Минцифры предложило вывести ИБ-компании из-под закона о личных данных

Минцифры, Совет Федерации и представители рынка информационной безопасности (ИБ) рассматривают возможность исключения ИБ-компаний из-под действия закона «О персональных данных». Об этом сообщили «Ведомостям» топ-менеджеры крупных компаний отрасли и источник в профильной IT-ассоциации. Вопрос касается сотрудников, которые в рамках профессиональной деятельности могут получать доступ к персональным данным (ПД) граждан, не подвергаясь при этом уголовной ответственности.

28 ноября 2024 года президент подписал закон, ужесточающий наказание за утечки ПД. Поправки к ФЗ-152 «О персональных данных» усилили не только административную, но и уголовную ответственность за незаконное хранение, сбор и передачу персональных данных. Согласно статье 272 УК РФ, за такие действия предусмотрено наказание до 10 лет лишения свободы.

В результате принятия закона под новые нормы ответственности подпадал широкий круг специалистов по ИБ, в том числе люди, занимающиеся расследованием компьютерных преступлений (форензикой), сбором информации из открытых источников (OSINT) и проверкой систем на уязвимость ( пентестами ). Заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУРа Руслан Пермяков пояснил, что в ходе работы такие специалисты могут получать доступ к персональным данным без прямого согласия их владельцев.

Изначально вопрос о смягчении регулирования для ИБ-компаний обсуждался еще в ноябре 2024 года на закрытой встрече в «Кибердоме». Источник в профильной ассоциации сообщил, что соответствующие поправки предполагалось внести ко второму чтению законопроекта, но это не было реализовано. Теперь же требуется разработка отдельного законопроекта, возможность которого остается предметом обсуждений.

По данным «Ведомостей», в обсуждении инициативы участвуют ИБ-компании, такие как Positive Technologies, «Лаборатория Касперского», Solar и МТС Red.

Основное беспокойство среди участников рынка вызвала категоричность мер. Однако потенциальные риски были понятны и ранее, но с принятием закона, вводящего оборотные штрафы за утечки персональных данных, компании стали более тщательно оценивать вероятные последствия нарушений законодательства.

Вместе с тем Наталья Касперская считает, что проблема преувеличена. По ее мнению, белые хакеры защищены договорами с компаниями, чьи системы они тестируют. «Если взлом системы осуществляется по договоренности с владельцем, это закреплено в соглашении, и рисков для специалистов нет», — уверена она.

Специалисты, занимающиеся форензикой, чаще всего работают на основе официальных договоров, что снижает их юридические риски. Однако для экспертов по OSINT ситуация сложнее, поскольку их деятельность нередко осуществляется без формализованных соглашений. В связи с этим подчеркивается необходимость четкого разделения законных методов работы специалистов по ИБ и действий, которые могут быть расценены как нарушение закона.

Юридическая экспертиза подтверждает, что сам факт получения доступа к персональным данным не является преступлением.Согласно ст. 272 УК РФ, преступлением признается несанкционированный доступ к охраняемой законом компьютерной информации, повлекший ее уничтожение, блокирование, модификацию либо копирование, или незаконное использование, передача, сбор и хранение информации, содержащей ПД и полученной путем неправомерного доступа. Таким образом, если специалист по ИБ получает доступ к базам данных в рамках служебных обязанностей или договорных обязательств, но при этом не вносит в них изменения и не использует их в незаконных целях, правонарушения не происходит.

Также указывается на широкие формулировки статьи 272.1 УК РФ и отсутствие правоприменительной практики. В теории любое лицо, использующее незаконно полученную компьютерную информацию, подпадает под действие этой статьи. Однако в законодательстве не определены случаи, при которых возможно законное использование таких данных.

Правовое стостояние специалистов, занимающихся тестированием систем на уязвимость, остается неопределенным. С одной стороны, их работа необходима для обеспечения кибербезопасности, а в некоторых нормативных актах даже содержатся рекомендации по проведению подобных тестов. Однако отсутствие четких критериев приводит к тому, что законность таких действий может зависеть от трактовки правоохранительных органов и судов. Введение более четких правовых норм могло бы гарантировать защиту специалистов, работающих в сфере ИБ.