Банкиры снова просят не вводить оборотные штрафы за утечки
Ассоциация банков России (АБР) в начале марта обратилась в Минцифры с предложением отказаться от введения оборотных штрафов за утечку информации при повторном нарушении, пишет “Коммерсантъ” со ссылкой на письма АБР. Соответствующий законопроект был принят Госдумой в первом чтении. В одном из писем АБР называет меру дискриминационной, поскольку у госучреждений нет оборота и, соответственно, с них этот штраф взять невозможно, в отличие от коммерческих организаций. Из чего следует, что «совершение одного и того же правонарушения влечет для первого и второго разную ответственность, что является нарушением конституционного принципа равенства всех перед законом и судом», подчеркивают в ассоциации.
АБР подчеркивает, что утечки происходят и в государственных, и муниципальных учреждениях. Кроме того, ассоциация уточняет, что оборотные штрафы «могут иметь негативные последствия для компаний, занимающихся информационной безопасностью, и IT-отрасли в целом». Банки взаимодействуют с рядом сервисов по обмену файлами в автоматическом режиме, из-за чего при утечке «велика вероятность заражения или кражи данных у других участников». С учетом сложившейся судебной практики административный штраф относится к реальному ущербу, уточняют в АБР, то есть можно предъявить регрессные требования к контрагенту.
По словам исполняющего обязанности президента АБР Алексея Войлукова, условия, при которых для коммерческих организаций ответственность за утечки существенно ужесточается, а госучреждения остаются фактически безнаказанными, несправедливы. Он считает, что можно отказаться от оборотных штрафов и «зафиксировать ту вилку, которая сейчас обозначена в законе — 20–500 млн рублей». Кроме того, верхний порог штрафа является “совершенно чрезмерным, поскольку, например, крупный банк, получив подобный штраф, может вчинить регрессивный иск компании-поставщику, от которой получил программное обеспечение, ставшее причиной утечки”, — утончил Войлуков. Он добавил, что для большинства таких компаний штраф в сотни миллионов рублей “приведет к банкротству”.
“Такой штраф фактически направлен на изъятие денежных средств, полученных в виде экономической выгоды в результате противоправных действий”, — поясняет глава Национального совета финансового рынка (НСФР) Андрей Емелин, отмечая, что оборотный штраф в качестве санкции предполагает извлечение нарушителем экономической выгоды из своего поведения. Однако утечки персональных данных оборачиваются для допустивших их компаний и банков лишь убытками, поскольку сопряжены с прямыми и косвенными издержками — влекут за собой ущерб IT-инфраструктуре, бизнес-процессам, несут репутационный ущерб, приводят к оттоку клиентов, подчеркивает Емелин. По его оценке, в совокупности такие потери могут привести “к приостановке бизнеса и даже к банкротству”.
НСФР выступал против введения штрафов с оборота за утечку персональных данных клиентов еще в феврале (соответствующее письмо было написано советом совместно с финансовыми организациями и направлено в ЦБ, Минцифры и председателю комитета Госдумы по государственному строительству и законодательству Павлу Крашенинникову). Банки тогда выступили против введения оборотных штрафов за повторную утечку данных до 500 млн рублей, объясняя это тем, что расходы на информационную безопасность и без того непреклонно растут, а введение дополнительных штрафов только усугубит ситуацию. Они предложили зафиксировать сумму выплат на уровне от 15 млн до 30 млн рублей, в зависимости от категории данных. Оборотные штрафы, если они будут приняты, банки предложили установить в размере до 3% минимального размера уставного капитала. Также они предлагали не увеличивать штраф за неправомерную обработку данных и просили продлить строк вступления законопроекта в силу до одного года после его публикации вместо предусмотренных 30 дней.