В России определят процедуры работы с биометрическими данными

Правительство направило на предварительное рассмотрение в нижнюю палату парламента России проект регламента использования биометрических данных россиян. Также в Госдуму РФ был направлен и проект документа, устанавливающего размеры оборотных штрафов за утечку персональных данных. Заместитель председателя комитета Госдумы РФ по информационной политике, информационным технологиям и связи Антон Горелкин сообщил, что доработка этих проектов правительством находится в финальной стадии, законопроект поступит в Госдуму в самое ближайшее время.

В свою очередь руководство Минцифры России заявило, что правила регламентации процедур использования биометрических данных россиян находятся в высокой стадии готовности. Они будут зафиксированы в трех проектах подзаконных актов: в одном постановлении правительства РФ и двух ведомственных приказах. Эти документы так же войдут в пакет законодательных и административных мер, задача которых – создать условия для защиты персональных данных граждан страны. Документы разрабатываются во исполнение положений Федерального закона от 29 декабря 2022 г. № 572-ФЗ и направлены на регламентацию правил предоставления биометрических данных, утверждение перечня угроз безопасности, возникающих при обработке биометрических данных, а также на утверждение требований к деловой репутации организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц.

Кроме того, почти доработан пакет документов об оборотных штрафах для компаний, допустивших утечку персональных данных своих клиентов. Его в Минцифры России готовят по итогам проработки вопроса с ИТ-отраслью и компаниями тех секторов экономики, которые активно используют персональные данные в работе, - ритейла, сферы услуг и банковского сектора. Антимонопольное законодательство России уже содержит необходимую базу для введения такой специальной меры. Пока что в действующем законодательстве максимальный штраф за утечку персональных данных для бизнеса не превышает 500 тысяч рублей.

В новой законодательной инициативе будет определено, что именно является объектом утечки персональных данных, как будет устанавливаться вина конкретной компании и как следует соразмерять размер штрафов с объемами утечки и критичностью персональных данных, попавших в незаконный оборот. Штрафы будут применяться в два этапа – за первую утечку штраф будет фиксированным, а его размер будет зависеть от объема данных, утечку которых допустила компания. В случае повторной утечки будет наложен оборотный штраф. Для них установят границы - «от» и «до» какого процента от выручки такой штраф будет исчислен. При определении наказания ответственные органы будут учитывать смягчающие и отягчающие обстоятельства. Например, если компания приложила максимум усилий для защиты информации, это будет расцениваться как смягчающее обстоятельство. Скрытие факта утечки стать отягчающим обстоятельством, и наказание в этом случае будет максимальным.

По словам заместителя председателя комитета Госдумы РФ по информационной политике, информационным технологиям и связи Антона Горелкина, 3 февраля также стало известно, что концепция законопроекта о введении уголовной ответственности для лиц, занимающихся незаконным оборотом краденых персональных данных, получила положительное заключение правительства РФ.

«Это значит, что уже совсем скоро законопроект поступит на рассмотрение Государственной Думы. Рассчитываю, что наказание, которое предусмотрели авторы документа, действительно окажется суровым, – в ином случае буду настаивать на ужесточении ответственности. Уверен, что многие коллеги-депутаты меня в этом поддержат. Как я понимаю, вопрос об оборотных штрафах для компаний, допустивших утечку персональных данных своих клиентов, проходит через кабинет министров сложнее, но уже близок к финальной стадии», - подчеркнул Антон Горелкин.

Член комитета Госдумы РФ по информационной политике, информационным технологиям и связи, основатель фонда «Цифровая долина Прикамья» Антон Немкин полностью поддержал позицию Горелкина, заметив, что с проблемой утечек персональных данных нужно бороться путем наложения штрафных санкций как на операторов, не обеспечивающих их защиту, так и на лиц, занимающихся незаконным оборотом персональных данных или создающих ресурсы для такого оборота. При этом - с учетом негативных последствий утечек для граждан - наказание должно быть соразмерным и минимизировать само намерение совершать подобные действия.

По мнению парламентариев, госслужащих и экспертов ИТ-рынка, весь этот пакет необходимо доработать и принять очень оперативно. В конце прошлой недели Роскомнадзор опубликовал в своем официальном Telegram-канале статистику утечек персональных данных в России за 2022 год. По данным специалистов компании, в 2022 году произошло около 150 крупных утечек персональных данных, выявленных в ходе 78 внеплановых проверок. В российские суды направили 66 протоколов об административных правонарушениях, судами были вынесены решения назначении штрафов на общую сумму около 1 млн рублей, а также 9 предупреждений. Сейчас в судебном производстве находятся еще 30 протоколов об административных правонарушениях.

К экспертам Центра правовой помощи гражданам в цифровой среде, созданного осенью 2021 года по инициативе Роскомнадзора, в прошлом году обратилось почти 1,7 тысяч заявителей. 52% обращений касалась обработки личной информации без ведома и согласия человека, в 16% случаев люди пострадали от мошеннических действий с личными сведениями, в 9% прецедентов персональные данные заявителей использовались в рекламных целях без их согласия, а 10% граждан страны вынуждены были защищать свои честь, достоинство и деловую репутацию.

Однако финансовые аналитики выражают опасение из-за введения оборотных штрафов в сферу цифрового обслуживания, которая с 2019 по 2023 год в связи с пандемией короновируса значительно выросла в объемах, с чем, по всей видимости, и связано долгое и тщательное рассмотрение этого вопроса правительством страны. Аналитик ФГ «Финам» Леонид Делицын подчеркнул, что штраф от оборота компании, – более чем чувствительная мера для сферы цифрового обслуживания.

«В других странах компании доставки еды, как правило, убыточны в силу своей юнит-экономики, жизнеспособность которой пока не доказана. Сейчас важная задача этих компаний – окупаемость, но при крупных штрафах, которые могут налагаться неоднократно, окупаемыми им не стать. При этом маловероятно, что такие штрафы будут когда-либо наложены на банки. Утечку, её размеры и вину банка надо ещё доказать. При таком размере штрафа банку выгоднее вложиться в обеспечение недоказуемости утечки, чем в её предотвращение. Учебники информационной безопасности говорят, что на 100% предотвратить рисковые события нельзя. Надо иметь оценку вероятности инцидента и ущерба от него и быть готовым отреагировать, чтобы минимизировать ущерб. Но если потенциальный ущерб очень велик, а вероятность остаётся высокой, то проще либо не предоставлять новых услуг - мобильных, онлайн и т.п., либо вложиться в команду юристов, которая подготовит стратегию защиты компании в суде», - заметил Леонид Делицын.

Антон Немкин заявил, что при доработке предложений правительства и законодательных инициатив по направлениям защиты персональных данных россиян проводятся множественные консультации и переговоры с игроками рынка, для которых использование персональных данных является критичным фактором для расширения сферы своих услуг.

«Как неоднократно говорил глава Минцифры России Максут Шадаев, сегодня российский бизнес, выбирая киберзащиту персональных данных своих клиентов, думает, прежде всего, о репутационных рисках, так как максимальный размер штрафа, установленный сегодня, как правило, не воспринимается крупными компаний в качестве повода изменить ситуацию с киберзащитой. А в связи с планируемыми оборотными штрафами, банкам и иным лицам, обрабатывающим персональные данные, становится выгоднее вложиться в разработку защиты информационных систем на стадии базового технического задания и первоначальной архитектуры. По убеждению коллег, которое я полностью разделяю, угрозы существенных финансовых потерь станут вполне действенным стимулом для наших игроков цифрового рынка инвестировать необходимые средства в отечественное программное обеспечение, которое защитит цифровой контур компаний. Вряд ли кто-то захочет рисковать многократными непредсказуемыми издержками, которые будут неизбежными при утечке персональных данных. Кроме того, сегодня государственные меры поддержки российской экономики и ИТ-отрасли позволят существенно сэкономить на других направлениях ведения бизнеса», - сказал парламентарий.