Кнут без пряника: Борьба за снижение оборотных штрафов продолжается. Малые предприятия проигрывают

На прошлой неделе СМИ писали о том, что государственно-правовое управление президента не поддержало смягчение наказания для бизнеса за утечки персональных данных (ПДн), если те выполняют определенные условия. Проблема утечек ПДн актуальна как никогда, однако игроки рынка уверены, что большими штрафами ее не решить. А вот испортить жизнь малым и средним предприятия штрафы могут. В начале апреля 2024 г. в администрации президента подготовили отрицательный отзыв на поправки о смягчении штрафов за утечки. Их разрабатывали при участии Министерства цифрового развития, связи и массовых коммуникаций ко второму чтению законопроекта об оборотных штрафах за утечки персональных данных. Об этом "Коммерсанту" рассказали четыре источника, знакомые с содержанием поправок.\[quote\] https://www.comnews.ru/content/232861/2024-04-24/2024-w17/1008/pravitelstvo-i-administraciya-prezidenta-ne-odobrili-smyagchenie-shtrafov-za-utechki-personalnykh-dannykh \[/quote\]\[quote\] Поправки предлагали смягчить штрафы, если компании направляют 0,1% оборота на информационную безопасность (ИБ) и выплачивают компенсации пострадавшим от утечек - в таком случае, по мнению авторов поправок, наказание должно быть минимальным. Пока за первое нарушение, повлекшее утечку ПДн, можно получить штраф до 15 млн руб. При повторном нарушении предполагается оборотный штраф в размере от 0,1% до 3% от выручки за предшествующий календарный год. При этом размер штрафа не может быть меньше 15 млн руб. и больше 500 млн руб.\[/quote\] Безусловно, проблема с утечками стоит остро. В феврале этого года Роскомнадзор сообщал, что с начала 2024 г. ведомство зафиксировало 19 утечек: в сеть ушло более 510 млн данных россиян. При этом по данным DLBI, в I квартале 2024 г. утекло 121 млн уникальных телефонных номеров и 38 млн e-mail. Это значительно больше, чем в I квартале 2023 г. - тогда в открытый доступ попали 11 млн телефонов и 23 млн e-mail. То, что бороться с утечками надо, никто не сомневается. Но все еще идут споры - как? Изначально прописанные в законе штрафы за утечки не испугали крупные компании: они с легкостью смогли бы их оплатить. Тогда было решено ударить компании кнутом: увеличить размеры штрафов. Представители рынка сразу же попросили пряник. Конечно, никто не хочет платить штрафы, но причина не только в этом: большие штрафы, по мнению многих, не очень эффективны, а для малых предприятий даже губительны. Утечки из малых компаний реже попадают в поле зрения общественности, поэтому Роскомнадзор будет скорее наказывать крупных игроков. Однако небольшие предприятия все равно под угрозой: уровень их инфобезопасности часто ниже, чем у крупных компаний. А данные малые предприятия тоже собирают. О том, что малые и средние предприятия под угрозой, бьют тревогу Торгово-промышленная палата, общественная организация малого и среднего предпринимательства "Опора России" и сами представители малых предприятий. Специалисты по инфобезопасности говорят, что в некоторых случаях утечку предотвратить невозможно. В 2022 г. крупнейшие штрафы за это получили Didi Global, Amazon, Equifax, Instagram*, TikTok - компании, которые вкладывают в кибербезопасность очень много средств. К тому же крупные игроки, вероятно, создадут внутри организаций специальные фонды, из которых будут выделять средства на штрафы. Суммы оборотных штрафов для гигантов практически незначительны. У малых предприятий нет таких возможностей.\[quote\] https://www.comnews.ru/content/230160/2023-11-15/2023-w46/1008/oborot-ne-tuda-biznes-i-ib-kompanii-vyskazali-pretenzii-k-zakonoproektu-ob-oborotnykh-shtrafakh-za-utechki \[/quote\] Что тогда можно сделать? Игроки рынка высказывают много предложений. Главное - побудить компании вкладываться в кибербезопасность. Для этого можно смягчать штрафы, если компания отправит часть из них на обеспечение безопасности. Малым и средним предприятиям можно снизить размер штрафа, чтобы он не был для них губительным. Также полезно было бы давать им скидки, льготы на внедрение качественных решений для информационной безопасности. Звучало предложение создать платформу для коллективных исков: компании чаще боятся не столько штрафа, сколько недовольства общественности и судебных разбирательств. Если бы каждый раз после утечки их заваливали заявлениями недовольные пострадавшие, то это стимулировало бы компании гораздо больше, чем штрафы. И, как бы отстраненно ни звучало, но компаниям нужно образовываться в сфере кибербеза: необходимо создать просветительский портал со всей нужной информацией, чтобы компания с любыми возможностями могла бы изучить, что она может сделать для предотвращения утечек ПДн. Это тот случай, когда пряник работает намного лучше кнута. Пока не поздно, вместо того, чтобы размышлять, как ужесточить законодательство об утечках данных, лучше обсуждать вопрос, как помочь отрасли, чтобы утечек не было. Штрафы никто получать не хочет, но и за пряниками компании тянутся не просто так - бизнес бизнесом, но все-таки всем хочется, чтобы закон об утечках реально боролся с ними. * принадлежат Meta - компании, признанной экстремистской и террористической; запрещена в РФ.\[quote\] https://www.comnews.ru/content/231749/2024-02-27/2024-w09/1008/otnoshenie-biznesa-k-uzhestocheniyu-otvetstvennosti-za-utechki-persdannykh-neodnoznachnoe \[/quote\] Ссылка на источник