Заместитель руководителя Роскомнадзора Милош Вагнер на расширенном заседании комитета Госдумы по информполитике, посвященном поправкам к закону о персональных данных, предложил расширить ответственность за кражу и торговлю ими вплоть до уголовного наказания.
«Нужно жестко наказывать тех, кто формирует спрос на утечки, наживаясь на распространении персональных данных. Только так можно прекратить вал мошенничества с личными данными российских граждан»,— пояснили
«Коммерсанту» в ведомстве. Глава комитета Александр Хинштейн поддержал эту идею, отметив, что стоит наказывать и тех, кто покупает персональные данные на черном рынке.
Поправки внесла в Госдуму 6 апреля группа депутатов во главе с Александром Хинштейном и сенатором Андреем Клишасом. Они вводят обязанность для операторов персональных данных информировать органы власти об утечках личной информации граждан и подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак.
В комитете Госдумы по информполитике уточнили, что ответственность может регулироваться только поправками в КоАП или УК, которые вносятся самостоятельными законопроектами. В Минцифры поддерживают инициативу, уточняя, что нужно ввести и оборотные штрафы для компаний, допустивших утечки личных данных. Эти меры потребуют внесения изменений в отраслевое законодательство, добавили в министерстве.
Одной из крупнейших за последнее время была утечка данных «Яндекс.Еды» в конце февраля: тогда в открытом доступе оказалась информация 58 тыс. пользователей (имена, телефоны, адреса, коды от домофона и суммы трат за полгода). Как объяснили в сервисе, причиной стали недобросовестные действия одного из сотрудников. В интернете дважды появлялась интерактивная карта с утекшими данными «Яндекс.Еды». Так, 17 мая ее дополнили базами ГИБДД и другими источниками. На сайте отображается, например, информация из СДЭК, «Авито», Wildberries и Delivery Club. В компаниях утечки опровергали. «Яндекс.Еде» Мировой суд Замоскворецкого района Москвы назначил штраф 60 тыс. руб.
Член комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Вадим Перевалов считает предложения избыточными: «Кража персональных данных в результате компьютерного взлома уже сейчас может квалифицироваться по статьям 272 и 273 УК РФ, и такие уголовные дела уже существуют». Так, бывшего сотрудника Сбербанка, который осенью 2019 года украл и опубликовал в даркнете персональные данные клиентов, Красногорский городской суд приговорил к двум годам и десяти месяцам колонии-поселения.
Необходима работа с правоприменением, а не с законом, соглашается преподаватель Moscow Digital School Олег Блинов: «Полиция и прокуратура не имеют достаточно квалифицированных кадров, инструментария и даже энтузиазма к расследованию подобных дел».
Кроме того, эксперт опасается перегибов — например, что под определение незаконной торговли данными может попасть передача информации рекламным сетям.