ИБ-компании могут убрать из закона о ПДн

Для сотрудников компаний из области кибербезопасности могут убрать уголовную ответственность при получении доступа к личным данным в результате профессиональной деятельности. Инициативу исключения ИБ-компаний из-под действия закона «О персональных данных» обсуждают Минцифры, Совет Федерации и участники рынка. Об этом сообщили «Ведомости». 

На данный момент сотрудников ИБ-компаний, которые получили доступ к персональным данным россиян, могут лишить свободы на срок до 10 лет. Это связано с тем, что в конце ноября 2024 года Владимир Путин подписал законы, которые ужесточают ответственность за утечки ПД и их незаконный оборот. Например, была установлена уголовная ответственность за незаконные использование и передачу таких данных. «Ведомости» отметили, что поправки в ФЗ-152 «О персональных данных» коснулись не только компаний, допустивших утечку, но и тех, кто занимается незаконным хранением, сбором и передачей данных, полученных незаконным путем. 

Сейчас под действие новых норм часто попадают многие ИБ-специалисты, прокомментировал  заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУРа Руслан Пермяков. По его словам, нередко ими оказываются сотрудники, которые занимаются расследованием компьютерных преступлений, сбором информации из открытых источников (OSINT) и проверкой систем на уязвимость. Они могут получить доступ к персональным данным без согласия в результате своей профессиональной деятельности. 

По данным «Ведомостей», ранее этот вопрос поднимался ноябре 2024 года на закрытой встрече на площадке «Кибердома». Ожидалось, что поправки к закону, касающиеся ИБ-специалистов, будут готовы к третьему чтению законопроекта, но это не успели сделать. Теперь эти изменения потребуют разработки отдельного законопроекта. 

Руководитель направления по развитию ИБ-интегратора «Телеком биржа» Александр Блезнеков добавил, что белые хакеры, которые занимаются тестированием безопасности компьютерных систем, сейчас находятся в серой зоне правового поля. Это связано с тем, что с одной стороны, проверка систем на уязвимость не запрещена, а в отдельных нормативно-методических документах по защите информации есть требование регуляторов о необходимости проведения таких работ. Однако с другой стороны, нет границ для ситуаций, когда действия специалистов подпадают под КоАП или УК, отметил эксперт.

Ранее стало известно, что согласие на обработку данных дополнят поправкой об ИИ. В Госдуме депутаты партии «Новые люди» предложили законопроект, согласно которому в согласии на обработку персональных данных будет указываться, что информация может обрабатываться, в том числе с использованием ИИ-технологий.