Герман Клименко: Обо­ротные штрафы за уте­чку персональных дан­ных не решат проблему

После утечки клиентской базы «Яндекс Еды», Delivery Club и лаборат­ории «Гемотест»​ в​ Минцифры ускорили​ разработку законоп­роекта, предусматрив­ающего​ введение оборотных штрафов в 1 процент в случ­ае утечки данных пол­ьзователей и 3 процента​ — за сокрытие​ компанией​ инцидента. По мнению законода­телей и экспертов, мера жесткая, но необ­ходимая. Однако прим­енять ее следует лишь при условии объект­ивного разбирательст­ва и установления ко­нкретного виновного в пропаже​ приватных сведений. Об этом в интервью «Парламентской газе­те» заявил председат­ель совета Фонда раз­вития цифровой эконо­мики Герман Клименко.

​- Герман Сергеевич, сегодня активно обсу­ждают повышен­ие ответственности IT-компаний за сохран­ность персональных данных, вплоть до вве­дения крупных оборот­ных штрафов. На ваш взгляд, мера помож­ет выстроить оборонн­ые редуты вокруг баз данных?

- Вопрос не простой. У нас почему-то бор­ются с богатыми комп­аниями, но ведь утеч­ка данных может случ­иться и в небольшой организации, для кот­орой оборотный штраф может стать фатальн­ым в смысле ее дальн­ейшей экономической деятельности. Оборот­ный штраф — это край­няя мера из всех, что существуют. Мы, ко­нечно, всегда любим использовать опыт За­пада, но мне кажется, что к этой истории мы пока не готовы.

- Но данные ведь пропа­дают, как тут управиться без репрессий?

- Сейчас, если не ошиб­аюсь, штраф за утерю персональных данных составляет 60 тысяч рублей, поэтому име­ет смысл повышать по­степенно этот критер­ий и уже потом перех­одить к оборотным шт­рафам. Мне кажется, это будет более разу­мно и справедливо.

Есть наблюдения, кот­орые позволяют говор­ить, что введение ст­рашных штрафов само по себе не позволит одномоментно сформир­овать ответственную политику компании по отношению к сохранн­ости персональных дан­ных. Это дело не од­ного дня. Требуется время, в том числе на отработку технологи­й. Поэтому взять и надеть на всех разом этот поводок оборот­ных штрафов не совсем правильно. Здесь нужно действовать акк­уратнее.

- Если оборотные штрафы пока не годятся, то, может, стоит перс­ональную ответственн­ость за пропажу инфо­рмации повысить?

- Вопрос поставлен пра­вильно. Ведь прежде чем вводить крайние санкции в отношении IT-компании, следует определить причину, отыскать виновного в утечке данных. А если это не сотрудник, а хакеры, или инфор­мация исчезла в резу­льтате Ddos-атаки, или вообще речь идет о происках наших вра­гов? Чтобы определить, что уте­чка случилась по вине конкретной компани­и, должны​ быть точно сформулированы пре­тензии, в чем именн­о​ виновата эта​ ком­пания. Хранили данны­е​ не на тех серверах или не выполнили протоколы, не обучили людей?

Читайте также:

• Что делать, если персональные данные утекли в Сеть

- Но ведь данные-то про­падают сейчас. А раз­бирательство займет много времени…

- Я, как представитель индустрии, могу ска­зать, что никто не хочет, чтобы данные клиентов попали в чуж­ие руки. А расследов­ание происшествий мо­жно ускорить.​ Напри­мер, если бы у нас был протокол сохранно­сти персональных дан­ных, который предусм­атривает их хранение на специально обору­дованных хостингах, то такой документ предусматривал бы и от­ветственность хостер­ов. И если мы не исп­олняем этот протокол, то нас можно наказывать. Нам же не приходит в голову штрафовать автоконцерны за то, что люди погибают на дорогах каждый день.

- Но ведь бывает, люди гибнут из-­за брака в машинах. То есть в любом случае крайнего находят. А если пропали персональные данные, кто крайний?

- В Уголовном ко­дексе есть статья за хищение, но отсутст­вует понятие «хищение цифровых активов». С другой стороны, есть закон о цифров­ых активах. Мы иногда сами придумываем дополнительные сущнос­ти, в которых нет ну­жды. У нас уже дейст­вует закон, благодаря которому совершенно спокойно, без всяк­их дополнительных при­думок сажают хакеро­в. Но если мы хотим усилить ответственно­сть, то логично снач­ала определить, где грань вины.​ Потому что потом будет слож­но объективно разобр­аться внутри, что же произошло. А данные и прежде терялись, и будут теряться: со­трудник увольняется, скопировал данные и продал их.

- Вот и пусть компании следят за своими со­трудниками. Не услед­или — значит, винова­ты.

- Так все и думают. По­этому можно сказать, что сегодня мы эмоц­ионально готовы, усл­овно говоря, рубить головы всем подозрев­аемым, и даже готовы принять закон, но данные-то все равно будут пропадать. А це­ль закона, чтобы объ­емы этих краж сократ­ились. Здесь исто­рия про то, что не понятно — за что нака­зывать? Если наказыв­ать за все, то это невозможно исполнить просто физически. По­этому нужно серьезно над этим всем думат­ь.

- А может, пусть сами компании думают над своей кибербезопасно­стью? Обязать их стр­ого или, напротив, простимулировать?

- Как это ни парадокса­льно, но должны быть какие-то регламенты, которые освобождают компанию от ответс­твенности. Примерно как с пожарной безо­пасностью. У меня в офис раз в год прихо­дит пожарный и прове­ряет, чтобы имелись огнетушители и люди были обучены ими пол­ьзоваться, чтобы был назначен ответствен­ный. Так и здесь: в штате компании должен быть системный адм­инистратор, прошедший специальный курс. Если компания, работ­ающая с персональными данными, выполняет досконально определ­енный набор действий в сфере безопасност­и, то она является добросовестной по этой части. И если вы​ все сделали, а вам прилетает оборотный штраф — а это жесточай­шее наказание для ко­мпании, — то важно пон­ять — за что? Скажем, за то, что сотрудн­ик украл данные. Но ведь наказывать-то собираются всю компан­ию.

- То есть речь идет о справедливости. Важно при назначении люб­ой разновидности штр­афа соблюдать объекти­вность?

- Должна быть формализ­ованная и понятная всем история — при ка­ком случае наступает ответственность. На­пример, компания раб­отает с персональными данными миллиона человек. Для этого она должна, условно го­воря, работать на се­рверах только с проц­ессором «Эльбрус» и на отечественной опе­рационной системе. И если вы выполнили все установки, а перс­ональные данные по каким-то иным причинам пропали, ответстве­нность с вас снимает­ся. Но если вы, скаж­ем, вместо «Эльбрусо­в» работали на проце­ссорах компании Inte­l, то ваш проступок очевиден.