18 сентября 2020 г. в Госдуму внесен проект поправок в ст. 13.14 КоАП РФ об увеличении размера штрафа за разглашение информации ограниченного доступа (№ 1023005-7, далее – законопроект).
Документ направлен на ужесточение санкции, предусмотренной названной нормой. В случае его принятия штраф для граждан составит от 5 до 10 тыс. руб., а для должностных лиц – от 40 до 50 тыс. руб.
Законопроект стал следствием нарастания с огромной скоростью проблем защиты персональных данных, обусловленных увеличением интенсивности развития электронного взаимодействия. В связи с этим ужесточение ответственности за разглашение информации – ожидаемый шаг в направлении защиты персональных данных граждан.
Однако для эффективного применения ст. 13.14 КоАП требуется прежде всего разработать механизм отслеживания именно разглашения информации – т.е. выявления фактов доведения ее до сведения третьих лиц, а не просто получения доступа к ней, в том числе незаконного.
Следует отметить, что по данной категории дел доказыванию подлежит факт доведения до сведения третьих лиц информации с ограниченным доступом, поскольку это относится к объективной стороне состава правонарушения, предусмотренного ст. 13.14 КоАП.
Отсутствие доказательств, подтверждающих указанное обстоятельство, препятствует судам при рассмотрении дел сделать вывод о наличии в действиях лиц, привлекаемых к административной ответственности, состава правонарушения, ответственность за которое установлена ст. 13.14 КоАП, и влечет прекращение производства по делу за отсутствием состава правонарушения, как это произошло в деле № 4А-171/2016, находившемся в производстве Архангельского областного суда.
В данном случае недоказанность передачи инспектором группы по исполнению административного законодательства отдела ДПС УГИБДД УМВД России по Архангельской области информации с ограниченным доступом третьим лицам послужила основанием для отмены постановления мирового судьи и решения районного суда по жалобе Г.Н. Ильиной о привлечении лица к ответственности за совершение административного правонарушения по ст. 13.14 КоАП и прекращения производства по делу на основании п. 2 ч. 1 ст. 24.5 КоАП за отсутствием состава правонарушения (постановление от 10 июня 2016 г. по делу № 4А-171/2016).
Необходимость разработки механизмов сбора информации с ограниченным доступом и отслеживания процесса доведения ее до третьих лиц подтверждают не только судебная практика, но и статистические данные.
На сегодняшний день уровень латентности правонарушений, связанных с утечкой персональных данных, довольно высок.
Так, по данным аналитической компании Ponemon Institute «2018 Cost of Data Breach Study», на 2018 г. 25% утечек – следствие ошибок сотрудников, 50% приходится на фишинг и прочие атаки. Большинство (48%) уязвимостей связано с вредоносным программным обеспечением и кибератаками. Как показали результаты опроса, недобросовестность работников и действия злоумышленников – ключевые причины утечки информации в 69% случаев.
В связи с этим намерение законодателя ужесточить административную ответственность должностных лиц представляется закономерным, но в то же время недостаточым.
Как показывают результаты исследования «Смарт Лайн Инк», за период с января по май 2019 г. количество не выявленных и не отраженных в официальной статистике нарушений достигло 90–99%, где:
- 10% – утечки через снимки экранов;
- 3% – через мессенджеры и социальные сети;
- 2% – облачные файловые хранилища;
- 4% – электронная и веб-почта;
- 5% – печать документов на бумажном носителе;
- свыше 75% – общая доля утечек с использованием съемных накопителей.
Столь высокий уровень латентности очевидно связан с точечными (локальными) утечками информации – т.е. такими, которые касаются копирования небольших объемов данных, в том числе с помощью простого переписывания информации на бумагу или снимка экрана компьютера, в частности для личного использования.
Следовательно, ужесточение санкции ст. 13.14 КоАП само по себе не является, на мой взгляд, достаточным и эффективным способом повышения уровня защиты персональных данных внутри страны.
Защита персональных данных требует комплексного подхода, включающего разработку способов предотвращения утечек по конкретным каналам, в том числе на основании методов, применяемых за рубежом, – таких, например, как:
- проведение аудита персональных данных и документирование всего процесса их обработки;
- ограничение круга законных целей и оснований для обработки персональных данных (ст. 5 General Data Protection Regulation – Общего регламента по защите данных, далее – GDPR) в совокупности с назначением ответственных за защиту персональных данных (Data Protection Officer) и разработкой локального нормативного акта, регламентирующего обработку и защиту персональных данных;
- принятие мер по псевдонимизации и шифрованию персональных данных – предотвращение утечки данных (DLP), сетевая безопасность, шифрование, реагирование на инциденты (SIEM), защита периметра организации, псевдонимизация, защита конечных пользователей, управление мобильными устройствами (MDM), антивирусные средства и управление доступом (IDM);
- обеспечение конфиденциальности, целостности, доступности и устойчивости систем обработки данных;
- своевременное восстановление доступа как уполномоченных лиц, так и самих субъектов к персональным данным в случае инцидента. Это может быть как технический инцидент (например, хакерская атака), так и инцидент иного характера (например, затопление серверов);
- регулярное тестирование и оценка эффективности технических и организационных мер для обеспечения безопасности обработки персональных данных.
В заключение отмечу, что размер предложенной разработчиками законопроекта санкции невысок по сравнению с аналогичной нормой, действующей на территории Евросоюза, где нарушение GDPR, действующего с 25 мая 2018 г., влечет административный штраф до 20 млн евро (что составляет около 1,8 млрд руб.), или 4% годового оборота компании. Причем процент может быть рассчитан от оборота международной группы компаний, а не отдельного юридического лица. Размер штрафа определяется индивидуально.