ПЕРСПЕКТИВЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ В РОССИИ ЗАКЛЮЧЕНИЯ ДОГОВОРОВ СТРАХОВАНИЯ ОТ УТЕРИ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

В настоящее время весьма актуальна тема, касающаяся работы со сведениями конфиденциального характера, в частности, с персональными данными. В целом работа с персональными данными охватывает значительный объем различных сторон жизнедеятельности человека. Актуальность данного вопроса вызвана, в первую очередь, высокой скоростью роста компьютеризации и информатизации общества.

В современных условиях, когда технические каналы являются основой для передачи информации, охрана этой стороны жизни граждан обретает все большую актуальность, так как с ростом технологий сведения такого характера становятся лишь более уязвимыми. По этой же причине в две тысячи шестом году был принят Федеральный Закон № 152-ФЗ «О персональных данных», которым регулируются отношения, связанные с обработкой, сбором и использованием персональных данных. Данный закон направлен на обеспечение защиты прав и свобод граждан при обработке их персональных данных, а также защиты прав на неприкосновенность частной жизни, личную, а также семейную тайну. Следует отметить, что персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) [1]. Их утеря – это утрата информации в силу различных факторов.

В связи с вышеперечисленным можно сделать вывод об актуаль­ности темы, связанной с применением страхования на случай утери персональных данных, а также с обязательным заключением компаниями договора страхования на случай утери персональных данных сотруд­ников или клиентов.

Утеря персональных данных влечет за собой довольно серьезные последствия, которые в итоге могут выражаться как в виде значи­тельных финансовых затрат, так и в виде ущерба деловой репутации. Например, в случае утери персональных данных компании придется понести расходы, которые ей будут необходимы для продолжения функционирования без утраченных данных. Кроме того, траты пойдут и на информирование лиц об утере персональных данных [2, с. 3].

Стоит отметить, что за нарушение норм, которые регулируют защиту персональных данных, может наступить дисциплинарная, адми­нистративная, гражданско-правовая или же уголовная ответственность.

Все вышеперечисленные последствия непосредственным образом связаны с угрозами безопасности персональных данных, т. е. с совокуп­ностью условий и факторов, которые создают опасность несанкциони­рованного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, блокирование, копиро­вание, распространение персональных данных и иные неправомерные действия при их обработке в информационной системе [3].

В октябре 2014 года В.В. Путин провел заседание Совета Безопасности по вопросам противодействия угрозам национальной безопасности в информационной сфере. В своем докладе В.В. Путин затронул тему роста компьютерных атак, методы и тактика которых с каждым годом только совершенствуется. На заседании обсуждались меры по повышению уровня защищённости отечественных сетей связи и информационных ресурсов, обеспечению устойчивого функциони­рования российского интернета, также были затронуты связанные с этой темой проблемы и возможные направления их решения. За прошедшее время, как было отмечено Президентом Российской Федерации на заседании Совета Безопасности в 2017 году, многое сделано для обеспечения надёжной работы информационной инфра­структуры, что в особенности касается государственных органов [4].

На данный момент успешно действуют такие федеральные органы, как Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, которая была создана в 2008 г. и является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных [5], также успешно действует Федеральная служба по техническому и экспортному контролю, созданная в 2004 году в соответствии с Указом Президента РФ №-314 «О системе и структуре федеральных органов исполнительной власти» [6], Федеральная Служба Безопасности, которая обеспечивает государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак. Перечисленные органы наделены определенными полномочиями по контролю в данной сфере.

В программе Правительства «Цифровая экономика Российской Федерации», утвержденной распоряжением Правительства Российской Федерации от 28 июля 2017 г. N 1632-р, определены цели и задачи в рамках 5 базовых направлений развития цифровой экономики в РФ на период до 2024 года. [7]. Одним из базовых направлений является информационная безопасность.

Целью направления, которое касается информационной безопас­ности, является достижение состояния защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет и устойчивое социально-экономическое развитие Российской Федерации в условиях цифровой экономики [7].

Направление развития цифровой экономики на 2020 год в сфере информационной безопасности предполагает создание каркаса инфра­структуры безопасности цифровой экономики, в том числе в области новейших технологий, а на 2024 создание условий для того, чтобы Россия была одним из мировых лидеров в области информационной безопасности.

Однако необходимость в реализации мер по выявлению угроз информационной сферы с каждым годом только растет, что также отра­жается и в рисках, которые возникают при работе с персональными данными в электронном виде. В связи с этим возникает реальная потребность в комплексном подходе к данной проблеме. Например, одним из направлений решения данной проблемы можно назвать реализацию импортозамещения, активную поддержку отечественных производителей, что вполне способно повысить конкурентоспособность российских компаний. В целом для обеспечения защиты персональных данных нужно применять ряд мер организационного и технического характера.

Перечень данных мер напрямую зависит от самого способа хранения данных, т. к. для организации защиты персональных данных на бумажном носителе, как правило, достаточно контроля физического доступа к ним. Для хранения персональных данных в электронном виде, согласно пп. 7-12 Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», требуется определение типа угрозы безопасности персональных данных и подбор уровня защищенности, от которого и зависит комплекс необходимых мер [8].

Помимо утери информации конфиденциального характера, может произойти заражение компьютерной системы различными вирусами, что способно привести к блокированию доступа или уничтожению важных файлов, передаче данных третьим лицам и т. п. Как правило, с такими проблемами сталкиваются операторы мобильной связи и интернета, банки, медицинские организации и многие другие компании.

По статистике в первом полугодии 2018 года было зафиксировано 1039 случаев утечки данных. 21 сентября 2018 года аналитический центр компании InfoWatch представил результаты глобального иссле­дования утечек конфиденциальной информации. По количеству на внутренних нарушителей пришлось две трети случаев утечки инфор­мации в первой половине 2018 года — 651 инцидент. По вине внешнего злоумышленника произошло 358 утечек. В распределении категорий по виновникам утечек преобладают рядовые сотрудники - 56 %, в то же время на руководителей и системных администраторов, прихо­дится около 4 % инцидентов. Еще более 3 % утечек - на подрядчиков, 38 % на внешних по отношению к организации злоумышленников [8].

Отмечается, что большую часть объема утечек составляют именно персональные и платежные данные — 90 % инцидентов. Наибольшее количество утечек зафиксировано в высокотехнологичных компаниях (21,3 %), медицинских учреждениях (19,5 %) и госорганах (13 %). По объему больше всего записей было скомпрометировано в сферах, где чрезвычайно высока ликвидность данных, с которыми работает персонал: в секторе высоких технологий, включая интернет-сервисы и крупные порталы (25,6 %), в государственных органах (13 %) и муниципальных учреждениях (20 %).

В связи с этим при правовом регулировании заключения договоров страхования от утери персональных данных клиентов в первую очередь необходимо будет на законодательном уровне разработать критерии, согласно которым ту или иную компанию можно будет отнести к субъекту обязательного страхования, а также определить, что именно будет являться страховым случаем и какие должны быть основания для освобождения страховщика от выплаты страхового возмещения и страховой суммы. Например, договор страхования от утери персональных данных имеет перспективу стать обязательным для банков, медицинских организаций, различных государственных и иных учреждений, чья деятельность тесно связана с обработкой такого рода информации и, соответственно, больше подвержена риску ее утери. На данный момент, можно предположить, что наступлением страхового случая будет являться возникновение убытков у застрахо­ванного лица при выплате возмещения, которое связано с утечкой персональных данных.

Следует отметить, что основания для освобождения от выплаты страхового возмещения содержатся в Гражданском Кодексе Российской Федерации (далее - ГК РФ) (ст. 964). В частности, к таковым относятся: воздействие ядерного взрыва, радиации или радиоактивного заражения, военные действия, военные мероприятия, гражданская война, народные волнения или забастовки [9]. Однако в силу специфики рассматриваемой темы, в качестве оснований также можно было бы выделить, например, несоблюдение, нарушение требований хранения персональных данных, наступление страхового случая вследствие умысла страхователя, выгодоприобретателя или застрахованного лица.

Немаловажен вопрос цены такого страхования и причин отказов в расчете, т. к. риски мошенничества, последствием которого может стать утечка персональных данных, достаточно велики, а, следовательно, данный вид страхования может быстро стать убыточным. Это дает основания сделать вывод о том, что в некоторой степени бизнес еще не совсем готов к страхованию рисков утечки такого вида конфи­денциальной информации, как персональные данные.

В силу определенной специфики рассматриваемой темы трудности могут возникнуть и в определении размера убытков, подлежащих возмещению страховщиком. Утеря персональных данных в каждом конкретном случае может повлечь за собой последствия, которые достаточно сложно оценить в материальном эквиваленте. Например, после утери персональных данных клиентская база может попасть к организациям, которые начнут периодически звонить, навязывая свои услуги, тем самым отнимая время у лица, чьи данные были по каким-либо причинам утрачены. Может возникнуть и ситуация, связанная со взломом базы с паспортными данными клиентов и продажей таких сведений на черном рынке, все это доставит клиенту не только материальный, но и моральный вред. Вариантов развития событий после утери данных много, и все они достаточно разно­образны.

Как отмечается некоторыми учеными, в том числе Ю.А. Тарасовой, одним из важных вопросов обоснования договоров страхования является вопрос о расчете расходов, которые может иметь страховщик при страховании имущественного интереса [10, с. 120]. В целом страховые отношения носят вероятностный характер, т. е. в основе расчета по страхованию лежит риск наступления страхового случая. Страховой случай, в свою очередь, является неблагоприятным для обеих сторон, так как характеризуется нежелательными последствиями, а также тем, что сама вероятность страхового случая должна основываться на статистических данных о фактах и обстоятельствах страхового случая [11, с. 257].

Интересен момент, связанный с переходом к страховщику прав страхователя на возмещение ущерба, то есть с суброгацией. Это приме­няется к договорам имущественного страхования; в частности, смысл статьи 965 ГК РФ заключается в том, что если договором имуществен­ного страхования не предусмотрено иное, к страховщику, который выплатил страховое возмещение, переходит в пределах выплаченной суммы право требования. Это требование страхователь имеет к лицу, ответственному за возмещенные в результате страхования убытки. Возможно, такой переход прав можно было бы применить и к договору страхования от утери персональных данных клиентов, в случаях, когда удается установить виновное лицо (недобросовестный работник, хакер и т. д.). Соответственно, исключением из данного случая будут являться ситуации, когда утеря произошла по причине технических неполадок, компьютерного сбоя и т. п.

Раскрывая тему перспективы развития, а в частности правовое регулирование заключения такого рода договора страхования, можно предположить, что наиболее целесообразно было бы законодательно его закрепить в Законе от 27.11.1992 № 4015-1 «Об организации страхового дела в Российской Федерации» [12]. Объяснить это можно тем, что нормы ГК РФ направлены на более общее регулирование гражданско-правовых страховых отношений, а Федеральный Закон «О персональных данных» направлен в большей степени на конкретизацию самой работы и обращения с персональными данными. Данный вопрос можно урегулировать путем принятия специального закона о страховании пер­сональных данных и иной информации конфиденциального характера.

Исходя из вышеизложенного, можно сделать вывод о том, что договор страхования от утери персональных данных способен стать довольно распространенным явлением, сыграв большую роль как в стимулировании к повышению качества защиты данных организациями, так и в проявлении к этим организациям большего доверия клиентов. Однако для эффективного применения данного вида договора необходимо разработать нормативно-правовую базу, а также детально проработать варианты снижения рисков утери персональных данных.

Список литературы:

1. О персональных данных: федер. закон от 27 июля 2006 г. № 152-ФЗ // Собр. законодательства РФ. - 2006. - №31 (1 ч.). - Ст. 3451.
2. Крикунова О. Страховка от утери персональных данных // Расчет. 2018. № 3. С. 3-6.
3. Об утверждении требований к защите персональных данных при их обра­ботке в информационных системах персональных данных: постановление Правительства РФ от 1 нояб. 2012 г. № 1119 // Собр. законодательства РФ. - 2012. - № 45. - Ст. 6257.
4. Официальные сетевые ресурсы Президента России: тез. докл. засед. Совета Безопасности (26 окт. 2017 г.). http://www.kremlin.ru/events/president/news/55924 (10.11.2018).
5. О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций: постановление Правительства РФ от 16 марта 2009 г. № 228 // Собр. законодательства РФ. - 2009. - № 12. - Ст. 1431.
6. О системе и структуре федеральных органов исполнительной власти: указ Президента РФ от 9 марта 2004 г. № 314 // Собр. законодательства РФ. - 2004. - № 11. - Ст. 945.
7. Об утверждении программы "Цифровая экономика Российской Федерации": Распоряжение Правительства РФ от 28 июля 2017 г. N 1632-р // Собр. законодательства РФ. - 2017. - № 32. - Ст. 5138.
8. Постановление Правительства РФ от 1 нояб. 2012 г. № 1119. http://www.consultant.ru/document/cons_doc_LAW_137356/ (10.11.2018).
9. Статистика: хроника инцидентов в мире http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%A3%D1%82%D0%B5%D1%87%D0%BA%D0%B8_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85#.D0.93.D1.80.D0.BE.D0.BC.D0.BA.D0.B8.D0.B5_.D1.83.D1.82.D0.B5.D1.87.D0.BA.D0.B8 (10.11.2018).
10. Гражданский Кодекс Российской Федерации от 30 нояб. 1994 г. № 51-ФЗ // Рос. газ. - 1994. - 8 дек.
11. Тарасова Ю.А. Страхование: учебник и практикум для прикладного бакалавриата / Ю.А. Тарасова. - М., 2018. - 236 с.
12. Организационное и правовое обеспечение информационной безопасности: учебник и практикум для бакалавриата и магистратуры / Т.А. Полякова, А.А. Стрельцов, С.Г. Чубукова, В.А. Ниесов. - М., 2018. - 325 с.
13. Об организации страхового дела в Российской Федерации: закон от 27 нояб. 1992 г. № 4015-1 // Рос. газ. - 1993. - 12 янв.