3 June 2020

Представлен большой пакет поправок в КоАП, касающихся интернета

В частности, появляются пункт о наказании за утечки персональных данных (ПДн) и других нарушениях в этой области, а также прописаны штрафы за нарушение требований безопасности критической информационной инфраструктуры (КИИ).  

Министерство юстиции РФ выложило на общественное обсуждение законопроект, которым вносится целый пакет изменений в КоАП, и многие пункты в нём касаются массовых коммуникаций, связи, в частности — интернета. Проект направлен на «совершенствование законодательства об административных правонарушениях с учетом накопленного опыта правоприменения для обеспечения системности, эффективности и стабильности правового регулирования отношений в сфере административной ответственности».

Законопроект является некоей «сборкой» уже существующих норм, разбросанных в текущих редакциях, по разным разделам. Некоторые нормы перенесены в него без изменений, а в ряде случаев они всё же претерпели некоторые корректировки.

В частности, Telegram-канал «Телеком-ревью» обратил внимание, что в категории «Административные правонарушения, посягающие на общественную безопасность» появятся «Ст. 39.24. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры» и «39.25. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации«.

Статья 39.24 содержит следующие пункты:

  1. Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния, – влечет наложение административного штрафа на должностных лиц ‎в размере от десяти тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей – от тридцати тысяч до семидесяти тысяч рублей; на юридических лиц — от пятидесяти тысяч до ста тысяч рублей.
  2. Нарушение требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, повлекших причинение вреда критической информационной инфраструктуре Российской Федерации, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния, – влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей – от тридцати тысяч до семидесяти тысяч рублей; на юридических лиц — от пятидесяти тысяч до ста тысяч рублей.
  3. Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, установленного федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, – влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей – от пятидесяти тысяч до ста тысяч рублей; на юридических лиц – от ста пятидесяти тысяч до двухсот тысяч рублей.
  4. Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, – влечет наложение административного штрафа на должностных лиц в размере от двадцати тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей – от пятидесяти тысяч до ста тысяч рублей; на юридических лиц – от ста тысяч до пятисот тысяч рублей.

Статья 39.25:

  1. Непредставление или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, – влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей – от тридцати тысяч до семидесяти тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей.
  2. Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, – влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей – от пятидесяти тысяч до ста тысяч рублей; на юридических лиц – от ста тысяч до пятисот тысяч рублей.

В статье «33.5. Злоупотребление свободой массовой информации» будет собран весь спектр нарушений, за который сейчас получают штрафы как СМИ, так и пользователи:

  • информация о запрещённых организациях без пометки, что они запрещённые;
  • публичное распространение выражающих неуважение к обществу сведений о днях воинской славы, памятных датах России и т.п.;
  • инструкции по изготовлению взрывчатых веществ и огнестрела;
  • публичные призывы к осуществлению терроризма или оправдывающие его материалы;
  • разглашение гостайны;
  • дистанционная продажа алкоголя;
  • распространение фейков под видом достоверных сведений;
  • та же статья о фейках, но когда это влечёт создание помех работе жизненно важных объектов;
  • фейки о чрезвычайных ситуациях;
  • повлекшая смерть человека дезинформация;
  • мат.

Ещё одним крупным монолитом в законопроекте идёт «глава 33 «Административные правонарушения в области сбора, обработки, распространения и защиты информации»«, на которую обратил внимание «Ъ». В статью о «Нарушении законодательства Российской Федерации в области персональных данных» вносится новый пункт, которым будет регламентировано наказание за утечки ПДн:

«6. Невыполнение обязанности по соблюдению конфиденциальности персональных данных – влечет наложение административного штрафа на граждан в размере от десяти тысяч до двадцати тысяч рублей; на должностных лиц — от сорока тысяч до ста тысяч рублей; на индивидуальных предпринимателей — от ста тысяч до трехсот тысяч рублей; на юридических лиц — от трехсот тысяч до пятисот тысяч рублей».

.

Опрошенные изданием эксперты не все в восторге от этого нововведения. По данным InfoWatch, в 2019 году число утечек данных в России увеличилось на 40%. В период пандемии количество попыток неправомерного доступа к данным выросло примерно наполовину в результате массового перехода на удаленную работу, отметил основатель DeviceLock Ашот Оганесян.

Однако введение настолько крупного штрафа вызывает вопросы — меру можно назвать преждевременной и негуманной в контексте общей экономической ситуации, считает директор Deloitte Legal в СНГ Екатерина Портман. Между тем, по мнению директора юридического департамента МКБ Ирины Гудковой, штраф в 500 тыс. рублей значителен только для малого бизнеса. Для крупных организаций он будет не более чем «небольшой неприятностью», считает эксперт.

Стоимость баз данных при их продаже в даркнете значительно выше предлагаемых штрафов, следовательно, эта мера не будет сдерживать злоумышленников от слива баз, уверен председатель комиссии по правовому обеспечению цифровой экономики московского отделения ассоциации юристов России Александр Журавлев.

Медиаюрист Центра цировых прав и РосКомСвободы, адвокат Екатерина Абашина отмечает, что:

«В действующей редакции КоАП РФ ответственность за утечки персональных данных предусмотрена в пункте 6 статьи 13.11 кодекса: наказание до 20 тысяч рублей для ИП, для юрлиц — до 50 тыс.руб. При этом, обязательным условием для наказание является наличие вреда для субъекта персональных данных — если несоблюдение оператором ПДн режима конфиденциальности персональных данных повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, то есть если наступили вредные последствия. Одного факта неисполнения требований законодательства в данном случае недостаточно».

.

«Минюст же предлагает добавить в туже статью (правда, изменив нумерацию) новый состав — «неисполнение обязанности по соблюдению конфиденциальности персональных данных» с повышенными штрафами (до 500 тыс.руб. для юрлиц), — продолжает юрист РосКомСвободы. — С одной стороны, утечку можно воспринимать как нарушение конфиденциальности персданных. С другой стороны, согласно статье 7 закона «О персональных данных», операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом».

«Во взаимосвязи с этой нормой закона «О персональных данных», предлагаемые Минюстом поправки я бы скорее трактовала как наказание за неправомерные действия операторов персданных по передаче данных иным лицам, а не как наказание именно за утечки», — отмечает Екатерина Абашина.

Относительно поправок в КоАП РФ по КИИ юрист считает, что:

«…это продолжение того пакета законопроектов «О критической информационной инфраструктуре», который был принят летом 2017 года.

В пакет 2017 года входил специальный закон о КИИ (187-ФЗ от 26 июля 2017 г.), федеральный закон о поправках в иные акты в связи с принятием закона о КИИ (193-ФЗ от 26 июля 2017 г.) и соответствующие поправки в УК РФ. Проще говоря, в 2017 году были заложены основы создания системы противодействия кибератакам на информационную инфраструктуру России и установлено наказание для злоумышленников.

Сейчас же предлагается ввести административные штрафы для тех лиц, у которых появились дополнительные обязанности после принятия закона «О безопасности критической информационной инфраструктуры РФ» (187-ФЗ от 26 июля 2017 г.) и бездействие которых может затормозить процесс создания или функционирования системы безопасности КИИ. Думаю, в этом смысл этих поправок в КоАП РФ».

.

Общественное обсуждение законопроекта заканчивается 24 июня 2020 г. Если у вас есть какие-то замечания или предложения, вы можете их оставить на странице документа.

Contacts

For general questions

[email protected]

For legal questions

[email protected]

Contacts for media:

Telegram: moi_fee
Signal: moi_fee.13

18+

On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.