Минимальный размер штрафа для юридических лиц за повторную утечку данных вырастет с 0,1-3% до 1-3% от годовой выручки, следует из новой версии законопроекта, который готовится ко второму чтению, пишет Forbes.
По сравнению с принятым в первом чтении документом, штрафы для должностных лиц уменьшаются с 3-5 млн до 1,1-1,2 млн руб, а под действие закона подпадают чиновники государственного или муниципального уровня.
Документ предполагает появление смягчающих обстоятельств для компании, допустившей утечку, если она инвестирует не менее 0,1% годовой выручки в мероприятия, посвященные информационной безопасности. Потребуется также иметь лицензию ФСБ на разработку систем с использованием криптографии или привлечь имеющего такой документ подрядчика. Банкам позволят рассчитать оборотной штраф не от выручки, а от объема капитала — собственных средств.
Источник Forbes рассказал, что эту версию законопроекта еще не согласовали с правительством и органами исполнительной власти, а сам документ является «вполне компромиссным», причем есть моменты, «на которые стоит обратить внимание». Он отметил, что в описании смягчающих обстоятельств не уточняется, на что следует направить инвестиции в сфере информационной безопасности и на какие направления.
«По сути, это требование может вылиться просто в приобретение бизнесом лицензий ФСБ [на разработку систем с использованием криптографии]. Все еще остаются вопросы к составу административного нарушения — текущая формулировка предполагает наказание за действие или бездействие, повлекшее передачу персональных данных независимо от ущерба, которая она повлекла или не повлекла», — пояснил собеседник издания.
С его слов, такое определение включает в себя работа ИБ-компаний с утечками и оценка безопасности компьютерных систем моделированием атаки (пентесты).
Этот вариант поправок прорабатывался в профильном комитете Госдумы, сообщили в аппарате вице-премьера Дмитрия Григоренко, но отказались подтвердить актуальность информации. В Минцифры сообщили, что итоговая версия законопроекта еще находится на обсуждении, но поделились ожиданием, что одобрение документа станет стимулом для ИТ-компаний по боле внимательному соблюдению требований информационной безопасности и инвестиций в защиту персональных и других данных.
Ассоциация больших данных (АБД: «Яндекс», МТС, «Мегафон», «Билайн», Сбербанк, ВТБ, «Авито» и другие) сообщила, что пока не получала эту версию документа, но главные замечания остались прежними: столь большие штрафы следует экономически обосновать, и накладывать их можно только при составе правонарушения, который будет отвечать критериям точности, недвусмысленности и формальной определенности правовых норм, предлагают в АБД.
Собеседник Forbes из ИТ-индустрии подчеркнул необходимость конкретизировать случаи, в которых компании будут нести ответственность за неправомерную обработку биометрии, чтобы сократить серую зону, в которой работают, к примеру, системы идентификации воров в магазинах и платформы учета рабочего времени.
Опрошенные изданием эксперты скептически отнеслись к инициативе.
«Пропорциональность соотношения риска и ответственности закономерно вызывает вопросы: не совсем понятно, за счет каких доходов, к примеру, должностное лицо может выплатить штраф в размере 1,5 млн рублей за утечку. Как известно, про утечки говорят не «если», а «когда» они произойдут», — считает директор юридического департамента DRC Ольга Захарова. Она обратила внимание, что сейчас Уголовный Кодекс предусматривает более мягкие наказания за совершение преступлений — общественно-опасных деяний, нежели в административном за правонарушения.
Законопроект, если будет принят, увеличит инвестиции крупного бизнеса в кибербезопасность, но грозит вытеснить с рынка небольших игроков, работающих с персональными данными, убеждена советник практики интеллектуальной собственности юридической компании ЭБР Кристины Мкртчян: «Дополнительное давление создают новые требования по обработке биометрии, что в совокупности может привести к реструктуризации рынка и повышению стоимости услуг для конечных потребителей, поскольку бизнес будет вынужден закладывать возросшие риски и затраты на безопасность в цену своих продуктов».
По сравнению с принятым в первом чтении документом, штрафы для должностных лиц уменьшаются с 3-5 млн до 1,1-1,2 млн руб, а под действие закона подпадают чиновники государственного или муниципального уровня.
Документ предполагает появление смягчающих обстоятельств для компании, допустившей утечку, если она инвестирует не менее 0,1% годовой выручки в мероприятия, посвященные информационной безопасности. Потребуется также иметь лицензию ФСБ на разработку систем с использованием криптографии или привлечь имеющего такой документ подрядчика. Банкам позволят рассчитать оборотной штраф не от выручки, а от объема капитала — собственных средств.
Источник Forbes рассказал, что эту версию законопроекта еще не согласовали с правительством и органами исполнительной власти, а сам документ является «вполне компромиссным», причем есть моменты, «на которые стоит обратить внимание». Он отметил, что в описании смягчающих обстоятельств не уточняется, на что следует направить инвестиции в сфере информационной безопасности и на какие направления.
«По сути, это требование может вылиться просто в приобретение бизнесом лицензий ФСБ [на разработку систем с использованием криптографии]. Все еще остаются вопросы к составу административного нарушения — текущая формулировка предполагает наказание за действие или бездействие, повлекшее передачу персональных данных независимо от ущерба, которая она повлекла или не повлекла», — пояснил собеседник издания.
С его слов, такое определение включает в себя работа ИБ-компаний с утечками и оценка безопасности компьютерных систем моделированием атаки (пентесты).
Этот вариант поправок прорабатывался в профильном комитете Госдумы, сообщили в аппарате вице-премьера Дмитрия Григоренко, но отказались подтвердить актуальность информации. В Минцифры сообщили, что итоговая версия законопроекта еще находится на обсуждении, но поделились ожиданием, что одобрение документа станет стимулом для ИТ-компаний по боле внимательному соблюдению требований информационной безопасности и инвестиций в защиту персональных и других данных.
Ассоциация больших данных (АБД: «Яндекс», МТС, «Мегафон», «Билайн», Сбербанк, ВТБ, «Авито» и другие) сообщила, что пока не получала эту версию документа, но главные замечания остались прежними: столь большие штрафы следует экономически обосновать, и накладывать их можно только при составе правонарушения, который будет отвечать критериям точности, недвусмысленности и формальной определенности правовых норм, предлагают в АБД.
Собеседник Forbes из ИТ-индустрии подчеркнул необходимость конкретизировать случаи, в которых компании будут нести ответственность за неправомерную обработку биометрии, чтобы сократить серую зону, в которой работают, к примеру, системы идентификации воров в магазинах и платформы учета рабочего времени.
Опрошенные изданием эксперты скептически отнеслись к инициативе.
«Пропорциональность соотношения риска и ответственности закономерно вызывает вопросы: не совсем понятно, за счет каких доходов, к примеру, должностное лицо может выплатить штраф в размере 1,5 млн рублей за утечку. Как известно, про утечки говорят не «если», а «когда» они произойдут», — считает директор юридического департамента DRC Ольга Захарова. Она обратила внимание, что сейчас Уголовный Кодекс предусматривает более мягкие наказания за совершение преступлений — общественно-опасных деяний, нежели в административном за правонарушения.
Законопроект, если будет принят, увеличит инвестиции крупного бизнеса в кибербезопасность, но грозит вытеснить с рынка небольших игроков, работающих с персональными данными, убеждена советник практики интеллектуальной собственности юридической компании ЭБР Кристины Мкртчян: «Дополнительное давление создают новые требования по обработке биометрии, что в совокупности может привести к реструктуризации рынка и повышению стоимости услуг для конечных потребителей, поскольку бизнес будет вынужден закладывать возросшие риски и затраты на безопасность в цену своих продуктов».