С января по май 2023 года было официально зарегистрировано 75 утечек персональных данных из российских коммерческих компаний и госорганизаций. Это в 1,5 раза больше по сравнению с тем же периодом прошлого года. Такие инциденты чаще всего происходят в сфере ритейла (37%), финансового сектора (20%) и игровой индустрии (10%). В сентябре о масштабном «сливе» данных пользователей портала «Госуслуги» заявили депутаты. Что нового может появиться в российском законодательстве для предотвращения подобных инцидентов и защитит ли это рядовых потребителей, читайте в материале «Сферы».
Замглавы комитета Госдумы по экономической политике Михаил Делягин недавно заявил, что пожалуется сразу в несколько ведомств, в том числе силовых, из-за утечки данных пользователей портала «Госуслуги». Об этом он рассказал в беседе с РИА Новости.
«Запрос отправляю в ФСБ, в Следственный комитет, в МВД, в Генеральную прокуратуру, в Минцифры, в Роскомнадзор, в общем везде, где положено, потому что утечка большая», — сказал парламентарий.
По его словам, о произошедшем ему сообщили избиратели. В одном из чат-ботов в Telegram появилась база с номерами телефонов и машин, адресами прописки и другими сведениями пользователей. Депутат сообщил, что через чат-бот можно легко найти личные данные депутатов, а также «некоторых уважаемых руководителей».
Делягин не отметил, о каком именно боте идет речь. Однако сейчас таких достаточно много. Иногда владельцы ботов готовы выложить всю подноготную за небольшую сумму, другие «работают» бесплатно. Блокировки подобных сервисов умело обходят.
Вы за это заплатите!
В конце сентября правительство России одобрило инициативу Минцифры о компенсации пострадавшим от утечек персональных данных в рамках закона об оборотных штрафах.
Согласно инициативе, если компания, которая допустила утечку, обеспечит финансовое возмещение нанесенного пользователю вреда, это будет признаваться смягчающим обстоятельством. Тогда к ней будут применяться пониженные оборотные штрафы.
Кроме того, если компания обнаружила на своих серверах утечку, они должна будет сообщить об этом всем пользователям, прислать СМС или электронное письмо на номер или адрес, которые были указаны при регистрации. Если компания готова выплачивать компенсацию – это будет напрямую указано в тексте сообщения, а Минцифры также будет размещать эту информацию на портале «Госуслуги».
Пострадавшим россиянам дадут 15 дней на то, чтобы подать заявку на «Госуслугах» на возмещение причиненного ущерба, а компания в течение 20 рабочих дней после получения заявок должна рассчитать объем выплаты и направить свое предложение всем обратившимся.
Гражданам предоставляют возможность выбора: отказаться или согласиться на размер выплаты. К тому же, если компенсацию потребуют сразу 80% пострадавших, то компания должна произвести выплаты в течение пяти дней.
А это поможет?
Мнения экспертов о предложении Минцифры разделились. Директор Координационного центра доменов .RU/.РФ Андрей Воробьев считает, что любой компенсации, да и применению самих оборотных штрафов, будут предшествовать многомесячные судебные разбирательства. При этом шанс вывернуться у компаний, допустивших утечку, достаточно большой. Пока в законопроекте никак не описывается ни регламент расследования утечки, ни порядок признания компании виновной в ней, так что доказать что-то будет очень сложно, добавляет спикер.
Безусловно, появятся и мошенники, претендующие на денежную компенсацию. По мере формирования правоприменительной практики, возможно, возникнет необходимость пересмотра установленных норм.
«Пока складывается ситуация обратная, когда на личных данных получателей цифровых услуг зарабатывают все, кроме субъекта этих персональных данных. С одной стороны, бизнесу необходимы личные данные пользователей для развития, а с другой — некоторые компании совершенно не хотят тратить средства на создание защищенной технологической инфраструктуры оператора и принимать соответствующую законодательству ответственностью за компрометацию», — полагает техноброкер, экономист, IT-менеджер Сергей Гатауллин.
Кстати, компенсация вреда пострадавшим от утечки персональных данных предусмотрена статьей 24 ФЗ «О персональных данных». Вместе с тем, моральный вред взыскивается в размере справедливом по мнению суда. Взыскать большую сумму крайне затруднительно. Для взыскания же убытков требуется значительная доказательная база, которую в таких делах подготовить сложно — наступление неблагоприятных последствий после «слива» персональных данных обычно носит вероятностный характер, отмечает генеральный директор Legal House Ольга Звагольская.
«Поскольку все больше лиц вовлекаются в обработку персональных данных, вероятность их утечки будет возрастать, несмотря на повышение ответственности», — предполагает она.
Не менее важен вопрос формулировок — что вообще считать утечкой? В общем случае, утечка — это несанкционированный доступ в защищаемой информации, но парадокс в том, что единого определения нет. И это дополнительная причина не понимать параметры инициативы, о которой идет речь.
«Да и в целом выплата компенсаций — очень неприятная процедура. Во-первых, нужно уведомить каждого человека об инциденте, это непросто, если утекли миллионы строк. Во-вторых, нужно собрать заявления на выплату компенсаций и реквизиты. Это тоже огромный объем работы. И только после этого появится проблема расходов на выплаты — откуда взять деньги, как их распределить по очередности, когда выплатить. Однако безусловно для любого оператора требование компенсации — серьезное основание не допускать утечек. Наверняка это поможет уменьшить количество подобных инцидентов», — резюмировал Евгений Царёв, управляющий RTM Group, эксперт в области кибербезопасности и права в ИТ.
В любом случае, нужно учесть много деталей для того, чтобы инициатива оказалась жизнеспособной и заработала. Пока давать прогнозы о ее эффективности довольно непросто.
Рейтинг
статьи