4 декабря 2023 года в Государственной Думе были представлены два законопроекта под номерами 502113-8 и 502104-8. Эти законопроекты направлены на изменение наказания в административном кодексе и введение уголовной ответственности за незаконное использование, передачу, сбор и хранение персональных данных (ПДн), а также за создание информационных ресурсов, распространяющих ПДн. Информация об этих законопроектах была опубликована на официальном сайте Госдумы.
С начала весны 2022 года законодатели обсуждают возможное усиление ответственности за утечку персональных данных. В декабре 2022 года министр цифрового развития, связи и массовых коммуникаций России Максут Шадаев, объявил, что Минцифры разработало законопроект, предусматривающий введение оборотных штрафов за утечку персональных данных с максимальной санкцией в размере 3% от оборота организации.
В марте 2023 года ведомство передало комитету Госдумы по информационной политике и информационным технологиям два законопроекта, направленных на ужесточение административной ответственности и введение уголовного наказания за деяния, связанные с персональными данными пользователей (незаконное получение, утечка, кража, продажа персональных данных и т.д.).
Законодатели приняли решение устанавливать наказание в зависимости от объёма утраченных данных. Согласно предложенному законопроекту, при утечке данных от 1 до 10 тысяч субъектов персональных данных, юридические лица получат штраф в размере от 3 миллионов до 5 миллионов рублей. При количестве от 10 тысяч до 100 тысяч субъектов персональных данных сумма штрафа возрастёт до диапазона от 5 до 10 миллионов рублей, а при превышении порога в 100 тысяч субъектов персональных данных составит от 10 миллионов до 15 миллионов рублей.
Власти также принимают во внимание вопрос о рецидиве. Предлагается ввести оборотные штрафы за повторные случаи утечек в размере от 0,1% до 3% от выручки за календарный год или за часть текущего года, но не менее 15 миллионов рублей и не более 500 миллионов рублей.
Законопроект был представлен группой сенаторов Совета Федерации и депутатов Госдумы от партии «Единая Россия».
Согласно их заявлению, наиболее серьёзные уголовные меры будут направлены против организованных групп, осуществлявших незаконные действия с базами данных, содержащими персональные данные, полученные незаконным путем и несущие серьёзные последствия.
Предусмотрены значительные штрафы, достигающие 3 миллионов рублей в случае серьёзных последствий или противозаконных действий организованных групп. Также предусмотрены запрет на занимание определённых должностей, принудительные работы и лишение свободы на период до пяти лет. Максимальное наказание предусмотрено для создателей ресурсов, распространяющих украденные персональные данные.
В пояснительной записке к законопроекту уточняется, что в настоящее время компании, допустившие утечки персональных данных, подвергаются ответственности в соответствии с частью 1 статьи 13.11 Кодекса об административных правонарушениях, где предусмотрен максимальный размер штрафа для юридических лиц до 100 тысяч рублей (и 300 тысяч рублей в случае рецидива). Законодатели считают, что размер штрафа несоизмерим с возможными последствиями утечек и предлагают его ужесточение.
