Персональные данные россиян предложили застраховать

Парламентарии и эксперты обсуждают, как оценить ущерб от утечек данных и на какие компенсации смогут рассчитывать пострадавшие. «Парламентская газета» узнала подробности.

Утечки есть — атаки будут

В 2025 году Роскомнадзор зафиксировал 118 случаев компрометации баз персональных данных, в Сеть попали больше 52 миллионов записей. В 2024 году ведомство зафиксировало 135 утечек, которые содержали 710 миллионов записей о россиянах. В разное время становилось известно о сливах баз маркетплейсов, агрегаторов такси, служб доставки еды и даже медицинских лабораторий.

С 2025 года действуют миллионные штрафы за крупные утечки, а за повторные инциденты компании могут лишиться от одного до трех процентов годовой прибыли. Столь жесткие меры призваны стимулировать бизнес больше вкладывать в кибербезопасность.

Одновременно развивается страхование киберрисков, позволяющее компаниям получать выплаты в случае взлома их программного обеспечения на восстановление его работоспособности.

В условиях кратного роста кибератак и ущерба в сотни миллиардов рублей страхование становится не просто финансовым продуктом, а ключевым элементом киберустойчивости страны, сказал первый зампред Комитета Совфеда по конституционному законодательству и госстроительству Артем Шейкин на круглом столе 26 февраля.

«Российский рынок киберстрахования растет, но остается молодым и сталкивается с системными проблемами: неполнота законодательства, отсутствие качественной статистики и независимой экспертизы, сложность продуктов и низкая вовлеченность малого и среднего бизнеса», — отметил сенатор.

Очень сложный расчет

Отечественный рынок киберстрахования развивается последние десять лет, его объем не превышает двух процентов от всех страховых продуктов и составляет 1,5–2 миллиарда рублей. Договоры с IT-компаниями имеют только семь страховщиков, сообщил руководитель рабочей группы Всероссийского союза страховщиков (ВСС) по страхованию информационных рисков Владимир Новиков.

Основная аудитория киберстрахования — предприятия, работающие с критической информационной инфраструктурой, которые важны для поддержания устойчивой работы экономики. Закон требует от них использовать российские программные продукты и обеспечивать кибербезопасность, поэтому для них страхование киберрисков может стать обязательным. «Концепция вмененного страхования прорабатывается», — подтвердил замглавы Минцифры Александр Шойтов. При этом страховка, по его словам, не должна отменять остальных мер защиты.

Вопрос, который решить куда сложнее, — как оценить ущерб от кибератаки для каждого пострадавшего от нее.

Например, сколько стоят конкретные персональные данные конкретного человека? Одно дело, если клиент просто заполнил регистрационные данные для доступа к услуге, а другое — если он предоставил информацию о себе, на которой сможет обучаться искусственный интеллект. То есть человек продает свои данные за тысячу рублей с условием, что если они утекут, он получит миллион, гипотетически рассуждал замминистра.

«Это очень сложно, нужен пилотный проект для отработки таких моделей», — сделал вывод Шойтов.

Запустить пилот, а официально — экспериментальный правовой режим, тут же согласились в Минэкономразвития. «Высокие штрафы за утечки вводились не для того, чтобы обанкротить бизнес, — объяснил директор департамента цифрового развития ведомства Владимир Волошин. — Требования по обеспечению безопасности и страхованию должны быть понятными и исполнимыми».

Страховка как смягчающее обстоятельство

Точных цифр, сколько же могут стоить данные конкретного россиянина, на круглом столе так и не прозвучало. К вопросу подходили лишь теоретически. Если платить за каждую попавшую в открытый доступ строку, к примеру, по пять тысяч рублей, то уже сейчас понятно, что счет пойдет на триллионы рублей, что сделает любой IT-бизнес нерентабельным, и никакая страховка его не спасет, отметил глава департамента страхового рынка Центробанка Илья Смирнов.

В ВСС предложили подходить к вопросу последовательно, и для начала сделать наличие страхового полиса от кибератак смягчающим обстоятельством для организации при назначении штрафа. Для этого нужно снять запрет на страхование штрафов. И как только появится реальная возможность перейти к следующему шагу — компенсациям.

Для этого нужен строгий учет согласий, которые дали граждане на обработку их данных, а также однозначная методика определения имущественного ущерба и внесудебная оценка морального вреда, заключил Владимир Новиков.

Реестр согласий давно предлагают сделать дополнительной опцией на портале госуслуг, чтобы в личном кабинете каждый человек мог видеть, какие организации располагают сведениями о нем, и мог в любой момент отозвать разрешение на обработку данных. Но реализовать это технически сложно, отмечают эксперты, поэтому пока вопрос компенсаций за утечки остается делом неопределенного будущего.