«Яндекс» против оборотных штрафов за утечки персональных данных
Привет.
В чем точно навострился «Яндекс», так это в работе с чиновниками, лоббировании собственных интересов и создании монополий внутри России. Что и позволяет вне конкуренции получать сверхдоход, при этом не обращать внимания на такие «мелочи», как российское законодательство, и вытирать ноги о тех же чиновников, не говоря обо всех остальных. Компания последовательна, она гнет свою линию и не прогибается под законодательство, даже когда последнее довольно недвусмысленно описывает необходимые действия.
Для лоббирования собственных интересов в «Яндексе» участвуют в различных ассоциациях, что абсолютно нормально и является мировой практикой. Вот только предложения, которые делает компания, выглядят как минимум удивительно на фоне того, что с ней происходит. Помните утечку данных в «Яндекс.Еде» (не первая и не последняя, но одна из самых масштабных)? В компании никак не компенсировали утечку данных для пользователей, заплатили государству штраф в 60 тысяч рублей, что выглядит смехотворной суммой (по закону сегодня максимальный штраф составляет 80 тысяч рублей). Обещали исправиться и больше не допускать никаких утечек. Чего, конечно же, никто гарантировать не может. Проблема бизнеса в том, что он наплевательски относится к персональным данным своих клиентов, нет никакого ощутимого наказания за утечку данных.
Александр Хинштейн вместе с сенаторами Андреем Турчаком и Ириной Рукавишниковой внесли законопроект об оборотных штрафах для тех компаний, которые допускают утечки данных. 26 июля он поступил на рассмотрение, это поправки в КоАП. Документ имеет небольшие изъяны, но логика его проста и понятна. Предлагается наказывать не за сам факт утечки данных, что было бы логично, а за бездействие компании, которые не защитила эти данные. То есть, по сути, сам факт утечки рассматривается как пролог к рассмотрению того, как компания защитила эти данные, как быстро отреагировала на утечку и так далее. Прописывается регламент, согласно которому компания должна быстро отреагировать на утечку, сообщить соответствующим органам об этом факте. Впервые в России создают правила игры, которые должны обеспечить безопасность персональных данных и не выглядят драконовскими по отношению к бизнесу, можно было намного жестче.
Штрафы в случае доказанного бездействия компании или халатного отношения предполагаются следующими. При утечке личной информации тысячи человек (как вариант, идентификаторов — логин/пароль как пример для 10000 человек) штраф составит от 3 до 5 млн рублей, для должностного лица — от 800 тысяч до миллиона рублей. В диапазоне от 10 до 100 тысяч человек (идентификаторы от 100 тысяч до миллиона) штраф от 5 до 10 млн рублей, должностное лицо — от 1 до 1.5 млн рублей.
Самые масштабные утечки предполагают штраф в 10-15 млн рублей для юридического лица, 1.5-2 млн рублей для должностного лица.
Повторное нарушение предполагает оборотный штраф, он может составить от 0.1 до 3% от годовой выручки компании, минимальный штраф составит 15 млн рублей, максимальный не может превысить 500 млн рублей.
На мой взгляд, законопроект достаточно прозрачный и не имеет особых изъянов. Мировая практика намного жестче, штрафы — выше. Из недавних примеров можно вспомнить штраф T-Mobile в США, компания была вынуждена заплатить 500 млн долларов.
В регламенте указывается, что компания должна сообщить о факте утечки данных в Роскомнадзор в течение 24 часов, в течение 72 часов сообщить о предварительных результатах внутреннего расследования. Несообщение о факте утечки данных также предполагает свой штраф — от 1 до 3 млн рублей за каждый факт. Что выглядит необходимой мерой, так как компании предпочитают скрывать эти факты. Тут нужно оговориться, что, сообщив в РКН о факте утечки, компании не делают эту информацию публично доступной. Это просто регламент, в котором государство получает сведения о том, что случилась утечка, а затем может оценить ущерб.
Подобный закон необходим, так как все чаще коммерческие компании получают те или иные сведения о своих пользователях с помощью государственных сервисов, например, используют «Госуслуги». И с каждым днем роль таких сервисов будет расти, искушение использовать коммерческие компании, чтобы скомпрометировать такие системы, будет все больше. У компаний нет никакой особой ответственности за эти данные, они могут их собирать, а затем применять как угодно. И утечка — это отличный способ передать такие данные вовне, при этом не нести никакой ответственности за это, минимальный штраф позволяет передавать так данные хоть каждый день. Учитывая, что тот же «Яндекс» пытается бежать из России, многие сотрудники работают вне страны, но имеют доступ к чувствительной информации и могут использовать ее как билет в новую жизнь. В сегодняшних условиях это становится вопросом национальной безопасности. Свое отношение к России как «Яндекс», так и его топ-менеджмент, включая владельца компании Аркадия Воложа, доказали делами — это выкачивание денег из страны, но прямое отрицание политики государства, продвижение украинской пропаганды, сбор средств на ВСУ на российских площадках, например, в «Яндекс.Музыке». Это называется фигой в кармане, когда в «Яндексе» пытаются заработать очки в Европе и США, чтобы им позволили вести бизнес в этих странах. Тут не может быть двух мнений, все дела это доказывают. Попытка продать российский бизнес обернулась для Аркадия Воложа провалом.
«Ассоциация больших данных», или Баба-яга против
Для «Яндекса» законопроект Хинштейна представляет нешуточную угрозу. Причина в том, что компания в условиях разделения не может контролировать данные своих клиентов и следующие утечки — это вопрос времени. Например, не так давно у «Яндекса» украли исходные коды большинства продуктов, что хорошо описывает уровень безопасности внутри компании, де-факто она отсутствует.
В «Яндексе» стали действовать на опережение, торпедировать законопроект компания в одиночку не может, но пытается сделать это с помощью «Ассоциации больших данных». В ней участвует большое количество российских компаний, например, VK, «Сбербанк», «Газпромбанк», «Тинькофф Банк», «Россельхозбанк», «МегаФон», «Ростелеком», QIWI, билайн, «МТС», «Авито», фонд «Сколково», Аналитический центр при правительстве, ВТБ, Центр стратегических разработок. Представительный список? Не то слово.
От лица ассоциации в правительство РФ было направлено письмо, в котором говорится, что законопроект нанесет бизнесу непоправимый вред. Документ представляет собой идеальный образчик демагогии. Например, утверждается, что вне зависимости от причин утечки вина за нее налагается на бизнес.
Пожалуй, что это главное из документа, все остальное вторично. Бизнес не хочет отвечать за утечки данных, платить за это деньги. Это типичная позиция «Яндекса», когда компания постоянно перекладывает ответственность на кого угодно, но не несет ее сама. Авария в такси? Так обращайтесь к перевозчику, мы информационный сервис и не несем за поездку никакой ответственности! В судах доказывают ровно обратное, но перекладывание ответственности — это излюбленная стратегия «Яндекса», причина в том, что, отвечая за свои действия, нужно тратить на это время и деньги, что уменьшает прибыль. По умолчанию дизайн сервисов и продуктов «Яндекса» построен так, чтобы минимизировать свои расходы. И государство, устанавливая правила игры, напротив, играет благую роль, заставляя компанию тратиться на формирование ответственности, ровно как в случае, описанном выше.
Инициатором письма стала компания «Яндекс», это их попытка отыграть законопроект назад. Вряд ли это получится сделать, но давайте посмотрим на другие претензии к законопроекту.
Главная мысль, что законопроект наказывает за утечки данных «без вины», то есть компании не готовы признавать, что не обеспечили необходимую защиту данных. Следующий логический вывод, что идет за ним, — наказание за утечки данных снизит инвестиции в защиту этих данных! То есть компании прекратят защищать данные своих клиентов, так как наказание будет несправедливым.
Чувствуется рука PR/GR-специалистов «Яндекса», ее невозможно не узнать. Отсутствие логики как таковой. То есть «несправедливое» наказание и штраф будут делать так, что компании не будут защищать данные и начнут нарываться на новые, причем оборотные штрафы. Вам понятна логика? Мне так точно нет.
А пассаж про то, что если хакеры взломают данные компании, то она будет привлечена к ответственности, и это невозможная ситуация, ведь компания не виновата в этом взломе и его совершили злые хакеры! Моя логика тут проста — если вы не защитили данные, не построили надежную систему их хранения, то это ваша проблема и ваша зона ответственности. Как может быть по-другому?
Следуя логике составителей письма, можно придумать множество ситуаций. Например, машина попала в аварию, но перевозчик не несет ответственности, так как виновата дорожная ситуация, погода или что-то еще. Упал самолет? Это все гравитация! Компания не виновата, он же взлетел и как-то летел. А причины падения технического рода — это дело десятое. Логика, извращенная во всех смыслах.
Во втором квартале 2023 года выручка «Яндекса» составила 182 млрд рублей, прибыль компании — 9.6 млрд рублей. Стоимость адекватной защиты данных пользователей — ничто на фоне этих цифр. Да и максимальный штраф в 500 млн рублей выглядит ничтожным, даже если его будут выписывать ежеквартально.
В ассоциации указывают на недоработку, что максимальный штраф в 500 млн рублей не пропорционален для компаний с разным оборотом. Например, при обороте в 16.7 млрд и 1 трлн рублей он будет разным. Не ищите тут логику, письмо выстроено вокруг некой мифической справедливости, которой, естественно, не существует. Наказание должно быть неотвратимым, а размер штрафа в 500 млн — это все-таки верхняя планка, и он необязательно будет таким, он может быть в любом размере до 3%. Это манипуляция чистой воды, как, впрочем, и все письмо. Интересно посмотреть не на общее письмо ассоциации, а на конкретный список компаний, которые его поддерживают, но, увы, мы этого не увидим.
В целом, могу сказать одно: за утечки персональных данных нужно штрафовать. Это мое личное мнение. Иначе ничего не изменится, защищать данные никто по собственной воле не будет. Наш опрос показывает, что ваше мнение однозначно говорит да. Опрос можно найти вот тут.
А «Яндексу» стоит наконец заняться защитой данных, а не попытками увильнуть от своей ответственности в этом вопросе. Защита данных у «Яндекса» — это дырявое решето, что доказано громкими и масштабными утечками двух последних лет. Ни одна иная компания так наплевательски к данным пользователей не относится, во всяком случае, ни одна компания размера «Яндекса».