подготавливаемый закон предусматривает оборотный штраф до 500 миллионов рублей за утечки персональных данных. НСФР (Национальный совет финансового рынка, по сути, представляющий интересы банков) выступает против нововведений. В связи с этим в ЦБ, Минцифры и председателю комитета Госдумы по государственному строительству и законодательству Павлу Крашенинникову было направлено соответствующее письмо.
А теперь чуть подробнее...
Текущее состояние законопроекта выглядит логичным, но несколько драконовским - т.е. некоторые замечания банков имеют под собой основания. С другой стороны, закон еще не принят - в нем точно еще будут корректировки и смягчения.
Основные замечания НСФР выглядят следующим образом (с моими комментариями):
>1. Высокие оборотные штрафы не заставят компании усиливать информационную безопасность (ИБ). Штрафы будут просто минусоваться из статьи ИБ бюджета компаний, "отъедая" средства у реальных мероприятий по улучшению безопасности. Говорится о том, что нет алгоритма предотвращения уплаты большого штрафа с помощью реализации добросовестных действий. Кроме того, поднимается тема, что оборотные штрафы как правило накладываются на часть нечестно заработанных нарушением законодательства денег - а в данном случае, банки - жертвы - они наоборот теряют репутацию и деньги.
Если отвлечься от постулата, что штраф - это наказание а-ля "совершил преступление - сядь в тюрьму", то логика в таких рассуждениях есть, но она уводит вопрос в какую-то детскую, инфантильную плоскость: "Вот ты раскидал вещи в своей комнате - если соберешь, то получить мороженое". А для банков было бы, видимо, неплохо не только штраф не получить, но и из федерального бюджета какую-нибудь субсидию урвать "на улучшение ИБ"... В общем, я не против взвешенного подхода, но очень не хочу, чтобы банки полностью избегали наказания за "добросовестные действия", которые они и так обязаны были сделать еще до косяка. А еще вызывают сомнения правильность определения этих "добросовестных действий": замена накосячившего Иванова на Петрова - это добросовестное действие? А вот добавление такого абзаца в договор с сотрудником/контрагентом (который никто не собирается выполнять) - может быть это "добросовестное действие"?
А теперь про размеры штрафа. Говорится о 500 миллионах рублей за утечку 100 тысяч учетных данных (физических лиц). Большая, красивая цифра, но на 1 человека это 5000р. Во сколько вы оцениваете свои персональные данные? Вот банки говорят о том, что 5000р это много. Еще, своим сопротивлением, они показывают о том, что они их 99% "потеряют".
>2. Считают, что будет лучше в качестве базы использовать не оборот финансовой организации, а размер уставного капитала
Так как я не кручусь в финансовых кругах - точно не скажу в чем тут фикус - помню только с университета, что у банков есть зависимость между капиталом и оборотом. Скорее всего банкам штрафы так получатся "дешевле".
>3. Хотят максимально сузить понятие нарушения
Это вообще адвокатский прием - придраться к каждой запятой, чтобы уйти от ответственности.
>4. Просят наказывать только за утечки, связанные с нарушением требований в области ИБ.
Подавляющее большинство утечек происходит из-за того или иного нарушения ИБ. Зачем исключать и, главное, как определять редкие исключения?
Скорее всего, под этим пытаются провести отсутствие ответственности за косяки/противоправные действия сотрудников и контрагентов-партнеров, но это неправильно.
>5. Просят отсрочить вступление в действие закона на 1 год.
Зачем? Чтобы включить в бюджет на будущий год потенциальные штрафы? А начать работы по улучшению ИБ хотя бы в прошлом году, когда пошли разговоры об изменениях в законодательстве было не судьба? Кроме того, большинство методико-ИТ проектов вполне укладываются в полгода-год - примерно как раз к запуску закона в действие.
Короче, у меня сложилось впечатление, что письмо в ЦБ писал опытный, ушлый корпоративный юрист, цель которого не улучшить ситуацию с утечками, а максимально затянуть вопрос или, хотя бы, "скостить срок"...
Оригинал статьи: на РБК (кстати, очень толковой)