Минцифры продолжает усиленную работу над законопроектом об ответственности компаний за утечки данных пользователей.
По сообщениям различных сми, в министерстве прошло совещание с участием представители российских компаний: Ростелеком, МТС, Вымпелком, VK, Ozon, Яндекс, Авито и других. Посвящено оно было поправкам к КоАП, которые определят размер штрафов за утечки для российского бизнеса. Компаниям дали две недели на внесение предложений, но уже сейчас костяк законопроекта заметно оброс деталями.
Так, Минцифры планирует создать фонд, который будет выплачивать компенсацию гражданам, чьи данные были скомпрометированы. “Важно определить, куда будут расходоваться собранные штрафы. Один из вариантов — выплаты компенсаций гражданам, пострадавшим от утечек. Может быть создан специальный фонд, который будет действовать по аналогии с “Агентством по страхованию вкладов”, выплачивающим возмещения вкладчикам банков при наступлении страховых случаев”, — говорится в сообщении пресс-службы Минцифры.
Несмотря на протесты бизнеса, ведомство настаивает на введении оборотных штрафов. Однако, по итогам переговоров представителям компаний удалость уговорить чиновников “включать” их со второго раза, в то время как за первую утечку штраф будет фиксированным. “Его размер будет зависеть от объема данных, компрометацию которых допустила компания”, — говорят в министерстве.
Из других принципиальных моментов, которые пропишут в законе:
- Объект утечки персональных данных и механизм установления вины (реальная ли эта база или мошенники склеили “кусочки” из файлов в открытом доступе);
- Соразмерность штрафов объемам и критичности персональных данных;
- Двухэтапность штрафов: фиксированный на первый раз и оборотный — за рецидив;
- В Минцифры хотят ввести понятия “смягчающие” и “отягчающие” обстоятельства: прикладывала ли компания максимум усилий к защите информации или скрывала факт утечки.
По словам чиновников, для подтверждения своих намерений по защите данных пользователей, бизнес сможет аккредитоваться по критериям информационной безопасности. Процедура будет добровольной. Речь может идти о страховании профессиональной ответственности. “Такая аккредитация может стать подтверждением мер, принятых для защиты от утечек. И это может рассматриваться как смягчающее обстоятельство”, — говорят в Минцифры.
Безусловно, предлагаемые правительством меры приведут к существенному ужесточению законодательства в сфере информационной безопасности. Однако, по мнению большинства экспертов, это — необходимое условие для того, чтобы российские компании стали уделять больше внимания защите корпоративных и пользовательских данных.
С заботой о вашей безопасности, команда Origin Security
