Банки выступили против нового закона о штрафах за утечки данных⁠⁠9

Для ЛЛ:

подготавливаемый закон предусматривает оборотный штраф до 500 миллионов рублей за утечки персональных данных. НСФР (Национальный совет финансового рынка, по сути, представляющий интересы банков) выступает против нововведений. В связи с этим в ЦБ, Минцифры и председателю комитета Госдумы по государственному строительству и законодательству Павлу Крашенинникову было направлено соответствующее письмо.

А теперь чуть подробнее...

Текущее состояние законопроекта выглядит логичным, но несколько драконовским - т.е. некоторые замечания банков имеют под собой основания. С другой стороны, закон еще не принят - в нем точно еще будут корректировки и смягчения.

Основные замечания НСФР выглядят следующим образом (с моими комментариями):

>1. Высокие оборотные штрафы не заставят компании усиливать информационную безопасность (ИБ). Штрафы будут просто минусоваться из статьи ИБ бюджета компаний, "отъедая" средства у реальных мероприятий по улучшению безопасности. Говорится о том, что нет алгоритма предотвращения уплаты большого штрафа с помощью реализации добросовестных действий. Кроме того, поднимается тема, что оборотные штрафы как правило накладываются на часть нечестно заработанных нарушением законодательства денег - а в данном случае, банки - жертвы - они наоборот теряют репутацию и деньги.

Если отвлечься от постулата, что штраф - это наказание а-ля "совершил преступление - сядь в тюрьму", то логика в таких рассуждениях есть, но она уводит вопрос в какую-то детскую, инфантильную плоскость: "Вот ты раскидал вещи в своей комнате - если соберешь, то получить мороженое". А для банков было бы, видимо, неплохо не только штраф не получить, но и из федерального бюджета какую-нибудь субсидию урвать "на улучшение ИБ"... В общем, я не против взвешенного подхода, но очень не хочу, чтобы банки полностью избегали наказания за "добросовестные действия", которые они и так обязаны были сделать еще до косяка. А еще вызывают сомнения правильность определения этих "добросовестных действий": замена накосячившего Иванова на Петрова - это добросовестное действие? А вот добавление такого абзаца в договор с сотрудником/контрагентом (который никто не собирается выполнять) - может быть это "добросовестное действие"?

А теперь про размеры штрафа. Говорится о 500 миллионах рублей за утечку 100 тысяч учетных данных (физических лиц). Большая, красивая цифра, но на 1 человека это 5000р. Во сколько вы оцениваете свои персональные данные? Вот банки говорят о том, что 5000р это много. Еще, своим сопротивлением, они показывают о том, что они их 99% "потеряют".

>2. Считают, что будет лучше в качестве базы использовать не оборот финансовой организации, а размер уставного капитала

Так как я не кручусь в финансовых кругах - точно не скажу в чем тут фикус - помню только с университета, что у банков есть зависимость между капиталом и оборотом. Скорее всего банкам штрафы так получатся "дешевле".

>3. Хотят максимально сузить понятие нарушения

Это вообще адвокатский прием - придраться к каждой запятой, чтобы уйти от ответственности.

>4. Просят наказывать только за утечки, связанные с нарушением требований в области ИБ.

Подавляющее большинство утечек происходит из-за того или иного нарушения ИБ. Зачем исключать и, главное, как определять редкие исключения?

Скорее всего, под этим пытаются провести отсутствие ответственности за косяки/противоправные действия сотрудников и контрагентов-партнеров, но это неправильно.

>5. Просят отсрочить вступление в действие закона на 1 год.

Зачем? Чтобы включить в бюджет на будущий год потенциальные штрафы? А начать работы по улучшению ИБ хотя бы в прошлом году, когда пошли разговоры об изменениях в законодательстве было не судьба? Кроме того, большинство методико-ИТ проектов вполне укладываются в полгода-год - примерно как раз к запуску закона в действие.

Короче, у меня сложилось впечатление, что письмо в ЦБ писал опытный, ушлый корпоративный юрист, цель которого не улучшить ситуацию с утечками, а максимально затянуть вопрос или, хотя бы, "скостить срок"...

Оригинал статьи: на РБК (кстати, очень толковой)