Депутаты парламента разработали законопроект, согласно которому в Казахстане предлагается ввести обязательное киберстрахование операторов, хранящих более 1 млн персональных данных, сообщил «Курсиву» председатель комитета по информационной безопасности министерства цифрового развития, инноваций и аэрокосмической промышленности Руслан Абдыкаликов.
«Законопроект уже есть, его отправили на заключение в правительство. Разработчики – депутаты. Киберстрахование в стране добровольное и им никто не пользуется. Его где-то четыре года назад ввели, но никто им так и не пользуется… Сейчас с участившимися утечками граждане задают вопрос – где я могу получить компенсацию? Соответственно, такую компенсацию гражданин должен получить у страховой компании. Потому что, чтобы ее получить с виновника, для этого надо судиться. А это время, деньги и нервы. Соответственно, мы хотим, чтобы для граждан это было проще – это введение обязательного киберстрахования», – сказал он «Курсиву».
После получения заключения правительства законопроект официально поступит на рассмотрение парламента. Предполагается, что он может быть принят уже до конца текущего года, однако отдельные нормы могут вступить в силу не с момента его принятия парламентом и подписания главой государства, а чуть позже.
«К концу года, будем надеяться, они будут приняты, по каждой норме может быть отлагательный срок. Потому что норму могут принять, но сказать, что она будет действовать через полгода. По киберстрахованию вряд ли будет действовать сразу. Скорее всего, будет отлагательный срок не менее года, чтобы страховщики подготовились, рынок понял, что теперь делать», – сообщил Абдыкаликов.
Кроме того, до введения обязательного киберстрахования регулятор в лице Минцифры должен будет создать реестр операторов, имеющих у себя персональные данные более 1 млн человек. Пока же в ведомстве не знают, сколько точно таких компаний и банков в стране.
«К сожалению, подсчета никакого нет, потому что мы в 2020 году предлагали норму, чтобы ставить на учет вообще всех операторов персональных данных. Эту норму нам не поддержали. В итоге мы, как регулятор, даже не представляем, сколько их в стране», – сказал он.
На такие меры регулятор с депутатами предлагают пойти на фоне недавних случаев с утечкой персональных данных казахстанцев. В частности, в марте Минцифры зафиксировало факт утечки данных 2 млн человек у микрофинансовой организации zaimer.kz (компания «МФО Робокэш.кз»). Единственным учредителем МФО «Робокэш.кз» является ROBOCASH PTE.LTD, зарегистрированная в Сингапуре.
За это компании выписали штраф на 1 тыс. месячных расчетных показателей (МРП), или 3,692 млн тенге, но поскольку компания оплатила штраф в ускоренном порядке, то сумма выплаты составила 500 МРП, или 1,846 млн тенге.
По действующим нормам пострадавшие могут обратиться за возмещением ущерба (материального и морального) в суд. Абдыкаликов отмечает, что основанием для обращения является установление факта утечки персональных данных государственной технической службой. По его словам, казахстанцы могут обратиться в суд как индивидуально, так и с коллективным иском.
«Либо индивидуальный, либо групповой иск они могут подать. Нанять адвоката и подать групповой иск. Соответственно, и выплаты они будут дробить. По крайней мере, в групповом дешевле будет нанять адвоката. Если он стоит тысяч 300 (тенге. – «Курсив»), соответственно, для одного человека, наверно, сложно отдать 300 тыс., а для группы нанять адвоката за 300 тыс. уже проще. А в суде, я думаю, выиграть можно. По крайней мере, ты вернешь стоимость судебных издержек, стоимость адвоката, плюс суд тебе присудит какой-то моральный ущерб в зависимости от того, как ты его докажешь», – сообщил он.
С разработанными депутатами поправками получение компенсаций от операторов в случае установления факта утечки персональных данных станет более простым. Выплаты будут получаться по аналогии с обязательным страхованием гражданско-правовой ответственности автовладельцев. По его мнению, конкретная стоимость киберстрахования будет обсуждаться и установится на рыночных условиях.
«Возможно, повлияет (введение киберстрахования на стоимость услуг банков, сотовых операторов, страховых компаний и других операторов с 1 млн и более персональных данных. – «Курсив»). Рынок сам будет регулировать. Я не готов сейчас это сказать (сколько будет стоить такое страхование для операторов. – «Курсив»). Допустим, на нашем примере. Машина стоит в среднем около 10 млн тенге, а страхуете вы ее буквально за 15-16 тыс. тенге в год. Вот такая разница. Даже когда много субъектов будут страховать, а такое большое количество данных много у кого, на самом деле страховая услуга не будет такой дорогой, соответственно, на их конечные услуги вряд ли сильно повлияет», – отметил глава департамента.
По его словам, после того как оператор допустит утечку данных, стоимость киберстраховки для него повысится.
«Сейчас утечка 2 млн у «Займера» была. 2 млн обращаются в страховую, страховая выплачивает им деньги, и все. А «Займер» на следующий год в эту страховую, соответственно, услугу по страхованию купит просто гораздо дороже, потому что он накосячил в этом году», – привел он примерный сценарий развития ситуации.
Абдыкаликов отметил, что сами операторы персональных данных эту норму вряд ли поддержат.
«Конкретную схему страхования надо обсуждать на рынке. Пока это только предложение, и, насколько я понимаю, рынок его и не поддерживает. Никто не хочет, чтобы у него появилось новое обязательство. Понятно, что граждане хотят получать деньги за свой ущерб, но бизнес не хочет платить», – сказал он.
По его словам, если оператор персональных данных допустил утечку и в процессе выяснилось, что у него более 1 млн персональных данных и он не заключил договор о киберстраховании, то это станет отягчающим моментом в его деле.
Кроме того, соответствующими поправками предлагается увеличить в 2-3 раза штрафы за нарушения законодательства о защите персональных данных.
«Регуляторное воздействие с Миннацэкономики согласовали. Предлагается в два-три раза увеличить штрафы, но депутаты говорят, что, скорее всего, больше увеличат. То есть они считают, что это мало, ну и люди считают, что это мало. Маленькие штрафы – увеличить в три раза, большие – в два раза», – сообщил представитель Минцифры.
Большими штрафами он называет штрафы в 500 и 1000 МРП. Небольшие штрафы – в 10 МРП и более, но меньше 500 МРП, предлагается увеличить втрое.
«Маленькие штрафы в три раза будут увеличены, а большие – 500–1000 МРП – в два раза. Но в мажилисе депутаты сказали, что, скорее всего, на рабочих группах увеличат», – сказал Абдыкаликов.
Минцифры уведомило в марте клиентов микрофинансовой организации zaimer.kz об утечке данных и рассказало, что делать казахстанцам, чьи данные утекли в сеть.