Госдума приняла в третьем чтении масштабные поправки в законодательство, направленные на комплексное совершенствование мер противодействия преступлениям, совершаемым с использованием информационно-коммуникационных технологий (законопроект № 1110676-8), о которых ранее писала «АГ».
С момента поступления в Госдуму и до принятия в третьем чтении поправки подверглись существенным изменениям. В частности, поправки в Закон о связи вносят понятие абонента: под ним теперь понимается физлицо, которому на основе договора об оказании услуг подвижной радиотелефонной связи выделен абонентский номер. Абонент имеет право расторгнуть действующий договор об оказании услуг подвижной радиотелефонной связи в отношении этого абонентского номера лишь по истечении 90 дней со дня выделения ему этого абонентского номера. Отмечено, что массовые вызовы, осуществляемые с нарушением требований законодательства, являются незаконными, за исключением таких вызовов, осуществляемых, например, по инициативе госорганов и подведомственных им организаций, в целях информирования абонента в предусмотренных законом случаях. Вводится понятие базы данных идентификаторов пользовательского оборудования, требования к ней устанавливает Правительство РФ.
Как следует из поправок в Закон о банках и банковской деятельности, за разглашение банковской тайны оператор единой системы учета платежных карт и его работники несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном законом. В Закон о защите прав потребителей введена норма, запрещающая продажу определенных видов радиоэлектронных средств.
В Закон о Центральном Банке России введена норма о том, что совет директоров мегарегулятора получит право при необходимости устанавливать лимит платежных карт, с использованием которых осуществляются переводы денежных средств, превышающий предусмотренное Законом о национальной платежной системе количество платежных карт, которое может быть предоставлено клиенту-физлицу.
В Законе об информации, информационных технологиях и о защите информации появилась помимо прочего норма о том, что под распространяемой с нарушением закона информацией понимается, в том числе, информация, позволяющая установить программы для ЭВМ, которые предназначены для неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения информации, или содержащая предложение о приобретении указанных программ.
В Законе об электронной подписи появились термины ключей идентификации и аутентификации, уточнены полномочия федеральных органов в этой сфере, введены понятие национального удостоверяющего центра и перечислены его обязанности, а также требования к выдаваемым им сертификатам.
Закон о национальной платежной системе, в частности, дополнен нормой о том, что оператор по переводу денежных средств при наличии информации о воздействии вредоносного программного обеспечения откажет в приеме к исполнению распоряжения клиента или в совершении операции с использованием платежных карт, перевода электронных денежных средств или перевода денежных средств с использованием сервиса быстрых платежей платежной системы ЦБ с применением пользовательского оборудования, в отношении которого получена информация о воздействии на него вредоносного ПО. Кроме того, регламентированы случаи ответственности оператора по переводу денежных средств: в частности, детализирован порядок возмещения суммы денежных средств, переведенных несанкционированно, прописан порядок взаимодействия с клиентами в таких случаях.
Клиенту-физлицу может быть предоставлено в совокупности не более 20 платежных карт, с использованием которых осуществляются переводы денежных средств. Также вводится единая система учета платежных карт, ее пользователями являются ЦБ и операторы по переводу денежных средств. Предусмотрены права и обязанности пользователей такой системы и ее оператора. Кроме того, поправки регламентируют алгоритм взаимодействия пользователей ГИС, противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий с этой информационной системой.
Основатель и CEO Privacy Advocates, соучредитель «Сообщества профессионалов в области инфоприватности» Алексей Мунтян также отметил, что второй «антифрод-пакет» сильно изменился с этапа первого чтения в Госдуме. «Так, к третьему чтению убрали блок наиболее обсуждавшихся норм: подтверждение действий через Max, регулирование сим-боксов, привязку счета к ИНН, восстановление доступа к госуслугам и – ключевое для пользователей российских интернет-ресурсов – регистрацию на значимых ресурсах только через российскую почту. Сохранились “инфраструктурные меры”: компенсации жертвам за счет банков и операторов, самозапрет зарубежных звонков, лимит банковских карт, базу IMEI. Порядок авторизации на российских интернет-ресурсах не меняется, обязанность использовать только адреса российских почтовых провайдеров не возникает. Он действует с 1 декабря 2023 г. и требует для авторизации применение одного из установленных способов: российский номер телефона, ЕСИА, ЕБС, отечественная ИС/SSO. Норму о “только российской почте” исключили, т.е. идея дать Правительству РФ право на определение случаев авторизации по адресу в национальной доменной зоне осталась нереализованной», – заметил он.
Эксперт также напомнил, что 9 июня Госдума приняла закон об установлении административной ответственности за отдельные нарушения в сфере связи и информации (законопроект № 1069392-8): «Владельцам российских сайтов стоит проверить, что иностранные SSO (Apple/Google ID) и зарубежная почта – не единственный способ входа для пользователей в РФ, а для рекомендательных сервисов выполнены требования об уведомлении и правилах. Аккаунты, созданные до 1 декабря 2023 г., под это требование не подпадают».
Старший юрист юридической фирмы Comply Мария Пономарёва отметила, что поправки изначально предусматривали внесение изменений в различные законы, которые должны были существенно повлиять на работу российского бизнеса. «За все время от публикации проекта до его принятия в третьем чтении он регулярно обсуждался с бизнесом и экспертами на публичных мероприятиях, так как многие изменения были сложнореализуемы. Например, управление согласием на обработку персональных данных через портал госуслуг. В принятой в третьем чтении версии исключены многие предлагавшиеся изменения в Закон о персональных данных, Закон об осуществлении идентификации и аутентификации, Закон о противодействии легализации (отмыванию) доходов. Из критичных для бизнеса не будут внедрены следующие предложения: авторизация только через российские почтовые сервисы, сбор и дальнейшее управление согласием на обработку персональных данных через госуслуги, ограниченные способы восстановления доступа к учетной записи ЕСИА, запрет подтверждения значимых действий через СМС», – пояснила она.
По мнению эксперта, принятый закон влияет скорее на отдельные категории субъектов: операторов связи, кредитные организации, владельцев цифровых сервисов, в отличие от текста первоначальных поправок, которые повлияли бы на работу многих компаний независимо от их сектора. «Изменения будут вступать в силу постепенно, с даты опубликования до 1 января 2028 г. С учетом специфики изменений рекомендую проанализировать, насколько в целом поправки применимы к вашей компании, после чего в зависимости от дат вступления в силу разработать чек-лист действий для подготовки к внедрению. При этом не ожидается, что пугающие исключенные нововведения не будут в ближайшее время интегрированы в другие проекты, – от них не отказались, а скорее взяли на доработку», – заметила Мария Пономарёва.
