Немкин: Компаниям, допустившим утечки, не дадут откупиться купонами на скидку
В организации, слившие охраняемую законом информацию, хотят отправить ревизоров
Только за первые шесть месяцев этого года число утечек персональных данных россиян выросло в четыре раза, в Сети оказалось 200 миллионов таких записей. Чтобы вынудить компании, включая банки, крупные торговые сети и интернет-ресурсы, заниматься информационной безопасностью, в Госдуме предложили отправить к ним внеплановые проверки и увеличить штрафы за утечку данных вплоть до трех процентов от годовой выручки. Об этих и других инициативах, которые планируют рассмотреть в следующем году, рассказал в интервью «Парламентской газете» член Комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.
- Антон Игоревич, назовите пятерку самых резонансных, интересных законов в сфере информационных технологий, которые Госдума собирается рассмотреть в наступающем году.
- Думаю, это законопроекты об ужесточении ответственности за утечки данных, легализации «белых» хакеров, внеплановых проверках при утечках информации, об обезличивании данных и иностранных исследовательских компаниях.
- Об утечках в Госдуме уже есть пакет законопроектов.
- Пожалуй, это самые ожидаемые законопроекты. Сейчас многие пренебрегают кибербезопасностью — для компаний с огромным оборотом бывает проще расплатиться за свою халатность, чем исправить пробелы в информационной защите.
Теперь ответственность будет расти вместе с объемом слитой информации. Если утечка затронула до десяти тысяч людей, компании грозит штраф от 3 до 5 миллионов рублей, от десяти до ста тысяч человек — уже от 5 до 10 миллионов, больше ста тысяч — от 10 до 15 миллионов рублей. За повторные нарушения будут оборотные штрафы до трех процентов выручки за предшествующий год, но не меньше пятнадцати миллионов и не больше полумиллиарда рублей.
А уголовную ответственность предусмотрят как для профессиональных киберпреступников, так и для рядовых сотрудников компаний, которые решили зарабатывать на сливах информации. Тем, кто незаконно собирает, хранит, использует и передает персональные данные, грозит лишение свободы на срок до четырех лет. Для злоумышленников, которые незаконно передают базы персональных данных за рубеж, наказание будет уже до восьми лет лишения свободы. Если же утечка повлекла вред жизни и здоровью граждан или речь идет об организованной преступности — до десяти лет тюрьмы. Владельцам интернет-ресурсов, которые продают незаконно полученные персональные данные граждан, грозит лишение свободы до пяти лет.
- В Минцифры предлагали снижать оборотные штрафы, если компании, допустившие утечки, предусмотрят компенсации пострадавшим. В законопроект это не вошло. Почему?
- Наш комитет не поддерживает такое предложение, так как администрировать этот процесс невозможно — недобросовестные компании ведь начнут откупаться от пострадавших купонами на скидку. Нас это устроить не может.
Но мы планируем рассмотреть другое предложение — считать смягчающим обстоятельством вложения компаний в собственную информационную безопасность.
К сожалению, проблема конфиденциальности персональных данных острая. Только за первую половину 2023 года, по данным Роскомнадзора, число утечек данных выросло в четыре раза — с 19 до 76. В Сеть попали больше 200 миллионов записей с персональными данными россиян. Сейчас эта цифра уже больше. Это касается и банков, и крупных торговых сетей, и важных информационных ресурсов.
- А как помогут решить проблему утечек внеплановые проверки, которые вы с коллегами предусмотрели еще одним законопроектом?
- Законопроект предполагает отдельное основание для проведения внеплановых проверок — поступление в Роскомнадзор информации об утечках персональных данных. А еще выводит из-под действия моратория госконтроль и надзор в сфере связи.
Действующий мораторий не позволяет Роскомнадзору быстро реагировать на утечки персональных данных, подмену абонентских номеров, отсутствие ограничения доступа к запрещенной информации и так далее. Но внеплановые проверки операторов можно будет проводить только при согласовании с органами прокуратуры.
Персональных данных касается и законопроект об их обезличивании. Оператор персональных данных будет обязан по требованию Минцифры обезличить такую информацию и передать ее в государственную информационную систему. Если у оператора нет такой технической возможности, данные обезличит Минцифры. Министерство будет обязано обеспечить конфиденциальность поступивших от операторов данных. Требования к обезличиванию установит Роскомнадзор.
- А зачем понадобился законопроект о «белых» хакерах, который вы подготовили вместе с коллегами?
- Мы хотим дать возможность так называемым белым хакерам работать над усилением информационной безопасности российских компаний. Сейчас IT-специалисты не могут тестировать информационную систему, не получив разрешение от правообладателя каждой программы, входящей в состав системы. Это грозит выплатой компенсации от десяти тысяч до пяти миллионов рублей. Поэтому мы внесли в Госдуму поправки в Гражданский кодекс, которые позволят специалистам испытывать программы, выявлять уязвимости и ошибки. Но о найденных проблемах надо будет сообщать правообладателю в течение пяти рабочих дней, за исключением случая, когда не удалось установить, где он находится.
Это только первый законопроект на эту тему. На очереди еще два. Один из них предполагает поправки в Уголовный кодекс, чтобы исключить риск привлечения этичных хакеров к уголовной ответственности. Сегодня проникновение в информационную систему, даже если это делается с согласия обладателя информации, может образовать состав преступления. Мы хотим сделать работу законной, если ее цель — помочь компаниям выявить пробелы в защите. Одновременно сохраняя требования, которые таким хакерам надо соблюдать. Поправки оказались спорными, некоторые коллеги из силовых структур считают их избыточными, но мы продолжаем диалог.
А поправками в закон о защите информации мы предлагаем закрепить возможность обладателя информации или оператора информационной системы привлекать «белых» хакеров для выявления уязвимостей информационной системы, чтобы закрыть их до того, как их обнаружат злоумышленники.
- Как ограничат работу иностранных исследовательских компаний?
- В декабре Правительство поддержало концепцию законопроекта коллег об иностранных аналитических компаниях, которые сейчас беспрепятственно собирают детальные данные об экономике нашей страны, в том числе об уровне спроса и предложения на рынке, поведении российских потребителей, производителей и импортеров. Аналитика с большой долей вероятности попадает в правительства недружественных стран для дальнейшего изучения и, возможно, формирования новых пакетов санкций.
Законопроект обязывает исследовательские компании хранить и обрабатывать собранные данные на территории России, используя для этого российское программное обеспечение. А не менее 80 процентов уставного капитала организации должно будет принадлежать российским физическим или юридическим лицам.
Читайте также:
Ещё материалы: Антон Немкин