×

18 сентября 2020 г. в Госдуму внесен проект поправок в ст. 13.14 КоАП РФ об увеличении размера штрафа за разглашение информации ограниченного доступа (№ 1023005-7, далее – законопроект).

Документ направлен на ужесточение санкции, предусмотренной названной нормой. В случае его принятия штраф для граждан составит от 5 до 10 тыс. руб., а для должностных лиц – от 40 до 50 тыс. руб.

Читайте также
Штраф за разглашение информации ограниченного доступа предлагается увеличить
Автор законопроекта подчеркнул, что под «информацией ограниченного доступа» понимается в том числе и адвокатская тайна
21 Сентября 2020 Новости

Законопроект стал следствием нарастания с огромной скоростью проблем защиты персональных данных, обусловленных увеличением интенсивности развития электронного взаимодействия. В связи с этим ужесточение ответственности за разглашение информации – ожидаемый шаг в направлении защиты персональных данных граждан.

Однако для эффективного применения ст. 13.14 КоАП требуется прежде всего разработать механизм отслеживания именно разглашения информации – т.е. выявления фактов доведения ее до сведения третьих лиц, а не просто получения доступа к ней, в том числе незаконного.

Следует отметить, что по данной категории дел доказыванию подлежит факт доведения до сведения третьих лиц информации с ограниченным доступом, поскольку это относится к объективной стороне состава правонарушения, предусмотренного ст. 13.14 КоАП.

Отсутствие доказательств, подтверждающих указанное обстоятельство, препятствует судам при рассмотрении дел сделать вывод о наличии в действиях лиц, привлекаемых к административной ответственности, состава правонарушения, ответственность за которое установлена ст. 13.14 КоАП, и влечет прекращение производства по делу за отсутствием состава правонарушения, как это произошло в деле № 4А-171/2016, находившемся в производстве Архангельского областного суда.

В данном случае недоказанность передачи инспектором группы по исполнению административного законодательства отдела ДПС УГИБДД УМВД России по Архангельской области информации с ограниченным доступом третьим лицам послужила основанием для отмены постановления мирового судьи и решения районного суда по жалобе Г.Н. Ильиной о привлечении лица к ответственности за совершение административного правонарушения по ст. 13.14 КоАП и прекращения производства по делу на основании п. 2 ч. 1 ст. 24.5 КоАП за отсутствием состава правонарушения (постановление от 10 июня 2016 г. по делу № 4А-171/2016).

Необходимость разработки механизмов сбора информации с ограниченным доступом и отслеживания процесса доведения ее до третьих лиц подтверждают не только судебная практика, но и статистические данные.

На сегодняшний день уровень латентности правонарушений, связанных с утечкой персональных данных, довольно высок.

Так, по данным аналитической компании Ponemon Institute «2018 Cost of Data Breach Study», на 2018 г. 25% утечек – следствие ошибок сотрудников, 50% приходится на фишинг и прочие атаки. Большинство (48%) уязвимостей связано с вредоносным программным обеспечением и кибератаками. Как показали результаты опроса, недобросовестность работников и действия злоумышленников – ключевые причины утечки информации в 69% случаев.

В связи с этим намерение законодателя ужесточить административную ответственность должностных лиц представляется закономерным, но в то же время недостаточым.

Как показывают результаты исследования «Смарт Лайн Инк», за период с января по май 2019 г. количество не выявленных и не отраженных в официальной статистике нарушений достигло 90–99%, где:

  • 10% – утечки через снимки экранов;
  • 3% – через мессенджеры и социальные сети;
  • 2% – облачные файловые хранилища;
  • 4% – электронная и веб-почта;
  • 5% – печать документов на бумажном носителе;
  • свыше 75% – общая доля утечек с использованием съемных накопителей.

Столь высокий уровень латентности очевидно связан с точечными (локальными) утечками информации – т.е. такими, которые касаются копирования небольших объемов данных, в том числе с помощью простого переписывания информации на бумагу или снимка экрана компьютера, в частности для личного использования.

Следовательно, ужесточение санкции ст. 13.14 КоАП само по себе не является, на мой взгляд, достаточным и эффективным способом повышения уровня защиты персональных данных внутри страны.

Защита персональных данных требует комплексного подхода, включающего разработку способов предотвращения утечек по конкретным каналам, в том числе на основании методов, применяемых за рубежом, – таких, например, как:

  • проведение аудита персональных данных и документирование всего процесса их обработки;
  • ограничение круга законных целей и оснований для обработки персональных данных (ст. 5 General Data Protection Regulation – Общего регламента по защите данных, далее – GDPR) в совокупности с назначением ответственных за защиту персональных данных (Data Protection Officer) и разработкой локального нормативного акта, регламентирующего обработку и защиту персональных данных;
  • принятие мер по псевдонимизации и шифрованию персональных данных – предотвращение утечки данных (DLP), сетевая безопасность, шифрование, реагирование на инциденты (SIEM), защита периметра организации, псевдонимизация, защита конечных пользователей, управление мобильными устройствами (MDM), антивирусные средства и управление доступом (IDM);
  • обеспечение конфиденциальности, целостности, доступности и устойчивости систем обработки данных;
  • своевременное восстановление доступа как уполномоченных лиц, так и самих субъектов к персональным данным в случае инцидента. Это может быть как технический инцидент (например, хакерская атака), так и инцидент иного характера (например, затопление серверов);
  • регулярное тестирование и оценка эффективности технических и организационных мер для обеспечения безопасности обработки персональных данных.

В заключение отмечу, что размер предложенной разработчиками законопроекта санкции невысок по сравнению с аналогичной нормой, действующей на территории Евросоюза, где нарушение GDPR, действующего с 25 мая 2018 г., влечет административный штраф до 20 млн евро (что составляет около 1,8 млрд руб.), или 4% годового оборота компании. Причем процент может быть рассчитан от оборота международной группы компаний, а не отдельного юридического лица. Размер штрафа определяется индивидуально.

Рассказать:
Другие мнения
Гейко Павел
Гейко Павел
Адвокат АК «СанктаЛекс»
Является ли цифровая валюта «опасным» имуществом?
Интернет-право
Предложенные законодателем поправки полезны и необходимы, но требуют дополнительной проработки
25 Ноября 2020
Хужин Марат
Хужин Марат
Адвокат BGP LITIGATION
Перспективы онлайн-допросов
Уголовное право и процесс
Для использования электронных доказательств есть серьезные препятствия, которые нужно преодолевать систематически
18 Ноября 2020
Ерофеев Константин
Ерофеев Константин
Адвокат АП г. Санкт-Петербурга
Богословское заключение и светское государство: правовые аспекты
Семейное право
Допустимы ли на территории России межконфессиональные браки?
17 Ноября 2020
Васильева Наталья
Васильева Наталья
Партнер АБ «Бартолиус»
Суды опираются на позиции ВС РФ
Гражданское право и процесс
Разъяснения Пленума ВС РФ способствуют более единообразному развитию судебной практики
17 Ноября 2020
Береснева Анна
Магистр РШЧП`2019
Новые разъяснения ВС РФ
Гражданское право и процесс
Об основаниях прекращения обязательств
17 Ноября 2020
Новиков Алексей
Новиков Алексей
Управляющий партнер, адвокат Criminal Defense Firm
Устранить недостатки и коллизии законодательного регулирования
Уголовное право и процесс
О праве на реплику в корреспонденции с участием в прениях
17 Ноября 2020