Модератор дискуссии президент Ассоциации банков России Анатолий Козлачков обратил внимание на существующие неясности в правоприменении вступающих в силу норм, вводящих уголовную ответственность и оборотные штрафы для бизнеса за утечки персональных данных, в частности, проблемы толкования статьи 272.1 УК РФ о незаконном использовании личной информации, а также вопросы определения виновности субъекта обработки данных и дифференции ответственности.
Руководитель комитета по комплаенс-рискам и ПОД/ФТ Ассоциации банков России Ирина Кононенко высказала опасения в части излишне широкого применения новой уголовной статьи, в результате чего добросовестные пользователи могут оказаться под риском избыточной ответственности. «Правоприменительная практика не устоялась, и мы находимся в зоне неопределенности, а значит, в зоне риска», – заметила она, предложив законодательно конкретизировать применения статьи и четко прописать критерии ответственности.
Вице-президент – заместитель начальника юридического департамента Газпромбанка Игорь Соболь заметил, что часто крупные компании обращаются к «белым хакерам», которые тестируют защищенность информационных систем с помощью инструментария, используемого злоумышленниками. Теперь такая добросовестная практика может оказаться под риском уголовной ответственности, более того, ответственность может наступать просто за ошибки в операционной деятельности, указал он.
Председатель комитета по информационной безопасности Ассоциации банков России, заместитель председателя правления Сбербанка Станислав Кузнецов позитивно оценил законодательные новеллы и заявил, что их необходимо было принимать еще раньше, поскольку текущий уровень ответственности за утечки был несоразмерен нанесенному ущербу. Так, за произошедшие в 2024 году 135 крупных утечек, содержащих 710 млн записей с персональными данными граждан, были вынесены штрафы лишь на 2 млн руб.
По его информации, все крупные утечки происходят не из банков, а в основном идут от ритейла и маркетплейсов. Станислав Кузнецов подчеркнул, что компании обязаны обеспечивать сохранность персональных данных. «Справедливо вводится норма о том, что организации, которые не умеют хранить персональные данные, должны за это отвечать», – сказал он.
Кроме того, Станислав Кузнецов поднял вопрос возможности использования уже утекших в сеть персональных данных в правомерных целях. Например, банк, видя данные о своем клиенте в “слитых” базах других организаций, мог бы повысить защищенность и предупредить мошеннические действия. Эксперт также предупредил о рисках расширения практики неправомерного использования персональных данных в связи с использованием хакерами искусственного интеллекта, поэтому бизнес также должен задействовать ИИ для противодействия мошенникам.
Директор по стратегическим проектам Ассоциации больших данных Ирина Левова отметила, что российское законодательство об обороте персональных данных является наиболее жестким по сравнению с множеством других стран, например, в части наложения на оператора бремени доказывания соблюдения предписанных норм. Она предложила внести в новое законодательство точечные изменения во избежание расширительного толкования норм судами.
Заведующий центром уголовно-процессуального законодательства и судебной практики Института законодательства и сравнительного правоведения при правительстве РФ Станислав Нудель поддержал введение уголовной ответственности за незаконный оборот персональных данных. Он указал, что новая статья применяется именно за незаконное использование персональных данных, а не их получение. Изначально же данные могут быть получены злоумышленником не всегда преступным путем, заметил он. Эксперт считает, что текущая конструкция нового законодательства чрезвычайно сложна, а также изобилует оценочными признаками, которые порождают правовую неопределенность, в связи с чем новеллы требуют корректировки.
Замначальника второго отдела управления ведомственного и процессуального контроля Следственного департамента МВД Юлия Меньщикова рассказала, что пресечение утечек персональных данных важно с точки зрения противодействия финансовым мошенникам, которые используют личную информацию для структурирования правдоподобных диалогов с жертвой. Комментируя замечания в части широкого применения новых норм, она отметила, что законодательство по определению представляет собой универсальный инструментарий.
Руководитель направления по оказанию услуг в области персональных данных Kept Роман Мартинсон поведал о судебной практике в области нарушения оборота персональных данных. По его словам, когда компания заявляет о совершённой в отношении неё хакерской атаке, суды, как правило, не находят смягчающих обстоятельств и приходят к выводу, что данные были недостаточно защищены.
Заместитель руководителя правового управления по вопросам персональных данных «Банка Точка» Екатерина Егорова затронула вопросы квалифицирующих признаков при неправомерном доступе к информации.
Подводя итоги дискуссии, Анатолий Козлачков заключил, что новые нормы принимались во благо, при этом важно обеспечивать юридическую определенность их толкования. Ассоциация подготовит рекомендации по совершенствованию законодательства и направит их регулирующим органам.
28 мая 2025 года
Москва,
Ситуационный центр города Москвы
