К новостям

В IT-отрасли обеспокоены планами введения уголовной ответственности за утечки

08.12.2023

Введение уголовной ответственности за кражу, распространение и использование персональных данных может угрожать бизнесу компаний, работающих с большими данными. Этот вопрос беспокоит IT-стартапы и экспертов по кибербезопасности. Принятие инициативы может привести к серьезному замедлению развития искусственного интеллекта (ИИ), для которого используются большие объемы данных, предупреждают эксперты.

Законопроект о введении уголовной ответственности за незаконные сбор, использование и передачу персональных данных, в том числе из утечек (внесен в Госдуму 4 декабря группой сенаторов и депутатов во главе с руководителем комитета Госдумы по информполитике, связи и IT Александром Хинштейном), вызвал беспокойство в IT-отрасли, рассказали "Ъ" участники рынка и профильные юристы. Если анализировать текущие формулировки документа, поясняют они, его действие может распространяться не только на злоумышленников, но также на владельцев и руководство IT-компаний, которые собирают большие данные из открытых источников и используют их для собственных разработок.

"Проект устанавливает уголовную ответственность не только для тех лиц, кто незаконно "слил" данные, но и для тех, кто их использовал", - поясняет директор по правовым инициативам Фонда развития интернет-инициатив ( ФРИИ) Александр Орехович. Он подчеркнул, что, например, для работы с искусственным интеллектом ( ИИ) разработчики "получают огромные потоки информации из различных источников". Мера, полагает господин Орехович, "не будет стимулировать развитие технологий в целом, в том числе ИИ, что объявлено сейчас в качестве первостепенной задачи цифровой экономики".

Законопроект вносит в Уголовный кодекс поправки, которые предполагают введение уголовной ответственности за "сбор, использование и передачу" персональных данных граждан. Максимальное наказание - лишение свободы на срок до десяти лет со штрафом в размере до 3 млн руб. (см. "Ъ" от 4 декабря). Господин Хинштейн подтвердил "Ъ", что при разработке документов "тема нейросетей и больших данных возникала неоднократно". "Технология Big Data активно развивается, но необходим баланс интересов и защиты данных граждан в условиях взрывного роста утечек", - подчеркивает он. Огромные массивы информации, поясняет господин Хинштейн, даже если она прошла через обезличивание, "зачастую несут чувствительную информацию, и нет гарантии, что их не используют для обогащения нелегальных баз данных".

Сейчас существует колоссальный разрыв между законодательной деятельностью и возможностью ее эффективного правоприменения, отмечает руководитель компании "Интернет розыск" Игорь Бедеров. "Поскольку надзорные органы не имеют возможности прекратить работу сотен сервисов и ботов, незаконно использующих утечки персональных данных, то и применять новые нормы они станут только к тем компаниям, которые смогут обнаружить", - поясняет эксперт.

В Ассоциации больших данных (АБД; объединяет МТС, "Сбер", "Яндекс" и др.) отметили, что нельзя "допустить введение в УК состава, при котором ответственность может быть возложена на обычных сотрудников компании, которые не виновны в утечке". В АБД предлагают уточнить состав статьи 271.1 УК РФ с введением в него условия, при котором данные использовались и передавались заведомо незаконно.

По мнению СЕО "Икс-Панамас" (оказывает услуги в области кибербезопасности) Павла Ситникова, стартапы и другие проекты, которые могут использовать данные, в том числе слитые из утечек, после принятия закона "просто закроют".

В то же время, признает эксперт, новые нормы позволят привлечь к ответственности владельцев сервисов "пробива" или владельцев теневых сайтов, с которыми иначе до сих пор бороться не получается. В юридическом сервисе DestraLegal полагают, что поправки позволят преследовать и компании, которые использовали опубликованные в сети базы данных для "холодных" звонков с предложением услуг.

Большие данные взволновались до срока

08.12.2023