В Госдуму поступил законопроект об оборотных штрафах за утечку персональных данных. Поправки предлагается внести в Кодекс РФ об административных правонарушениях, а также в Уголовный кодекс РФ.
Проект поправок в Кодекс РФ об административных правонарушениях (КоАП), повышающий штраф за утечку персональных данных и устанавливающий оборотные штрафы в случае повторной утечки, внесен в Госдуму. Изменения в Уголовный кодекс РФ предусматривают существенное усиление уголовной ответственности за преступления, связанные с незаконным оборотом персональных данных.
Штрафные вилки
Предлагаемые поправки к КоАП устанавливают штрафы до 15 млн рублей за утечку персональных данных. При этом предлагается вариативность размеров штрафа в зависимости от объема утечки. Так, если утечка затронула до 10 тыс. субъектов персональных данных, юрлицам грозит штраф от 3 млн до 5 млн рублей, от 10 до 100 тыс. субъектов — штраф составит уже от 5 млн до 10 млн рублей, более 100 тыс. — от 10 млн до 15 млн рублей.
За повторные правонарушения, выражающиеся в серьезной «утечке» персональных данных, предусматриваются санкции в виде оборотных штрафов от 0,1% до 3% выручки за предшествующий год. При этом сумма такого штрафа не может быть менее 15 млн рублей и более 0,5 млрд рублей.
Ответственность вводится не только за утечки персональных данных, но и за несоблюдение операторами целого ряда обязанностей, в том числе об уведомлении Роскомнадзора о произошедшей утечке.
«Суровые меры административного наказания, предусмотренные законопроектом, станут существенным стимулом для инвестиций операторов персональных данных в информационную безопасность и окажут превентивное воздействие на операторов, несоблюдающих требования законодательства о персональных данных. Предлагаемые изменения направлены на значительное снижение количества случаев «утечек» персональных данных в Российской Федерации», – говорится в пояснительной записке к законопроекту.
Новая статья УК
В целях формирования в России комплексного механизма по предотвращению правонарушений в сфере персональных данных законопроект вносится в Государственную Думу в одно время с проектом федерального закона «О внесении изменений в Уголовный кодекс Российской Федерации». Этот законопроект дополняет УК РФ новой статьей, предусматривающей уголовную ответственность за использование, передачу, сбор и хранение компьютерной информации, которая содержит персональные данные, но при этом получена неправомерным путем, а также за создание и поддержание работы информационных ресурсов, которые нужны для незаконного хранения и распространения персональных данных.
Как поясняют авторы законопроекта, подавляющее число утечек – это базы данных, состоящие из записей о конкретных людях: пользователях, клиентах, сотрудниках. Все это – компьютерная информация, которую в случае получения ее незаконным путем предлагается выделить как специальный объект преступного посягательства. Это позволяет разграничивать новый состав УК РФ от правонарушений, ответственность за которые предусмотрена Кодексом Российской Федерации об административных правонарушениях в статье 13.11 «Нарушение законодательства РФ в области персональных данных», а также иных составов преступлений.
Тяжесть составов преступлений
С учетом характера и степени общественной опасности, все составы преступлений, предусматриваемые новой статьей УК РФ, предлагается отнести к категории не ниже средней тяжести.
Таким образом, новый законопроект предусматривает уголовную ответственность для злоумышленников, которые незаконно собирают, хранят, используют и передают незаконно полученную компьютерную информацию, содержащую персональные данные. Эти действия должны наказываться штрафом в размере до 300 тыс. рублей, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок.
Лишение свободы на срок до восьми лет грозит и злоумышленникам, которые незаконно передают базы данных с персональными данными иностранным гражданам, иностранным организациям или иностранным государственным структурам, а также для преступников, которые вывозят такую компьютерную информацию из Российской Федерации на любых электронных носителях, в том числе на флеш-накопителях и жестких дисках.
Если утечка повлекла вред жизни и здоровью граждан, а также общественной безопасности, или речь идет об организованной преступности, срок увеличивается до 10 лет тюремного заключения.
Администрирование ресурсов
Отдельная уголовная ответственность предусмотрена для преступников, которые создают и администрируют сайты в сети или другие интернет-ресурсы и программы, которые позволяют незаконно хранить и незаконно предоставлять доступ к персональным данным.
Им грозит лишение свободы на срок до пяти лет со штрафом в размере до 700 тыс. рублей или иного дохода осужденного за период до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двух лет или без такового. Таким образом, планируется пресечь деятельность коммерческих интернет-ресурсов, предоставляющих доступ к незаконно полученным персональным данным граждан платно.
«Принятие законопроекта позволит эффективно привлекать к уголовной ответственности злоумышленников, совершающих преступления в сфере персональных данных, а также реализует превентивные механизмы уголовного права, что позволит предотвратить многие преступления в данной сфере. Кроме того, законопроект позволит обеспечить справедливое рассмотрение правоохранительными органами заявлений от граждан, считающих себя потерпевшими от действий преступников, которые незаконно распоряжаются их персональными данными», – отмечается в пояснительной записке к законопроекту.
Угроза персональным данным
Развитие технологий, к сожалению, имеет свою цену – чем больше присутствие человека в сети, тем ощутимее угроза его персональным данным. Криминальная обработка персональных данных, в первую очередь компрометация с целью последующей продажи или шантажа, – это та категория преступлений, расследование которых относится к наиболее сложным, поскольку преступники умело пользуются такими свойствами сети как анонимность, возможность доступа из любой точки мира и простота удаления следов нарушения. Надо решать проблему наказания комплексно и привлекать преступников, которые занимаются торговлей персональных данных в сети, к уголовной ответственности – в противном случае плачевная ситуация с персональными данными может только усугубиться, отметил член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. Кроме того, необходимо добиваться от российских компаний более ответственного отношения к конфиденциальности данных пользователей.
