Финансовое обеспечение защитит персональные данные клиентов российских компаний
Об инициативе Совета Федерации по наличию финансового обеспечения в российских компаниях на форуме "Кибертех 2024" рассказал член комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин.
"Чувствительность утечек у всех операторов разная. Персональные данные тоже разные. Есть и чувствительные данные (медицинские, финансовые). Это уже персональные данные другого порядка. Их защищать надо еще сильнее. Мы в Совете Федерации прорабатываем законодательную инициативу, которая рассматривает возможность обязать компании, оперирующие персональными данными, иметь финансовое обеспечение. Это может быть банковская гарантия, договор страхования или резервный фонд. Это очень важная инициатива, которая повысит уровень защищенности прав граждан, предотвратит излишние сборы персональных данных и обеспечит достойные компенсации гражданам, чьи данные все-таки утекли", - отметил Артем Шейкин.
Руководитель отдела консалтинга и аудита ООО "АТ Груп" (Angara Security) Александр Хонин назвал инициативу неоднозначной: "Данная инициатива может иметь как положительный эффект, так и отрицательный. С одной стороны, любая финансовая нагрузка будет способствовать более ответственному отношению к обработке персональных данных. С другой стороны, мы можем получить обратный эффект, когда компании будут искажать или скрывать сам факт обработки чувствительных данных. Но основной момент заключается в том, как именно будет применяться такой механизм и насколько действительно он будет рабочим. Соответственно, если будут реальные кейсы, в рамках которых для компаний будут некие финансовые последствия вследствие утечек, то однозначно политика в отношении работы с персональными данными изменится и как минимум можно будет говорить о повышении общей защищенности таких данных".
Менеджер продуктов ООО "Инностейдж" (Innostage) Евгений Сурков перечислил преимущества и недостатки такой инициативы: "Как и многие другие предложения в этой сфере, данный проект может нести определенные негативные последствия и риски. Например, централизация критического объема персональных данных в небольшом числе хранилищ крупных игроков, повышение цен для конечных пользователей, монополизация отдельных видов деятельности крупными игроками, которые будут пользоваться специальными условиями страховых компаний и другими преимуществами. Среди позитивных моментов - стимулирование хотя бы базовой защиты данных, ограничение сбора информации "на всякий случай" или для перепродажи. Эффект будет максимален для небольших или средних компаний, занимающихся сбором данных".
Архитектор проектов по информационной безопасности ООО "Р-Вижн" (R-Vision) Евгений Гуляев предположил, какие выплаты будут получать клиенты в случае утечек их персональных данных: "Инициатива Совета Федерации является логическим продолжением разрабатываемых изменений в законопроекты, касающиеся оборотных штрафов за утечку персональных данных. Поскольку размер штрафа может достигать 3% от оборота компании, вполне разумно запрашивать у компаний подтверждение наличия финансового обеспечения, которое гарантирует возможность выплаты такого штрафа. Законопроект устанавливает штрафы для юридических лиц и индивидуальных предпринимателей в следующих размерах: за первичную утечку информации - от 10 млн до 15 млн руб., за повторную утечку - от 0,1% до 3% от выручки за календарный год или часть текущего года, но не менее 15 млн руб. и не более 500 млн руб. Таким образом, в случае утечек финансовое обеспечение будет определяться индивидуально для каждого клиента компании, но будет находиться в указанном диапазоне".