Киберинциденты: юридическая реакция и ответственность — от уведомления регуляторам до гражданско-правовых исков
Билл Гейтс говорил: «Интернет становится городской площадью глобальной деревни завтрашнего дня». Такое развитие событий предполагает не только свободу, но и ответственность. Сегодня поговорим про киберинциденты.
Киберинцидент — это нарушение конфиденциальности, целостности или доступности информации: утечка персональных данных, компрометация облачного сервиса, блокировка инфраструктуры. С технической точки зрения это – атака или сбой. С правовой же точки зрения инцидент здесь представляет собой юридический факт, с наступлением которого связано возникновение серьёзных рисков.
Так, в случае нарушения защиты персональных данных применяются нормы Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», положения подзаконных актов Правительства Российской Федерации, а также нормы гражданского и уголовного законодательства. Один киберинцидент способен одновременно стать основанием для административной проверки, предъявления гражданского иска и пристального внимания со стороны правоохранительных органов.
В российской правоприменительной практике фактически формируется стандарт оценки поведения оператора при инциденте. Базовое регулирование установлено Федеральным законом № 152-ФЗ «О персональных данных». Отдельного внимания заслуживает обязанность оператора обеспечивать безопасность персональных данных при их обработке (ст. 19 Закона № 152-ФЗ). Закон предписывает принимать правовые, организационные и технические меры защиты.
На практике реализация требований закона предполагает следующие меры:
назначение лица, ответственного за организацию обработки персональных данных;
издание локального акта (Политики в отношении обработки персональных данных);
разработка внутренних регламентов по обработке и защите ПДн;
определение уровня защищённости ИСПДн;
применение сертифицированных средств защиты информации (при необходимости);
ограничение доступа к персональным данным;
ведение журнала учёта обращений субъектов ПДн;
проведение внутреннего контроля и (или) аудита соответствия обработки требованиям закона;
оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения их прав (при инциденте).
На практике при проверке Роскомнадзора обычно истребуются следующие документы:
политика обработки персональных данных (публичный документ);
положение о защите персональных данных;
приказ о назначении ответственного лица;
реестр (перечень) процессов обработки ПДн;
модели угроз безопасности информации;
акт определения уровня защищённости ИСПДн;
договоры поручения обработки ПДн (если привлекаются подрядчики);
формы согласий субъектов персональных данных;
журналы инструктажей сотрудников;
регламент реагирования на инциденты информационной безопасности.
Отсутствие указанных документов существенно ослабляет правовую позицию оператора при проверке или судебном споре. При этом, важно помнить, что при проверке оценивается не формальное существование документов, а их реальное применение. Если система безопасности существует «на бумаге», это никак не поможет оператору уйти от ответственности.
С 2022 года закон закрепил специальную процедуру уведомления (ст. 21.1 Закона № 152-ФЗ). При выявлении нарушения безопасности персональных данных оператор обязан:
в течение 24 часов направить первичное уведомление в Роскомнадзор;
в течение 72 часов направить уточняющую информацию о причинах инцидента, предполагаемом вреде субъектам и принятых мерах;
принять меры по устранению причин нарушения;
задокументировать факт инцидента и порядок реагирования.
Сколько стоят ошибки?
Несоблюдение обязательных требований образует состав административного правонарушения по ст. 13.11 КоАП РФ. При этом ответственность дифференцируется по частям статьи в зависимости от характера нарушения, а размер штрафов варьируется с учётом статуса нарушителя. Рассмотрим штрафы по наиболее распространённым составам
1. Обработка персональных данных без законных оснований: — должностные лица: от 20 000 до 40 000 руб.
— юридические лица: от 100 000 до 300 000 руб.
2. Нарушение требований к обеспечению безопасности персональных данных: — должностные лица: от 20 000 до 50 000 руб.
— юридические лица: от 100 000 до 500 000 руб.
3. Нарушение порядка уведомления Роскомнадзора: — должностные лица: до 50 000 руб.
— юридические лица: до 300 000 руб.
При повторных нарушениях штрафы для юридических лиц могут достигать 1 000 000 рублей. При этом, регулятор и суд анализируют не только сам факт утечки, но и своевременность её выявления, полноту уведомления органов контроля, наличие предусмотренных законом организационных и технических мер защиты. Именно совокупность этих факторов определяет масштаб последствий и размер санкций.
Что ещё нужно знать?
Если инцидент затрагивает объекты критической информационной инфраструктуры, применяется Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Субъект КИИ обязан: — категорировать объекты;
— реализовать меры защиты в соответствии с категорией;
— направлять сведения о компьютерных инцидентах в ГосСОПКА;
— взаимодействовать с ФСБ России.
Игнорирование этих требований может повлечь административную ответственность, а при наличии состава преступления — уголовную ответственность (ст. 274.1 УК РФ).
Отдельная зона риска — договоры с облачными и ИТ-подрядчиками, поскольку передача обработки персональных данных третьим лицам не освобождает оператора от ответственности перед субъектами и регулятором. На практике типовые договоры часто не детализируют порядок уведомления о киберинциденте, распределение расходов и механизм внутреннего расследования, что усиливает регуляторные и судебные риски.
В силу ст. 6 и 18.1 Закона № 152-ФЗ, договор поручения обработки должен содержать:
— цели обработки;
— перечень действий с ПДн;
— требования к обеспечению безопасности;
— обязанность уведомления о киберинцидентах;
— сроки такого уведомления;
— ответственность подрядчика.
Ответственность за нарушения
Помимо административных санкций может грозить и иная ответственность. В силу ст. 15 и 1064 ГК РФ вред подлежит возмещению в полном объёме. Нарушение нематериальных прав субъекта персональных данных может повлечь компенсацию морального вреда (ст. 151 и 1101 ГК РФ).
Для возложения гражданско-правовой ответственности необходимо установить противоправность поведения, наличие вреда, причинно-следственную связь и вину. Согласно ст. 401 ГК РФ лицо освобождается от ответственности, если докажет отсутствие своей вины. Компенсация морального вреда осуществляется в соответствии со ст. 151 и 1101 ГК РФ и может быть присуждена независимо от наличия имущественного ущерба.
В отдельных случаях киберинцидент может повлечь уголовно-правовые последствия по ст. 272 УК РФ (неправомерный доступ к компьютерной информации), ст. 273 УК РФ (создание, использование и распространение вредоносных программ), ст. 274.1 УК РФ (неправомерное воздействие на критическую информационную инфраструктуру).
Главное — помните, что техническую уязвимость можно устранить обновлением системы, но правовую неподготовленность — только заранее выстроенной моделью реагирования, предусматривающей порядок внутреннего расследования, алгоритм уведомления регулятора, взаимодействие с подрядчиками и процедуру документирования принятых мер, что позволит существенно снизить регуляторные и судебные риски, а также продемонстрировать добросовестность оператора.
«При любом правительстве самые надёжные данные — налоговые», — говорили герои фильма «V значит Вендетта».
Комментарии
Комментарии на сайте работают в режиме премодерации. В связи с этим
их
появление на сайте будет занимать некоторое время. Немедленно высказать свое мнение по любой теме вы
можете
в нашей группе во «ВКонтакте»
Вице-президент Высшей школы экономики в Петербурге 
Адвокат, кандидат юридических наук 
Член комиссии по экологии и природопользованию Заксобрания Ленобласти 
Председатель комитета по законодательству Заксобрания Петербурга