Президент России подписал законы об усилении административной и уголовной ответственности за утечки персональных данных и их незаконный оборот.
Первый из этих законов предусматривает штрафы в зависимости от объёма утечки данных субъектов персональных данных, допущенной оператором.
За незаконное распространение персданных от 1 000 до 10 000 субъектов персданных или от 10 тыс. до 100 тыс. идентификаторов (по закону — уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу) максимальный штраф составит до 5 млн рублей.
За утечку от 10 тыс. до 100 тыс. персональных данных или от 100 тыс. до 1 млн идентификаторов закон предусматривает максимальный штраф до 10 млн рублей.
За массовую утечку данных (более 100 тыс. субъектов персональных данных или более 1 млн идентификаторов) максимальные штрафы вырастут — до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, но не менее 20 млн руб. и не более 500 млн руб.
Предусматривается также админответственность за утечку специальной категории персональных данных, и максимальный штраф составит до 15 млн руб.
За повторные утечки таких данных оборотный штраф составит до 3% совокупного размена выручки, но не менее 25 млн рублей и не более 500 млн руб.
Вводится также административная ответственность и за невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных: о намерении осуществлять обработку персональных данных - штраф на граждан в размере от 5 тыс. до 10 тыс. руб.; на должностных лиц — от 30 тыс. до 50 тыс. руб.; на юридических лиц — от 100 тыс. до 300 тыс. руб.
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных - штраф на граждан в размере от 50 тыс. до 100 тыс. руб.; на должностных лиц — от 400 тыс. до 800 тыс. руб.; на юридических лиц — от 1 млн до 3 млн руб.
Кроме этого, устанавливается административная ответственность за отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя от прохождения идентификации или аутентификации с использованием его биометрических персональных данных.
Вторым подписанным законом в Уголовный кодекс вводится новая статья, касающаяся незаконного использования персональных данных, с установлением штрафа до 300 тыс. рублей или в размере дохода осужденного за период до одного года, либо принудительные работы на срок до четырех лет, либо лишение свободы на тот же срок.
При этом если утекли данные несовершеннолетних или биометрические данные, штраф может достигать 700 тыс. рублей, либо будет равен размеру дохода осужденного за два года, либо грозят принудительные работы на срок до 5 лет, либо лишение свободы на тот же срок.
Если преступление было совершено в корыстных целях с причинением крупного ущерба, группой лиц по предварительному сговору или с использованием служебного положения, то штраф должен составить до 1 млн рублей либо в размере дохода осужденного за 3 года; срок принудительных работ — до 5 лет; срок лишения свободы — до 6 лет.
Если же произошла трансграничная утечка персональных данных, то свободы предлагается лишать на срок до 8 лет, а если преступление повлекло тяжкие последствия — на срок до 10 лет.
После того, как оба закона были окончательно приняты Госдумой, сервис для пробива утекших персональных данных «Глаз Бога» ограничил функционал поиска. Создатель сервиса Евгений Антипов объяснил это требованиями нового законодательства, но при этом он отмечает, что:
«Введение таких мер в текущих условиях приведет к всплеску хакерских атак и увеличению объема продаж утекших данных».
Программист считает, что информационная безопасность не улучшится, если наказывать компании штрафами. У Антипова вызывает вопросы и введенная уголовная ответственность за использование персональных данных.
«Уже сейчас существуют нормы, такие как статья 272 УК РФ, которые регулируют эти действия. Однако это не мешает терабайтам данных российских граждан находиться на иностранных серверах и западных форумах», — уточнил создатель «Глаза Бога».
Антипов считает, что новая норма будет способствовать увеличению спроса на такие услуги. «Я законопослушный, а законодатели, по моему мнению, до сих пор не хотят пробовать контактировать перед своими действиями», — подчеркнул программист.