Ассоциация банков России (АБР) в начале марта обратилась в Минцифры с предложением отказаться от введения оборотных штрафов за утечку информации при повторном нарушении. Об этом со ссылкой на письма организации пишет «Ъ».
В одном из документов АБР называет меру дискриминационной, поскольку у госучреждений нет оборота и, соответственно, с них этот штраф взять невозможно, в отличие от коммерческих организаций.
То есть «совершение одного и того же правонарушения влечёт для первого и второго разную ответственность, что является нарушением конституционного принципа равенства всех перед законом и судом», подчеркивают в АБР. В письме приводятся примеры, когда утечки происходили именно из государственных и муниципальных учреждений.
Кроме того, как говорится в другом письме, оборотные штрафы «могут иметь негативные последствия для компаний, занимающихся информационной безопасностью, и IT-отрасли в целом».
Кредитная организация взаимодействует со многими сервисами, поясняют в АБР, и во всех случаях происходит обмен файлами в автоматическом режиме. Таким образом, при проникновении в систему одного из участников обмена «велика вероятность заражения или кражи данных у других участников». С учётом сложившейся судебной практики административный штраф относится к реальному ущербу, уточняют в АБР, то есть можно предъявить регрессные требования к контрагенту.
Как пояснил «Ъ» исполняющий обязанности президента АБР Алексей Войлуков, ситуация, когда для коммерческих организаций ответственность за утечки существенно ужесточается, а госучреждения остаются фактически безнаказанными, «представляется несправедливой». По его мнению, можно отказаться от оборотных штрафов и «зафиксировать ту вилку, которая сейчас обозначена в законе — 20–500 млн рублей».
В то же время Войлуков считает верхний порог штрафа «совершенно чрезмерным, поскольку, например, крупный банк, получив подобный штраф, может вчинить регрессивный иск компании‑поставщику, от которой получил программное обеспечение, ставшее причиной утечки». Для большинства таких компаний штраф в сотни миллионов рублей «приведёт к банкротству», полагает он.
Глава Национального совета финансового рынка Андрей Емелин добавляет, что оборотный штраф в качестве санкции предполагает извлечение нарушителем экономической выгоды из своего поведения. Однако утечки персональных данных оборачиваются для допустивших их компаний и банков лишь убытками, поскольку сопряжены с прямыми и косвенными издержками — влекут за собой ущерб IT‑инфраструктуре, бизнес‑процессам, несут репутационный ущерб, приводят к оттоку клиентов, подчеркивает Емелин.
Вся совокупность потерь с учётом оборотных штрафов, по его мнению, «может привести к приостановке бизнеса и даже к банкротству».
