Компенсация гражданам России в случае утечки их персональных данных — такая норма обсуждается в Совете федерации РФ в работе над законопроектом о киберстраховании. Об этом рассказал российским журналистам сенатор Артем Шейкин.
Главные злыдни
По словам депутата, если случится утечка данных с портала «Госуслуги», то компенсации гражданам будет выплачивать Минцифры РФ из собственных средств как оператор персональных данных. С такой инициативой выступило в 2023 году само ведомство. Шейкин уточнил, что органам исполнительной власти направлены рекомендации проработать механизмы для оценки защищенности организаций от «реальных угроз в части их применимости к разрабатываемому законодательству по оборотным штрафам».
«Важно, чтобы операторы, работающие с персональными данными, имели финансовое обеспечение для выплаты компенсаций в случае утечек данных и ущерба, причиненного гражданам, — подчеркнул сенатор. — В случае с госорганизациями компенсации в пользу граждан также возможны. Их могут выплачивать либо из бюджета, либо из финансовых средств непосредственного виновника утечки».
В январе этого года Госдума РФ в первом чтении приняла законопроект о введении оборотных штрафов за нарушение требований законодательства в сфере персональных данных. Максимальное наказание для юридических лиц может составить до трех процентов их годовой выручки, но не менее 20 миллионов и не более 500 миллионов рублей.
Для сравнения: лишь одна маленькая Ирландия за последние два года вкатила корпорации Meta (владелец «Фейсбука») четыре штрафа размерами 405 миллионов, 265 миллионов, 390 миллионов и 1,3 миллиарда евро. Все — за махинации с персональными данными, в том числе детскими. Три первых штрафа пришлось заплатить, по четвертому продолжается тяжба.
Западная правоприменительная практика с начала XXI века позволяет назвать монстров уровня Meta главными злыднями в обращении с персональными данными граждан. Суммарные штрафы на этих монстров исчисляются десятками миллиардов долларов. И они платят их, не рискуя быть изгнанными из многих стран или вообще лишиться генеральных лицензий.
Опережение лишь де-юре
Де-юре в защите персональных данных и киберстраховании РК опережает РФ на четыре года. У соседей этот механизм лишь обсуждается, а действующий в Казахстане более 10 лет Закон «О персональных данных и их защите» еще в 2020 году дополнен соответствующей статьей о возмещении вреда пострадавшим от утечки конфиденциальной информации. Но есть целый ряд существенных нюансов, указывающих на то, что и в РК проблема еще далека от эффективного решения.
Во-первых, упомянутая статья предусматривает лишь добровольное страхование, виды, условия и порядок которого определяются соглашением сторон. Во-вторых, речь в новелле идет только об имущественном вреде, хотя и моральный урон бывает крайне болезненным. Например, при разглашении сведений, составляющих врачебно-медицинскую тайну, прецеденты чему в стране уже были.
В-третьих, краткость статьи оставляет малопонятным может ли воспользоваться ею пострадавший гражданин. В комментариях казахстанских юристов и страховщиков — сплошь ссылки на защиту интересов отечественного бизнеса и юридических лиц, со стороны которых актуальность подобной услуги якобы еще слабо осознана. Хотя мировая статистика оценивает ежегодный ущерб от несанкционированного разглашения 600 миллиардами, а объем рынка киберстрахования к 2025 году — 20 миллиардами долларов.
Наконец, в-четвертых, те же юристы и страховщики указывают на особую сложность оценки даже имущественного ущерба от огласки конфиденциальных сведений, не говоря уж о моральном вреде. А судебно-правовой экспертизы и практики в отношении урона от других действий или бездействия недостаточно.
Реакция государства
Представление о реакции государства на утечку персональных данных граждан дает ответ первого вице-премьера РК Романа Скляра на недавний депутатский запрос. В нем сообщается, что в 2023 году уполномоченный орган в области защиты персональных данных рассмотрел 777 обращений, что в два раза больше, чем в 2022-м. С лета 2020-го по настоящее время проведено 37 внеплановых проверок соблюдения требований законодательства о защите персональных данных. За нарушения привлечено к ответственности 31 должностное и юридическое лицо и наложено штрафов на общую сумму 5,3 миллиона тенге.
Кроме того, за указанный период возбуждено 76 административных дел и привлечено к ответственности 65 физических, юридических и должностных лиц с наложением штрафов более чем на 5,1 миллиона тенге. По мнению автора ответа, перечисленные меры позволят усилить контроль над операторами информационных баз, содержащих персональные данные, и повысят их ответственность. С учетом проблемных вопросов в реализации государственной политики и правоприменения разрабатываются новые механизмы защиты прав субъектов персональных данных.
Особый интерес в ответе Романа Скляра представляет информация о том, что рассматривается вопрос о передаче 55 функций центра в области контроля над информатизацией, обеспечением информационной безопасности, защиты персональных данных, а также электронного документооборота и цифровой подписи местным властям. Иначе говоря, в этой сфере грядет децентрализация. Оборотные штрафы, которые давно предлагают ввести отечественные специалисты и уже наложены на ряд упомянутых злыдней в РФ, в ответе первого вице-премьера не упоминаются.
Барыги виртуальные, а теньжата реальные
Осенью прошлого года о проблемах повышения ответственности за использование конфиденциальной информации подробно высказался в СМИ председатель Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности (МЦРИАП) РК Руслан Абдикаликов. Он напомнил, что одна из первых крупномасштабных утечек персональных данных произошла в 2019 году, когда из Центризбиркома РК в Сеть попали данные 12 миллионов избирателей Казахстана, практически всего активного населения страны. «Утекли фамилия, имя, отчество, избирательный участок и адрес места жительства людей», — уточнил глава комитета. Он также вспомнил утечки с «Яндекс.Еды» в России, где оказалась информация и о казахстанцах, а также от отечественной фирмы Сhocofamily.
«Такие утечки происходят постоянно, а работа этих сервисов (заинтересованных в персональных данных. — А.Ж.) как раз и строится на том, что они по крупицам собирают со всего интернета личную информацию и с помощью новых технологий Big Data объединяют их, — объяснил Абдикаликов. — Сейчас у крупных IT-корпораций, как и у преступного мира, есть цифровой профиль каждого гражданина на планете, который использует интернет, и с каждым годом он становится все больше».
Глава комитета считает, что утечки зачастую происходят непреднамеренно. Те же сведения из ЦИК оказались в интернете случайно, но теперь различные Telegram-боты знают адреса и другие данные казахстанцев. «У таких программ, как «Глаз бога» (Eye Of God — платформа поиска информации из массы источников. — А.Ж.), есть группы аналитиков, которые скупают краденые базы данных, имплементируют их к себе и продают, — рассказал Абдикаликов. — Почему бессмысленно бороться с Telegram-ботами? Потому что они только провайдеры большой системы. Они платят деньги за то, чтобы получить доступ к этой базе, а потом перепродают в розницу эту информацию... По заявлениям одного из разработчиков, один такой Telegram-бот в день приносит 2-3 миллиона тенге (сравните эту сумму со штрафами, о которых информировал Роман Скляр. — А.Ж.). То есть это бизнес и чей-то заработок. Обычно цена базы зависит от количества записей. Как правило, от пары сотен до нескольких тысяч долларов. Но это только стоимость перепродажи».
Шерочка с машерочкой
По словам руководителя комитета, за год поступает всего примерно 200 жалоб и проводится 20-30 проверок, но фактов утечки гораздо больше. Абдикаликов считает, что это связано с пассивностью граждан, которые не подают жалобы на нарушения своих прав в интернете.
«Допустим, штраф сейчас на организацию 120 000 тенге за утечку, — отметил Абдикаликов. — Если бы миллион человек пожаловался на «Яндекс.Еду», то, представьте, какой огромный штраф был бы. Но на деле граждане проявили пассивность, возмущались в соцсетях, но никто жалобу не написал. По недавнему случаю с Telegram-ботом тоже не проступило ни одной жалобы. Хотя на самом деле, когда все воспользовались ботом, то понимали, что согласие на распространение своих персональных данных владельцу этого сервиса не давали. Поэтому мы призываем граждан, если вы сталкиваетесь с нарушением прав, то надо обязательно подавать жалобы».
Пассивность граждан, по словам Абдикаликова, — серьезная проблема, которая мешает контролю. «Мы уже несколько лет пытаемся поднять штраф за утечку данных, но сталкиваемся с тем, что, когда говорим о том, что растет количество угроз, много утечек происходит, то нас просят показать статистику, — объяснил Руслан Абдикаликов. — Она показывает всего 20-30 административных дел и 200 жалоб. И это как-то не тянет на проблему целой страны. А утечки идут, люди страдают, но никто не пишет обращения и не жалуется. В итоге я не могу сейчас показать на уровне государства, что у нас есть проблема, потому что любое отображение проблемы — это цифры. Если нет статистики, то нет и проблемы».
Можно понять госчиновника, связанного государственно-правовыми и рабочими нормами и обязанного их выполнять. Делать это, судя по информации Абдикаликова, считают совсем необязательным IT-корпорации, местные барыги Big Data и покупатели-пользователи краденой инфы, не говоря уж о матерых киберпреступниках. Вся эта публика одним миром мазана — миром наживы любыми путями. И шагает эта гурьба к золотому тельцу в обнимку как шерочка с машерочкой (от французских chere и ma chere — дорогая и моя дорогая) по Дерибасовской Одессы-мамы.
Соответствующим должно стать и отношение к ней общественности, и народа как минимум презрительным и как максимум беспощадным. Наивный глас вопиющего в пустыне? Согласен. Но, как известно, и капля камень точит.