Пора ужесточить наказание за утечку персональных данных

В этом году стало известно о целом ряде крупных утечек данных интернет-сервисов, телекоммуникационных компаний, служб доставки и т. п. Пострадали пользователи и сотрудники компаний. За утечку 300 Гб персональных данных (ПД) клиентов компания «Гемотест» была оштрафована на 60 000 руб. Аналогичную сумму суд потребовал взыскать с компании «Яндекс.Еда» за утечку массива данных из нескольких миллионов строк с фамилиями, именами, отчествами пользователей, их адресами, телефонами, электронной почтой и общей суммой заказов. Инцидент «Яндекс.Еды» затронул более 58 000 человек. Утечка данных сотрудников и пользователей «Ростелекома» грозит компании штрафом максимум в 100 000 руб.

На этом фоне были предприняты определенные шаги по защите ПД. В сентябре вступают в силу положения закона, который, в частности, требует от бизнеса в течение трех суток провести расследование инцидента и сообщить государству о людях, чьи действия привели к утечке ПД. Не удивлюсь, если виноватым в итоге окажется некий «недобросовестный сотрудник». Хотя организацией киберзащиты, весьма затратного направления, в компаниях традиционно занимаются руководители. Например, в Китае именно руководители компаний – нарушителей правил обращения с ПД подвергаются штрафам. Исполнительный директор сервиса такси Didi Чен Вэй и президент компании Джин Лю были оштрафованы администрацией киберпространства Китая на $148 000 каждый в рамках дела о нарушении Didi законодательства о защите ПД. Регулятор установил, что Didi нелегально сохранила информацию о распознанных лицах, семейных связях и пользовательских фотоальбомах своих клиентов. Применявшиеся в Didi методы сбора пользовательских данных создали «существенные риски безопасности» для государства, решил регулятор Китая и оштрафовал компанию на $1,4 млрд.