Уже в конце мая в России существенно ужесточат ответственность за утечки персональных данных (законы № 420-ФЗ и № 421-ФЗ). На эти меры возлагают большие надежды. Однако, как показал зарубежный опыт с GDPR, эффект не будет быстрым, и потребуется целый ряд дополнительных мер как от бизнеса, так и от регулятора. Рассказываем, чего стоит ждать организациям и гражданам.
- Введение
- Что такое GDPR?
- Оборотные штрафы: шок и результаты
- Новые вызовы: закон vs технологический и ИИ-прогресс
- О сравнительно честных способах обхода регламента
- Чего ждать в России?
- Выводы
Введение
Уже в конце мая 2025 года в России начнут действовать новые нормы, усиливающие ответственность за утечки персональных данных, — федеральные законы № 420-ФЗ и 421-ФЗ. Размер штрафов для компаний, которые допустили утечку, увеличен многократно. За рецидив предусмотрены оборотные штрафы, а за незаконный оборот — и уголовная ответственность.
Мы уже писали о применении GDPR в России. Предыдущий материал посвящён тому, как экстерриториальный характер данного регламента влияет на российские компании. На основе накопленного опыта мы попытаемся дать прогноз, как будет развиваться ситуация после принятия довольно строгих мер, направленных на ужесточение порядка обработки личных данных.
Данные нормативные акты обсуждались долго и довольно тяжело проходили через Госдуму. В основном ситуацию связывали с противодействием лоббистов: бизнес объективно не заинтересован нести большую ответственность за провалы в области безопасности и увеличивать инвестиции в средства защиты.
Накануне голосования по третьему чтению законопроектов, посвящённых введению большей ответственности за утечки данных,25 ноября, в Госдуме прошёл круглый стол. Вице-президент «Билайна» по ИБ Алексей Волков заявил о том, что бизнес не готов к их внедрению из-за недостаточного уровня зрелости.
Установление крупных штрафов приведёт к тому, что у компаний будут изымать средства, которые могли бы пойти на выстраивание средств защиты. Схожие опасения высказывали участники ассоциации «Русская сталь», которые не работают с большими объёмами персональных данных. По данным исследования КРОК 2023 года, полностью готовы соблюдать изменившиеся требования по защите персональных данных только 4 % российских компаний.
Как показал опыт стран ЕС, где оборотные штрафы были введены намного раньше, если бизнес не достиг достаточного уровня зрелости и не заинтересован в соблюдении указанных требований, ситуация если и менялась, то очень медленно. Однако там, где регуляторы действовали системно, удавалось добиться заметного прогресса, хотя и не сразу. Тем не менее и там проявился побочный эффект, неожиданный и довольно неприятный, — снижение темпа внедрения технологий искусственного интеллекта и продвинутой аналитики.
Что такое GDPR?
Общий регламент по защите персональных данных (General Data Protection Regulation, GDPR) был принят Европарламентом, Еврокомиссией и Евросоветом 27 апреля 2016 года. Полностью он вступил в действие 25 мая 2018 года.
Регламент заменил Директиву по защите данных (Data Protection Directive), принятую ещё в 1995 году и к тому времени безнадёжно устаревшую. В директиве не было чёткого определения персональных данных, из-за чего в разных странах персональные данные толковались по-своему. К примеру, во Франции в перечень личных данных входила марка автомобиля гражданина, а в других странах — нет. Документ не обеспечивал защиту от утечек личных данных.
К тому времени проблема стала значимой на глобальном уровне. Как раз в середине 2010-х годов началась волна массового онлайн- и телефонного мошенничества. Преступный бизнес стал возможен, потому что в руки злоумышленников попали большие массивы персональных данных. В итоге к 2016 году до половины всех случаев мошенничества в Британии, Германии, Италии, Франции совершалось онлайн, с использованием персональных данных.
В частности, преступникам требуется ранжирование потенциальных жертв по различным признакам, начиная от этнического происхождения и заканчивая возрастом, уровнем дохода и другими факторами. Так, против русскоязычных жителей Германии использовались в целом те же сценарии, что и против россиян: злоумышленники действовали от имени банков или правоохранительных органов.
Выходцев с Ближнего Востока пытались шантажировать от лица органов, отвечающих за работу с мигрантами, угрожая высылкой в страну исхода. Коренные жители обычно сталкивались с инвестиционным вишингом или вариантами схемы «Мама, я попал в беду».
GDPR не требовал изменений в законодательстве стран — членов ЕС и в целом любых стран, где обрабатывались персональные данные граждан стран ЕС. К слову, самые серьёзные наказания были наложены как раз на крупные американские интернет-компании. Довольно много прецедентов было с компаниями в странах, не входящих в ЕС, в частности в Норвегии и Швейцарии.
В соответствии с GDPR сбор персональных данных должен быть обоснованным, касаться только того, что запрашивается у субъекта данных, и не выходить за рамки соглашений по конфиденциальности. Объём данных должен быть минимально необходимым для достижения поставленных целей, данные предполагаются обязательно точные и не вводящие в заблуждение.
Сроки их хранения не должны превышать установленных норм. При хранении необходимо соблюдать нормы по защите конфиденциальности, целостности и доступности. Все, кто обрабатывает персональные данные, должны отчитываться перед контролирующим органом.
GDPR существенно упростил порядок подачи жалоб регулятору. Процедуру допустимо провести в электронном виде, без личной явки или отправки бумажной копии заявления по почте.
Субъект персональных данных, согласно GDPR, получал право вносить исправления, ограничить использование или удалить данные, а также не становиться «объектом решения, основанного исключительно на автоматизированной обработке». Получение того или иного товара или услуги не требует согласия на передачу персональных данных. Также GDPR запрещает рассматривать молчание субъекта как разрешение на обработку его персональных данных.
Как только GDPR был принят и опубликован, его нормы начали активно внедрять в других странах. Так, законодательство по защите персональных данных Индии, Израиля, многих латиноамериканских стран, некоторых штатов США (Вирджинии, Калифорнии) практически целиком основано на европейском документе. Многие положения заимствовали и российские законодатели.
Оборотные штрафы: шок и результаты
В первый год серьёзной проблемой стал недостаток информации о том, как соблюдать требования GDPR. В отличие от директивы, GDPR касался широких масс сотрудников, в том числе внештатных. Положение осложняло и то, что не было предусмотрено механизмов сертификации специалистов в сфере GDPR, по крайней мере в первое время. В итоге на рынке появилось большое количество самозванных экспертов.
Больше всего шума наделала норма об увеличении штрафов за нарушение правил обработки персональных данных. Они могут достигать 10 млн евро, или 2 % от оборота компании за предыдущий финансовый год (что будет больше), за неуведомление об утечке персональных данных или невыполнение обязанностей при сборе персональных данных.
Более серьёзные нарушения, вроде несоблюдения порядка трансграничной передачи данных, прав субъектов данных или базовых принципов обработки персональных данных, оборачиваются штрафом на 20 млн евро, или 4 % от оборота. Штрафы за разные нарушения могут суммироваться. Однако если компания принимала меры по защите данных, размер штрафа уменьшается.
Как показала практика, двухлетнего переходного периода недостаточно. В мае 2018 года бизнес, в том числе крупный, оказался не готов соблюдать GDPR. К примеру, в Испании в сфере туризма в 75 % случаев нарушения регламента в 2019 году оказались повторными. Аналогичная ситуация сложилась в Греции и Италии. Большие штрафы, которые «съедали» всю прибыль гостиничных сетей, не стали поводом для того, чтобы перестроить политики сбора данных в сфере туризма, где привыкли собирать слишком много данных о постояльцах.
Сбор избыточной информации позволяли себе и американские интернет-гиганты. Так, за всю историю норм GDPR крупнейший штраф был наложен в 2023 году на корпорацию Meta (признана в России экстремистской организацией и запрещена) — 1,3 млрд евро. Поводом стало нарушение норм по трансграничной передаче.
В 2018 году Amazon был оштрафован за «манипуляции с клиентскими данными» в коммерческих целях. Взыскание наложил люксембургский регулятор на основании жалобы французской организации La Quadrature du Net, которая, в свою очередь, опиралась на запросы от 10 тыс. человек. Размер штрафа составил 747 млн евро.
В Нидерландах уже в первый год действия GDPR 60 % компаний малого и среднего бизнеса попались на нарушении норм. Правда, практически все инциденты касались не более чем 10 человек. Многие мелкие компании доносили друг на друга за нарушения, пытаясь таким образом подрывать бизнес конкурентов. Многие эксперты ожидали массового использования GDPR для незаконной борьбы с конкурентами, но подобные случаи не стали массовыми.
Общий размер штрафов, собранных за нарушения GDPR, составил более 4 млрд евро. Динамика приведена на рис. 1.
Рисунок 1. Количество штрафов за нарушение норм GDPR и их общая сумма
Для того чтобы компании приобрели необходимые знания в области безопасности, оказались полезными программы страхования киберрисков, включая утечки данных и наложение штрафов. Заключение каждого такого договора сопровождалось тщательным аудитом ИТ и ИБ в компании, от результатов которого очень сильно зависел объём страховых платежей.
Как отметил руководитель направления InfoWatch Traffic Monitor Александр Клевцов на конференции «Утечки информации: за что боролись и с чем боремся сейчас?», оборотные штрафы положительно влияют на уровень защиты данных тогда и только тогда, когда в этом заинтересованы операторы, которые их обрабатывают. В противном случае им будет проще скрыть той или иной инцидент.
Согласно опросу, проведённому Европейским центром защиты цифровых прав, по состоянию на конец 2023 года соответствие нормам GDPR вызывало серьёзное сопротивление, прежде всего со стороны руководства и подразделений маркетинга и продаж (рис. 2). Риск получить серьёзный штраф не служил сдерживающим фактором.
Рисунок 2. Основные категории, споротивляющиеся выполнению требований GDPR
Новые вызовы: закон vs технологический и прогресс
Ещё в 2017 году, до вступления GDPR в силу в полном объёме, финансовый директор SAP Лука Мучич высказывал опасения, что регламент станет препятствием для развития технологий продвинутой аналитики. Предположение оказалось небезосновательным: страны ЕС действительно серьёзно отстали от США и Китая в области технологий продвинутой аналитики и искусственного интеллекта (ИИ).
Уже в 2018 году объём венчурных инвестиций частных лиц снизился на 18 %, а бизнеса — на 11 %. В целом компании, которые попали под регулирование, показали снижение прибыли на 8 % и падение продаж на 2 %).
Необходимость внедрить средства защиты создаёт дополнительные барьеры для входа на многие рынки, особенно для небольших компаний. Преимущества получают игроки, давно работающие на рынке, и крупные платформы, которым проще собрать все необходимые согласия. Строгий подход GDPR к безопасности данных привёл к тому, что доступ к датасетам, используемым для обучения ИИ, стал слишком сложным.
«GDPR отличается особой строгостью, и потому в ЕС вопрос поиска баланса между защитой данных и развитием инноваций стоит особенно остро. Более либеральный подход может иметь серьёзные последствия для фундаментальных прав на неприкосновенность частной жизни. В то же время ограничительный подход может тормозить развитие ИИ в медицине и ставить под сомнение эффективность инвестирования в эту сферу», — такой вывод делают авторы сравнительного исследования международного опыта регулирования искусственного интеллекта из НИУ ВШЭ.
Несоблюдение GDPR стало поводом для блокировки популярного сервиса ChatGPT в Италии в марте 2023 года. Регулятор вменил детищу OpenAI массовый сбор и хранение персональных данных, используемых для обучения нейросетей, а также нарушение норм по трансграничной передаче данных. По данным Европейской комиссии, больше половины европейцев считают ИИ угрозой их приватности.
Впрочем, опасения относительно соблюдения норм безопасности у многих ассистентов с ИИ небезосновательны. К примеру, в инфраструктуре китайского стартапа DeepSeek был обнаружен в открытом доступе большой массив, содержащий конфиденциальные данные. Проблема была решена в течение часа.
О сравнительно честных способах обхода регламента
Для того чтобы снизить возможный ущерб от нарушения норм GDPR, целесообразно ограничить объём собираемых данных. Мера прописана в самом документе. Однако такой подход требует приложения серьёзных усилий и может сказаться на бизнес-процессах, поэтому он не слишком популярен. Бизнес начал искать более простые и доступные способы предотвратить наложение штрафов.
Самым популярным способом обхода норм GDPR стало создание внутренних аутсорсинговых (или инсорсинговых) компаний, которые должны взять на себя обработку персональных данных. Оборот такой компании был существенно ниже, чем у бизнес-структур холдинга. Если регулятор или потребители обнаружат серьёзные нарушения, материнская компания может сэкономить на штрафах.
Аутсорсинговую компания открывают в тех странах, где по тем или иным причинам отсутствует национальный регулятор в области защиты данных. Не все государства, особенно малые (Андорра, Мальта, Монако, Сан-Марино) или небогатые (Болгария, Латвия, Хорватия), оказались готовы к вступлению в силу GDPR и далеко не сразу создавали национальный регулятор. Если такой орган и был организован, то работал далеко не в полную силу из-за недостатка штатных сотрудников и финансирования.
Чего ждать в России?
К сожалению, быстрого изменения ситуации в лучшую сторону не стоит ждать. Увеличение штрафов приведёт к тому, что компании будут тщательнее скрывать инциденты. Об этом предупреждали многие сторонники скорейшего принятия мер, связанных с ужесточением ответственности за утечку данных. Как показала практика применения GDPR, по большей части инциденты происходят в компаниях малого бизнеса и имеют очень небольшой масштаб. Впрочем, как показывает практика, даже небольшой объем базового набора персональных данных, попавший не в те руки, приводит к довольно неприятным последствиям.
Существует далеко ненулевой риск того, что рыночные игроки начнут использовать факты утечек в конкурентной борьбе. Компании смогут подставлять друг друга, в том числе имитируя возникновение инцидентов. В России сдерживающим фактором является то, что доносительство в любой форме не приветствуется.
С большой долей вероятности компании, в том числе небольшие, начнут создавать инсорсинговые структуры, которые ограничатся обработкой персональных данных и будут иметь низкий оборот. Таким образом они будут пытаться снизить возможный ущерб от штрафов.
Страхование от риска наложения штрафа ожидает не такая перспектива, как в Европе. Как показало недавнее исследование InfoWatch, в России довольно настороженное отношение к страхованию киберрисков. Положение усугубляет и то, что страховые компании довольно неохотно выплачивают возмещение. Сказывается и низкий уровень доверия к страховщикам.
В России, как этоу уже произошло в ЕС, может, по крайней мере в краткосрочной перспективе, замедлиться внедрение решений, которые базируются на продвинутой аналитике и ИИ. Такой вывод делается в статье «Регулирование и защита персональных медицинских данных в эпоху ИИ: международный опыт» двух сотрудниц НИУ ВШЭ .
По оценке Анастасии Моросановой из РАНХиГС, в России произойдёт то же самое, что и в ЕС: усилится монополия больших платформ из-за конкурентных преимуществ, дополнительно скажется отсутствие конкуренции со стороны зарубежных игроков из-за влияния санкционной политики. Нормы по защите информации поднимут порог входа на рынок для небольших компаний и стартапов. А вот утечки данных, как показал пример «СДЭК» и «Яндекс.Еда», допустивших резонансные инциденты, на результатах бизнеса практически не сказались.
Выводы
Профилактических мер воздействия на потенциальных нарушителей недостаточно, об этом свидетельствует опыт повышения штрафов в рамках внедрения GDPR в странах ЕС. По мере развития технологий появляются новые вызовы, на которые приходится отвечать.
Практика в реагирования на новые возможные угрозы чревата весьма серьёзными последствиями и в том случае, когда регулирование избыточно (появляются искусственные препятствия для развития технологий, снижается конкурентоспособность экономики), и когда недостаточно (угрозы не купируются).
