Утечка персональных данных в России: штрафы, китайский и европейский опыт, законопроект об оборотных штрафах, ChatGPT
МЕНЮ
Главная страница
Поиск
Регистрация на сайте
Помощь проекту
Архив новостей
ТЕМЫ
Новости ИИ
Городские сумасшедшие
ИИ в медицине
ИИ проекты
Искусственные нейросети
Искусственный интеллект
Слежка за людьми
Угроза ИИ
Компьютерные науки
Машинное обуч. (Ошибки)
Машинное обучение
Машинный перевод
Нейронные сети начинающим
Психология ИИ
Реализация ИИ
Реализация нейросетей
Создание беспилотных авто
Трезво про ИИ
Философия ИИ
Генетические алгоритмы
Капсульные нейросети
Основы нейронных сетей
Распознавание лиц
Распознавание образов
Распознавание речи
Творчество ИИ
Техническое зрение
Чат-боты
Авторизация
2024-11-08 12:51
*** Масштабы утечек 2023-2024 год
В открытом доступе оказались персональные данные 90% взрослого населения России, сказал зампред Сбербанка Станислав Кузнецов.
По оценкам Сбербанка, это 3,5 млрд строк, содержащих персональные данные. Пиком утечек, которые в основном допускают интернет-магазины и медицинские учреждения, стал 2023 год.
В 2024 году было зафиксировано рекордное количество мошеннических звонков гражданам России. При этом они стали более профессиональными, а «разводки» более продуманными.
Утечки имеют тренд на увеличение. В этом году можно ожидать воровства денег у граждан около 250 млрд рублей. Ущерб российской экономики от всех этих атак может достичь к концу года, если ситуация не изменится, примерно триллиона рублей, пояснили в Сбербанке.
С начала 2024-го в интернет утекло 286 млн телефонных номеров и 96 млн имейл-адресов — вдвое больше, чем за такой же период в прошлом году. Об этом говорится в исследовании сервиса разведки утечек данных DLBI.
Лидерами по числу «сливов» в этом году стал сектор электронной коммерции (39%), на втором месте — аптеки и медсервисы (10%).
*** Причины утечек
Треть утечек данных в финсекторе происходит из-за собственных сотрудников.
По итогам девяти месяцев 2024 года доля утечек данных из финансовых организаций, произошедших в результате действий инсайдеров, составила 31%. Этот показатель ниже, чем в аналогичном периоде 2023 года (34%), но выше, чем в 2022 году (28%).
Утечки могут быть более опасны, чем действия хакеров, так как связаны с прямым доступом работников банка к чувствительной информации и знанием особенностей внутренних процессов.
Банки находятся в топ-3 по объемам утекших данных. При этом они постоянно совершенствуют защиту от подобных угроз, в том числе используя контроль и отслеживание данных, которые перемещаются внутри и за пределами корпоративной сети.
*** Законопроект об оборотных штрафах
В настоящее время максимальный размер штрафа для юридических лиц составляет до 100 тыс. руб., а при повторном совершении административного правонарушения - до 300 тыс. руб.
Обсуждение законопроекта проходят уже довольно давно.
Законопроект о штрафах за утечки депутаты во главе с руководителем комитета по информполитике Александром Хинштейном внесли на рассмотрение в декабре 2023 г.
Стадии принятия законопроекта можно отслеживать по ссылке:
https://sozd.duma.gov.ru/bill/502104-8
https://sozd.duma.gov.ru/bill/502113-8
Законопроект об оборотных штрафах за утечки персональных данных планируют принять до конца года, заявил заместитель председателя комитета Госдумы по информполитике, связи и IT Андрей Свинцов.
При этом срок вступления закона в силу может быть отложен в зависимости от готовности бизнеса к регулированию.
Свинцов отметил, что власти понимают, что бизнес выделит сегмент, работающий с персональными данными, в отдельное подразделение с минимальной выручкой, которому оборотные штрафы будут не критичны. Поэтому сейчас решается вопрос, что в таком случае считать оборотом компании — выручку холдинга, отдельного бренда или непосредственно компании-оператора данных.
Изначально законопроектом предлагались следующие изменения:
Новелла предполагает поправки к ст. 13.11 КоАП («Нарушение персональных данных») в части увеличения санкции:
- если произошла утечка данных от 1000 до 10 000 субъектов персональных данных, штраф для юрлиц составит от 3 до 5 млн руб.;
- за утечку данных 10 000–100 000 субъектов — от 5 до 10 млн руб.;
- более 100 000 граждан — от 10 до 15 млн руб.
За повторные утечки авторы предлагали ввести оборотные штрафы — от 0,1 до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн руб. и не более 500 млн.
РЖД, «Аэрофлот», «Автодор», маркетплейсы и другие представители крупного бизнеса раскритиковали законопроект об оборотных штрафах за утечки данных. Они просят смягчить ответственность и отсрочить вступление поправок в силу.
- в «Аэрофлоте» говорили, что объем штрафов потребует масштабных инвестиций в средства защиты и что полгода отсрочки для вступления в силу являются «нереальным сроком», для формирования стратегии реализации новых мер потребуется два—три года.
- представитель «Автодора» заявил, что работа с персональными данными позволяет компании улучшить сервис и безопасность на платных дорогах, но, если законопроект будет принят в текущем виде, «любой, кто не захочет платить, сможет вовлечь «Автодор» в историю с многомиллионными штрафами».
- представитель Ассоциации цифровой энергетики указывал, что выполнение новых требований по обеспечению информационной безопасности приведет к существенным затратам, которые лягут на плечи потребителей в виде роста тарифов.
- в ГК «Европейский медицинский центр» заявили, что принятие законопроекта может привести к возврату к использованию бумажного документооборота, а также прекратить ряд цифровых проектов, в том числе тестирование телемедицинских технологий.
- в Российском союзе туриндустрии говорили, что объектами нового регулирования станут туроператоры, подключенные к оформлению электронной путевки, в Федерации рестораторов и отельеров России — что оборотные штрафы будут не под силу средним российским гостиницам, которые относятся к среднему и малому бизнесу.
- представители маркетплейсов высказывали опасения, что средний и крупный бизнес будет пытаться подстроиться под новые нормы, но это может не повысить уровень информационной безопасности. Из-за того, что инвестиции в информационную безопасность не будут считаться смягчающим обстоятельством, некоторым компаниям будет легче отдать деньги вымогателям, чем заплатить оборотные штрафы.
Источник одной из IT-компаний, присутствовавших на совещании, сказал, что закон должен стимулировать бизнес инвестировать в информационную безопасность, а этого можно добиться исполнимыми смягчающими обстоятельствами, например соблюдением мер в области информационной безопасности, отраслевых стандартов и др.
--> Вывод по аргументам
Таким образом, аргументы можно свести к следующему:
1) Не успеваем по срокам подстроить инфраструктуру
2) Потребители будут платить за развитие нашей инфраструктуры
3) Всегда будет риск запуска новых проектов, так как нужно фундаментально прорабатывать защиту
4) Штрафы не под силу среднему бизнесу и сильно ударят по карману
5) Инвестиции в информационную безопасность не будут считаться смягчающим обстоятельством
--> Текущее состояние
Депутаты прорабатывают количественные параметры законопроекта.
До сих пор нет даже определения, что в целях исполнения будущего закона считать оборотом компании - выручку холдинга, отдельного бренда или непосредственно компании-оператора данных.
Однако заместитель председателя комитета Госдумы по информполитике, связи и ИТ Андрей Свинцов сообщил, принятие законопроекта в первом чтении послужило сигналом для отрасли, что инициатива будет полностью принята в ближайшем будущем, и пока мы рассчитываем принять его до конца года.
Свинцов добавил, что сам срок самого вступления в силу закона может быть отложен в зависимости от готовности бизнеса к регулированию.
*** Китайский опыт
Закон Китайской Народной Республики о безопасности данных (далее – Закон) был принят 10 июня 2021 г. и вступил в силу 1 сентября того же года и направлен на регулирование отношений, связанных с обработкой данных.
В соответствии с Законом предусмотрено дальнейшее принятие подзаконных актов в целях детализации требований Закона.
В соответствии с Законом для организаций предусмотрены следующие виды юридической ответственности:
- предписания об исправлении нарушений и предупреждения;
- штрафы для организаций за нарушение положений Закона в размере до 500 тыс. юаней (прибл. 6,6 млн руб.) и для руководителей организации или ответственных за безопасность данных – в размере до 100 тыс. юаней (прибл. 1,32 млн руб.);
- при повторных или серьезных нарушениях, таких как утечки данных, организации могут быть оштрафованы на сумму до 2 млн юаней (прибл. 26,28 млн руб.);
- при наличии угрозы национальной безопасности штраф в размере до 10 млн юаней (прибл. 132 млн руб.);
- при передаче важных данных за границу материковой части КНР с нарушениями Закона может быть наложен штраф в размере до 1 млн юаней (прибл. 13,14 млн руб.), а также возможно приостановление деятельности организации или отзыв соответствующей лицензии на осуществление деятельности.
*** Европейский опыт
Первые акты, регулирующие защиту персональных данных в Европе, были подготовлены Советом Европы в 1973 и 1974 годах. Они касались обработки персональных данных в частном и публичных секторах и назывались Резолюция о защите права граждан на неприкосновенность частной жизни в электронных базах данных в частном секторе и Резолюция о защите прав граждан на неприкосновенность частной жизни в электронных базах в публичном секторе соответственно.
Конвенция Совета Европы о защите прав граждан при автоматизированной обработке персональных данных 1981 года также в преамбуле и основных статьях содержит понятие права на неприкосновенность частной жизни.
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) – это новый регламент ЕС о защите персональных данных, формирующий обязательные к соблюдению единые принципы и подходы как для государств-членов ЕС, так и для некоторых иных государств (Исландия, Лихтенштейн, Норвегия).
19.04.2018 проведена гармонизация прочтения некоторых положений GDPR на разных языках ЕС.
Некоторые факты:
• вступил в силу 25.05.2018
• заменяет собой Директиву 95/46/EC от 24.10.1995
• гармонизирует правотворчество и правоприменение
• действует не только в ЕС, но и в иных странах, которые осуществили имплементацию норм GDPR – Норвегии, Лихтенштейне, Исландии в рамках Европейской ассоциации свободной торговли (за исключением Швейцарии)
• локальный надзор осуществляется национальными органами стран-участниц Евросоюза по защите данных (Data Protection Authorities)
• общий надзор осуществляется Европейским советом по защите данных (European Data Protection Board)
• непосредственно применяется национальными судами государств-членов ЕС и Судом справедливости Евросоюза (European Court of Justice)
Подробнее про GPDR можно прочитать в другом посте https://vk.com/abordage_law?w=wall-162125484_3548
GDPR действует больше трех лет и за это время организациям, которые нарушали правила обработки персональных данных, насчитали 4,047,683,844 евро штрафов.
Самыми большими среди них стали штрафы:
- компании Meta, в размере 1,2 млрд. евро за передачу данных в США,
- компании Amazon, в размере 746 млн. евро за таргетированную рекламу без согласия пользователей, и
- компании Instagram, в размере 406 млн. евро за нарушение конфиденциальности детей.
Регламент определяет два уровня штрафов в зависимости от серьезности нарушения.
Менее серьезные нарушения, приводят к штрафам до 10 млн евро или до 2% от оборота организации за предыдущий финансовый год, в зависимости от того, что больше. Как правило, такие нарушения носят формальный характер и не имеют негативных последствий. Например, отсутствие Data protection officer в компании или нарушение технического шифрования информации.
Серьезные нарушения, размер штрафа может составлять до 20 миллионов евро или до 4% от оборота за предыдущий финансовый год, в зависимости от того, что больше. Вы можете получить такой штраф, если нарушили принципы GDPR compliance, не ответили на запросы клиентов, обрабатывали их персональные данные без согласия или другого законного основания, не предприняли технические меры для избежания утечки данных.
*** Чат-боты, Голландия и персональны данные
Голландское управление по защите данных предупреждает, что использование чат-ботов с искусственным интеллектом может привести к утечке персональных данных.
https://www.jdsupra.com/legalnews/dutch-data-protection-authority-warns-3771700/
Голландское управление по защите данных (DPA) выпустило руководство, предупреждающее компании о потенциальных рисках защиты данных, связанных с использованием чат-ботов на базе искусственного интеллекта (AI).
В руководстве DPA признается, что многие люди на рабочем месте используют цифровых помощников, таких как ChatGPT и Copilot, для таких целей, как ответы на вопросы клиентов или обобщение больших файлов. Это может помочь сотрудникам сэкономить время и повысить качество их работы и продуктивность, но также сопряжено со значительными рисками с точки зрения GDPR.
GDPR определяет утечку персональных данных как “нарушение безопасности, приводящее к случайному или незаконному уничтожению, утере, изменению, несанкционированному раскрытию или доступу к передаваемым, хранимым или иным образом обработанным персональным данным”. Еще больший риск существует в контексте медицинских данных, которые считаются конфиденциальными и поэтому подлежат усиленной правовой защите. DPA считает, что передача конфиденциальных данных технологической компании без надлежащей защиты является серьезным нарушением конфиденциальности затронутых лиц.
Опасения DPA связаны в основном с тем фактом, что компании, стоящие за чат-ботами, часто хранят все введенные данные. В результате персональные данные могут оказаться на серверах технологических компаний, часто без ведома человека, который ввел данные, и без точного представления о том, что эта компания будет делать с этими данными. Во многих случаях лица, к которым относятся персональные данные, также не будут осведомлены.
Если сотрудник использует чат-бота в нарушение политики компании для обработки персональных данных, этого может быть достаточно для нарушения персональных данных. И если работодатели разрешают такое использование, сотрудникам должно быть ясно, какие данные они могут вводить, а какие нет. В свои договорные соглашения с поставщиками чат-ботов с искусственным интеллектом компании также должны включать положения, ограничивающие поставщика в хранении и использовании введенных данных.
ТГ-канал: t.me/abordage_law
Источник: www.jdsupra.com