Ассоциация банков России провела расширенное заседание сразу нескольких комитетов: по банковскому законодательству, информационной безопасности и комплаенс-рискам. Обсуждались изменения в законодательстве по защите персональных данных, а также сложности исполнения новых требований УК РФ и КоАП РФ, которые устанавливают повышенную ответственность за утечки личной информации.
В мероприятии участвовали около 100 человек лично и 315 подключились онлайн.Модератором дискуссии выступил президент Ассоциации банков России Анатолий Козлачков. Он обратил внимание на существующие неясности при применении новых правовых норм, устанавливающих уголовную ответственность и крупные штрафы для компаний за утечки личных данных. Особое внимание было уделено вопросам толкования статьи 272.1 УК РФ о незаконном использовании информации, а также определения виновности и разграничения ответственности при обработке сведений.
Руководитель комитета по комплаенс-рискам Ассоциации банка Ирина Кононенко выразила обеспокоенность возможностью слишком широкого применения новой уголовной статьи, из-за чего участники рынка, добросовестно работающие с личной информацией, могут оказаться в зоне повышенного риска. Она отметила, что правоприменительная практика еще не сформировалась, поэтому сейчас это зона неопределенности, что создает дополнительные риски. Кононенко предложила подробно прописать критерии привлечения к ответственности и более четко определить применение закона.
Игорь Соболь, вице-президент и заместитель начальника юридического департамента Газпромбанка, рассказал, что крупные компании нередко прибегают к помощи «белых хакеров» для проверки защищенности своих систем.
Теперь даже такая добросовестная практика может находиться под угрозой уголовного преследования, а в отдельных случаях ответственность возможна за ошибки в обычной операционной деятельности.Станислав Кузнецов, заместитель председателя правления Сбербанка и председатель комитета по информационной безопасности Ассоциации, положительно оценил появление новых законодательных норм. Он отметил, что уровень ответственности за утечки был недостаточным: в 2024 году произошло 135 масштабных утечек, задевающих 710 миллионов записей с персональными сведениями, при этом сумма штрафов составила лишь 2 млн рублей.
Кузнецов подчеркнул, что самые крупные утечки происходят не в банках, а в розничных сетях и на маркетплейсах. По его словам, компании должны гарантировать сохранность персональных данных. "Справедливо, что теперь организации, не обеспечивающие должную защиту личной информации, будут нести ответственность", — заявил он.
Также Кузнецов поднял вопрос о возможности легального использования уже попавших в сеть персональных данных. Если банк увидит данные клиента в открытой базе, он сможет принять меры для предотвращения мошенничества. Эксперт обратил внимание и на угрозу использовании искусственного интеллекта хакерами. В этой связи бизнесу тоже следует использовать ИИ для борьбы с мошенниками.
Ирина Левова, директор по стратегическим проектам Ассоциации больших данных, отметила, что регулирование персональных данных в России считается одним из самых строгих в мире, особенно в части доказывания компаниями соблюдения требований закона. Она предложила внести точечные изменения в новые нормы, чтобы предотвратить их слишком широкое толкование судами.
Станислав Нудель, руководитель центра уголовно-процессуального законодательства Института законодательства и сравнительного правоведения при правительстве РФ, поддержал введение ответственности за незаконное обращение с персональными данными. Он напомнил, что новая статья применяется именно к незаконному использованию информации, а не к ее получению: не всегда данные попадают к злоумышленникам изначально преступным способом. Эксперт считает, конструкция новых норм достаточно сложна, а оценочные признаки могут создавать правовую неопределенность. Поэтому законодательство требует доработки.
Юлия Меньщикова, заместитель начальника второго отдела управления процессуального контроля Следственного департамента МВД, подчеркнула значимость работы по предотвращению утечек данных для борьбы с финансовым мошенничеством. Преступники используют личную информацию для выстраивания доверительных диалогов с жертвами. Комментируя опасения по поводу широкого применения новых норм, она отметила, что законы всегда разрабатываются как универсальный инструмент.
Роман Мартинсон, руководитель направления по оказанию услуг в сфере персональных данных Kept, рассказал о практике в судах: если организация заявляет о хакерской атаке, суды в большинстве случаев не учитывают смягчающие обстоятельства и делают вывод, что информация была защищена недостаточно.
Екатерина Егорова, заместитель руководителя правового управления по персональным данным "Банка Точка", остановилась на вопросах квалификации неправомерного доступа к информации.
Подводя итоги, Анатолий Козлачков отметил, что новые законодательные нормы были приняты с важной целью, однако необходимо обеспечить юридическую определенность их применения. Ассоциация банков России подготовит предложения по улучшению законодательства и направит их регуляторам.
Присмотритесь: лучшие дебетовые карты UnionPay с оплатой бонусами за туры в Барнауле
Оригинал: Новые законы России усиливают ответственность за утечку персональных данных
Свежие комментарии