Скоро в Госдуме пройдет обсуждение нового законопроекта, предусматривающего повышение ответственности предприятий за некорректное обращение с биометрическими данными. В современных условиях максимальный размер штрафа за распространение персональной информации составляет 300 000 рублей, но нововведения готовы увеличить это наказание до 20 млн рублей. Такое изменение не встретило одобрения со стороны представителей бизнес-сообщества и Минэкономразвития, которые предложили свои варианты корректировки меры наказания.
Недавно была представлена еще одна концепция решения проблемы утечки данных: введение отраслевого стандарта по защите информации, предполагающего проведение независимого аудита IT-компаний.
Авторы идеи из Ассоциации больших данных (в которую входят Яндекс, VK, Сбербанк, Газпромбанк, Ростелеком, МТС, Авито, Сколково, Аналитический центр при правительстве и Центр стратегических разработок) убеждены, что требования к безопасности должны усиливаться пропорционально объему собираемых компанией персональных данных. Предприятия смогут добровольно проходить проверку на соответствие новому стандарту.
Подразумевается, что аудит будет оценивать процессы защиты данных компании, а также ее способность обнаруживать уязвимости и реагировать на критические ситуации, и проводить тренировки по этим вопросам у своего персонала. Такой аудит предлагается проводить минимум раз в год.
В Минцифре отреагировали на данное предложение, напомнив, что основные принципы обращения с данными уже определены в законе № 152, а все новые идеи могут рассматриваться только как дополнения к существующему законодательству.
Автор инициативы Михаил Адоньев из ГК «Солар» предложил взаимодействовать с ассоциацией для разработки методик аудита, которые позволят оценивать уровень защиты данных компанией. Этот процесс, по мнению Анны Серебряниковой, президента Ассоциации больших данных, может стать дополнительным стандартом, прохождение которого будет учитываться как смягчающее обстоятельство при назначении штрафов.