Планируемый новый закон в своей форме фактически легализует торговлю данными, давая возможность операторам откупаться от клиентов
Минцифры России думало-думало, да и придумало, как решить проблему с систематическими сливами персональных данных. По мнению ведомства, для этого достаточно дать возможность компаниям, допустившим утечку, компенсировать ущерб двум третям пострадавших.
Такую идею высказал на днях в беседе с журналистами глава ведомства Максут Шадаев. Соответствующие нормы планируется оформить в виде законопроекта, над которым министерство работает с весны этого года. Разработка началась на фоне инцидентов, когда у российских компаний, в том числе сервисов «Яндекс.Еда», Delivery Club и медицинской лаборатории «Гемотест», произошли крупные утечки данных пользователей.
По мнению цифрового министра, главная сложность заключается в том, чтобы прописать в законопроекте конструкцию, которая будет предусматривать минимальный и максимальный проценты оборотного штрафа:
Мы пытаемся сказать, что смягчающим обстоятельством для назначения минимального порога будет урегулирование вопросов с пострадавшими. Это самое сложное, такой конструкции просто нет. Мы говорим: двум третям тех граждан, чьи данные утекли, пожалуйста, компенсируйте ущерб. Если вы подписали соглашение, что вы урегулировали с ними вопросы, то идёте по нижней планке.
То есть, компания, которая сливает данные, может договориться с двумя третями пострадавших клиентов, выплатить им компенсацию и сообщить об этом в Роскомнадзор. Если данные подтвердятся в суде, штраф будет снижен. Это считается послаблением, так как в текущей версии законопроекта размер фиксированного штрафа для первого случая утечки может составлять до 10-ти миллионов рублей, а за вторую – до 3% от оборота. Для сравнения, сейчас максимальный штраф за утечку персональных данных для бизнеса составляет чисто символические (с учётом объёмов крупнейших операторов) 500 тысяч рублей.
Вопросов опять-таки больше, чем ответов. Прежде всего, непонятно, как можно объективно подсчитать пострадавших. Обычно айти-компании до последнего скрывают факты сливов, признаваясь только в случаях крупного общественного резонанса, когда базы оказываются в общем доступе. Но даже в таком случае – как определить круг пострадавших? Выкупить у злоумышленников базу данных и взять с них честное слово, что это всё и больше у них ничего не осталось?
Во-вторых, каким образом будет определяться размер компенсации. Будет ли идти речь о некоей закреплённой в законе сумме или компания сможет с барского плеча выбросить счастливым клиентам некую чисто символическую копеечку, а то и вовсе оформить им какой-нибудь скидочный купон на свои услуги?
В-третьих, непонятно, откуда взялась цифра в две трети пострадавших, как их будут определять и почему остальные клиенты ни на какую компенсацию могут не рассчитывать.
Наконец, открытым остаётся вообще вопрос о том, кого считать пострадавшим. Любого человека, данные которого компания слила в открытый доступ, или его же, но уже после того, как эти данные использовали мошенники, например, оформив на его имя кредит или «ООО» с кучей долгов.
Скептики уже начали говорить о том, что Минцифры думает не о том, как бы защитить граждан от торговли персональными данными, а как бы смягчить наказания для своих подопечных айти-компаний. А закон в той форме, о какой идёт речь, фактически легализует торговлю данными, дав возможность операторам откупаться от клиентов.
Впрочем, даже эти меры у самих представителей отрасли вызывают недовольство. В июле они вообще предложили удивительную трёхступенчатую систему наказания за сливы: если данные клиентов или сотрудников компании были скомпрометированы впервые, то она должна получить просто предупреждение; в случае повторной компрометации – заплатить крупный штраф; при третьей утечке – оборотный штраф.
Минцифры в свою очередь предложили альтернативный вариант, с созданием некоего компенсационного фонда, в который направлялись бы собранные штрафы для выплат компенсаций пострадавшим. В министерстве заявляли, что фонд бы действовал по аналогии с Агентством по страхованию вкладов, выплачивающим возмещения вкладчикам банков при наступлении страховых случаев.
Очевидно, что все эти меры выглядят крайне сомнительными и приведут разве что к появлению новых поборов и малоэффективных структур. А для реальной борьбы со сливами стоило бы вводить серьёзную уголовную ответственность для лиц, их допустивших. Поскольку уже ни для кого не секрет, что в большинстве случаев данные клиентов попадают в открытый доступ не из-за происков злых хакеров, а из рук самих сотрудников, а то и руководителей компаний.