О каком законопроекте речь
Законопроект об ужесточении ответственности за нарушения с персональными данными был внесён на рассмотрение Госдумы около месяца назад, в начале декабря. Точнее, было внесено 2 законопроекта — с поправками в Уголовный кодекс и в Кодекс об административных правонарушениях. Подробнее мы писали о них вот здесь.
В УК РФ предлагают внести новую статью, которой будет установлено наказание для нарушителей. В частности, за незаконные сбор, хранение, использование, передачу данных могут назначить штраф до 300 тыс. рублей, принудительные работы на срок до 4 лет, или лишение свободы на тот же срок. Максимально по этой статье, в зависимости от тяжести нарушений, возможен штраф до 3 млн рубле и до 10 лет лишения свободы.
И это при том, что совсем недавно были внесены поправки в КоАП, которые за подобные нарушения уже увеличили штрафы в разы. Но этого законодателям показалось мало и вторым законопроектом предлагается и эти штрафы ещё увеличить.
Инициаторы законопроекта отмечают, что сегодня компании, допустившие утечку персональных данных, по ч. 1 ст. 13.11 КоАП РФ, могут получить штраф до 100 тыс. рублей (при повторном нарушении до 300 тыс. рублей).
Это несоразмерно с последствиями, считают законодатели. Поэтому предлагается увеличить штрафы за утечки баз данных. Назначать их в зависимости от объёма информации — до 500 тыс. рублей.
За некоторые нарушения предлагается установить штраф до 500 млн. рублей. В частности, за неуведомление Роскомнадзора о неправомерной передаче персданных или если такая передача произошла вследствие действий (бездействия) операторов (в зависимости от объёмов незаконно переданной информации).
Бизнес ждёт уточнений
В Ассоциации больших данных (входят Яндекс, Вконтакте, Сбербанк, МегаФон, Аналитический центр при Правительстве РФ и др.) считают, что законопроект о поправках в Уголовный кодекс недостаточно прозрачен. В частности, состав преступления прописан формально, при этом наказание предусмотрено за сбор и хранение данных независимо от наличия умысла.
Если законопроект примут в таком виде, то привлечь к уголовной ответственности можно будет, например, сотрудников компаний, которые изучают утечки с целью предотвращения атак. Или любого владельца сайта, который использует данные клиентов.
В Ассоциации считают, что вводимый в УК РФ состав должен быть однозначным, а ответственность должны нести только те, кто взламывает базы данных и продаёт их.
Правительство и профильные ведомства также посчитали, что присутствует формальная неопределённость состава правонарушения и некоторых формулировок, и предложили ко второму чтению доработать проект.
Статистика
Оба законопроекта будут рассмотрены в весеннюю сессию. А пока мы ожидаем развития событий, предлагаем ознакомиться со статистикой, приведённой в пояснительной записке к одному из законопроектов. Правда, она не совсем свежая, но интересная.
На начало 2022 года интернетом в стране пользовалось 130 млн. человек, из них 106 млн пользовались соцсетями, куда и загружали свои персональные данные.
Но, как сообщается, проблема не только в соцсетях, — персданные размещают на сайтах и в приложениях для получения различных услуг (финансовых, информационных, развлекательных и др.) и для покупки товаров. В итоге наблюдается значительный рост противоправных действий в отношении персональных данных.
Количество зарегистрированных преступлений, совершаемых с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации, с 2014 по 2019 год увеличилось более чем в 25 раз.
Это согласно данным ФКУ «Главный информационно-аналитический центр» МВД России, указывается в пояснительной записке, вот ещё цифры:
- в 2014 году было зарегистрировано 11 тыс. преступлений;
- в 2015 году — почти 44 тыс.,
- в 2016 году — 66 тыс.,
- в 2017 году — 91 тыс.,
- в 2018 году — 175 тыс.,
- в 2019 году — 294 тыс.
- в 2020 году — 511 тыс.;
- в 2021 году — 518 тыс.
С января по июнь 2022 года 25% преступлений совершалось с использованием ИТТ, из них:
- почти 56% преступлений относилось к категориям тяжких и особо тяжких;
- 78% — к кражам или мошенничествам,
- около 10% совершено с целью незаконного производства, сбыта или пересылки наркотических средств.
Общий объём выявленных (о которых сообщалось в СМИ) в 2022 году утечек записей, содержащих персональные данные, — около 1,1 млрд, в 2021 году — около 100 млн. Интересно, что основными источниками утечек являлись не только злоумышленники, но и сотрудники компаний, которые продавали или безвозмездно передавали данные клиентов.
На декабрь 2021 года в теневом сегменте интернета (в даркнете) находилось более 20 тыс. баз данных общим объёмом более 10 Тб, содержащие около 610 млн. записей с персональными данными 80% населения страны.
За 2022 год в даркнет поступило более 1,6 млрд. записей с персональными данными.
В 2020 году ущерб от утечек личных данных превысил 3 млрд рублей, а в 2022 году — 8 млрд рублей.