускается. Другой способ заключается в том, что обработка персональных данных передается специально созданной инсорсинговой компании с незначительным оборотом. А вот эта технология вполне может оказаться применимой в России.

Однако такие меры могут и не понадобиться. Регуляторы не стали устанавливать высокие ставки оборотных штрафов в России. Тем более что в нашей стране маржа куда больше, чем в Европе, так что данная мера не будет такой действенной.

Но с другой стороны, существует ненулевая вероятность, что мораторий на плановые проверки компаний по соблюдению законодательства о персональных данных перестанет действовать раньше, чем планировалось. А эта мера может оказаться куда более значимым "лекарством" от правового нигилизма и заставить компании действовать в нужном направлении. Пока же, как показало исследование ИТ-компании "КРОК", полностью готовы к изменившимся требованиям по защите персональных данных лишь 4% российских компаний, а 20% и вовсе не начинали работу в данном направлении.