В ходе обсуждения ранней версии законопроекта об утечках впервые обсуждался механизм страхования ответственности операторов. Участники общественного обсуждения предложили рассмотреть добровольное страхование как обстоятельство, позволяющее снизить административную ответственность. Было даже предложение уменьшить штрафы операторов за утечки на сумму компенсации, выплачиваемой пострадавшим организациям. Однако не все эти предложения в итоге были включены в текущий законопроект, так как требовалась доработка деталей. В то же время остались неясными конкретные страховые риски. А именно: должны ли страховаться только утечки информации или все несчастные случаи, связанные с персональными данными.
По сообщениям СМИ в середине февраля, авторы законопроекта остановились на том, что страхованию подлежит только риск утечки информации, а не другие киберриски (например, риск незаконного изменения или уничтожения персональных данных).
Однако стоит отметить и другие изменения, о которых заявили авторы. Например, операторы смогут выбирать конкретные способы обеспечения своих обязательств по выплате компенсаций субъектам, пострадавшим от нарушения. В частности, предлагаются следующие методы
Классические схемы страхования. Операторы обязаны заключить договор со страховой организацией по своему выбору;
создание компенсационного фонда и, при необходимости, использование его средств для оплаты требований лиц, имеющих на это право.
Поскольку текст законопроекта не опубликован, можно только предполагать, как заявленные изменения будут закреплены на законодательном уровне. В то же время уместно говорить о следующих потенциальных проблемах, связанных с этой инициативой.
Во-первых, отсутствует четкая методологическая база для оценки страховых рисков и их последствий. С одной стороны, рынок киберстрахования в России постепенно развивается, и несколько страховых компаний уже предлагают продукты в этой области. С другой стороны, единых стандартов для таких организаций нет и вряд ли они появятся в будущем. Утечки могут быть вызваны как действиями третьих лиц, так и внешней средой и не обязательно являются следствием халатности оператора.
Во-вторых, как показала практика последних двух лет, использование коллективных исков в связи с утечками персональных данных не получило широкого распространения в России. В отсутствие эффективного механизма коллективных исков шансы на то, что суд сможет взыскать значительную компенсацию с компании, допустившей утечку, представляются ничтожными. В частности, в деле "Яндекс Продукты" суд взыскал "максимальную" сумму компенсации для пострадавших субъектов персональных данных - 5 000 рублей на каждого из 13 пострадавших. В связи с этим возникает актуальный вопрос о том, насколько оправдан механизм страхования, по крайней мере, с точки зрения выплат в гражданском процессе. Соизмеримы ли страховые взносы, установленные механизмом страхования, с потенциальной личной компенсацией, которую придется выплатить бизнесу?
В-третьих, неясны компоненты создания компенсационного фонда взамен страхования ответственности бизнеса. Должен ли такой фонд быть "зафиксирован" на специальном банковском счете, чтобы предотвратить его растрату бизнесом? Если да, то, например, потенциальная сумма может создать своего рода "барьер" для МСП. Чтобы предоставлять определенные услуги, компании должны обрабатывать персональные данные. Чтобы создать компенсационный фонд, им приходится отказываться от права использовать часть собственных активов на случай событий, вероятность наступления которых заранее никому не известна. Что касается крупных компаний, то многие из них уже вложили значительные средства в обеспечение информационной безопасности. В худшем случае их могут обязать потратить дополнительные средства на создание виртуального компенсационного фонда, что может заставить их сократить расходы на организационные и технические меры по защите данных.
Задача правового регулирования, как представляется, заключается в том, чтобы мотивировать бизнес к созданию эффективных систем защиты данных и обработке персональных данных в строгом соответствии с законом. Требование создания страховых и компенсационных фондов, а также введение оборотных штрафов без учета объективных потребностей бизнеса и потребителей приведет к "монополии" крупных компаний на обработку персональных данных, лишив при этом малый и средний бизнес права на обработку персональных данных. В частности, такие меры должны рассматриваться как добровольные, позволяющие снизить административные штрафы в отношении предприятий в случае утечки, либо должны вводиться только для наиболее чувствительных типов персональных данных (например, биометрических). Кроме того, как показывает судебная практика, проблема с компенсацией заключается не в том, что у бизнеса нет денег на выплату компенсации, а в том, что суды неохотно присуждают большие суммы компенсации.
Интересная публикация, спасибо.