Справка по законопроекту № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»

04 декабря 2023 года Сенаторы Российской Федерации А.А. Турчак, А.А. Клишас, И.В. Рукавишникова, К.К. Долгов, А.Г. Шейкин; депутаты Государственной Думы А.Е. Хинштейн, И.А. Панькина, Д.Ф. Вяткин, А.И. Немкин внесли в Государственную Думу РФ проект федерального закона № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (https://sozd.duma.gov.ru/bill/502104-8#bh_histras). 23.01.24 г. законопроект был принят в первом чтении; срок представления поправок установлен до 06.02.2024 г. ПФЗ предусматривает усиление ответственности за утечки данных.

Ситуация в этой сфере более чем серьезная. По данным Генпрокуратуры РФ, в 2020 году произошло 510,3 тыс. преступлений в этой сфере. Они составили 25% среди всех преступлений, зарегистрированных в стране. Еще шесть лет назад в общей структуре преступности на их долю приходилось менее 2%. По данным опроса "Лаборатории Касперского" в 2021 году, каждая четвертая организация в России (24%) столкнулась с утечкой данных о сотрудниках в результате киберинцидента. При этом вы можете не знать, что ваши данные утекали. В 2020 году хакеры украли 250 тыс. баз данных и продавали каждую по $500. В 2018 году на одном из форумов за 8 биткойнов продавали сведения о 70 млн пользователей Telegram. (Анастасия Акулова. Как интернет узнает ваши телефоны и адреса. Что не так с хранением персональных данных // https://tass.ru/obschestvo/13549483)

По данным отчета "Лаборатории Касперского" "О значимых утечках данных в России", в 2022 году зафиксировано 168 случаев публикаций значимых баз данных российских компаний. Всего было опубликовано более 2 миллиардов записей. Это почти 300 миллионов пользовательских данных, из которых 16% - около 48 миллионов строк - содержали пароли… Большая часть пользовательских данных (64%) были скомпрометированы в результате атак на крупный бизнес. (Исследование выявило лидеров по объему утечек информации в России // https://ria.ru/20230227/issledovanie-1854483903.html )

Даже по официальным данным за первые полгода 2023-го в российских организация произошло 76 утечек. Это в четыре раза больше, чем за аналогичный период в прошлом году, отметили в Роскомнадзоре.

В Сеть попадала не только техническая документация фирм, но и личные данные россиян — от номера телефона до перечня последних покупок. Как рассказали РИА Новости в Роскачестве, около четверти всех инцидентов с конфиденциальной информацией происходит в компаниях ретейла, а каждый двенадцатый — в финансовых и ИТ-организациях. Только за последние три месяца количество раскрытых учетных записей превысило десять миллионов (Мария Рубникович. “Взломали “Госуслуги” и взяли кредит” // https://ria.ru/20230905/sliv-1894134324.html).

         По оценкам Сбербанка данные уже 80 миллионов россиян оказались в мошеннических базах. При этом количество украденных строк в целом уже превышает 500 миллионов. Сегодня за деньгами и данными граждан и компаний охотится около миллиона мошенников в русскоязычном теневом интернете. (Станислав Кузнецов: в базах мошенников уже почти 80 миллионов россиян // https://ria.ru/20230614/kuznetsov-1877800659.html?in=t)

Формально ответственность за утечку ПД существует в отечественном законодательстве, но с учетом денег, которые можно заработать на их хищении, и ущерба, который могут в следствии этого понести люди, она носит больше символический характер. В соответствии со ст. 13.11 КОАП "Нарушение законодательства РФ в области персональных данных" влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей. Как отмечает Ашот Оганесян, основатель компании DeviceLock, «на практике в России контролируется скорее формальная сторона — наличие регламентов и прочих документов, и если они в порядке, компании ничего не грозит в случае утечки». (Анастасия Акулова. Как интернет узнает ваши телефоны и адреса. Что не так с хранением персональных данных //

https://tass.ru/obschestvo/13549483). Для сравнения отметим, что за сравнительно недавнюю утечку персональных данных "Яндекс.Еда" была оштрафована всего на 60 тыс. рублей (Суд оштрафовал "Яндекс.Еду" на 60 тыс. рублей из-за утечки данных // https://tass.ru/proisshestviya/14435979). Очевидно, что до тех пор, пока нарушители будут отделываться символическими штрафами, широкомасштабные утечки персональных данных будут продолжаться и далее.    

         В подобной ситуации ужесточение ответственности в этой сфере можно только приветствовать. Но какое же ужесточение предлагают авторы ПФЗ? В первой части рассматриваемой статьи они хотят установить штраф для граждан от десяти тысяч до пятнадцати тысяч, должностных лиц - от

пятидесяти тысяч до ста тысяч, юридических лиц - от ста пятидесяти тысяч до трехсот тысяч. За повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи предусматривается наложение административного штрафа на граждан в размере от пятнадцати тысяч до тридцати тысяч рублей; на должностных лиц - от ста тысяч до двухсот тысяч рублей; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей.

         Дополнительно данную статью КОАП планируется дополнить частями 10-17 следующего содержания:

«10. Невыполнение и (или) несвоевременное выполнение оператором

предусмотренной законодательством Российской Федерации в области

персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных, -

влечет наложение административного штрафа на граждан в размере от пяти

тысяч до десяти тысяч рублей; на должностных лиц - от тридцати тысяч до

пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей.

11. Невыполнение и (или) несвоевременное выполнение оператором

предусмотренной законодательством Российской Федерации в области

персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае установления факта

неправомерной передачи (предоставления, распространения, доступа)

персональных данных, повлекшей нарушение прав субъектов персональных

данных, -

влечет наложение административного штрафа на граждан в размере от

пятидесяти тысяч до ста тысяч рублей; на должностных лиц - от четырехсот тысяч до восьмисот тысяч рублей; на юридических лиц - от одного миллиона до трех миллионов рублей.

12. Действия (бездействие) оператора, повлекшие неправомерную передачу

(предоставление, распространение, доступ) информации, включающей

персональные данные от одной тысячи до десяти тысяч субъектов персональных данных, и (или) от десяти тысяч до ста тысяч уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц (далее - идентификаторы), если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, -

влечет наложение административного штрафа на граждан в размере от ста

тысяч до двухсот тысяч рублей; на должностных лиц - от восьмисот тысяч до

одного миллиона рублей; на юридических лиц - от трех миллионов до пяти

миллионов рублей.

13. Действия (бездействие) оператора, повлекшие неправомерную передачу

(предоставление, распространение, доступ) информации, включающей

персональные данные от десяти тысяч до ста тысяч субъектов персональных

данных, и (или) от ста тысяч до одного миллиона идентификаторов, если эти

действия (бездействие) не содержат признаков уголовно наказуемого деяния, - влечет наложение административного штрафа на граждан в размере от

двухсот тысяч до трехсот тысяч рублей; на должностных лиц - от одного миллиона до одного миллиона пятисот тысяч рублей; на юридических лиц - от пяти миллионов до десяти миллионов рублей.

14. Действия (бездействие) оператора, повлекшие неправомерную передачу

(предоставление, распространение, доступ) информации, включающей

персональные данные более ста тысяч субъектов персональных данных, и (или) более одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, -

влечет наложение административного штрафа на граждан в размере от

трехсот тысяч до четырехсот тысяч рублей; на должностных лиц - от одного

миллиона пятисот тысяч до двух миллионов рублей; на юридических лиц - от

десяти миллионов до пятнадцати миллионов рублей.

15. Совершение административного правонарушения, предусмотренного

частями 12-14 настоящей статьи, лицом, подвергнутым административному

наказанию за административное правонарушение, предусмотренное частями 12 - 14 настоящей статьи, -

влечет наложение административного штрафа на граждан в размере от

четырехсот тысяч до шестисот тысяч рублей; на должностных лиц - от двух

миллионов до четырех миллионов рублей, на юридических лиц - от одной десятой процента до трех процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявленного административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, но не менее пятнадцати миллионов

рублей и не более пятисот миллионов рублей.

16. Действия (бездействие) оператора, повлекшие неправомерную передачу

(предоставление, распространение, доступ) информации, включающей

специальную категорию персональных данных, -

влечет наложение административного штрафа на граждан в размере от

трехсот тысяч до четырехсот тысяч рублей; на должностных лиц - от одного

миллиона пятисот тысяч до двух миллионов рублей; на юридических лиц - от

десяти миллионов до пятнадцати миллионов рублей.

17. Совершение административного правонарушения, предусмотренного

частью 16 настоящей статьи, лицом, подвергнутым административному наказанию за административное правонарушение, предусмотренное частями 12 - 14, 16 настоящей статьи, -

влечет наложение административного штрафа на граждан в размере от

пятисот тысяч до восьмисот тысяч рублей; на должностных лиц - от трех

миллионов до пяти миллионов рублей, на юридических лиц - от одной десятой процента до трех процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявленного административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ,

услуг) в предшествующем календарном году, но не менее двадцати миллионов рублей и не более пятисот миллионов рублей.».

При этом в частях 10-17 настоящей статьи под должностным лицом понимается должностное лицо государственного или муниципального органа, сотрудник государственного или муниципального учреждения, а под юридическим лицом понимается оператор - юридическое лицо, не являющееся государственным или муниципальным органом, государственным или муниципальным учреждением.

        Поскольку значительная часть отечественной элиты ориентируются на Запад, посмотрим, как обстоит там дело с защитой ПД. 25 мая 2018 г. в Европейском Союзе вступил в силу закон, устанавливающий принципы и требования к защите персональных данных — General Data Protection Regulation (GDPR). Цель принятого закона — укрепить права субъектов персональных данных (ПДн). GDPR подразумевает более серьезную ответственность за несоблюдение правил хранения и обработки персональной информации и устанавливает глобальные стандарты защиты данных. Новый закон призван повысить защищенность персональной информации субъектов, находящихся на территории ЕС. По данным аналитического центра InfoWatch, доля утечек персональных данных граждан за 2017 год составила 64,8% от совокупного числа утечек информации из организаций в мире. Украденные ПДн используются злоумышленниками для совершения мошенничества, которое может привести к ущербу репутации и материальным потерям для пострадавшего. Так, за нарушение базовых принципов обработки данных, нарушение правил передачи персональных данных, игнорирование запрета надзорного органа на обработку данных, нарушение прав субъекта и др. на компанию будет наложен штраф в размере 4% от общего годового оборота предприятия или 20 млн евро (в зависимости от того, какая сумма окажется больше). За нарушение порядка уведомления об инциденте, отсутствие сотрудника по защите данных, где это необходимо, незаконную обработку ПДн ребенка и др. предусмотрены меньшие, однако не менее существенные штрафы — 10 млн евро или 2% от общего годового оборота предприятия (В Европе вступил в силу закон о защите персональных данных. Как его выполнить? // https://d-russia.ru/v-evrope-vstupil-v-silu-zakon-o-zashhite-personalnyh-dannyh-kak-ego-vypolnit.html).

Закон, ограничивающий сбор пользовательских данных технологическими компаниями, был принят в Китае в 2021 г. Согласно ему, ни одна организация или индивидуальное лицо не должны незаконно собирать, использовать обрабатывать и передавать личную информацию, торговать ею, предоставлять или раскрывать данные других людей. Компаниям, нарушающим новые правила, будет грозить штраф в размере до 50 млн юаней ($7,7 млн) или до 5% их годовой выручки. Закон также предусматривает, что онлайн-платформы с большим количеством пользователей должны разработать подробные правила поведения сторон, предоставляющих услуги через эти платформы. Они должны четко определить нормы обработки данных и обязательства по защите личной информации провайдерами продуктов или услуг на онлайн-платформах.

Кроме того, в новом законе КНР предусмотрена категория чувствительной персональной информации. Это такая информация, утечка или незаконное использование которой приведет к серьезному ущербу для физических лиц, их безопасности, а также безопасности их имущества. В частности это:

·        Биометрическая информация;

·        Религиозные убеждения;

·        Информация о здоровье;

·        Информация о счетах в финансовых учреждениях;

·        Информация о геопозиции пользователя.

Также к чувствительным персональным данным относится личная информация несовершеннолетних до 14 лет. (Новый закон о персональных данных в Китае: что важно знать разработчикам // https://apptractor.ru/info/articles/pipl.html)

Следует заметить, что 20 млн евро по текущему курсу 97 руб. это 1 млрд 940 млн. руб., а 50 млн юаней по текущему курсу 12,44 руб. это 622 млн. руб. Поскольку максимальный штраф, предусмотренный ПФЗ не должен превышать пятисот миллионов рублей, очевидно, что его авторы тяготеют к китайскому варианту. Нельзя не отметить, что по сравнению с иностранным законодательством они устанавливают самый низкий процент возможных штрафов, от одной десятой процента до трех процентов совокупного размера суммы выручки, против 4% в ЕС и 5% в КНР. Если уж разработчики законопроекта ориентировались на китайский вариант, то и соответствующий процент надо было установить такой же, как в Китае. Другим недостатком ПФЗ является то, что ответственность за утечку персональных данных начинается от одной тысячи. Таким образом, утечка данных, например, 950 человек по данному законопроекту остается безнаказанной. Естественно, с подобным подходом, оставляющим удобную лазейку злоумышленникам, согласиться никак нельзя и ответственность должна начинаться за утечку ПД одного человека.

Хотя в пояснительной записке и говорится, что «за утечку специальных категорий персональных данных, относящихся к наиболее чувствительным данным, предполагается установление повышенных административных штрафов» (с. 2), однако само это понятие ПФЗ не предусматривается. Ст. 10 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 06.02.2023) "О персональных данных" предусматривает понятие специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, однако в данном перечне отсутствуют такие важные составляющие как биометрическая информация, информация о счетах в финансовых учреждениях, информация о геопозиции пользователя и личная информация несовершеннолетних. Очевидно, что с учетом китайского опыта необходимо расширить перечень специальных категорий персональных данных и наиболее логично это сделать в данном законопроекте.

Еще одним его недостатком является то, что в первую очередь он нацелен на коммерческие организации. Однако не меньший, если не больший массив ПД сконцентрирован в различных ГИС, откуда также периодически происходят утечки. Для пресечения последних данным ПФЗ предусмотрены лишь штрафы для должностных лиц государственных или муниципальных органов. Представляется, что для предотвращения утечек из ГИС это явно недостаточно. На наш взгляд, следовало бы увеличить размер штрафов и, самое главное, в случае повторного правонарушения предусмотреть увольнение руководства соответствующего органа и лиц, отвечающих в нем за безопасность ПД. Если же и при новом руководстве и сотрудниках вновь произойдет утечка, то данный орган должен быть расформирован, ГИС ликвидирована, а содержащиеся в ней данные уничтожены.

При условии включения в законопроект № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» указанных выше замечаний он может быть поддержан.