В России ужесточат ответственность за незаконную обработку и утечки персональных данных — максимальные штрафы увеличатся до 1,5 млн рублей. Такие поправки поддержал кабмин. По мнению авторов инициативы, мера поможет снизить число фактов компрометации личных данных, в том числе биометрических. Только за первые шесть месяцев 2023 года в Сеть попало более 200 млн записей о россиянах, следует из информации Роскомнадзора. Существующие штрафы несоразмерны последствиям подобных нарушений, особенно если раскрывается биометрия — ее не поменяешь, как пароль, а ведь именно с ее помощью граждане получают многие банковские услуги и заверяют сделки, отмечают эксперты.
Ответственность за незаконную обработку персональных данных существенно вырастут — такие изменения в КоАП поддержала правительственная комиссия по законопроектной деятельности, выяснили «Известия».
Проблема утечек не теряет актуальности который год. По данным Роскомнадзора, в 2022 году произошло около 150 крупных происшествий в этой сфере. За первую половину 2023-го — 75, в Сеть попало более 200 млн записей о россиянах.
Объемы утечек продолжают расти в том числе за счет усложнения сценариев атак и инструментов злоумышленников, рассказал «Известиям» GR-директор ГК «Солар» Михаил Адоньев.
«Гарантировать их отсутствие на 100% невозможно, но наращивать уровень защищенности нужно», — заявил он.
Авторы законопроекта, среди которых спикер Госдумы Вячеслав Володин и вице-спикер Ирина Яровая, предлагают существенно повысить штрафы за обработку персональных данных без письменного согласия. Наказание за нарушение составит для граждан до 15 тыс. рублей (вместо нынешних 6–10 тыс.), для должностных лиц — до 300 тыс. (вместо 20–40 тыс.), для юрлиц — до 500 тыс. (вместо 30–150 тыс.).
За повторное подобное нарушение максимальные штрафы повысятся, соответственно, до 30, 500 тыс. и 1,5 млн рублей.
«Сейчас инициатива готовится в Госдуме ко второму чтению. Предложенные в изначальном проекте санкции были ниже», — рассказал «Известиям» председатель правления Ассоциации юристов России Владимир Груздев.
Департамент информационных технологий правительства РФ в своем отзыве на законопроект обратил внимание, что технологии идентификации с использованием биометрии позволяют совершать множество юридически значимых действий — получать государственные услуги, открывать банковские счета, нотариально заверять документы и сделки, получать доступ на охраняемые объекты. Поэтому ужесточение наказания за распространение таких данных там поддержали.
Следствием утечек, как правило, становятся мошеннические действия или использование полученных данных для проведения навязчивых рекламных кампаний, рассказал «Известиям» председатель коллегии адвокатов Москвы «Адвокатъ», адвокат Андрей Мисаров. И если ранее биометрическими базами оперировали государственные компании, то с развитием технологий все больше их собирают частные фирмы.
«Мы подтверждаем операции голосом, входим в метро или открываем ноутбуки посредством распознавания лица и характерных физиологических особенностей, появились программы распознавания лиц по фотографиям, банки рассматривают возможность перехода от карт к идентификации клиентов по биологическим данным», — сказал он.
Судебная практика по спорам о сохранности биометрических персональных данных на данный момент отсутствует и будет только формироваться, подчеркнул Андрей Мисаров. Что касается дел о сливе персональных данных, то практика судов показывает, что в большинстве случаев компании, допустившие утечку, все же привлекаются к ответственности, добавил председатель Общероссийского профсоюза медиаторов Владимир Кузнецов.
Как уберечь свои данные
Персональные данные — это любая информация, относящаяся к физлицу, а их обработка — это любые действия, которые с ними производят: сбор, запись, систематизация, накопление, использование, напомнил старший партнер МКА «ЮрСити», адвокат Виталий Шакин.
Он указал, что все чаще россияне предоставляют персональные данные — ставят галочки, разрешая их обработку. Увеличивается и число случаев, когда такие данные попадают в открытое пространство и становятся доступными неограниченному кругу лиц.
Михаил Адоньев отметил, что эту проблему нельзя решить без введения системы аудита для компаний, собирающей персональную информацию.
«Оператор мог бы проводить проверку сам, а после привлекать независимую организацию информационной безопасности для подтверждения корректности своих действий» — сказал он.
Андрей Мисаров полагает, что повышение размера штрафов необходимо — сейчас он несоразмерен последствиям утечек: биометрические данные невозможно заменить в случае компрометации.
Для пострадавших пользователей последствия утечек неприятны, но «чаще всего не смертельны», если владелец персональных данных соблюдает элементарные рекомендации по кибергигиене, полагает эксперт Центра продуктов Dozor ГК «РТК-Солар» Руслан Добрынин.
«Используйте разные связки «логин–пароль» для разных сервисов, — напомнил эксперт. — В случае утечки данных из сервиса, в котором вы зарегистрированы, немедленно поменяйте скомпрометированный пароль, причем везде, где он используется. Обязательно включите многофакторную аутентификацию».
Руслан Добрынин посоветовал менять пароли не реже, чем раз в три месяца. Желательно иметь резервные адрес электронной почты и телефонный номер для регистрации в сервисах, не имеющих первостепенной важности. А людям следует задуматься, стоит ли раскрывать свои персональные данные на сайтах, которые они не собираются использовать длительное время.