Новый курс Госдумы: уголовный срок и рекордные штрафы за утечки данных

4 декабря в Госдуму внесли поправки в Кодекс об административных нарушениях (КоАП) и Уголовный кодекс , касающиеся ужесточения ответственности за нарушения при работе с персональными данными. Инициаторами поправок выступили сенаторы Андрей Турчак и Андрей Клишас, депутат Госдумы Александр Хинштейн и другие парламентарии от «Единой России».

По данным информационной системы Госдумы, предлагается увеличить штрафы для юридических лиц и индивидуальных предпринимателей за утечку персональных данных в зависимости от их объема и характера. Согласно поправкам в КоАП:

• Если утечка касается от 1 тыс. до 10 тыс. субъектов персональных данных (то есть граждан), штраф для юрлиц и индивидуальных предпринимателей, которые в поправках приравнены к компаниям, составит от 3 млн до 5 млн руб.; за утечку данных от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн руб.; более 100 тыс. — от 10 млн до 15 млн руб.
• За повторное нарушение при любом объеме дискредитированной информации от 1 тыс. субъектов предлагается штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб.
  
• За утечку информации, включающей специальную категорию персональных данных (например, медицинской информации), штраф для юрлиц составит от 10 млн до 15 млн руб.

Также планируется повысить штрафы за перечисленные нарушения для физических лиц и сотрудников государственных или муниципальных организаций.

Согласно поправкам в Уголовный кодекс, вводится уголовная ответственность для тех, кто незаконно собирает, хранит, использует и (или) передает компьютерную информацию с персональными данными. Ответственность будет усиливаться, если преступление:

• совершено группой лиц по предварительному сговору;
• если оно причинило крупный ущерб;
• если совершалось в целях обогащения или с использованием служебного положения и «шпионских устройств».

Незаконное использование, передача или сбор персональных данных, полученных неправомерным путем, будут наказываться штрафом до 300 тыс. руб. или принудительными работами / лишением свободы на срок до четырех лет. До пяти лет — если информация содержит специальные категории персональных данных и (или) биометрические персональные данные.

Наказание до шести лет лишения свободы со штрафом до 1 млн руб. предлагается ввести за незаконное использование персональных данных из корыстной заинтересованности, повлекшее крупный ущерб, совершенное группой лиц по предварительному сговору или с использованием служебного положения.

Преступления, связанные с трансграничной передачей персональных данных, предлагается наказывать лишением свободы на срок до восьми лет со штрафом до 2 млн руб., с повышением срока и суммы до десяти лет и 3 млн руб., если были тяжкие последствия или преступление совершено организованной группой.

Создание ресурсов в интернете или компьютерных программ, предназначенных для незаконного хранения, распространения персональных данных, предлагается наказывать принудительными работами / лишением свободы на срок до пяти лет со штрафом до 700 тыс. руб.

Авторы поправок мотивируют необходимость ужесточения ответственности тем, что существующие санкции не соразмерны с возможными последствиями от утечек. «В настоящее время компании, допустившие утечки персональных данных, привлекаются по части 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях (далее - КоАП РФ), предусматривающей максимальный размер штрафа для юридических лиц до 100 тысяч рублей (при повторном совершении административного правонарушения - до 300 тысяч рублей). При этом, указанный размер штрафа не соразмерен с возможными последствиями от произошедших утечек. Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений», - говорится в пояснительной записке. Целью этих законопроектов, как отмечается в сообщении, является усиление защиты персональных данных граждан и стимулирование бизнеса к инвестициям в области информационной безопасности.

В пояснительной записке, прилагаемой к поправкам в Уголовный кодекс, сообщается, что на начало 2022 года интернетом пользовались 130 млн жителей России. При этом общий объем официально выявленных утечек персональных данных за 2022 год составил более 1,13 млрд записей. «Черный рынок персональных данных постоянно растет, а основными источниками утечек являются сторонние злоумышленники или сами сотрудники компаний, которые продают или отдают бесплатно конфиденциальные данные своих клиентов. По отдельным оценкам, в 2020 году общий ущерб от утечек личных данных превысил 3 млрд руб., а в 2022 году указанный ущерб уже превысил 8 млрд руб», — говорится в записке.

Законопроекты поступили в Госдуму после длительных обсуждений с участием представителей бизнеса, власти и экспертов. Они были инициированы в апреле прошлого года в связи с участившимися атаками хакеров на российские компании, обладающие большим объемом персональных данных. Среди пострадавших оказались «Яндекс.Еда», СДЭК, «Гемотест» и многие другие. В сентябре правительственная комиссия по законопроектной деятельности поддержала идею включить в законопроект положения о выплате компенсации пострадавшим.