×

18 сентября 2020 г. в Госдуму внесен проект поправок в ст. 13.14 КоАП РФ об увеличении размера штрафа за разглашение информации ограниченного доступа (№ 1023005-7, далее – законопроект).

Документ направлен на ужесточение санкции, предусмотренной названной нормой. В случае его принятия штраф для граждан составит от 5 до 10 тыс. руб., а для должностных лиц – от 40 до 50 тыс. руб.

Читайте также
Штраф за разглашение информации ограниченного доступа предлагается увеличить
Автор законопроекта подчеркнул, что под «информацией ограниченного доступа» понимается в том числе и адвокатская тайна
21 сентября 2020 Новости

Законопроект стал следствием нарастания с огромной скоростью проблем защиты персональных данных, обусловленных увеличением интенсивности развития электронного взаимодействия. В связи с этим ужесточение ответственности за разглашение информации – ожидаемый шаг в направлении защиты персональных данных граждан.

Однако для эффективного применения ст. 13.14 КоАП требуется прежде всего разработать механизм отслеживания именно разглашения информации – т.е. выявления фактов доведения ее до сведения третьих лиц, а не просто получения доступа к ней, в том числе незаконного.

Следует отметить, что по данной категории дел доказыванию подлежит факт доведения до сведения третьих лиц информации с ограниченным доступом, поскольку это относится к объективной стороне состава правонарушения, предусмотренного ст. 13.14 КоАП.

Отсутствие доказательств, подтверждающих указанное обстоятельство, препятствует судам при рассмотрении дел сделать вывод о наличии в действиях лиц, привлекаемых к административной ответственности, состава правонарушения, ответственность за которое установлена ст. 13.14 КоАП, и влечет прекращение производства по делу за отсутствием состава правонарушения, как это произошло в деле № 4А-171/2016, находившемся в производстве Архангельского областного суда.

В данном случае недоказанность передачи инспектором группы по исполнению административного законодательства отдела ДПС УГИБДД УМВД России по Архангельской области информации с ограниченным доступом третьим лицам послужила основанием для отмены постановления мирового судьи и решения районного суда по жалобе Г.Н. Ильиной о привлечении лица к ответственности за совершение административного правонарушения по ст. 13.14 КоАП и прекращения производства по делу на основании п. 2 ч. 1 ст. 24.5 КоАП за отсутствием состава правонарушения (постановление от 10 июня 2016 г. по делу № 4А-171/2016).

Необходимость разработки механизмов сбора информации с ограниченным доступом и отслеживания процесса доведения ее до третьих лиц подтверждают не только судебная практика, но и статистические данные.

На сегодняшний день уровень латентности правонарушений, связанных с утечкой персональных данных, довольно высок.

Так, по данным аналитической компании Ponemon Institute «2018 Cost of Data Breach Study», на 2018 г. 25% утечек – следствие ошибок сотрудников, 50% приходится на фишинг и прочие атаки. Большинство (48%) уязвимостей связано с вредоносным программным обеспечением и кибератаками. Как показали результаты опроса, недобросовестность работников и действия злоумышленников – ключевые причины утечки информации в 69% случаев.

В связи с этим намерение законодателя ужесточить административную ответственность должностных лиц представляется закономерным, но в то же время недостаточым.

Как показывают результаты исследования «Смарт Лайн Инк», за период с января по май 2019 г. количество не выявленных и не отраженных в официальной статистике нарушений достигло 90–99%, где:

  • 10% – утечки через снимки экранов;
  • 3% – через мессенджеры и социальные сети;
  • 2% – облачные файловые хранилища;
  • 4% – электронная и веб-почта;
  • 5% – печать документов на бумажном носителе;
  • свыше 75% – общая доля утечек с использованием съемных накопителей.

Столь высокий уровень латентности очевидно связан с точечными (локальными) утечками информации – т.е. такими, которые касаются копирования небольших объемов данных, в том числе с помощью простого переписывания информации на бумагу или снимка экрана компьютера, в частности для личного использования.

Следовательно, ужесточение санкции ст. 13.14 КоАП само по себе не является, на мой взгляд, достаточным и эффективным способом повышения уровня защиты персональных данных внутри страны.

Защита персональных данных требует комплексного подхода, включающего разработку способов предотвращения утечек по конкретным каналам, в том числе на основании методов, применяемых за рубежом, – таких, например, как:

  • проведение аудита персональных данных и документирование всего процесса их обработки;
  • ограничение круга законных целей и оснований для обработки персональных данных (ст. 5 General Data Protection Regulation – Общего регламента по защите данных, далее – GDPR) в совокупности с назначением ответственных за защиту персональных данных (Data Protection Officer) и разработкой локального нормативного акта, регламентирующего обработку и защиту персональных данных;
  • принятие мер по псевдонимизации и шифрованию персональных данных – предотвращение утечки данных (DLP), сетевая безопасность, шифрование, реагирование на инциденты (SIEM), защита периметра организации, псевдонимизация, защита конечных пользователей, управление мобильными устройствами (MDM), антивирусные средства и управление доступом (IDM);
  • обеспечение конфиденциальности, целостности, доступности и устойчивости систем обработки данных;
  • своевременное восстановление доступа как уполномоченных лиц, так и самих субъектов к персональным данным в случае инцидента. Это может быть как технический инцидент (например, хакерская атака), так и инцидент иного характера (например, затопление серверов);
  • регулярное тестирование и оценка эффективности технических и организационных мер для обеспечения безопасности обработки персональных данных.

В заключение отмечу, что размер предложенной разработчиками законопроекта санкции невысок по сравнению с аналогичной нормой, действующей на территории Евросоюза, где нарушение GDPR, действующего с 25 мая 2018 г., влечет административный штраф до 20 млн евро (что составляет около 1,8 млрд руб.), или 4% годового оборота компании. Причем процент может быть рассчитан от оборота международной группы компаний, а не отдельного юридического лица. Размер штрафа определяется индивидуально.

Рассказать:
Другие мнения
Якупов Тимур
Якупов Тимур
Юрист, партнер агентства практикующих юристов «Правильное право», помощник депутата Госдумы РФ
«Статичное» регулирование или справедливый подход?
Семейное право
И вновь о дуализме механизма взыскания алиментов на содержание детей
11 апреля 2024
Насонов Сергей
Насонов Сергей
Советник Федеральной палаты адвокатов РФ, адвокат АП г. Москвы, профессор кафедры уголовно-процессуального права Московского государственного юридического университета им. О.Е. Кутафина (МГЮА), д.ю.н.
Смертная казнь: уголовно-процессуальный аспект
Уголовное право и процесс
Включение данной меры в УК заставит вернуть эти составы преступлений в подсудность присяжных
04 апреля 2024
Смола Павел
Высшая мера: материально-правовой аспект
Конституционное право
Ни международное право, ни законодательство РФ не изменились в сторону желательности смертной казни
02 апреля 2024
Саркисов Валерий
Саркисов Валерий
Адвокат АП г. Москвы, АК «Судебный адвокат»
Сопричинение вреда в умышленных преступлениях
Уголовное право и процесс
Статью 153 УПК целесообразно дополнить новым основанием для соединения уголовных дел
01 апреля 2024
Мухаметов Руслан
Мухаметов Руслан
Юрисконсульт ООО «РПК»
Год или три?
Арбитражный процесс
Исчисление срока исковой давности для привлечения КДЛ к субсидиарной ответственности
29 марта 2024
Буробин Виктор
Буробин Виктор
Член Совета ФПА РФ, адвокат АП г. Москвы, президент адвокатской фирмы «ЮСТИНА»
Смертная казнь: «за» и «против»
Уголовное право и процесс
Гражданское общество должно понимать, что с введением смертной казни безопасность людей не усилится
27 марта 2024
Яндекс.Метрика