Комментарии 32
Клоуны. Оборотные штрафы с кого: ГИБДД, налоговой, поликлиник? Ах, ну да, у частников - это "утечка данных", а у гос структур - продажа.
Тут именно об утечках, которые наказываются штрафом в 50к. Утечки такие допускают, в основном, всякие Яндексы. Пусть по ним и прилетает, хоть где-то порядок наведут. И что-то я не помню, чтобы были новости, где хакеры взломали электронную очередь в поликлинику и украли все СНИЛСы.
Вангую, что теперь, для хранения пд, будут создавать специальную фирму и платить ей копейки за "ответственное хранение".
Новостей, может, и нет, а свежие данные (именно те, коими госорганы владеют исходно) - есть. Как и услуги пробива.
Уверены что по Ядексам наведут? При тех людях в руководстве. Утечки у госов не очень афишируются, но при состоянии айти не удивлюсь их обильности.
хакеры взломали электронную очередь в поликлинику и украли все СНИЛСы
Это Вы смотрите на ситуацию с точки зрения добропорядочного гражданина. А с точки зрения жуликов, база с выборкой по болезням пациентов - это золотая жила для впаривания ненужных лекарств отчаявшимся людям, можно продавать по 10 т.р. за одну медкарту и все равно покупатели базы внакладе не останутся.
Собственно, так уже делается, но пока по бумажным медкартам, таргетированные атаки - когда подкупается сестра в регистратуре районной поликлиники, изучается медкарта пациента, потом звонок с приглашением на обследование в дорогую частную клинику с потрясающей информированностью звонившего о состоянии здоровья абонента. Хватает историй и на Пикабу, и в Фейсбуке.
Инфа по судимости и привлечении к суду, инфа по учету в психдиспансере, инфа об образовании - с учетом количества купленных без проводки дипломов в 90-е.. хватает всего, что знает о нас государство, но не хочется, чтобы знали коллеги по работе, начальники, соседи, контакты в ВК. Это не одно и то же - когда за ваше личное дело коррумпированный силовик запросит 100т.р, и другое - когда за те же 100т.р. у жуликов будет база с миллионами записей, среди которых можно фильтровать потенциальные жертвы по нужным полям.
Так что не относитесь к этому наплевательски, это куда важнее, чем потеря пары тысяч рублей при заказе пиццы за ваш счет.
Меня удивляет сама концепция привязки штрафа к обороту. Понятно, что фиксированный штраф будет для кого-то совершенно нечувствительный, этот надо фиксить. Но если уж делать штраф пропорциональным - то в первую очередь он должен зависеть от объёма утечки, а во вторую - от выгоды с пользователя (среднему чеку, тарифу подписки и т.п.)
Также ведомство предложило авторам инициативы дополнительно обосновать предлагаемый размер штрафов и дифференцировать ответственность за утечку в зависимости от характера правонарушения и степени вреда.
Про "выгоду с пользователя" не понял.
Мне кажется, имелось ввиду, что должна быть привязка не столько к обороту, сколько к прибыли (не только к ней, потому что она может быть нулевой, но всё же). То есть, если какой-нибудь излишне добрый сервис продаёт билеты с комиссией 1%, то любой оборотный штраф его просто уничтожит.
Даже не к прибыли вообще, а именно к той части, которая зависит от пользователя. Если говорить в терминах юнит-экономики - к ARPU или ARPPU.
В идеально справедливом мире сумма вообще должна именно ущерб пользователя компенсировать, но это посчитать - квест тот ещё.
Большое количество компаний работает в минус.. И их тоже надо штрафовать) Кажется кроме оборотных штрафов - понятные меры придумать сложно.
Уничтожит - не совсем корректное слово, есть более интересные слова, например, замещение активов должника...
Там есть дифференцация: до 1 000, больше 1 000 000
Оборотный штраф? Окей. Теперь оператором ПД будет ООО Ромашка. Годовой оборот пусть будет 1млн рублей. Штраф максимальный 3%? Без проблем, вот вам 30 000рублей, сдачи не надо.
Это не так работает. Тогда и ООО Ромашка не имеет право передавать никому.
Ромашка может и не передавать. ПД обычно нужны буквально в паре мест, все остальные процессы идут по внутренним идентификаторам. А обмен идентификаторами с другими компаниями не запрещён.
Так если ему не нужны ПД, он и счас может работать без них на условном id:123
Они нужны на точках входа-выхода: оплата, выдача и т. п. Ну а это всё можно аутсорснуть подконтрольной компании с минимальным оборотом.
Нарисуй картину полностью, потому что сейчас не понятно. Если где-то не нужны истинные ПД, то они не нужны ни сейчас, ни завтра когда примут закон.
Суть же не в том, что они не нужны. А в том, что основные деньги и ПД можно постараться раскидать по разным компаниям, хотя чем больше контора пытается всё замыкать на себя, тем оно будет сложнее.
Вот возьмём, например, сервис доставки еды от крупного ресторана. Ресторану для доставки нужны ПД (имя, телефон, адрес), но всем этим процессом от начала заказа и до выдачи может заниматься дочерняя компания. Ресторан при этом получает только состав заказа и выдаёт его курьеру. У курьера два отдельных приложения: одно с данными для доставки от дочерней компании, а другое с приёмом платежей от ресторана. В случае утечки штраф платит дочерняя компания, весь оборот которой — это IT-услуги ресторану.
Ромашка прекрасно может передавать, а точнее - поручать третьему лицу обработку. В таком случае вся ответственность перед субъектом будет на Ромашке.
Мне, как обладателю персональных данных, не нужны оборотные штрафы с виновника. Мне нужна бесплатная (как раз за счет виновника) возможность сменить любые ПД, которые утекли. Новый СНИЛС, ИНН, паспорт, права, адрес проживания (да, физически я никуда не переезжаю, но должен иметь возможность присвоить своему адресу новые улицу, дом и квартиру: был адрес Лесная дом 3 квартира 6, стал Озерная 33 квартира 66).
Но в эту сторону молчат абсолютно все причастные структуры...
Про смену смешно, паспорт в любом случае будет связан с предыдущим (или буду проблемы с доказательством права собственности, поменять всё сразу и в один присест - это даже не фантастика, это что-то из Амаяка Акопяна для передачи Спокойной ночи малыши и в любом случае цепочка останется, достаточно хоть чуть представлять как оно работает). С адресом ещё смешнее - вы можете придумать себе другой адрес, но историческая карта покажет что улица была Лесная, табличка на доме тоже это покажет (ведь 99% жителей никуда не "переезжали"), это только запутает доставщиков. Спрятаться только от почты и доставщиков - это крайне оригинальная идея. Про номер телефона забыли, чтобы ещё и не дозвонился никто.
Смешна здесь не ваша критика, а то, что всё, описанное мной, как раз-таки уже работает. Но только в отношении особо избранных. А нужно, чтобы работало для всех пострадавших от утечки.
Цепочка ПД, естественно, будет сохранена. Только уже в базах, которые пока не замечены в утечках. Росреестр, например, просто не выдает выписки на определенные объекты, хотя информация о них очевидно хранится. А то, что ПОПИЗ в ГИБДД существует тыщу лет, вы хотя бы в силу возраста должны знать, раз вспомнили Акопяна.
Дело не в размере штрафа для морального удовлетворения потерпевшей стороны. Дело в размере штрафа в целях стимулировании оператора данных к тому, чтобы он вкладывал деньги в развитие безопасности своих систем. Иными словами, дешевле должно быть обеспечить надлежащую безопасность (двойным, тройным дублированием), чем влететь на штраф. Грубо говоря, это как дешевле купить детское автокресло за 3К, чем заплатить 5К, если тебя полисмены поймают
Минюст поддержал предложение ввести оборотные штрафы за утечки данных