Организации-операторы, занятые обработкой персональных данных, планируется обязать предоставить страховку на случай утечки информации. Наличие финансового обеспечения позволит им выплачивать возмещение пострадавшим. Поправки, касающиеся обязательного страхования киберрисков, внесут в федеральный закон о персональных данных. С такой инициативой выступил Совет Федерации.
О деталях обсуждаемого нововведения на пресс-конференции рассказали заместитель председателя совета по развитию цифровой экономики при Совфеде, член комитета СФ по конституционному законодательству и государственному строительству Артем Шейкин и президент Всероссийского союза страховщиков Евгений Уфимцев.
Обязанность оператора персональных данных
Тема утечек данных не утрачивает актуальности, поэтому в Совете Федерации не прекращается поиск способов, как остановить эту волну, снизить накал проблемы, отметил Артем Шейкин. Одним из инструментов является страхование от киберрисков. Идея в том, чтобы организации-операторы персональных данных располагали финансовым обеспечением для возмещения вреда, причиненного в результате утечки. Документами, подтверждающими такое обеспечение, могут быть, в частности, банковская гарантия, договор страхования. Этой же цели может служить создание оператором своего резервного фонда и т. д.
Информация в наше время становится стратегическим товаром, причем это касается данных не только маркетплейсов, поликлиник, станций техобслуживания. Утечка может иметь последствия для человека, который разрешил использовать свои данные для конкретных целей. В сфере сохранности персональных данных, компенсации убытков нужно расставить точки над «i». «Чтобы и для организаций, которые владеют информацией и распоряжаются ей, и для потребителей, которые дают им такое право, все было понятно. Одним – за что они отвечают и какая перед ними ответственность. Другим – в каких пределах и объемах они получат возмещение», – пояснил президент Всероссийского союза страховщиков Евгений Уфимцев.
Для государства важно классифицировать организации в зависимости от чувствительности утечек и характера персональных данных, которые могут попасть в открытый доступ. Самым проблемным в рамках инициативы назвал этот вопрос представитель Совета Федерации. Например, телефоны, адреса доставки и данные о покупках – это один уровень риска, а медицинские сведения, финансовая информация – совершенно другой. Очевидно, что к операторам таких данных необходимо предъявлять более жесткие требования.
«Сегодня к операторам персональных данных относятся государственные и муниципальные органы, бизнес, в том числе малый. И, по сути, наша задача – придумать единый механизм, который будет предъявлять ответственность, и, допустим, к каким-то частным детским садам, и к таким глобальным компаниям, как «Ростелеком»», – пояснил Артем Шейкин.
Вопросы без ответов
Мнения сторонников законопроекта относительно того, какие операторы будут обязаны иметь финансовое страхование от киберрисков, разделились. К крупным операторам, которые оперируют более 100 тыс. записей, следует предъявлять требования о финансовом обеспечении, считают одни эксперты. Такой же подход будет справедлив и в отношении небольших операторов, которым тоже нужно совершенствовать меры защиты, полагают другие. К общему знаменателю участники обсуждения пока не пришли, признал сенатор.
Нерешенным остается вопрос о размере финансового обеспечения. Ответ на него будет зависеть от того, что является страховым случаем. Сам факт утечки? Обращение гражданина о таком факте? Причиненный в результате утечки ущерб?
Появление в Сети персональных данных автоматически не означает наличие утечки. Ведь гражданин самостоятельно может размещать свои персональные данные. Появление их в открытом доступе не всегда оборачивается ущербом. Нет пока ответа и на вопрос, как поступать, находить виновного и возмещать ущерб, если утечку данных об одном и том же человеке допустили разные организации.
«Требования должны быть явно выражены, чтобы избежать их широкого трактования. Не менее важно четко прописать перечень лимитов, страховой суммы, возможные исключения», – подчеркнул сенатор. Методика расчетов – прерогатива федеральных органов исполнительной власти, которые должны будут разработать такой механизм.
При обсуждении поднятых вопросов Евгений Уфимцев напомнил о подходе, реализованном в рамках закона об опасных объектах в части их классификации: атомная станция, угольные разрезы, лифты и т. п. По такому же принципу стоит классифицировать операторов персональных данных (одни имеют дело с телефоном и адресом, другие – с банковскими реквизитами и номером карточки, третьи – с медицинскими данными). Исходя из этого и определять размер финансового обеспечения.
Соответствующая градация поможет сориентироваться и гражданам – будет понятно, какое возмещение можно требовать от оператора при наступлении страхового случая.
В периметре защиты
По результатам обсуждения поправок их участники пришли к нескольким выводам. Для операторов, обрабатывающих большое количество персональных данных, следует предусмотреть обязательную специальную аккредитацию, которая даст им право на такую деятельность.
Эксперты считают необходимым развитие института независимой оценки информационной защищенности объектов (не только применительно к киберстрахованию). Важно также определить орган, осуществляющий контроль, и предусмотреть порядок контроля (имеется ли у оператора соответствующее финансовое обеспечение). Сенатор предположил, что с ролью контролирующего органа может справиться отдел «Роскомнадзора».
В ходе пресс-конференции поднимался вопрос об оправданности дополнительной нагрузки на участников рынка – не станет ли инициатива с принятием закона обузой для бизнеса. Эксперты считают, что на фоне введения оборотных штрафов для операторов за нарушение условий хранения персональных данных вариант страхования ответственности стоит рассматривать как гарантированную финансовую помощь, действенный вариант защиты всех заинтересованных сторон.
