Ничего личного: за утечку персональных данных надо наказывать оборотными штрафами
Об одной из последних реальных угроз утечки данных стало известно от АО "Государственная техническая служба" (ГТС) в конце апреля. Как сообщает источник, на интернет-ресурсе одного из казахстанских банков второго уровня находилась информация о сотрудниках с паролями от доступа к VPN. Что могло быть использовано злоумышленниками для доступа к счетам и деньгам.
Это один из десятков случаев, когда об утечке данных мы узнаем лишь из сухого информационного сообщения о факте. Дальше служебного расследования и возможного штрафа дело, как правило, не идет. Не говоря уже об уголовной ответственности. Эксперт акцентирует внимание на том, что несмотря на периодические и официально признанные утечки личной информации по-настоящему ярких, показательных судебных разбирательств в Казахстане пока не было. Даже если утечка исключительна, как произошедшая в 2019 году, когда в открытый доступ ушли данные 11 миллионов граждан Казахстана.
"Не могу назвать ни одного резонансного судебного процесса по теме утечек персональных данных казахстанцев. Не было такого, чтобы компания или организация, причастная к утечке, понесла ощутимую ответственность за это". Арман Абдрасилов
Эксперт уверен, что отечественное законодательство и утвержденные механизмы работы с информацией в существующем виде не способны обеспечить надлежащую защиту персональных данных. Нет и соизмеримого наказания. И если речь идет о бизнес-структурах, базы которых периодически "текут", то один из вариантов соизмеримого ущербу наказания, по мнению эксперта – введение так называемых оборотных штрафов. По тому же принципу, который работает в развитых с точки зрения цифровизации странах.
"Отмечу, что в рамках, например, европейского законодательства предусмотрены так называемые оборотные штрафы. Они могут достигать десяти процентов от годового оборота. В Казахстане преимущественно административные штрафы. Их размеры такие, что они не способны повлиять на траекторию движения компании". Арман Абдрасилов
Согласно статьи 79 КоАП, ответственность за несоблюдение мер по защите персональных данных подразумевает максимальное наказание в виде штрафа в 1 тыс. МРП (1 МРП – 3450 тенге) на субъектов крупного предпринимательства. Также предусмотрена уголовная ответственность за утечку личных данных по статьям 147 и 211 УК РК, где предусмотрено наказание до семи лет лишения свободы.
Насколько эффективно в данном случае лишение свободы – вопрос спорный. Так как лишение свободы – это персонализированная ответственность и на дальнейшее движение виновной в утечке организации существенно не влияет. Это как бороться с гидрой.
Не нокаут, но увесистая оплеуха
Оборотные штрафы в мире – серьезный стимул наладить практически безупречный механизм обеспечения безопасности личной информации. Его еще называют "почти вышкой", так как для бизнеса ощутимее только приостановка деятельности. Вспомним, как в 2019 году суд обязал Facebook (FB) выплатить оборотный штраф в размере около 5 млрд долларов США, что составило около 9 процентов от оборота компании за 2018 год. Причина – массовая утечка персональных данных пользователей. Столь ощутимое пенальти заставило FB объявить о создании комитета, который ведет контроль над процессом работы с персональной информацией. Содержание комитета, в компетенции которого, так скажем, личные данные пользователей FB со всего мира, обходится существенно дешевле. А их на конец 2022 года почти 3 млрд человек.
Появление такого комитета – реальная демонстрация того, как может измениться поведение компании в условиях адекватного ущербу пользователям преследования за допущенную утечку.
К сведению, на территории ЕАЭС, в частности, в России неоднократно поднимали вопрос о введении оборотного штрафа за утечку персональных данных. Экспертная группа планировала зафиксировать его на уровне трех процентов от годового оборота. Смягчающим обстоятельством могут стать меры по усилению безопасности над процессами работы с личной информацией. Не исключено, что отечественные законодатели уже изучают этот законопроект на возможность адаптации к нашей специфике.
Когда по карману не ударить
В то же время, конкретного решения относительно наказания за утечки из баз данных государственных структур, к которым не применишь нормы оборотного штрафа, пока предложено не было. Логично рассматривать вариант с уголовным преследованием, которое уже принято в Казахстане. Однако способ, по мнению экспертного сообщества, пока не позволяет в полной мере решать именно системные проблемы. По крайней мере, пока уголовное преследование не будет распространено с конкретного специалиста на, предположим, первого руководителя проштрафившейся государственной структуры.
При этом риски атак с введением все новых государственных продуктов только усиливаются. Это закономерно – чем выше уровень цифровизации, тем выше вероятность угроза утечек.
"Проект Министерства цифрового развития, инноваций и аэрокосмической промышленности РК (МЦРИАП) Smart Data Ukimet оперирует всеми базами данных страны, включая персональные данные. Хотя кураторы и декларируют, что данные деперсонализированы. Стоимость этой информации по некоторым методикам оценки может составлять около 10 процентов от ВВП Казахстана. При этом требования безопасности, на мой взгляд, не соблюдаются в полной мере. Риски огромные, но уполномоченный орган в лице Комитета по информационной безопасности напрямую подчинен владельцу проекта и ограничен в возможностях должным образом реагировать на нарушения".Арман Абдрасилов
К слову, ранее Абдрасилов отмечал, что Комитет по информационной безопасности во избежание конфликтов профессиональных интересов мог бы существовать в качестве отдельной государственной структуры. То есть не находиться под патронажем МЦРИАП, которое, возможно, сковывает его полномочия.
"Одна из причин, по которой Комитет по информационной безопасности находится в одной структуре с МЦРИАП РК – руководство ведомства понимает, как только этот орган выйдет из-под контроля, он начнет конкурировать с Министерством. То есть, зная все проблемные участки, начнет закрывать их и тем самым тормозить развитие. Поэтому сейчас имея механизм воздействия на этот Комитет, МЦРИАП сдерживает его от фактической атаки на себя".Арман Абдрасилов
Ранее, Zakon.kz уже писал, что Казахстан ограничен в цифровом общении и неспособен обеспечить должную безопасность входящих иностранных личных данных.