Право
Испанский блик

Минцифры согласовало законопроект об оборотных штрафах за утечки личных данных пользователей — «Ъ» Статьи редакции

Нарушителям грозит штраф в 1% от годового оборота, а при попытке скрыть инцидент — до 3%, говорят источники.

  • 26 мая 2022 года в Минцифры прошло обсуждение ужесточения ответственности компаний и физлиц за утечку и распространение персональных данных, рассказали источники «Коммерсанта».
  • На ней Минцифры сообщило, что законопроект о введении оборотных штрафов в отношении компаний, допустивших утечку данных своих клиентов, находится на финальной стадии, рассказал знакомый с деталями встречи собеседник.
  • Согласно инициативе, нарушителям грозит штраф в 1% от годового оборота. Если допустившая утечку компания не уведомит Роскомнадзор об инциденте в течение суток, оборотный штраф может вырасти до 3%, говорят источники.
  • На ближайшей неделе законопроект планируют внести в Госдуму, утверждает «Ъ». В Минцифры не ответили на запрос. Комитет Госдумы по информполитике поддержал инициативу: «Бизнес должен быть мотивирован сохранять данные пользователей в безопасности».
  • В начале апреля глава Минцифры Максут Шадаев говорил, что ведомство вместе с Роскомнадзором выступят с инициативой об оборотных штрафах для бизнеса за утечки в 2022 году. По мнению одного из источников, разработка могла быть ускорена из-за нескольких громких инцидентов: например, у «Яндекс.Еды» и Delivery Club.
  • «Ъ» отмечает, что неясно, кто и как будет подтверждать и классифицировать утечки. Кроме того, личные данные сейчас обрабатывают не только крупные ИТ-компании и банки, но и небольшие предприятия, которые редко инвестируют в кибербезопасность.
0
114 комментариев
Написать комментарий...
Кирилл Добряков

ага, получается компания заплатит штраф в гос бюджет, а людям, чьи данные слили, им как-то это не особо поможет

Ответить
Развернуть ветку
Денис Гаврилюк

Вы всегда можете и могли подать иск на компанию. Некоторые уже подали
https://habr.com/ru/news/t/658107/

Ответить
Развернуть ветку
Александр Кудин

Так это пополнение бюджета, а значит новые дороги, больницы и так далее)
Больше интересно, а кто будет гос. Структуры штрафовать или там утечек нет?)
Опять же новый рычаг давления на компании. А штрафы со временем увеличат 100%

Ответить
Развернуть ветку
11 комментариев
igogo

Ну для компаний это будет стимулом хранить данные надежнее.
Так законы и работают вообще то.
Штрафы не призваны помогать пострадавшим, они призваны добиваться соблюдения правил.

Ответить
Развернуть ветку
2 комментария
xbevice

Поэтому штраф оборотный, 1% от годового оборота то же еды это довольно большая сумма чтобы хорошенько задуматься.

Ответить
Развернуть ветку
Аккаунт заморожен

Комментарий недоступен

Ответить
Развернуть ветку
Igor Igorevich

Люди кооперируется и подают групповое заявление в суд.

Ответить
Развернуть ветку
1 комментарий
Административный единорожек88

Коллективные иски странно, что они только недавно появились. Люди осваивают их

Ответить
Развернуть ветку
Слегка Придурковатый

Возможно, для обхода этого штрафа будут использовать новояз. К примеру, произошла не "утечка и распространение персональных данных", а "увеличение информации в результате неизбежного роста энтропии вселенной".

Ответить
Развернуть ветку
Святослав М.

Этот лайфхак только Яндексу будет разрешен)

Ответить
Развернуть ветку
Валерий Краснов

Пора уже делать рейтинг позиций новояза

Ответить
Развернуть ветку
Пришелец

Новейшая отечественная разработка - Open Source база данных.

Ответить
Развернуть ветку
Revenant

Штраф маловат.

Ответить
Развернуть ветку
Karzec

Но гораздо больше, чем было. Сдвинулось с места, уже радует

Ответить
Развернуть ветку
3 комментария
Игорь Гарановский

Но он явно больше чем 60 тыс которые заплатил Яндекс за утечку

Ответить
Развернуть ветку
1 комментарий
ArtYk.inTrade

Публично обругать матом на дворцовой(можно привязать к столбу), компенсировать 2 мл $ каждому пострадавшему.

Ответить
Развернуть ветку
1 комментарий
Злой Полушубок

Для компания типа Яндекс, 3% от оборота это очень много. Например в 3 квартале 2021 суммарный оборот «Яндекс.Лавки» и «Яндекс.Еды» - 21 млрд руб. 3% это 63 миллиона и это только один квартал, суммарно за год штраф может быть 200 миллионов. Вполне достаточно.

Ответить
Развернуть ветку
Егор Сергеевич

Вангую будущие шантажи компаний, бывшими сотрудниками. Упер такой данные пользаков и трясешь с компании выкуп вдвое меньше, чем им будет штраф за их утечку )

Ответить
Развернуть ветку
Blackrock

Тогда компания попав на штраф взыщет сумму ущерба с этого сотрудника и он афигеет потом ))

Ответить
Развернуть ветку
2 комментария
Vadim Medvedev

Информационная система должна иметь такую архитектуру, чтобы один пользователь любого ранга не мог в одиночку получить дамп всей базы.

Ответить
Развернуть ветку
Aleksandr Talalaev

Ну шантаж это уголовка, слишком высокие риск, даже для относительно высоко сидящего сотрудника.
А вот шатнаж со стороны условных хакеров, куда более реальный.

Ответить
Развернуть ветку
1 комментарий
Значимый пистолет

Только нам это уже не поможет.

Заходя на тот известный сайт и забив в поиск свой номер, я вижу полное ФИО и точный адрес.

И даже номер не нужен, достаточно знать фамилию и он выдаёт полный список однофамильцев.

Меня уже посчитали.

Ответить
Развернуть ветку
Слегка Придурковатый

ПОПАЛСЯ!

Ответить
Развернуть ветку
1 комментарий
badResistor
Заходя на тот известный сайт

!?

Ответить
Развернуть ветку
10 комментариев
Никита

В идеале конечно бы какой-то прогрессирующий процент, в зависимости от оборота компаний, то есть 1% для какого нибудь салона красоты(условно) и 10% для Яндекса(ещё условнее)

Ответить
Развернуть ветку
Gray Matter

Чтобы вообще никакого бизнеса в стране не осталось. Идеально, да.

Ответить
Развернуть ветку
3 комментария
Максим Корнеев

Ладно уж, храни свои секреты

Ответить
Развернуть ветку
Aleksandr Talalaev

Честно говоря не уверен насчёт правильности таких оборотных штрафов в этом случае. Я бы всё-таки шел в данном конкретном случае в сторону более понятной и простой процедуры защиты прав и потерь каждого конкретного пострадавшего, чтобы легче было объединиться и были прописаны что значит с морально-этической и финансовой тоже стороны вот такие потери личной инфы для гражданина.
Просто эти оборотные штрафы, это считай уже ввели что-то вроде страхового взноса на все интернет-компании, в размере 1% от годового оборота. Объясню: взламывают всех, даже самые защищенные, новые, после аудитов системы. Про огромное число дырок мы просто ещё не знаем или не представляем, что так можно сделать. И выходит, что даже при условии, что делаешь всё максимально верно, у тебя есть далеко не нулевой шанс попасть.
И ещё интересно, как этот закон будет работать против гос структур, условного МВД, базы которых достаточно часто актуализируются и продаются тут и там.
А вот закон со стороны людей и их ущерба, позволил бы действовать в каждой конкретной ситуации. Ну и в случае утечки МВД в суд можно было подать бы на МВД(условный пример), штраф/компенсация бы была связана не с годовыми оборотами, а с оценкой суда ущерба людей (с чем сегодня нередко проблемы, в сторону занижения).

Ответить
Развернуть ветку
Roman Galchenko

И тут же над всей Россией разольется плач Ярославны по поводу того, что условный физик не сможет обосновать чем же ему навредил слив в сеть его данных о заказанных бургерах и острых крылышках.

По факту, такой подход будет способствовать бездействию со стороны сборщика ПДн по защите этих данных.

Видится, что более действенным было бы введение уникального ID для каждого гражданина, который бы получал гражданин в условном хранилище его персданных, которое бы регистрировало любое обращение за детализацией этих данных и целей обработки.

Т.е., на стороне обработчина ПДн создается уникальный ключ (ID+случайный код). При запросе ПДн из хранилища обработчик передает этот уникальный код и свой ключ авторизации в хранилище. Хранилище расшифровывает переданный ключ, вытаскивает ID субъекта обработки ПДн, и передает данные на обработку стороне, которая запрашивала. История запросов сохраняется на стороне хранилища.

Оплата работы хранилища - абонентская плата со стороны профессиональных обработчиков данных хошъ по транзакциям, хошъ по кол-ву пользователей в месяц.

Такой подход позволит централизованно хранить ПДн граждан РФ, исключить максимально утечки значимой информации "сотрудникам банков".

Если в БД банков будет храниться только ключ, то даже весь дамп базы Сбера будет представлять собой никакой ценности, т.к вместо ФИО будет храниться хэш, который может быть расшифрован только путем подачи запроса определенным пользователем хранилища.

На стороне пользователя - пластиковая карточка с чипом и/или полюбившимся все QR-кодом.

Пришел устраиваться на работу, отсканировали твой Id, сделали запрос в хранилище, хранилище "отрыгнуло" все твои ПДн на экран оператору.

Госструктуры - не благодарите за идею.

Ответить
Развернуть ветку
1 комментарий
Дмитрий Одинцов

Чтобы такого не было, нужно, чтобы компании беспокоились о своей репутации в первую очередь, штраф они всегда смогут выплатить и забыть.

Ответить
Развернуть ветку
Екатерина Продавцова

Репутация возможна при альтернативах, иначе тупнешь ножкой как недовольный пользователь/клиент «компании с плохой репутацией» и на этом все.

К примеру Авито, ну бубнят в приемку через пост , что дальше ? Альтернатив то особо и нету

Ответить
Развернуть ветку
3 комментария
Денис Гвоздев

Не самое приятное, когда данные пользователей утекают. Не знаю, не особо суровое наказание, как мне кажется

Ответить
Развернуть ветку
Слегка Придурковатый

Да нормально, чо. Сто утечек - плюс одна компания у какого-нибудь silovika.

Ответить
Развернуть ветку
Алексей Терно

Сразу видны приоритеты - оборотный штраф за неудаление неугодной информации ввели давно, а за утечку персданных только сейчас обсуждают

Ответить
Развернуть ветку
Игорь Ким

Не забудьте штраф ГИБДД выписать, оттуда тоже данные утекли)

Ответить
Развернуть ветку
Значимый пистолет

Наивный)) сказано же, что закон обратной силы не имеет

Ответить
Развернуть ветку
Мурад Муртазалиев

У Яндекса будет льготный тариф - 60 к)

Ответить
Развернуть ветку
Блаженный Мурод

В год?

Ответить
Развернуть ветку
1 комментарий
Nick

И по 1 млн. руб. тому, чьи данные утекли 😁

Ответить
Развернуть ветку
Екатерина Продавцова

Вам до оплаты ипотеки 1 млн не хватает?))

Ответить
Развернуть ветку
2 комментария
Вадим Д.

Заранее продумывать ответственность нужно. Ну ведь законы целые, неужели сложно просчитать действия и последствия?
Теперь, когда данные просто чуть ли не каждую неделю публикуют и видно что и где все соседи покупают, очухались.
С другой стороны – хотя бы так сделали, м-да.
Вспоминается Вовка из тридевятого: «И так сойдёт!».

Ответить
Развернуть ветку
Михаил Загоскин

так у нас сперва подготовят почву для законов, потом сам закон. Вы думали замечаете, как перед законом что-то начинают в новостях массировать

Ответить
Развернуть ветку
2 комментария
Аркадий Дорога

Завали конкурента, устрой к нему свистуна!

Ответить
Развернуть ветку
Аркадий Дорога

Широкая публика и не представляет каким широким потоком сливается инфа из тех же банков. Каждый условно *ий манагер/экономист в банках, особенно при увольнении, считаем само собой разумеющимся забрать с собой на новое место клиентские данные, выгрузку по договорам и условиям и нормативку. Тем самым поговорка "Тащи с работы каждый гвоздь..." актуальна и для цифровых активов, в том числе перс.данные и банковскую тайну. Мы/вы знаете только о случаях слива b2market (слив из организации для продажи/передачи широкому кругу частников), но о b2business или "кротах" b2c почти ничего. Ограничить техническими средствами распространение информации, после появления смартфонов стало почти нереально (ну, кто готов перед выходом на рабочее месте сдавать все гаджеты, проходить личный досмотр и работать строго под камерами ?). Удаленка же, вкупе с низкой внутренней культурой безопасности дала непревзойденный уровень комфорта для получения прямого доступа к данным. Безопасники в теме разводят руками, другие рисуют радужные картинки и нанимают козлов отпущений. При этом законодательная база откровенно слаба, огреть по КоАП/УК несуна можно только тогда, когда будет подтверждена выгода с его стороны, разглашение кругу лиц. Доказывать вынос - отдельная морока - "я это письмо не отправлял, админы хакнули мою учетку/ макрос в экселе его отправил и вообще, это шифрованный архив, я не знаю ни пароль, ни то, что в нём". Максимум, что может быть, это увольнение/депремирование с текущей работы.

Ответить
Развернуть ветку
Вадим Д.

Сначала закон учитывает возможность заинтересованных обогатиться на кажущейся "незрелости" закона, потом, после этого этапа, начинаются доработки, корректировки, "ужесточения" и прочее.
Поэтому зачастую кажется, что закон создан наскоро и не продуман. Так нет – всё там продумано, только не для всех, скажем так.

Ответить
Развернуть ветку
Roman Galchenko
«Ъ» отмечает, что неясно, кто и как будет подтверждать и классифицировать утечки. Кроме того, личные данные сейчас обрабатывают не только крупные ИТ-компании и банки, но и небольшие предприятия, которые редко инвестируют в кибербезопасность.

Для этих целей в 152-ФЗ есть категоризация систем. Если К1 (более 100к индивидумов, либо хранение мед.данных)- то вот тут и надо вводить оборотные штрафы и чем серьезнее - тем лучше. Остальных смысла нет сильно штрафовать на первый раз.

Иначе получится классическое палководство и иллюзия заботы о гражданах. С условного ООО "Лютик" с 15 человеками в штате (категория К4) с оборота в 30-40 млн снимут "стружки" на 400к.. И таких ООО "Лютик", "Ромашках", "Зайчата и Ко" в стране сотни тысяч и 100 лет они не вперлись любым хакерам.

А те кто реально должен заботится о сохранности данных (например Ин витро, Медси, Деливериклабы и прочие) - будет как по пизде ладошкой.

Очередной популизм.

Ответить
Развернуть ветку
Alexander

Такой штраф может похоронить низкомаржинальные бизнесы, типа интернет-ритейла, маркетплейсов.

Ответить
Развернуть ветку
badResistor

10 и 30% от дохода разумнее?

Ответить
Развернуть ветку
4 комментария
Денис Коротков

Самые крупные сливы данных уже случились

Ответить
Развернуть ветку
Пришелец

Когда все слили, можно и закон принять. Классика.

Ответить
Развернуть ветку
Мистер Андерсон

И штраф до 10% при повышенном спросе на штрафы.

Ответить
Развернуть ветку
Макс Тракс

А они за утечки из своих сервисов, будут платить штрафы? Если зайти к Ананимоусам на вики, там данных за последние пару месяцев. Только от Сбера они выложили 180 гигов SQL дампа данных. Интересно это на какой штраф тянет?

Ответить
Развернуть ветку
Dimitry

Так а за утечку из кадастра или ГИБДД все равно никому ничего не будет?)

Ответить
Развернуть ветку
Царь Преисподни

Хорошая новость, только больше штраф надо было сделать

Ответить
Развернуть ветку
Елизавета М

Добавили бы ещё обязательство каждого, кто является оператором персональных данных, обязательно регистрироваться на какой-то гос.платформе и своевременно обновлять информацию о том, каким образом получены эти данные. И потом бы вывели в ЛК каждого зарегистрированного на госуслугах общую базу, кто и где владеем моими данными. Было бы супер круто знать, куда пошли гулять мои персональные данные и отозвать право на их использование. Конечно, чёрный рынок никто не отменял, но хотя бы тут станет проще. Потому что в день приходит по 7-12 звонков с левых номеров. Уже раздражать собственный телефон стал...

Ответить
Развернуть ветку
Михаил Балакин

Что-то мне подсказывает, что из-за этого данные утекать не перестанут

Ответить
Развернуть ветку
Иван Семин

Да не уже ли, не прошло и 5 лет, как они решили наказывать за утечки.

Ответить
Развернуть ветку
Правильный Взгляд

штрафы, которые переложат на тех, чьи данные сливают.

Ответить
Развернуть ветку
Noblesse. tv

Так пользователи и "не заметят" превентивное подорожание услуг на 1% :-)

Ответить
Развернуть ветку
2 комментария
nelidalv

судя по комментариям ..

проблема не в сумме штрафа, а в русском мЫшлении .. основанном по принципу сделать подлянку, наебать, съебать ..

а также, чтобы нового не предлогалии - обязательно доколупаться и вставить свои пять копеек ..

при этом игнорируя факт, что на вас и ваши данные всем похуй, а кому надо и так знают как собрать инфо .. в т.ч. не с закрытых источников

Ответить
Развернуть ветку
nelidalv

лучшеб ввели уголовку за пользование "утечёнными" данными ..

тогда б и спрос на них поменьше был .. )

Ответить
Развернуть ветку
badResistor
Согласно инициативе, нарушителям грозит штраф в 1% от годового оборота. Если допустившая утечку компания не уведомит Роскомнадзор об инциденте в течение суток, оборотный штраф может вырасти до 3%, говорят источники.

Это ключевое — повышение ставки за не уведомление. Скорее всего будут пытаться продавить чтобы было исключено из закона.

Ответить
Развернуть ветку
Юрий Другач

Че-то стремно как-то. Любую компанию можно взломать и утащить что хочешь. 1% че-то многовато. 3% если скрыли - самое то.

Ответить
Развернуть ветку
Nikita Storozhuk

Наконец то, пусть лучше хоть так, чем никак

Ответить
Развернуть ветку
Читать все 114 комментариев
null