Министерство экономического развития предложило облагать штрафами разработчиков антивирусов за утечки информации.
Министерство экономического развития России предложило ввести оборотные штрафы за утечки персональных данных для поставщиков решений в области информационной безопасности. Об этом сообщил директор департамента цифрового развития и экономики данных Минэка Владимир Волошин на круглом столе в Государственной Думе.
Волошин подчеркнул, что анализ Минэка показал, что, если рассматриваемый законопроект был бы принят год назад, это могло бы обернуться банкротством для 80% компаний малого и среднего бизнеса. Он добавил, что разработчики продуктов информационной безопасности уверены в наличии всех необходимых средств для защиты данных. В связи с этим предлагается учитывать ответственность разработчиков в случае недостаточной защиты.
Заместитель директора Федеральной службы по техническому и экспортному контролю (ФСТЭК) Виталий Лютиков согласился с предложением и указал, что ответственность за утечки должна быть поделена с разработчиками и усовершенствовываться для организаций, использующих данные. В 2024 году ФСТЭК проверила более 100 организаций и выявила низкий уровень защиты информации у большинства из них.
Как планируют наказывать за утечки
Обсуждение законопроекта о введении оборотных штрафов за утечки персональных данных ведется с 2022 года. В первой версии предлагалось установить штрафы для юридических лиц в зависимости от количества субъектов данных, затронутых утечкой. Законопроект предусматривает штрафы от 0,1 до 3% годовой выручки за повторные нарушения, а минимальные штрафы составят 15 млн рублей. В январе 2024 года документ был принят в первом чтении, а второе и третье чтения ожидались 26 ноября.
Документ также предусматривает смягчающие обстоятельства для компаний, инвестирующих в информационную безопасность, а также возможность сотрудничества с лицензированным подрядчиком. Однако, некоторые аспекты проекта еще не согласованы с правительством.
Зачем разделять ответственность
Волошин отметил, что изменение законодательства в области утечек данных необходимо выполнять с учетом всех возможных последствий для бизнеса. Введение новых штрафов может создать серьезные риски для многих отраслей, в том числе для малых и средних предприятий. Представители перечисленных отраслей выразили обеспокоенность возможными последствиями новых норм.
По его словам, изменения в работе с данными до вступления в силу новых норм могут быть невозможными из-за ограниченных ресурсов. Это может привести к урезанию развития рынка данных и отключению некоторых сервисов. Андрей Медунов из ГК «Солар» отметил важность соответствия ответственности уровню влияния и доказательствам вины в случае утечки данных. Коммерческие отношения между операторами данных и поставщиками решений должны предусматривать формы финансовой ответственности.