В России хотят ввести гарантированные выплаты для людей, чьи персональные данные утекли. Сегодня размер ущерба при утечке данных определяет только суд. Пострадавшие могут обращаться с исками самостоятельно, однако из миллионов людей, чьи данные оказались скомпрометированы, компенсации получают лишь десятки, и чаще всего они не превышают 5 тыс. рублей. Во всероссийском союзе страховщиков (ВСС) предложили ввести гарантированные выплаты всем пострадавшим. Там направили соответствующее письмо в Совет Федерации на имя сенатора Артема Шейкина.

Идея усилить ответственность операторов таких данных поднимается уже несколько лет. В 2024-м в Совете Федерации предложили обязать компании, работающие с персональными данными, страховать свою ответственность (ввести вмененное страхование). Такой механизм должен позволить пострадавшим получать возмещение за моральный и имущественный ущерб при компрометации их информации. Однако в текущем виде эта инициатива не заработает, пояснили во Всероссийском союзе страховщиков (ВСС).

Страховщики предлагают закрепить порядок определения круга пострадавших и установить фиксированный размер выплат в зависимости от категории скомпрометированной информации — например, биометрической (5 тыс.) или относящейся к специальным категориям. По их мнению, также важно закрепить ответственное ведомство, которое будет фиксировать факт нарушения и запускать процедуру возмещения.

ВСС предлагает такую модель: обязать каждого оператора персональных данных страховать свою ответственность либо сформировать специальный фонд для выплат. При этом Роскомнадзор мог бы фиксировать факты утечек и определять круг пострадавших. Ведомство уже ведёт мониторинг подобных инцидентов, но зачастую люди даже не знают о том, что их данные были скомпрометированы. Сейчас операторы несут лишь штрафы, которые поступают в бюджет, при этом пострадавшие не получают никаких выплат.

Людей могли бы об этом уведомлять страховщики или НСИС, считают в союзе. Затем жертвы утечек смогут обратиться за компенсацией. Легче всего это запустить через «Госуслуги», уверены в ВСС. На первом этапе возмещение можно установить в пределах 5 тыс. рублей. Если же пострадавший считает, что понес более серьезный урон, то он сможет обратиться в суд. 

По оценке главы ВСС Евгения Уфимцева, страхование ответственности операторов персональных данных может заработать уже в 2026 году. В СберСтраховании подчеркнули, что готовы предлагать клиентам такой продукт. По словам директора по рискам компании Владимира Новикова, запустить сервис можно в течение трёх–шести месяцев после внесения изменений в законодательство. Он отметил, что, важно предусмотреть возможность увеличения компенсации в будущем. 

В мае были внесены изменения КоАП, которые коснулись ужесточения наказания за нарушения законодательства в области персональных данных (в некоторых случаях штрафы увеличились в три раза), напомнил эксперт по информационной безопасности Илья Чуприн.

К сожалению, сейчас бизнес прибегает лишь к «косметическим» мерам противодействия. Большие утечки данных регулярно происходят, при этом административные санкции и судебные компенсации часто не соотносятся с масштабом риска и не покрывают реального вреда пострадавших, подчеркнул он. По его мнению, предложенная ВСС мера может быть эффективной. 

— Помимо контроля, здесь появляется еще и новая возможность для развития страхового рынка и фондовых механизмов. Допустим, страховая платит фиксированное возмещение, затем сама разбирается с оператором. Это способствует увеличению скорости обработки таких случаев, снизит нагрузку на суды и позволит массово выплачивать компенсации людям при больших утечках, — отметил Илья Чуприн.

В то же время фиксированная сумма, по его мнению, — лишь временная мера. Необходимо разрабатывать методики расчета реального ущерба от утечек. 

Сейчас же люди практически не получают компенсацию. Дело в том, что очень сложно доказать моральный или имущественный вред — нужны конкретные последствия (мошенничество, финансовый ущерб). Сам по себе факт того, что персональные данные «утекли» в открытый доступ обычно признается судом как «малая степень вреда», объяснил эксперт. 

Кроме того, россияне редко отстаивают свои права через суд, добавила управляющий партнёр аналитического агентства ВМТ Консалт Екатерина Косарева. Во-первых, стоимость компенсаций не кажется стоящей. Юридическое сопровождение и временные затраты на сбор и подготовку документации не сопоставим со средней выплатой — всего несколько тысяч рублей. Во-вторых, трудно связать факт утечки (даже если его признает компания) с полученным ущербом. В-третьих, из-за малого числа случаев логично возникает недоверие к институту отстаивания прав за подобные нарушения в суде.

— Например, в 2022 году у «Яндекс.Еды» произошла массовая утечка данных. Было присуждено выплатить компенсации 13 пользователям по 5 000 рублей. Этот случай отлично иллюстрирует то, что пострадавшие получают небольшие суммы и лишь единицы доходят до решения суда. Ни о каких массовых выплатах пострадавшим и речи тогда не шло. Порой пользователи даже и не знают, что их данные «утекли» именно из этой организации, — рассказал Илья Чуприн. 

Алгоритм по получению компенсации от компании с помощью Госуслуг значительно увеличил бы число тех, кто захочет получить компенсацию, так как это позволит избежать судебных издержек и потери времени, уверена Екатерина Косарева. Механизм был предложен Минцифры еще в 2023 году, но так и не был реализован. Так, компания, где случилась утечка данных, должна оповестить пользователя. В течение 15 рабочих дней тот решает, желает ли получить компенсацию ущерба. Затем оператор выплачивает ущерб. 

Гарантированные выплаты при утечках персональных данных — значимая инициатива, уверена и руководитель отдела страхования корпоративной ответственности и финансовых линий компании «Абсолют Страхование» Алина Растошинская.

Пилотная версия такой системы с выплатой компенсаций пострадавшим (через страхование или фонд) за утечки их данных может появиться уже к концу этого года, считает Илья Чуприн. Однако, по его словам, интеграция реестров и запуск новой функции на «Госуслугах» требует времени. Поэтому наиболее реалистичная оценка —  середина-конец 2026 года.