В Государственную думу внесен законопроект об увеличении максимального штрафа для компаний, хранящих личные данные россиян за рубежом, — в случае его принятия штраф может достичь 18 млн рублей для юридических лиц. Известно, что нарушители закона, до сих пор не локализовавшие персональную информацию россиян на территории РФ, Facebook и Twitter в последний раз были оштрафованы на 3 тыс. рублей, что является нормой текущего законодательства, но лишь каплей в море, учитывая огромные бюджеты этих компаний.
Важность этого законопроекта подчеркнул глава Роскомнадзора Александр Жаров, объяснив это тем, что нынешнее законодательство предусматривает всего два варианта развития событий — либо компания следует закону, либо сразу блокируется на территории России.
Руководитель надзорного органа отметил необходимость наличия у Роскомнадзора инструмента, который позволит повлиять на руководство компании, прежде чем ограничивать ее деятельность в стране.
«Мне этот механизм [штрафов] нравится, он элегантный. Я очень надеюсь, что в ближайшее время в наших законах, где предусмотрена блокировка, до блокировки появятся вот эти самые штрафы», — рассказал глава Роскомнадзора РИА «Новости».
Действительно, роль этого законопроекта трудно переоценить. Вводимые нормы являются частью общего тренда по борьбе с массовыми нарушениями со стороны гигантов-монополистов рынка интернет-сервисов. Антимонопольные проверки в отношении гигантов Кремниевой долины, включая Facebook, Google, Twitter и Amazon, были запущены в июне 2019 года в США.
Их необходимость заключается в том, что техкомпании регулярно нарушают законодательство, допуская утечки персональных данных и другие неправомерные практики, но повлиять на их деятельность практически невозможно — мало того, что они являются монополистами рынка, так еще и предусмотренные штрафы не оказывают на них должного воспитательного эффекта. В масштабах финансовых показателей этих компаний денежные санкции для них практически не ощущаются.
Так, например, Facebook предположительно будет оштрафована Федеральной торговой комиссией (ФТК) США на сумму в $3 млрд за скандал с Cambridge Analytica. Западные СМИ назвали этот штраф «шуткой».
«Штраф в $3-5 млрд будет самым большим в истории ФТК, это факт. Но это не будет иметь никакого влияния на Facebook. Компания просто выбросит это из головы, посчитав штраф платой за ведение бизнеса, и продолжит делать то, что делает», — пишет Business Insider.
С одной стороны, предлагаемые меры направлены на крупнейшие компании, систематически и неоднократно нарушающие законодательство России, без каких-либо существенных последствий для своего многомиллиардного бизнеса. С другой стороны, в поправках предусмотрен механизм разграничения по уровню материальной ответственности — за однократные нарушения, которые добросовестные компании после выявления немедленно устраняют, и существенно повышенная материальная ответственность для тех компаний, которые намерено и систематически нарушают законодательство и не имеют экономических стимулов к устранению нарушений.
Кроме того, если оценивать штрафы, предусмотренные законодательствами разных стран, то в России денежные санкции за нарушения в интернете гораздо ниже, чем, например, у европейских или американских коллег. Ради примера можно вспомнить вышеупомянутый штраф от Федеральной торговой комиссии в отношении Facebook или штраф от Еврокомиссии, нашедшей антимонопольные практики в деятельности компании Google, которой теперь предстоит выплатить около $5 млрд. Маленькие штрафы на территории России могут создавать «атмосферу вседозволенности», из-за которой иностранные компании даже не будут помышлять о том, чтобы устранить нарушения и привести свой бизнес в соответствие с законодательством.
Председатель Комитета Государственной Думы по информационной политике, информационным технологиям и связи Леонид Левин прокомментировал данный законопроект, отметив важность закона в сфере защиты персональных данных.
«Все более возрастающая роль информационно-коммуникационных технологий в нашей жизни обусловила необходимость строгого соблюдения норм права для интернет-сервисов. Особенно это касается требований, направленных на защиту персональных данных граждан, в частности — обязанности хранить такие данные на территории Российской Федерации, что гарантирует работу сервисов в случае внешних воздействий на сеть и обеспечивает соблюдение российских требований по защите личной информации», — говорится в пресс-релизе комитета, поступившем в «Газету.Ru».
Левин отметил, что нововведения не касаются компаний, совершивших нарушение впервые, но направлены на противодействие тем, кто злостно уклоняется от исполнения закона и требований надзорных органов. Особенно это актуально для сферы защиты авторских прав и борьбы с распространением нелицензионного аудио-видео контента.
«Отдельно следует отметить, что законопроект ни по одному из видов нарушений не предусматривает введение процедур блокировок, что исключает какие-либо неприятности для пользователей этих сервисов, но в то же время позволяет контролирующему органу добиваться соблюдения закона», — подчеркнул председатель думского комитета.
Действительно, законопроект поможет законопослушным сервисам избежать блокировки, так как новая система штрафов позволит компаниям оперативно устранить нарушения и продолжить функционирование на территории РФ.
Так, например, социальная сеть LinkedIn могла бы все еще работать в России, если бы проект вступил в силу на пару лет раньше.
Кроме того, не исключено, что новое законодательство подспудно окажет помощь в борьбе с пиратством. Согласно исследованиям, почти 80% своих пользователей пиратские сайты получают из поисковых систем, которые дают ссылки на незаконные ресурсы. За не удаление ссылок по требованиям правообладателей поисковым системам будут грозить очень серьезные штрафы, что положительным образом скажется на распространении легального контента в рунете.
Существующие штрафы в размере 50 тысяч рублей для крупных коммерческих компаний являются незначительными, и зачастую многие организации идут по пути наименьшего сопротивления: «вряд ли к нам придут с проверкой, а если придут — заплатим», рассказывает «Газете.Ru» Александр Морковчин, эксперт отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет».
«Да и сама величина штрафов никак не соответствует принципам справедливости и соразмерности — в большинстве случаев ущерб от произошедших утечек персональных данных измеряется миллионами рублей. Опубликованный законопроект — консолидация мирового опыта, и, на мой взгляд, его принятие должно позитивно сказаться на реальной защищенности персональных данных граждан. У операторов было достаточно времени на то, чтобы задуматься о защищенности данных своих клиентов и не платить дважды: штраф за невыполнение закона и последующие траты на локализацию», — заявил эксперт.
Технический директор ООО «ТСС» Илья Шарапов подтвердил «Газете.Ru», что авторы нового законопроекта совершенно справедливо указывают на международную практику в сфере защиты информации. Ужесточение требований к операторам связи и провайдерам, владельцам сайтов и других сервисов — тенденция, которая наблюдается как в ЕС, США и Австралии, так и в других странах от Латинской Америки до Юго-Восточной Азии.
«Зачастую новации законодательства объясняются террористическими вызовами и необходимостью тщательного мониторинга и предотвращения преступлений на этапе подготовки атак. Я полагаю, что к 2024 году мировой интернет будет довольно сильно сегментирован по национальным зонам, объединяющим сети одной страны, или нескольких соседних стран, придерживающихся общих принципов регулирования в Сети», — считает эксперт.
Шарапов отметил, что если закон будет принят, то у властей появится больше возможностей влиять на крупных игроков IT-сферы, включая поисковые системы и другие сайты. Однако также это может ударить по небольшим и средним компаниям, для которых штрафы могут оказаться неподъемными. В результате они могут быть заблокированы на территории РФ.
«Однако куда более важным представляется другой вопрос: насколько эффективно будет соблюдаться сам закон? Так, например, еще в 2007 году вступил в силу Федеральный закон 152 «О персональных данных», цель которого — защита прав и свобод человека при обработке его персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну. Невзирая на это, персональные данные россиян регулярно уплывают в открытый доступ. Несколько месяцев назад выяснилось, что сканы паспортов россиян лежали в открытом доступе на общедоступных компьютерах в московских МФЦ. По данным компании Comparitech, скан паспорта россиянина в даркнете продается за $10-11. В даркнете легко купить данные клиентов российских банков. В ноябре 2018 года «Лаборатория Касперского» объявила, что «цифровая личность» человека в даркнете продается за $50», — рассказал собеседник «Газеты.Ru».
Эксперт добавил, что подобные утечки связаны с халатностью сотрудников компаний, с их некомпетентностью, с выполнением требований закона «для галочки», а не по факту, а также коррупцией. Сами сотрудники частных компаний и госчиновники часто торгуют базами данных. Однако их привлекают к ответственности крайне редко, а организации, допустившие утечки, и вовсе не штрафуют.