От миллионных штрафов до лишения свободы
Президент подписал пакет законопроектов, который усиливает ответственность за утечку персональных данных. Изменения внесены в Уголовный кодекс и Кодекс об административных правонарушениях. Так, кратно увеличивается административная ответственность, размер которой зависит от объема утечки и для юрлиц составляет до 15 млн рублей. При повторной утечке вводятся оборотные штрафы до 3 % общего дохода за предыдущий год. Также вводится ответственность для должностных и физических лиц. Максимальная ответственность за утечку биометрии за первый случай — до 20 млн рублей, за повторный — 500 млн рублей. Снижение ответственности допускается, если инвестиции операторов персональных данных в информационную безопасность составляли не менее 0,1 % от валовой выручки за три года и нет отягчающих обстоятельств.
Вводится уголовная ответственность за незаконный сбор, хранение и передачу персональных данных, полученных незаконным путем — до 10 лет лишения свободы и штраф до 700 тысяч рублей.
Сделан огромный шаг в наведении порядка в цифровой среде, потому что при минимальных штрафах бизнесу не выгодно вкладываться в безопасность, это равноценно ситуации, когда штраф за проезд дешевле билета, подчеркивал будучи депутатом Госдумы Александр Хинштейн.
В условиях массовой цифровизации, бурного развития искусственного интеллекта и особого интереса мошенников к личной информации граждан оборот персональных данных и угроза их раскрытия непрерывно растут, и усиление ответственности за их утечки стало закономерным этапом в ужесточении правового регулирования, считает партнер юрфирмы «О2 Консалтиг» Дарья Носова.
Она напомнила, что ранее КоАП не предусматривал отдельного состава административного правонарушения для действий, повлекших неправомерную передачу информации, включающей персональные данные, в результате чего в случае утечки на оператора можно было наложить штраф, предельный размер которого для юридического лица составлял всего 100 тысяч рублей. В такой ситуации крупные компании несли преимущественно репутационные убытки. Например, в прошлом году онлайн-школе «Skyeng» за утечку информации о более 5 млн учащихся, учителей и работников был назначен штраф в размере 60 тысяч рублей. Аналогичный штраф в том же году заплатила крупная телеком—компания за утечку, в результате которой было скомпрометировано более 700 тысяч строк информации, содержащих ФИО, адрес электронной почты, номер мобильного телефона и прочие данные клиентов. По такому же принципы привлекались и другие компании.
«В связи с усилением ответственности операторы персональных данных будут увеличивать инвестиции в защиту информации и совершенство систем инфраструктуры кибербезопасности. Однако ввиду комплексного характера данного вопроса только эта мера не гарантирует решение проблемы. В 2018 году подобный шаг принимался в странах Европейского союза путем принятия регламента GDPR, который серьезно увеличил штрафы за утечки персональных данных, в том числе ввел оборотные штрафы, но инциденты с неправомерным распространением персональных данных по—прежнему происходят регулярно», — отметила Дарья Носова.
Утечка может произойти даже если компания вкладывает значительные средства в охрану персональных данных и предоставляет им надежную защиту, но вероятность столь сурового наказания может поспособствовать более серьезным вложениям в информационную безопасность, согласился старший юрист практики разрешения споров юридической компании «ССП—Консалт» Станислав Исаков.
«Утечка сама по себе не должна носить противоправный характер, так как она может быть вызвана не только недостаточным уровнем охраны данных, но и, например, несовершенством программ, обеспечивающих эту охрану, к разработке и функционированию которых оператор не имеет отношения. Таким образом, введение штрафов за сам факт утечки необоснованно, и ужесточение санкций никаким образом ее не предотвратит», — считает юрист.
Он подчеркнул, что причиной большой части утечек данных является человеческий фактор и, согласно ежегодному исследованию информационной безопасности в российских компаниях, проведенном «SearchInform» в 2023 году, примерно в 70 % случаев виноват рядовой сотрудник. В свою очередь, утечки вызывают как их случайные, так и умышленные действия. К первым относится ошибочное предоставление доступа к документам, содержащим персональные данные, лицам, не имеющим разрешения на работу с ними.
«Случайные утечки связаны, в том числе с отсутствием у сотрудников достаточных знаний об информационной безопасности. Даже если они никому не передавали и не использовали данные, их предоставление третьему лицу, является утечкой. Однако наибольшую опасность для бизнеса представляют умышленные противоправные действия сотрудников, направленные на передачу персональных данных третьим лицам. Причинами такого поведения может быть материальная заинтересованность или желание дискредитировать компанию. Если с умышленными действиями бороться трудно, то пресечение утечек вследствие неосторожности вполне возможно. Доля этого необходимо повышать грамотность в сфере кибербезопасности и охраны данных», — полагает Станислав Исаков.
Утечки из—за действий недобросовестных работников нивелируются введением уголовной ответственности, но не исключают их, добавила Дарья Носова. По ее словам, ранее уже была возможность привлечения к уголовной ответственности за утечку персональных данных, однако в результате изменений в Уголовный кодекс у правоохранительных органов и судов будет больше инструментария для квалификации таких действий в качестве преступления.
«Многие утечки происходят и из—за хакерских атак, например, таким образом была скомпрометирована информация о 50 миллионах пользователей сервиса “Госуслуги” в 2020 году. Также в результате хакерской атаки на систему “Росреестра” злоумышленники получили доступ к личной информации о собственниках недвижимости, включая ФИО, адреса и кадастровые номера объектов», — напомнила юрист.
Причины утечек разные, а эффективность технологий и векторов атак развивается в параллели с технологиями и векторами защиты, поэтому принятые законодательные меры скорее одновременно усилят и защиту, и старания злоумышленников и хакеров, так как поправки существенно повышают цену баз данных, прокомментировали в пресс—службе Ассоциации больших данных.
Развитие цифровизации, актуальность применения рекомендательных технологий, персональных роботизированных ассистентов, значимость трафиков на информационных ресурсах, наконец, бурный рост технологии искусственного интеллекта — все это привело к тому, что персональные данные и соответствующие базы данных приобрели серьезную коммерческую ценность, а значит возросли риски их неправомерного оборота, подтвердила Дарья Носова. Она считает, что активизация мошеннических действий с использованием персональных данных приводит к острой необходимости введения жестких мер на уровне государства. Бизнесу потребуется вкладываться не только в технические меры безопасности данных, но и комплексно отстраивать процессы работы с данными, а также повышать культуру, правовую грамотность и дисциплину сотрудников, взаимодействующих с ними. Основным инструментом в борьбе с утечками персональных данных юрист назвала системы DLP (Data Loss Prevention), которые предназначены для защиты информации от несанкционированного доступа и утечек. Она пояснила, что функциональность DLP-систем позволяет контролировать доступ к данным, проводить анализ поведения пользователей, шифровать данные, проводить расследования в случае утечки и проводить иные итерации, в результате чего существенно снижается вероятность потери контроля над информацией.
Помимо закона «О персональных данных» и изданных к нему подзаконных актов, в которых содержатся требования для операторов персональных данных, существует большое количество национальных стандартов, связанных с информационной безопасностью и стандарты для более узких областей, напомнил Станислав Исаков. Данные стандарты применяются на добровольной основе и могут быть использованы операторами персональных данных и компаниями, предоставляющими услуги по их охране для оценки вероятности кражи данных, разработки программ защиты от утечек и других областях совершенствования информационной безопасности, пояснил юрист.
«Для защиты данных применяются и технологии, и средства криптографической защиты информации. При этом специалисты по информационной безопасности и их пристальное внимание к процессам внутри операторов информационной системы персональных данных, контроль ими цепочек поставщиков — это основной актив компаний», — уточнили в пресс—службе Ассоциации больших данных.
Новые меры против телефонных мошенников
Минцифры разработало пакет новых мер против телефонного мошенничества — порядка 30 предложений. Среди них — формирование базы голосов телефонных мошенников, запрет массовых спам—звонков, обзвонов и СМС—рассылок, а также маркировка звонков от юрлиц.
«Регулятор намерен на законодательном уровне закрепить инициативы по борьбе с телефонным мошенничеством, потому что несанкционированные обзвоны, навязчивая реклама и мошенничество с использованием социальной инженерии настолько повлияли на паттерн поведения пользователей, что они стали опасаться звонков с незнакомых номеров и игнорируют их, что формирует не вполне корректный клиентский путь, который может приводить к пропуску полезного и важного для абонента звонка», — пояснили в пресс-службе одного из крупных сотовых операторов.
Наиболее высокую эффективность можно достичь при комплексном применении мер, поэтому речь идет о разработке сразу пакета предложений, считают в пресс—службе. Здесь подчеркнули, что в компании создана многоуровневая система защиты от спамеров и мошенников, компоненты которой уже исполняют предложенное регулирование. Базовый слой защиты блокирует спам—обзвоны, распознавая их на основе алгоритмов бигдаты по продолжительности, реакции на них абонента, количеству звонков. Платформа «Антифрод» не пропускает звонки с подменой номера, число которых за год сократилось с 1 млн в день до 300 тысяч в сутки. Кроме того, у компании есть бесплатные услуги, защищающие клиентов от спамеров: например, голосовой ассистент ограждает клиента от навязчивых звонков. Он может пообщаться со звонящим, если абонент не хочет отвечать на вызов с незнакомого номера, и потом пришлет расшифровку в приложение компании. Услуга «Антиспам для звонков» бесплатна и только требует настройки в приложении и самом устройстве. Она позволяет абоненту увидеть категорию входящего звонка, в том числе массовые обзвоны, и самостоятельно принять решение, отвечать на звонок или нет, напомнили в пресс-службе оператора.
Мы поддерживаем пакет мер, направленных на борьбу с телефонным и интернет—мошенничеством, но каждая мера требует обсуждения и детальной проработки, чтобы ее введение не привело к неудобствам потребителей услуг сотовой связи, прокомментировали в пресс-службе сотового оператора, входящего в «большую четверку».
В пакете много ценных предложений, например, создание базы биометрических образцов голосов телефонных мошенников, которое обсуждалось достаточно давно, и это перспективная идея: телефонные соединения с мошенником, чей голос уже зарегистрирован в этой базе, будут прекращаться и блокироваться, считает ведущий аналитик Mobile Research Group Эльдар Муртазин.
«Однако высокую эффективность дает не конкретная мера, а их совокупность, поэтому подобный комплексный подход в борьбе с телефонным мошенничеством радует. Мы идем в правильном направлении, пытаясь закрывать все лазейки, которые сегодня существуют. В результате этого накал в ситуации с мошенничеством намного снижен. Так, за два года работы “Антифрода” настолько резко упала рентабельность преступных ко—-центров на Украине, что они вынуждены закрывать свою преступную деятельность, поскольку, чтобы достучаться до российского абонента, нужно прикладывать недюжинные усилия», — отметил Эльдар Муртазин.
Контент без пропаганды бездетности
Введен запрет на распространение, в том числе в Интернете, СМИ, кинофильмах и рекламе информации, пропагандирующей отказ от деторождения. Соответствующие поправки внесены в законы о СМИ, о господдержке кинематографии, о рекламе, об основных гарантиях прав ребенка, об информации и о защите детей от информации, причиняющей вред их здоровью и развитию.
«В связи с законодательными нововведениями правила мониторинга или модерации контента необходимо будет совершенствовать для того, чтобы выявлять нарушения. Это задача непростая, поскольку в законе отсутствуют четкие и однозначные критерии, позволяющие точно определить наличие в контенте пропаганды по теме, о которой идет речь», — сообщил операционный директор «Рейтинга Рунета» Анатолий Денисов.
Данные ограничения приводят к необходимости кратно увеличить объемы работы редакторов, отметил заместитель генерального директора — директор Программной дирекции медиахолдинга «Цифровое Телевидение» Алексей Бернат.
«Предстоит проверить все библиотеки наших телеканалов, чтобы не пропустить в эфир контент, противоречащий нормам закона. Процессы не автоматизированы и работаем вручную, поскольку полностью опираться на искусственный интеллект не можем из—за его несовершенства. Поэтому нас ждет очередная глобальная проверка контента», — резюмировал Алексей Бернат.
Блогеры как активные участники процесса по формированию общественного мнения несут ответственность не только за содержание контента с юридической точки зрения, но и морально—этическую ответственность, если нет четкого нормативно—правового регулирования того или иного вопроса, отметила юрист, сооснователь Совета блогеров Виктория Рашина.
«В связи с принятием законопроекта, блогеры и все пользователи социальных медиа должны еще с большей осмотрительностью не только публиковать собственный авторский контент, но и хорошо анализировать чужие публикации, которые они планируют разместить на своих страницах в социальных сетях. Мониторинг собственного и заимствованного контента должен стать ежедневной рутинной привычкой ответственного блогера. Особенно тщательно нужно проверять и оценивать публикуемый юмор на эту тему, ведь штрафы совсем не шуточные», — предупредила Виктория Рашина.
По ее словам, блогеры отреагировали на данную инициативу по—разному. Ответственные и патриотично настроенные создатели контента инициативу поддерживают, уточняют у юристов особенности нового регулирования и размеры штрафов, но рисков для себя не видят, так как поддерживают традиционные ценности, отметила юрист.
Как восприняли нововведение владельцы сайтов, ответить сложно, поскольку пока нет опросов, результатам которых можно было бы доверять, как и нет активных публичных обсуждений данной темы, заключил Анатолий Денисов.
Криптовалюта в налоговом режиме
Госдума приняла правительственный законопроект, дополняющий Налоговый кодекс важными поправками по операциям с цифровой валютой. Таким образом криптовалюта признана имуществом, доходы по ней не будут облагаться НДС, а станут учитываться в одной налоговой базе с доходами от операций с ценными бумагами.
Признание криптовалюты имуществом дает возможность применять к ней хорошо отлаженный налоговый режим без прописывания отдельного, но с рядом точечных льгот для операций с криптой, отметила старший партнер «O2Consulting» Татьяна Сафонова. Она напомнила, что подобная инициатива не является исключительно российским решением. Так, IFRS Interpretations Committee (комитет, который помогает Совету по Международным стандартам финансовой отчетности (МСФО) в поддержании и обеспечении единообразного применения стандартов IFRS, — прим. ред.) высказал мнение, что криптоактивы, имеющие характеристики биткоина, не являются денежными средствами или их эквивалентами, а также финансовыми инструментами для целей учета по Международным стандартам финансовой отчетности. Криптовалюта не обладает достаточной ликвидностью и не является общепринятым средством платежа, не предоставляет каких-либо прав, в том числе на ликвидационное имущество компании.
В 2021 году Американский институт дипломированных общественных бухгалтеров обобщил опыт классификации криптовалют в качестве объектов учета. Криптовалюта не признается денежными средствами, денежными эквивалентами, запасами, финансовыми вложениями, поскольку по своей природе относится скорее к нематериальным объектам с неопределенным сроком использования.
«Российские регуляторы согласны с западными коллегами в том, что криптовалюта не отвечает признакам денежных средств, финансовых активов и финансовых вложений. Она не предусматривает наличие надлежаще оформленных документов, подтверждающих право организации на финансовые вложения и получение денежных средств или других активов, вытекающее из этого права. Ее можно использовать для обмена на конкретные товары или услуги (не во всех юрисдикциях), но нельзя в ценообразовании товаров и услуг. Депозиты в криптовалюте не распространены, а ее стоимость характеризуется высокой волатильностью», — пояснила юрист.
