Ассоциация больших данных (АБД) попросила депутатов уточнить формулировки законопроекта об уголовной ответственности за работу с персональными данными. Он предполагает возможность лишения свободы на срок до 10 лет за незаконные сбор или использование персональных данных.
Принятие документа, по мнению его авторов, позволит «эффективно привлекать к уголовной ответственности злоумышленников, совершающих преступления в сфере персональных данных». В АБД поддерживают саму идею введения ответственности за сбор и хранение персональной информации, однако подчеркнули, что состав, вводимый в УК, должен быть однозначным, а ответственность должны нести взломщики и те, кто продает базы данных. Такого вывода придерживаются «Яндекс», VK, Сбербанк, Газпромбанк, Тинькофф Банк, Россельхозбанк, «Мегафон», «Ростелеком», Qiwi, билайн, МТС, фонд «Сколково», Аналитический центр при правительстве Российской Федерации, ВТБ, Avito, Центр стратегических разработок и другие участники АБД.
Поправки в УК позволят привлечь к уголовной ответственности владельца любого сайта или ИИ-разработчика. Законопроект предусматривает уголовную ответственность не только для тех лиц, кто незаконно получил доступ к данным и занимается их распространением, но и для всех, кто их использовал, не убедившись в наличии всех правовых оснований для этого. Сейчас незаконно собирает и хранит личную информацию практически каждый владелец сайта, который не собирает согласия на обработку персональных данных.
Согласно приведенным в пояснительной записке оценкам, на декабрь 2021 года в даркнете циркулировало более 20 000 баз данных общим объемом более 10 ТБ, содержащих персональные данные о 80% населения России. Основными источниками утечек являются сторонние злоумышленники или сами сотрудники компаний, которые продают или отдают бесплатно конфиденциальные данные своих клиентов.
Использование, передачу, сбор или хранение незаконно полученных персональных данных предлагают карать штрафами от 300 000 до 3 000 000 ₽ или лишением свободы от четырех до десяти лет в зависимости от причиненного ущерба. Кроме того, Госдума сейчас рассматривает также поправки в КоАП, предусматривающие оборотные штрафы за утечки персональных данных.
Введение подобных норм уголовной ответственности за использование данных повлечет за собой огромные издержки для разработчиков. Однако инициатива не создает рычагов воздействия на тех, кто торгует персональными данными. Чаще всего такие сервисы базируются не в России, и привлекать к уголовной ответственности попросту некого. При этом поправки могут ударить по вполне легальным компаниям.