По данным Group-IB, в прошлом году число баз данных российских компаний, выложенных в публичный доступ, почти в 6 раз превысило количество баз данных, неправомерно обнародованных в 2021 году. При этом специальный состав, регламентирующий ответственность за утечку персональных данных, не предусмотрен ни в КоАП РФ, ни в УК РФ.
Ввиду этого 4 декабря 2023 г. на рассмотрение в Государственную Думу внесены законопроекты № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» («законопроект № 502104-8») и № 502113-8 «О внесении изменений в Уголовный кодекс Российской Федерации» («законопроект № 502113-8»), положения которых направлены на ужесточение ответственности за утечку персональных данных.
Согласно пояснительным запискам к законопроектам, предусмотренная на данный момент ответственность несоразмерна и несопоставима потенциальным общественно опасным последствиям, которые может повлечь утечка персональных данных.
Ключевые изменения в КоАП РФ согласно законопроекту № 502104-8:
1. Планируется введение прогрессивной системы, при которой размер административного штрафа зависит от масштабов утечки данных. Таким образом, размер штрафа для юридических лиц составит:
|
Правонарушение |
Ответственность |
|
Утечка персональных данных от 1 тыс. до 10 тыс. субъектов персональных данных, или от 10 тыс. до 100 тыс. уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц («идентификаторов») |
Административный штраф в размере от 3 млн. до 5 млн. руб. |
|
Утечка персональных данных от 10 тыс. до 100 тыс. субъектов персональных данных, или от 100 тыс. до 1 млн. идентификаторов |
Административный штраф в размере от 5 млн. до 10 млн. руб. |
|
Утечка персональных данных более 100 тыс. субъектов персональных данных, или более 1 млн. идентификаторов |
Административный штраф в размере от 10 млн. до 15 млн. руб. |
|
Повторное нарушение в рамках вышеприведенных составов правонарушений |
Оборотный штраф в размере от 1/10 до 3% совокупного размера выручки, но не менее 15 млн. и не более 500 млн. руб. |
2. Утечка специальных категорий персональных данных (в том числе касающихся сведений о состоянии здоровья граждан) может повлечь для юридических лиц административную ответственность в виде штрафа в размере от 10 млн. до 15 млн. руб.
Если утечке специальных категорий персональных данных предшествовало привлечение оператора-юридического лица к административной ответственности за одно из вышеописанных административных нарушений, то размер штрафа составит от 1/10 до 3% совокупного размера выручки, но не менее 20 млн. и не более 500 млн. руб.
3. Предлагается увеличение размеров штрафов за обработку персональных данных в случаях, не предусмотренных действующим законодательством, в частности:
|
Правонарушение |
Ответственность |
|
Невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа о намерении осуществлять обработку персональных данных |
Административный штраф в размере до 300 тыс. руб. |
|
Неправомерная передача персональных данных, повлекшая нарушение прав субъектов персональных данных (утечка персональных данных) |
Административный штраф в размере от 1 млн. до 3 млн. руб. |
4. Немаловажным является и то, что текущая редакция законопроекта № 502104-8 устанавливает ответственность для индивидуальных предпринимателей в том же размере, что и для юридических лиц по ряду правонарушений, связанных с обработкой персональных данных.
Помимо указанных выше поправок некоторые вопросы ответственности уже претерпели изменения – так, 12 декабря 2023 г. был принят Федеральный закон № 589‑ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который вступит в силу 23 декабря 2023 г. Данный закон ужесточает ответственность за обработку персональных данных без согласия субъекта персональных данных в письменной форме в виде штрафа от 300 тыс. до 700 тыс. руб., а при повторном нарушении – от 1 млн. до 1,5 млн. руб.
Также вводится специальный состав об ответственности за нарушения требований в области размещения биометрических персональных данных. В соответствии с ним размещение и обновление банками, МФЦ, иными организациями биометрических персональных данных субъекта в ГИС «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных» с нарушением установленных законодательством требований повлечет уголовную ответственность в форме штрафа от 500 тыс. до 1 млн. руб. для юридических лиц.
Ключевые изменения в УК РФ согласно законопроекту № 502113-8:
1. Уголовная ответственность в редакции законопроекта № 502113-8 предусматривается за незаконное использование и (или) передачу (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем.
2. Указанные действия могут быть повлечь ужесточение ответственности в случае наличия квалифицирующих признаков – если те же деяния: совершены в отношении специальной категории персональных данных и (или) биометрических персональных данных; сопряжены с трансграничной передачей или перемещением компьютерных носителей; причинили крупный ущерб; совершены группой лиц по предварительному сговору или с использованием служебного положения, а также из корыстной заинтересованности.
3. Согласно законопроекту № 502113-8, санкция вводимой статьи 272.1 предусматривает как отдельное применение основных или дополнительных видов наказания, так и их комбинацию. Например, за утечку, целью которой является причинение вреда жизни и здоровью человека и гражданина, ущерба обороне и/или безопасности государства и иных охраняемым ценностям, а также совершенное организованной группой предусмотрено лишение свободы сроком до 10 лет со штрафом в размере до 3 млн руб. или иного дохода осужденного за период до 4 лет с лишением права занимать определенные должности на срок до 5 лет или без такового.
4. Отдельно предусмотрена ответственность для лиц, создавших интернет-ресурсы и программы, позволяющие незаконно хранить и (или) предоставлять доступ к компьютерной информации и содержат персональные данные субъектов. За данные нарушения предлагается предусмотреть наказание в виде:
- штрафа в размере до 700 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового, либо
- принудительные работы на срок до 5 лет со штрафом в размере до 700 тыс. руб. или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности, или заниматься определенной деятельностью на срок до 2 лет или без такового, либо
- лишение свободы на срок до 5 лет со штрафом в размере до 700 тыс. рублей или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового.
Примечательно, что в официальном отзыве на законопроект № 502113-8 заместитель председателя Верховного Суда РФ отметил отсутствие признаков, позволяющих отграничить предлагаемый состав преступления от правонарушения, предусмотренного ст. 13.11 КоАП РФ. Ввиду того, что размер штрафа, предусмотренный в законопроекте 502104-8, зависит от количественных показателей, предполагаем, что статью УК РФ также дополнят количественным критерием либо указанием на иной квалифицирующий признак.
Ужесточение административной и уголовной ответственности должно способствовать принятию необходимых мер защиты персональных данных, инвестированию больших средств в информационную безопасность каждой компании, а также предотвращению возможных правонарушений и преступлений в области обработки персональных данных.