Ассоциация компаний интернет-торговли (АКИТ), членами которой являются крупнейшие отечественные маркетплейсы и интернет-магазины Ozon, WildBerries, «Яндекс.Маркет», Lamoda, «Ситилинк» и др., просит отложить вступление в силу закона об оборотных штрафах за утечки персональных данных (ПД). Свои предложения ассоциация направила в Минфин. Представитель ассоциации подтвердил отправку письма.

Минфин, в свою очередь, 10 августа перенаправил обращение АКИТ в Минюст, Минцифры и Минэкономразвития, следует из копии документа, с которой ознакомились «Ведомости». Получение письма Минфина подтвердил представитель Минюста.

«В настоящее время законопроект проходит процедуру согласования с заинтересованными органами государственной власти», – сообщил представитель Минюста. «Минэкономразвития предоставило свои рекомендации по законопроекту в Минфин.

«Мнение бизнеса, в том числе и АКИТ, учтено в части компетенции министерства», – сообщил «Ведомостям» представитель министерства. Письмо также получили в Минцифры, подтвердил источник в этом министерстве. Официальных комментариев представители Минфина и Минцифры на момент сдачи заметки не предоставили.

В своих предложениях АКИТ просит скорректировать ряд формулировок в законопроекте, который в конце июля направили в правительство сенаторы Андрей Турчак, Ирина Рукавишникова и депутат Госдумы Александр Хинштейн (все – «Единая Россия»). В частности, ассоциация предлагает применять оборотные штрафы от 0,1% до 3% от годовой выручки только к тем операторам, которые повторно допустили утечку данных свыше 1 млн пользователей.

При этом штраф, по мнению АКИТ, должен назначаться при условии, что слитые в сеть данные позволяют без использования дополнительной информации идентифицировать пользователя, а сама утечка повлекла нарушение прав пользователя. В действующих формулировках речь идет о повторных утечках свыше 100 000 пользователей и без дальнейших условий.

Также среди предложений АКИТ – освободить операторов ПД от необходимости сообщать об утечке пользователям, чьи данные утекли, оставив в законе лишь обязанность уведомить только Роскомнадзор (РКН), следует из поправок. «По свидетельству многих игроков на рынке, текущие требования к подаче уведомления РКН (в частности, требование подать первичное уведомление в течение 24 часов) об утечке крайне трудно выполнимы», – поясняет эту поправку АКИТ. Технические специалисты операторов ПД «просто не могут предоставить необходимую информацию в такие сроки», в результате компания не сможет понять, что событие подпадает под определение утечки. «В этом свете ответственность (об уведомлении не только РКН, но и пользователей. – “Ведомости”) представляется избыточной», – отмечается в предложениях АКИТ.

Еще АКИТ предложила перенести срок вступления закона в силу на сентябрь 2024 г. Сейчас он должен вступить в силу «по истечении тридцати дней после его официального опубликования». «Более поздний срок вступления в силу необходим, чтобы у Минцифры, ФСБ и ФСТЭК было достаточно времени для установления и согласования рекомендованного перечня дополнительных мер по обеспечению безопасности персональных данных при их обработке», – поясняет АКИТ.

«Мы считаем, что при сохранении конструкции, предлагаемой законопроектом, штрафы могут просто уничтожить отечественный бизнес», – заявил «Ведомостям» президент АКИТ Артём Соколов.

«Законопроект пока не внесён. Дождемся отзыва правительства», – сообщил «Ведомостям» глава комитета Госдумы по информтехнологиям Александр Хинштейн.

Средний размер одной утечки – это несколько десятков тысяч строк, утечки свыше миллиона строк также нередки, но их гораздо меньше, обращает внимание гендиректор компании «Киберполигон» Лука Сафонов. В то же время, по мнению эксперта, закон об оборотных штрафах за утечки данных может катализировать деятельность злоумышленников, которые будут шантажировать компании обнародованием похищенных пользовательских данных, отмечает он.

Маркетплейсы и интернет-магазины в целом хранят довольно большой массив данных, включая ФИО пользователей, их телефоны и адреса, если те оформляют доставку на дом, или даже паспортные данные – в случае получения заказа в пункте выдачи, рассуждает Сафонов. Также у этих операторов ПД может быть информация о заказах пользователей, которые подчас люди могут не хотеть делать достоянием общественности, добавил он.

Состав таких данных зависит от конкретных магазинов и маркетплейсов, обращает внимание владелец Telegram-канала ABloud62 Алексей Бойко. «Как правило, они хранят такие данные, как контакты, которые указал абонент при регистрации, то есть адреса доставки (их может быть несколько), телефон, имя и фамилию, если клиент их указал, даты и суммы покупок, данные о карте, если оплата проводилась картой», – отметил он. Также могут сохраняться данные о составе заказов, о жалобах клиента, инцидентах типа возвратов покупки или сообщений клиента о недоставке заказа целиком или частично, записи общения с клиентом сотрудников клиентского центра, добавил Бойко.

Источник Ведомости

Фото: Владимир Сергеев / Фотобанк Лори