Правительство одобрило проект поправок в Уголовный кодекс, ужесточающих ответственность за утечки данных, ко второму чтению. Об этом РБК узнал из материалов к заседанию комиссии правительства по законопроектной деятельности, которое состоялось в понедельник, 22 апреля.
МВД предлагало смягчить наказание за утечки: министерство советовало отредактировать формулировки так, чтобы лишение свободы и штрафы за незаконный сбор, передачу, использование персональных данных и поддержку работы ресурсов с такими данными, назначались только в случае, если речь идет о данных 50 и более субъектов (то есть людей), либо если речь идет о сведениях о частной жизни, личной или семейной тайне, специальных категорий персональных данных, биометрических данных. Однако, Минюст не поддержал инициативу, указав, что злоумышленники будут намеренно дробить базы с утекшими данными, а те, кто допустил утечку данных меньшего числа людей, смогут избежать уголовного наказания.
Рассмотреть вопрос о введении оборотных штрафов для компаний, которые допустили утечку персональных данных россиян, поручил Владимир Путин в конце 2022 года. Законопроект был внесен в Госдуму в конце 2023 года группой депутатов. В январе его приняли в первом чтении.
С учетом согласованных правок законопроект предполагает:
Незаконное использование, передача или сбор персональных данных, полученных неправомерным образом, влечет за собой штраф до 300 тысяч рублей или принудительные работы/лишение свободы на срок до четырех лет. Если информация содержит специальные категории персональных данных и/или биометрические персональные данные, наказание может быть до пяти лет лишения свободы. За незаконное использование персональных данных из корыстной заинтересованности, повлекшее крупный ущерб, совершенное группой лиц по предварительному сговору или с использованием служебного положения, предлагается наказание до шести лет лишения свободы и штраф до 1 млн рублей. Преступления, связанные с трансграничной передачей персональных данных, могут быть наказаны лишением свободы на срок до восьми лет и штрафом до 2 млн рублей. Создание ресурсов в интернете или компьютерных программ, предназначенных для незаконного хранения и распространения персональных данных, может повлечь за собой принудительные работы/лишение свободы на срок до пяти лет и штраф до 700 тысяч рублей.
По данным источника РБК, близкого к одному из авторов поправок, изменения в Уголовный кодекс планировалось принимать вместе с изменениями в Кодекс об административных правонарушениях, предлагающими значительно повысить штрафы за утечки персональных данных с возможностью назначать оборотные штрафы за повторное нарушение. Ассоциация банков России (АБР) в начале марта обратилась в Минцифры с предложением отказаться от введения оборотных штрафов за утечку информации при повторном нарушении. Соответствующий законопроект был принят Госдумой в первом чтении.
В одном из писем АБР называет меру дискриминационной, поскольку у госучреждений нет оборота и, соответственно, с них этот штраф взять невозможно, в отличие от коммерческих организаций. Из чего следует, что «совершение одного и того же правонарушения влечет для первого и второго разную ответственность, что является нарушением конституционного принципа равенства всех перед законом и судом», подчеркивают в ассоциации. АБР подчеркивает, что утечки происходят и в государственных, и муниципальных учреждениях. Кроме того, ассоциация уточняет, что оборотные штрафы «могут иметь негативные последствия для компаний, занимающихся информационной безопасностью, и IT-отрасли в целом».