Наши цифровые платформы и банки всё слили хохлам, но прекращать и платить - не
nnils — 23.04.2024
АП завернула поправку к закону Хинштейна и Рукавишниковой про
оборотные штрафы за утечки. Бизнесу не нравится платить за косяки,
а Минцифра для него носит поправки в Думу. Глава Ассоциации больших
данных: риск преувеличен, мы увидим риск только через 30 лет!
Борьба за законопроект идёт уже полтора года, наши цифровые
платформы и банки всё слили хохлам, но прекращать и платить - не
собираются.
Всем привет, излучатели персданных!
Меня из СПЧ попросили прокомментировать новость о том, что в
Администрации Президента не одобрили пакет поправок Минцифры к
законопроекту про оборотные штрафы.
Ниже — расширенный комментарий, с замечаниями, которые нельзя
публиковать на сайте СПЧ.
Ожидая очередной тормозящей неприятности с этим злосчастным,
замученным законопроектом, полез читать новость, обнаружил, что,
наоборот — в АП завернули поправки «от бизнеса», ухудшающие
законопроект, ослабляющие санкции за утечки.
Новость Ъ видна лишь частично, закрыта подпиской, поэтому
поясню:
В АП подготовили отрицательный отзыв на поправки к законопроекту об оборотных штрафах за утечки персональных данных. Официально поправки поступают от Минцифры ко второму чтению законопроекта в Госдуме, первое чтение документ прошёл в январе 2024 года.
В первой версии указано, что за первое нарушение защиты ПДн компания получит штраф до 15 миллионов рублей, а при повторной утечке наложат оборотный штраф от 0,1% до 3% выручки за календарный год, но не менее 15 миллионов рублей и не более 500 миллионов рублей.
Я был на заседании в Госдуме в декабре, где Ассоциация больших данных требовала смягчения санкций закона. А именно: предлагала смягчить наказание для компании за утечки, если компания (согласно какому-то специальному аудиту ИБ, который предстоит ещё организовать) добросовестно исполняет закон 152-ФЗ о персональных данных, выплачивает компенсации пострадавшим и направляет 0,1% оборота на кибербезопасность. В этом случае компания получит штраф по нижней границе.
В Администрации президента отвергли обязательный процент
оборотных средств на кибербезопасность и снижение штрафов. И
потребовали внести параметры санкций в 152-ФЗ. А не в КОАП.
....
Законопроект об оборотных штрафах за утечки персональных
данных имеет очень трудную судьбу. Его не удаётся никак
принять. В 2022–2023 годах его не удавалось вообще внести;
потом он в январе 2024 прошёл первое чтение, теперь ждёт поправок,
как обычно бывает со вторым чтением.
Почему этот законопроект настолько важен и почему он
встречает такое сопротивление?
...........
Есть два способа наказывать за утечки:
1) Наказывать компании административно за
недостаточный уровень защиты ПДн. Это как раз и есть норма об
оборотных штрафах. Оборотные — значит, вычисляемые от общей выручки
компании за год, то есть большие, десятки и сотни миллионов рублей
(сейчас они в тысячи раз меньше).
2) Возбуждать уголовные дела за незаконный оборот
ПДн. Это позволит расследовать преступления и наказывать конкретных
исполнителей — системных администраторов, ИТ-директоров, их
начальников. В том числе не за непосредственную кражу данных, но и
за халатность менеджмента и акционеров, которая привела к утечке,
выносу, потере данных. А также ловить торговцев данными, которых
сейчас вообще никто не трогает.
Надо понимать, что утечка — это только первое звено, самое
начало незаконного оборота персональных данных — перепродажи,
использования для мошенничества, в рекламе и т.
п.
Например, в нашей стране отлично себя чувствуют сервисы
«пробива», в которых за небольшие деньги можно узнать про человека
почти всё. Ими массово пользуются кадровики, силовики, хотя это
уголовное преступление.
Если брать за утечки и продажи ПДн только штрафы с компаний (или
пусть даже с граждан), то это — административные дела. В рамках
административного дела нельзя вести следствие: производить выемку
почты, аккаунтов менеджеров, изымать компьютерную технику,
телефоны, поднимать переписку и переговоры по телефону. Потому что
в рамках административных дел оперативно-розыскной деятельности
(ОРД) — не ведётся.
То есть на самом деле устанавливать пути утечки данных и находить
виновных — по сути в рамках дела о штрафе — невозможно. Это можно
делать только в рамках уголовного дела, в ходе ОРД.
А это нужно. Потому что вору данных, коррумпированному
сотруднику наплевать на оборотный штраф для его компании — он не
акционер, а наёмник, получив за большую выгрузку ПДн в Даркнете
деньги, превышающие его оклад во много раз, он уволится и продолжит
воровство в другой компании.
Тем более, что суды про штраф, апелляции будут идти ещё года
полтора-два после его увольнения.
И тем более это касается перепродавца данных — который вообще ни в
какой компании не работает.
..........
Кто же мешает принять закон? Мешает наш большой цифровой
бизнес, в том числе напрямую Ассоциация больших
данных.
«Ассоциация больших данных (АБД) была создана в России осенью 2018
года. Сегодня членами Ассоциации являются: „Яндекс“, VK,
„Сбербанк“, „Газпромбанк“, „Тинькофф Банк“, „Россельхозбанк“,
„МегаФон“, „Ростелеком“, QIWI, билайн, „МТС“, Аналитический центр
при Правительстве РФ, „Банк ВТБ“, „Авито“, Центр стратегических
разработок (ЦСР). Основная цель Ассоциации — создание условий для
развития технологий и продуктов в сфере больших данных в
России».
Вот АБД и «создаёт условия для развития». Лоббирует торможение и
ослабление санкций в законопроекте об утечках персданных.
Я был на паре заседаний в Госдуме по данному закону, которые вели
Александр Хинштейн и Ирина Рукавишникова. Там
«представители бизнеса», совершенно не выказывая
никаких угрызений по поводу массовых утечек в их компаниях,
настойчиво требовали снизить оборотные штрафы минимум в 10 раз и
категорически возражали против уголовного преследования за
незаконный оборот данных.
По сути, они этим декларировали «с утечками бороться не будем,
будем бороться с наказаниями». Это же проще и дешевле.
Дальше понятно: включаем возможные штрафы в бизнес-планы, потом в
случае чего говорим Совету директоров, что ну вот, мы
предупреждали, что это может быть, в какой стране живём-то;
вероятность реализовалась, списываем в убытки.
Это всё — потом, возможно, может быть, а может и не быть; в любом
случае — с небольшой вероятностью, а в ИБ вкладываться надо сейчас
и большими деньгами. Проще понизить санкции в законе.
К счастью, А. Е. Хинштейн и И. В. Рукавишникова этому
давлению не поддались, и закон прошёл первое чтение в исходном
виде.
....
Далее на Спонсоре.
Снова про утечки ПДн и наглость большого бизнеса
Игорь Ашманов
|
|
</> |
Какую температуру выдерживает мягкая кровля 
Темы для сочинений, предлагавшиеся гимназистам в начале XX века 
про пост 
Уроки рисования 
Ничего необычного 
С оЧепяткой по жизни, или все ошибаются...:-)) Часть 3 и заключительная. 
"Страна великой дружбы народов" — к очередной годовщине армянских погромов в 
Доброе утро! 
Полиматы из России, которых, увы, забыли 
