В Минцифры готовят законопроект, в котором может появиться норма о выплатах компенсаций россиянам, пострадавшим от утечек персональных данных. Деньги предлагается брать из штрафов, которые заплатят компании, допустившие слив. Сроки разработки документа пока не определены, сообщили NEWS.ru в министерстве, однако эксперты давно ждут решения, которое повлияло бы на ситуацию. Сейчас личная информация из банков и различных сервисов часто попадает в руки организаторов мошеннических схем.

Минцифры предлагает ввести фиксированный штраф для компаний за первую утечку данных и оборотный штраф (зависит от готовой суммы выручки компании) — за повторную. Также в ведомстве хотят предусмотреть добровольную аккредитацию операторов персональных данных о соответствии критериям информационной безопасности. Такая аккредитация в случае утечки может стать смягчающим обстоятельством и, видимо, снизить размер штрафа.

Важно определить, куда будут расходоваться собранные штрафы. Один из вариантов — выплаты компенсаций гражданам, пострадавшим от утечек. Может быть создан специальный фонд, который будет действовать по аналогии с Агентством по страхованию вкладов, — говорится в релизе министерства.

Директор АНО «Информационная культура» Иван Бегтин рассказал NEWS.ru, что указывал на необходимость создания подобного фонда за день до публикации Минцифры. По его мнению, деньги, которые выплатят допустившие утечки компании, должны идти не государству, а пострадавшим пользователям. Иначе жертвы не получат ничего, кроме знания, что «компании сделали больно».

Фото: Артём Соболев/NEWS.ru

Эта история вполне справедливая, и лучше, если деньги, на которые были оштрафованы компании, пойдут не в федеральный бюджет на танки, а нам с вами на компенсацию от того, что мы пострадали от этого. Даже если получите 100 рублей от очередной утечки, это не так уж плохо, вы хоть что-то получите, — объяснил он.

По его словам, к появлению подобных компенсаций профессиональному сообществу стоило прийти самостоятельно в рамках саморегуляции. Однако участники рынка этого не сделали и, как отметил Бегтин, «теперь пусть устроят внутренние разборки, почему они это не организовали».

Эксперт отметил, что внедрение предложенных Минцифры мер приведет к изменениям на рынке. Компаниям придется тратить больше средств на информационную безопасность. С другой стороны, появятся игроки, предлагающие новые решения в этой сфере.

Однако важным Бегтин считает то, как предложенные меры будут реализованы. По его словам, государство должно не столько давить на компании, сколько защищать граждан.

Компании должны бояться не только денежных последствий, но и того, что им придется объясняться, как это произошло. Их расходы на информационную безопасность должны кратно вырасти в ближайшие месяцы и годы. Если они не хотят этого делать, если они хотят, чтобы утечки продолжились, пусть разбираются с последствиями сами, — подчеркнул он.

Наказание за утечки, по мнению эксперта, должно ограничиваться административными мерами. Уголовное разбирательство возможно только если кто-то специально слил данные в криминальных целях. Даже халатность — не повод для таких мер, убежден собеседник NEWS.ru.

Бить рублем — нормальная практика. Потому что разговоры ходили разные, вплоть до подведения под госизмену за утечки, — добавил Бегтин.

Глава юридической практики «Роскомсвободы» Саркис Дарбинян тоже положительно оценил инициативу Минцифры. В разговоре с NEWS.ru он обратил внимание, что сейчас компании, допустившие утечки, не несут практически никакой ответственности. В качестве примера он привел публикацию данных клиентов «Яндекс.Еды». Тогда сервис оштрафовали на 60 тысяч рублей.

Курьер сервиса «Яндекс.Еда»Фото: Артем Геодакян/ТАССКурьер сервиса «Яндекс.Еда»

Я не вижу каких-то сложностей, которые могли бы препятствовать внедрению этой инициативы. Единственное, что потребуется, — внести изменения в законы, которые бы обязывали компании страховать свою ответственность, а не делать эту историю добровольной, — подчеркнул он.

Эффективным, по мнению эксперта, стало бы решение о страховании операторов персональных данных у частных страховых компаний. В таком случае пострадавшие могли бы получать компенсацию непосредственно у страховщика, а тот, в свою очередь, требовал бы деньги с тех, кто виновен в утечке.

В Европейском союзе для защиты персональных данных действует Общий регламент по защите персональных данных Евросоюза (GDPR). Именно благодаря этим требованиям даже россияне стали чаще видеть на интернет-сайтах уведомления о том, что страница использует cookies браузера. Однако этот регламент требует не только размещать такое сообщение, но и устанавливает жесткие нормы обработки и хранения пользовательской информации. Нарушение правил влечет большие штрафные санкции — компанию могут оштрафовать на 4% от общего дохода во всех странах мира или на сумму до €20 млн.

Кроме того, европейцы имеют законные механизмы для предъявления к компаниям-нарушителям многомиллионных исков. В России же такой практики пока не сложилось.