В Госдуме предлагают ввести уголовную ответственность за использование персональных данных в преступных целях. Законопроект об уголовном наказании за использование утечек персональных данных в преступных целях разрабатывает Минцифры РФ совместно с депутатами Госдумы и сенаторами.
Растущее количество массовых утечек в сети – основной способ получения западными спецслужбами информации о российских пользователях. В первую очередь, государство должно начать целенаправленную борьбу с хакерами, которые становятся проводниками слитой информации. Кроме того, ответственность должны нести и операторы, не обеспечившие достаточную защиту конфиденциальной информации.
Уголовное наказание
Минцифры совместно с депутатами Госдумы и сенаторами готовит законопроект об уголовном наказании за использование утечек персональных данных в преступных целях, рассказал в своем телеграм-канале глава комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн. Актуальность темы доказывают и последние новости – на этой неделе стало известно о нескольких масштабных утечках у крупных предприятий, в результате которых в сети оказались миллионы записей с персональными данными россиян. В частности, «слиты» базы данных торговых сетей «Ашан», «Твой дом», Gloria Jeans, а также клиентов и пользователей книжного интернет-магазина «Буквоед», строительного магазина «Леруа Мерлен», сайта кулинарных рецептов «Едим Дома» и магазина одежды «Твое».
Как предполагают эксперты, все данные опубликовал один и тот же хакер, утечка могла произойти через систему управления базами данных «1С-Битрикс». Предположительно, мошенники получили доступ к копии сервера или даже самому серверу. «Хакеры ведут себя дерзко – те же анонимы уже «сливали» данные россиян из других компаний, теперь еще грозят опубликовать информацию из баз данных еще 12 крупных компаний. Вектор борьбы со злоумышленниками очевиден: Минцифры вместе с ИТ-комитетом и сенаторами разрабатывают законопроект об уголовном наказании за использование утечек. Киберпреступники – это прежде всего преступники, со всем вытекающими последствиями», – написал в телеграм-канале Александр Хинштейн.
Ответственность за утечки должны нести и компании, которые их допускают, уверены в Госдуме. Сейчас они уже обязаны оперативно уведомлять Роскомнадзор об утечках, также действует запрет на принудительный сбор биометрии. В Минцифры обсуждается инициатива, согласно которой оператор, допустивший утечку персональных данных клиентов или сотрудников, получит минимальный размер оборотного штрафа, в том случае, если сможет компенсировать ущерб большинству пострадавших. Ранее компенсировать всем пользователям ущерб от утечек их данных предложили и в Роскомнадзоре.
Соразмерная компенсация
«Важно не столько установить ответственность для операторов, у которых утекли данные, сколько добиться того, чтобы человек, чьи данные попали в общий доступ, получил соразмерную компенсацию. Нам нужно понять, как права человека будут восстановлены. Один из механизмов, который сейчас предлагается, и Минцифры подтверждает возможность его реализации, это через портал госуслуг дать лицам, чьи данные попали в общий доступ, заявить об этом и потребовать компенсацию непосредственно от оператора, без суда, без подтверждения принадлежности этих персональных данных. Достаточно должно быть только авторизации на портале госуслуг. Не нужно будет обращаться к оператору напрямую и потом идти в суд», – рассказал замглавы ведомства Милош Вагнер на конференции «Цифровая индустрия промышленной России» (ЦИПР).
При этом возмещение ущерба за утечки не должно стать лазейкой для компаний-нарушителей, которым может быть проще откупаться компенсациями, чем усиливать внутреннюю систему информационной безопасности в целом. В законопроекте об оборотных штрафах есть достаточно компромиссных моментов, которые выработаны вместе с отраслью. В частности, ответственность на оператора налагается только после повторного инцидента с персональными данными. Также смягчающим обстоятельством может стать тот факт, что компания уведомила Роскомнадзор в установленные законом сроки, в течение 24 часов после выявления утечки.
Законодательное усиление
Количество утечек в сети сегодня продолжает расти, а значит должно последовательно усиливаться и законодательство, которое контролирует эту сферу, уверен член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.
«После блокировки иностранных социальных сетей, которые, как известно, использовались западными спецслужбами для сбора данных о российских пользователях, новым, альтернативным способом получения информации о россиянах стали именно утечки с различных сервисов. Количество утечек растет в геометрической прогрессии, в СМИ регулярно появляются сообщения о новых «сливах», что играет и как психологический фактор запугивания населения нашей страны. Со стороны государства комплексно прорабатываются меры наказания для компаний, которые становятся виновниками утечек. Тем не менее, важно наказать всех участников этой цепочки, и основными акторами в ней, безусловно, являются хакеры, которые не только крадут данные, но и перепродают их на черном рынке. Найти их достаточно сложно, но возможно, и наши правоохранительные органы ведут эту работу. Ответственность за их действия должна быть самой строгой», – подчеркнул депутат.
Сами компании также должны вести серьезную работу по наращиванию мер защиты своих ресурсов от атак хакеров. По словам Антона Немкина, «здесь нужно действовать комплексно и отлаженно, однако механизм довольно простой – следить за состоянием оборудования, не жалеть денег на его обновление, регулярно обсуждать меры кибербезопасности с сотрудниками и объяснять им, каким образом каждый конкретный человек может внести свой вклад в защиту данных. А также ни в коем случае не расслабляться, думая, что в вашей сфере данные хакерам неинтересны. Как мы видим из списка компаний, которые уже потеряли данные, сферы их деятельности очень разные. И, в первую очередь, это связано с тем, что мошенникам важно именно достигнуть цели и украсть данные, наполнение самих дампов украденных данных по сути их и не интересует».
