Combating Personal Data Leaks – Will Tightening Liability Help?
Abstract and keywords
Abstract (English):
Introduction: the article examines mass cyberattacks on the Russian information infrastructure. It is indicated that one of the main goals of criminals is personal data information systems. Literature review: the research analyzed the scientific works of A.V. Minbaleev, L.K. Tereshchenko, M.B. Dobrobaba, P.A. Vinogradova, Yu.N. Milshina, S.G. Chubukova and others, as well as recent changes in the legislation on personal data. Materials and Methods: the study employed a systematic methodology, integrating legal, comparative-legal, and sociological approaches. The empirical data consisted of legal acts of the Russian Federation, statistical studies, and scientific works. Results: the changes made in July 2022 to the Federal Law "On Personal Data" which, among other things, had the goal of reducing the number of leaks, increasing the number of identified cyber incidents and repulsed attacks, are analysed. It is noted that the number of personal data operators who must report to Roskomnadzor that they are processing personal data has increased tenfold. The comprehensive design of the processing of personal data and the protection of personal data information systems present significant challenges for "new" operators. These challenges are further compounded by the lack of trained personnel. The provisions pertaining to the response and notification of incidents related to personal data leaks are also analysed. These provisions stipulate that the FSB of Russia and Roskomnadzor are responsible for responding to and informing the public about such incidents. Discussion and Conclusions: it is concluded that the implementation of the adopted changes in legislation by small and medium-sized companies, including municipal organisations, is challenging. This indicates the problems that have arisen in connection with the changes made to the legislation and the expected introduction of norms of administrative responsibility for their failure to comply. A number of potential solutions to the issues that have arisen are put forward, including the establishment of comprehensive training programmes for employees of data processors, the creation of dedicated cloud platforms for the protection of personal data processed by small and medium-sized organisations, and the postponement of the introduction of administrative responsibility standards for small businesses for a year.

Keywords:
personal data; personal data information systems; cyber incidents; personal data leaks; small and medium-sized businesses; administrative responsibility
Text
Publication text (PDF): Read Download

Введение

Сохранность персональных данных граждан России является одной из значительных социальных и экономических проблем в настоящее время. Частые кибератаки на критическую инфраструктуру Российской Федерации не прекращаются в течение последних двух лет. Причем данные кибератаки приобрели массовый характер и координируются иностранными спецслужбами. Одним из объектов для кибератак являются базы персональных данных. Согласно исследованию компании SearchInform за 2022 год, персональные данные становились одной из целей преступников в 52% кибератак на государственные органы и организации, а также в 28% кибератак на коммерческие организации1. Количество кибератак на информационные системы персональных данных в 2023 году только увеличилось [1]. Также большое количество утечек происходит из-за халатности сотрудников организаций, недостаточно ответственного подхода руководства организаций к организации защиты данных [2]. Таким образом, изменение законодательства о персональных данных, в том числе повышение ответственности за утечки данных, представляется одним из способов обеспечения информационной безопасности.

Изменения в статью 13.11 КоАП РФ приняты Государственной Думой Российской Федерации в первом чтении, обсуждаются в настоящее время и могут быть скорректированы по результатам научных исследований.

Целью исследования является анализ двух взаимосвязанных направлений изменения законодательства о персональных данных:

- принципиальное изменение подхода к обработке персональных данных для операторов персональных данных, стимулирующее увеличение в десятки раз количества операторов персональных данных, которые должны сообщать в Роскомнадзор о том, что они обрабатывают персональные данные;

- добавление в закон положений о реагировании организаций на инциденты, связанные с утечками персональных данных, которое привело к необходимости создания в организациях подразделений информационной безопасности.

Обзор литературы

Вопросы правового регулирования обработки персональных данных, в том числе после новейших изменений законодательства, неоднократно становились предметом научного исследования в трудах А.В. Минбалеева, Л.К. Терещенко, М.Б. Добробабы, П.А. Виноградовой, Ю.Н. Мильшина, С.Г. Чубуковой и др. [3 – 9]. Вместе с тем проблема соотношения изменений, внесенных в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»), планирующихся изменений в статью 13.11 КоАП РФ и возможностей организаций по выполнению новых норм закона требует дополнительного исследования.

Материалы и методы

Основой исследования являлся системный метод. Кроме того, в рамках исследования применялись формально-юридический, сравнительно-правовой и конкретно-социологический методы. Эмпирическими данными выступили российские нормативные правовые документы, статистические исследования, а также научные работы по теме исследования.

Объединение исследуемых данных, установление общих закономерностей и связей позволило выявить корреляционные взаимодействия и влияния нормативных правовых актов на реальную ситуацию. В целом применение различных научных методов обеспечило воплощение требований системного, ситуационного и комплексного подходов анализа исследуемых общественных отношений.

Результаты исследования

В июле 2022 года Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»2 были внесены существенные изменения в ФЗ «О персональных данных»3, направленные, в том числе, на защиту баз данных персональных данных от утечек и кибератак [4, с. 203 – 214]. Данные изменения осуществлялись по двум направлениям.

Первым направлением является принципиальное изменение подхода к обработке персональных данных для операторов персональных данных.

Многие операторы эксплуатировали информационные системы персональных данных, но не соблюдали должным образом требования законодательства. Часть 2 статьи 22 ФЗ «О персональных данных» ранее предусматривала, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных. Например, не были обязаны направлять уведомления работодатели, которые обрабатывали персональные данные своих сотрудников в трудовых целях, а также общественные и религиозные организации, обрабатывавшие персональные данные своих членов. Кроме того, обязанность направлять уведомления об обработке персональных данных не распространялась на фирмы, которые собирали персональные данные клиентов для заключения договоров на продажу товаров, выполнения работ или оказания услуг [5].

К указанным трем видам организаций относится большая часть юридических лиц в России, которые до 1 сентября 2022 года не уведомляли Роскомнадзор, соответственно, не подвергались проверкам на соблюдение законодательства о персональных данных. Аналогично не подвергалась проверкам значительная часть государственных и муниципальных организаций.

Все указанные юридические лица и ранее являлись операторами персональных данных и были обязаны оформлять весь комплект документов, предусмотренный законодательством, а также обеспечивать защиту информационных систем. Однако большая часть из них соблюдала законодательство фрагментарно. Например, в организации брали согласие физического лица на предоставление его персональных данных при приеме на работу и осуществляли защиту информационных систем, в которых указанные данные обрабатывались и хранились, но не принимали Политику в отношении обработки персональных данных, не назначали ответственного за обработку персональных данных, не осуществляли внутренний контроль за обработкой персональных данных; то есть не полностью соблюдали требования статей 18.1 и 19 ФЗ «О персональных данных».

Вторым направлением изменений Федерального закона «О персональных данных» стало добавление в закон положений о реагировании организаций на инциденты, связанные с утечками персональных данных.

Статья 19 Закона была дополнена частями 12-14, которые ввели совершенно новые обязанности для операторов. Так, операторы персональных данных теперь обязаны сотрудничать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) [6]. Операторы должны информировать Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ) о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (далее – инцидент), на основании приказа ФСБ России от 13.02.2023 № 774.

Статья 21 ФЗ «О персональных данных» также дополнена частью 3.1, которая обязала оператора после инцидента, приведшего к утечке персональных данных, извещать Роскомнадзор. Во-первых, оператор должен в течение 24 часов сообщить в Роскомнадзор о произошедшем инциденте, причинах его возникновения, вреде и принятых мерах по его устранению. Кроме того, оператор должен предоставить Роскомнадзору контакты лица, которое уполномочено на расследование инцидента, для дальнейшего взаимодействия. Во-вторых, оператор обязан провести внутреннее расследование и сообщить в Роскомнадзор о виновных лицах в течение 72 часов после инцидента.

Приказ ФСБ России от 13.02.2023 № 77 в пункте 2 указывает, что информирование через НКЦКИ осуществляется только операторами, которые подключены к Центру и, соответственно, к ГосСОПКА. Это преимущественно организации, эксплуатирующие объекты критической информационной инфраструктуры, финансовые компании, банки, операторы связи, интернет-провайдеры и т.д. Все организации, которые не взаимодействуют с НКЦКИ, обязаны об инцидентах извещать Роскомнадзор на основании положений статьи 21 ФЗ «О персональных данных» и пункта 3 данного приказа.

Кроме того, статья 23 ФЗ «О персональных данных» была дополнена частями 10 и 11, которые установили обязанность Роскомнадзора вести Реестр учета инцидентов в области персональных данных и взаимодействовать с ГосСОПКА в рамках обмена информацией об инцидентах. Аналогичный реестр ведется в НКЦКИ, а инцидент считается зарегистрированным после присвоения ему идентификатора (пункт 4 приказа ФСБ России от 13.02.2023 № 77).

Взаимодействие регулятора с операторами для ведения Реестра осуществляется в соответствии с приказом Роскомнадзора от 14.11.2022 № 1875. Между НКЦКИ и Роскомнадзором также организован обмен информацией об инцидентах.

Анализ вышеуказанных изменений позволяет сделать следующие выводы.

Во-первых, количество операторов персональных данных, которые обязаны направлять уведомление об обработке персональных данных в Роскомнадзор, увеличилось в десятки раз. При этом изменение порядка проведения контрольно-надзорных мероприятий Роскомнадзором на основе риск-ориентированного подхода6 позволит ему осуществлять кратно большее количество проверок.

Данное направление деятельности является новым для большинства организаций, вызывает затруднения, а часть из них до сих пор не знает о своих обязанностях. Внесенные изменения фактически назвали операторами все организации в России и обязали их вести весь комплект документации об обработке персональных данных, соблюдать требования постановления Правительства Российской Федерации от 21.03.2012 № 211 (для государственных и муниципальных организаций)7, постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»8, постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»9, а также подзаконных актов Роскомнадзора, ФСТЭК России и ФСБ России.

Для устранения возникающих затруднений требуется организация обучения представителей операторов, которые раньше не должны были информировать Роскомнадзор об обработке персональных данных. Обучение технических специалистов организовано ФСТЭК России и ведется уже более десяти лет, а обучение сотрудников кадровых и финансовых подразделений полноценно не организовано ни в государственном, ни в частном секторе. При этом общее количество нетехнических специалистов, которых требуется обучить правильной обработке персональных данных, составляет несколько десятков тысяч человек. В отдельных министерствах, субъектах РФ и крупных компаниях, например в МЧС России, обучение основам обработки персональных данных ведется, но широкого распространения данная практика не получила.

Во-вторых, анализ внесенных изменений и указанных документов позволяет сделать вывод о чрезмерности принятых требований.

Приказ ФСБ России от 13.02.2023 № 77 в пунктах 2 и 3 четко разделяет всех операторов персональных данных на две группы. Те, кто сотрудничает с НКЦКИ, должны информировать ФСБ России, а те, кто не сотрудничает, должны извещать об инцидентах Роскомнадзор. Однако закон в статье 21 таких ограничений не установил и обязал всех операторов извещать о произошедших инцидентах. В результате операторы, которые являются владельцами объектов критической информационной инфраструктуры, должны осуществлять двойное информирование.

Кроме того, установленные сроки информирования об инцидентах, а также об их расследованиях возможно соблюсти только операторам – крупным организациям, которые имеют в своем составе развитую службу информационной безопасности. Как правило, к ним относятся владельцы объектов критической инфраструктуры, федеральные министерства и ведомства в целом. Остальные организации, даже при выявлении инцидента, не смогут расследовать его за 72 часа и, скорее всего, нарушат закон, то есть не осуществят информирование в указанные сроки.

В результате для малых и средних операторов персональных данных, к которым относятся 99% российских организаций, выполнение указанных требований представляется трудноисполнимым. Не каждая компания, которая занимается онлайн-торговлей и в которой работает до 100 сотрудников, сможет самостоятельно выявить компьютерный инцидент, который привел к утечке персональных данных клиентов. В подавляющем большинстве случаев указанная компания даже не определит, что ее взломали, поскольку полноценная защита информации, работа службы информационной безопасности и лицензия на программное обеспечение для выявления инцидентов стоит несколько миллионов рублей в год. И совершенно точно компания не будет знать, что делать после инцидента, как расследовать, как определять ущерб и т.д. Соответственно, требования статьи 21 ФЗ «О персональных данных» будут не выполнены.

Указанные положения закона также вызывают существенные затруднения у государственных и муниципальных организаций. Однако в этом случае есть возможность сосредоточить функции выявления инцидентов на уровне центрального аппарата министерств и ведомств или на уровне правительства субъекта РФ. Особенно трудности будут испытывать операторы, которые ранее не должны были уведомлять Роскомнадзор об обработке персональных данных. Теперь они должны не только осуществлять полное документальное сопровождение обработки персональных данных, но и обеспечивать полноценную защиту информационных систем персональных данных. Однако большинство компаний для этого не располагают денежными средствами.

Негативная ситуация для малых и средних компаний, а также муниципальных организаций, усугубляется скорым принятием изменений в статью 13.11 КоАП РФ10, устанавливающих ответственность за нарушения законодательства о персональных данных [10]. В соответствии с проектом Федерального закона № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»11 планируется установить ответственность за неуведомление Роскомнадзора об обработке персональных данных (до 150 тыс. рублей на юридических лиц) и за неуведомление Роскомнадзора об утечках в результате инцидента (до 3 млн рублей на юридических лиц). Кроме того, в частях 12 – 14 измененной статьи 13.11 КоАП РФ планируется установить ответственность оператора за действия или бездействия, которые привели к инциденту и утечке. Ответственность будет наступать за утечку более 1000 персональных данных субъектов или более 10 тысяч уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц. Штрафные санкции для юридических лиц составляют от трех млн рублей и до 500 млн рублей при повторном нарушении и крупномасштабных утечках.

В результате внесения таких изменений в КоАП РФ большая часть компаний, оказывающих услуги или продающих товары с использованием информационных систем через Интернет, должна будет закрыться для того, чтобы не попасть под угрозу штрафа размером в несколько миллионов рублей. Ведение бизнеса без инцидентов в условиях постоянных кибератак из-за границы является фактически невозможным, а выполнение требований ФЗ «О персональных данных», как было указано выше, трудноисполнимым. Для корректировки возможных последствий от законопроекта представители малого и среднего бизнеса обратились в Государственную Думу Российской Федерации с просьбой уменьшить штрафы или отложить срок введения ответственности12.

Представляется, что требуется не только отложить для малых и средних компаний, а также для муниципальных организаций, вступление изменений в статью 13.11 КоАП РФ минимум на один год, но и принять ряд других правовых и организационных мер.

Отмена внесенных изменений в Федеральном законе «О персональных данных», предусматривающих информирование в результате утечек персональных данных, представляется нецелесообразной, особенно в современных условиях. Однако поскольку полноценная защита персональных данных в информационных системах и выявление инцидентов недоступны для малых субъектов, то требуется создание таких организационных и технических условий, которые уменьшат утечки, но не разрушат бизнес. Решением указанной проблемы представляется создание специализированных порталов для малых и средних компаний в целях хранения их баз данных, на которых будет осуществляться централизованная защита информации. При этом компании, оказывающие услуги по обеспечению информационной безопасности, будут защищать облачное пространство, в котором представители малого и среднего бизнеса разместят свои информационные системы персональных данных или воспользуются системами, предоставляемыми интегратором. Указанные порталы должны быть созданы на уровне муниципальных образований не только для бизнеса, но и для муниципальных организаций, или на уровне региона для нескольких муниципалитетов одновременно [4]. Деятельность указанных порталов должна быть урегулирована на уровне региона путем принятия соответствующего законодательного акта субъекта России и быть аналогичной созданным бизнес-инкубаторам и другим массовым программам поддержки малого и среднего бизнеса.

Разработка и внедрение таких порталов должны осуществляться в рамках общегосударственных программ, например федерального проекта «Информационная безопасность» программы «Цифровая экономика Российской Федерации»13 [11]. Это позволит привлечь для создания облачного пространства крупные федеральные компании и федеральное финансирование.

Только в этом случае корректные действия по наведению порядка в области защиты персональных данных не приведут к массовому банкротству компаний, оказывающих услуги или продающих товары населению. Принятие же проекта Федерального закона № 502104-8 в его современном виде приведет к возвращению России в сфере электронной торговли на 5 – 10 лет назад и переходу на торговлю товарами в магазинах. При этом невведение предлагаемой ответственности крайне негативно скажется на состоянии защиты персональных данных в Российской Федерации.

Обсуждение и заключение

Подводя итог проведенному анализу, мы сделали следующие выводы. С одной стороны, отмена исключений, ранее установленных пунктами 1-6 части 2 статьи 22 ФЗ «О персональных данных», значительно увеличила количество организаций, которые должны уведомлять Роскомнадзор об обработке персональных данных. В целом это привело к улучшению ситуации с соблюдением законодательства о персональных данных, но внесенные изменения привели к значительной нехватке специалистов. Требуются не только обучение тысяч технических сотрудников, которые обеспечивают защиту информации в информационных системах, но и подготовка десятков тысяч нетехнических сотрудников, осуществляющих работу с физическими лицами по сбору, обработке и последующему использованию их персональных данных.

Второй вывод связан с введенной системой информирования об инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных. Для организаций, которые владеют объектами критической информационной инфраструктуры или эксплуатируют их, указанное информирование не должно представлять существенных трудностей. Но для организаций, которые ранее даже не информировали Роскомнадзор о том, что они обрабатывают персональных данные, обеспечить полноценную защиту информационных систем представляется трудноразрешимой задачей, поскольку осуществлять защиту от кибератак, выявлять и расследовать киберинциденты малые и средние компании, а также муниципальные организации, самостоятельно не способны, должны быть созданы соответствующие технические и организационные возможности, позволяющие им это делать. Для этого на уровне регионов и в центральных аппаратах министерств должны быть созданы облачные пространства, предназначенные для защиты информационных систем персональных данных от кибератак. Кроме этого, в субъектах Российской Федерации должна быть разработана правовая база для коллективной защиты персональных данных с участием государства. Недопустимо оставлять малые и средние организации, как в коммерческой, так и в государственной сфере, один на один со всем западным сообществом, осуществляющим кибератаки на российскую инфраструктуру фактически на промышленной основе. При этом вступление в силу норм административной ответственности для малых и средних компаний, индивидуальных предпринимателей и муниципальных организаций необходимо отложить не менее чем на год.

References

1. A study of the level of information security in Russian companies in 2022. The SearchInform website. An electronic resource. Access mode: https://searchinform.ru/survey/global-2022 / (date of access: 08.10.2023).

2. Basics of information security in the EMERCOM of Russia: text-book/Khabibulin R.Sh., Prokopenko A.N., Zhukova P.N. and [others] M.: Academy of GPS EMERCOM of Russia, 2023. S. 12-16

3. Prokopenko A.N., Zhukova P.N., Strakhov A.A. Actual cyber threats in the Russian Federation at the present stage and prospects for ensuring information security//Materials of the 32 international scientific and technical conference "Security Systems - 2023." - M.: Academy of GPS EMERCOM of Russia, 2023. S. 69-76.

4. New horizons for the development of the information law system in the context of digital transformation: monograph/rev. ed.: T.A. Polyakova, A.V. Minbaleev, V.B. Naumov. - M.: Institute of State and Law of the Russian Acad-emy of Sciences, 2022. 368 pp.

5. Transformation of information law: monograph/rev. ed. T.A. Polyakova, A.V. Minbaleev, V.B. Naumov. - M.: Institute of State and Law of the Russian Academy of Sciences, 2023. 256 s.

6. Krivoukhov A.A. The problem of security of personal data on digital platforms//Problems of information support for the activities of law enforcement agencies. Collection of articles of the IX All-Russian Scientific and Practical Con-ference. 2022. S. 86-91.

7. V. Ryabinin. Personal data processing: updated requirements//Healthcare institutions: accounting and taxation. № 10. October 2022.

8. S. Danilov. Personal data protection: new requirements and obligations of firms//Practical accounting. № 10. October 2022.

9. Commentary to the Federal Law of July 27, 2006 No. 152-FZ "On Person-al Data" (itemized )//Peshkova (Belogortseva) H.V., Prokopenko A.N., Rothko S.V., Rydchenko K.D., Soldatkina O.L., Strukov K.V., Timoshenko D.A. Specially for the GARANT system, 2021.

10. Legal regulation of the circulation of personal data in the face of modern challenges and threats: monograph/A.V. Minbaleev, M.B. Dobrobaba, A.A. Efremov and others. Saratov: Amirit LLC. 2023. 138 pp.

11. Amelin R.V., Kolokolov A.V., Kolokolova M.D., Lipatov E.G., Svechni-kova I.V., Channov S.E. Article-by-article commentary to the Code of Administrative Offenses of the Russian Federation. Part one: commentary on chapters 1-14 of the Administrative Code of the Russian Federation (under the general ed. L.V. Chistyakova). - Publishing House "GrossMedia": ROSBUKH, 2019.

12. Boyko Anastasia, Kinyakina Ekaterina. Small business asked deputies to soften the draft law on negotiable fines. Vedomosti website 22.03.2024. Electronic resource. Access mode: https://www.vedomosti.ru/economics/articles/2024/03/22/1027194-malii-biznes-poprosil-deputatov-smyagchit-zakonoproekt-ob-oborotnih-shtrafah (access date - 23.03.2024).

13. The right of the digital environment (monograph) (team of authors; ed. Dr.iur., Assoc. T.P. Podshivalova, Ph.D., associate professor E.V. Titova, Ph.D., associate professor E.A. Gromovoy). - "Prospect," 2022. 896 s.


Login or Create
* Forgot password?