Возмещение ущерба от утечек персональных данных – нормотворчество и страхование
Что думают страховщики о перспективе введения обязательного финансового обеспечения ответственности операторов за утечку персональных данных?
В наше время информация становится стратегическим товаром, и утечка этой информации для человека, давшего согласие на ее использование только в конкретных целях, становится очень чувствительной. Нас беспокоит проблема сохранности персональных данных и компенсации убытков в случае их утечки. Нужна ясность – и для организаций, которые распоряжаются информацией, за что именно они несут ответственность, и для потребителей, за что, в случае утечки, они получат компенсацию ущерба. Страхование, безусловно, должно быть одной из форм финансового обеспечения возмещения ущерба при наступлении подобных случаев.
В ходе обсуждения поправок в закон 152-ФЗ «О персональных данных» мы от ВСС высказывали свои предложения. В аналогичном законе по страхованию опасных объектов очень четко классифицированы объекты с различной степенью риска: есть электростанции, есть угольные разрезы, а есть просто лифты в жилом доме. И здесь тоже необходимо классифицировать предприятия и организации, на которые распространяются требования Роскомнадзора, их нужно разделить на 4-5 классов по хранению персональных данных, и определить лимиты в зависимости от степени риска, поставив наибольшие для крупных организаций с большим количеством потребителей и высокой чувствительностью информации. Тогда небольшие организации с низкой степенью риска будут иметь небольшие лимиты и суммы. В законе 152-ФЗ уже есть 4 категории – градации владельцев персональных данных, на это можно опираться.
Еще одна важная проблема, как мне кажется, связана с тем, что человеку, потребителю должно быть понятно, сколько он может потребовать с той или иной организации при наступлении страхового случая (утечки его данных или какой-то иной проблемы). Это надо четко установить, чтобы с одной стороны не было злоупотреблений со стороны потребителей, и с другой стороны, пострадавшему не приходилось идти в суд, а было бы достаточно подать заявление в страховую компанию.
В настоящее время в России осуществляется добровольное страхование киберрисков. ВСС создал рабочую группу, в которую вошли десять страховых компаний. Мы разработали стандарты и правила для этого вида, и ряд страховщиков сейчас активно его развивает. Но так как это пока добровольное страхование, то на его предложение откликнулись в первую очередь наиболее ответственные и защищенные компании-страхователи, которые выполнили требования закона и Роскомнадзора, а дополнительно еще и купили такой полис. А будущий закон заставит не только таких социально ответственных, но и всех других участников рынка, которые хранят персональные данные, иметь финансовое обеспечение (банковскую гарантию, страховой полис или другие предусмотренные законом способы) на случай ущерба и понимать, что чем лучше у них организована безопасность, тем меньше они потратят на приобретение таких гарантий. Это будет финансовый инструмент, стимулирующий организации улучшать защиту и сохранность персональных данных.
К настоящему времени по добровольному страхованию по данному направлению (оно несколько шире, чем только страхование киберрисков) собрано немногим менее 1 миллиарда рублей страховой премии. Страхуют свои риски, в основном, средние компании. Крупные компании больше сил направляют на поддержание своей инфраструктуры по отражению кибератак и прочих угроз силами самой организации.
Предполагаемый закон вычленяет из всего массива страхования, связанного с киберугрозами, то что связано с защитой интересов потребителей – людей, давших согласие определенной организации на использование своих данных. Заглядывая вперед, мы понимаем, насколько это станет важно в будущем, и было бы недальновидно не подготовиться к этому сейчас, пока все еще только формируется. Пока были только первые прецеденты, когда люди добивались судебных решений о выплате компенсаций по таким случаям. Для этих граждан, даже в случае небольших сумм, получение этих выплат становилось настоящим квестом – как и куда обращаться, как получить подтверждение, как доказать произошедшее. Особенность и ценность новой редакции закона, как мне кажется, в том, что получение компенсаций перестанет быть таким сложным. Часть документов после принятия закона будет разрабатываться Банком России в контакте со страховым сообществом. Как и по другим законам об обязательном страховании, в нормативных актах будет определено, куда обращаться, какова форма обращения, какие документы необходимо представить и какая максимальная сумма может быть получена.
Потенциальный объем нового рынка сейчас можно оценить примерно в 10 миллиардов рублей страховой премии. Закон не предусматривает обязательного страхования, страховой полис – это одна из форм финансового обеспечения, наряду с другими инструментами (банковской гарантией, созданием собственного гарантийного фонда) по выбору компании. Возможности страхового рынка сейчас достаточно ограничены в части того, что могут принять страховые компании, исходя из своих активов и обязательств, поэтому потребуется развитая система перестрахования таких рисков.
Обсуждался также вопрос, не получится ли так, что сейчас организации, работающие с персональными данными, вынуждены серьезно вкладываться в обеспечение безопасности, а при наличии страхового полиса или банковской гарантии они перестанут этим заниматься. В этом смысле, чем хорошо именно страхование – это инструмент не только урегулирования убытков, но и профилактики, потому что оценка и принятие рисков, определение страховой стоимости и тарифа позволяют страховщику учесть продвинутость страхователя в сфере обеспечения сохранности данных в стоимости его страховки, качество его программного обеспечения и защиты. Если в ходе экспертизы будет установлено, что необходимых мер по защите не предпринимается, страховщик не возьмет объект на страхование, а банк не выдаст банковской гарантии. Тем самым страховые компании или банки станут тем дополнительным экспертом, который будет определять, в какой мере можно доверять той или иной организации работу с персональной информацией.
В общем, на наш взгляд, законопроект – правильный, нацеленный на будущее и очень человекоцентричный. Человека не будут гонять по кругам ада за справками и выплачивать небольшие суммы за утерянную очень чувствительную информацию, а будут быстро и оперативно, возможно, даже через электронное урегулирование, через портал Госуслуг, выплачивать страховое возмещение. Для предприятий такое страхование станет не единственным инструментом, а дополнительным контуром защиты, наряду с информационными системами, программным обеспечением и другими мерами безопасности. А в выигрыше, в конечном счёте, окажется рядовой гражданин России.
Уфимцев Евгений Владимирович
Президент Всероссийского союза страховщиков (ВСС), Российского союза автостраховщиков (РСА), Национального союза страховщиков ответственности (НССО)