Эксперт Алексей Раевский рассуждает о том, что Минцифры предлагает ужесточить наказание за утечки биометрии и сведений об интимной жизни:
Тут может быть много нюансов и аспектов, но в целом если не повышать ответственность за утечку персональных данных, шансов бороться с этими утечками не будет в принципе. Можно говорить об этом сколько угодно, что угодно предлагать, но без наказания за утечки у операторов персональных данных не будет стимула вкладываться в защиту данных.
Представьте себе: вот есть компания, у нее есть клиенты – физические лица. Зачем ей тратить деньги на защиту их персональных данных, если штрафа за утечку нет, а у нее стоит задача максимизировать прибыль? Понятно, что единственная мотивация для таких компаний – это штрафы, причем штрафы, сравнимые с оборотом компании. Может ведь возникнуть ситуация, когда у компании выручка – 100 тысяч рублей, и у нее одно отношение к расходам на защиту персональных данных и к штрафам на уровне 50 тысяч рублей. А для компании, выручка которой достигает, например, 10 миллиардов рублей, штраф в 50 тысяч может быть незначительным.
Поэтому все обсуждения возможного повышения штрафов за утечки вполне понятны, и во многих странах уже прошли по пути введения оборотных штрафов. Однако следует понимать, что и их введение – не гарантия того, что персональные данные сразу перестанут утекать. Но это хотя бы заложит базу для формирования системы обеспечения безопасности данных. А без этого формирования не произойдет.
Это как фундамент дома – без него строить нельзя, здание развалится. Но важно еще, чтобы фундамент соответствовал дому. То есть при закладке фундамента надо очень хорошо продумать, какой именно тут должен быть дом. Вот и здесь – то же самое. Все санкции, наказания за утечки персональных данных – это фундамент в сфере обеспечения безопасности данных.
А имеет ли смысл выделять какие-то отдельные группы данных, за утечку которых наказывать более жестко… На этот подход можно смотреть по-разному, но действительно есть данные, утечка которых более болезненна, и вполне логично, что их нужно защищать лучше. С другой стороны, если компании хранят персональные данные, они все их защищают одинаково. Нет такого, чтобы, например, дату рождения защищали не очень сильно, а биометрию – сильнее.
В международной практике при определении наказания за утечку тех или иных данных исходят из того, какой ущерб принесла эта утечка. Если в результате нее возник риск денежных потерь у клиентов – это одна история, если утек номер телефона и человеку несколько раз позвонили с рекламными предложениями, – это другая история. Но в целом у нас уже прописано, что биометрические данные должны защищаться более серьезно, чем иные. Исходя из этой логики можно дифференцировать и санкции за утечку тех или иных данных. Хотя я все же считаю, что следует каждый раз оценивать ущерб от утечки для человека.