Ответственность операторов данных за ущерб от утечки предлагают страховать

На страховом рынке может появиться типовой полис для защиты гражданской ответственности операторов персональных данных. Такой продукт подготовила рабочая группа Всероссийского союза страховщиков (ВСС) по страхованию кибер-рисков.
iStock

"Сегодня на страховом рынке есть киберстраховые полисы, которые покрывают убытки из-за утечки персональных данных, но полиса для страхования ответственности непосредственно операторов персональных данных еще не было", - рассказал "РГ" руководитель рабочей группы, директор по рискам СберСтрахования Владимир Новиков.

Предполагается, что застрахована будет ответственность операторов за три типа персональных данных: простых, специальных и биометрических. К простым относятся фамилия, имя, отчество, дата рождения, адрес, семейное положение. К специальным - раса, национальность, политические взгляды, религиозные и философские убеждения, состояние здоровья, личная жизнь. К биометрическим - биологические и физиологические особенности человека, по которым можно установить его личность.

Лимит страхового покрытия предлагается ограничить 1 млрд рублей. Его размер будет рассчитываться индивидуально для оператора пропорционально объему хранимых данных. Размер выплачиваемой компенсации будет зависеть от тяжести причиненного вреда. При самой по себе утечке персональных данных сумма выплаты для одного пострадавшего будет фиксированной для каждого типа данных.

"Если утечка стала причиной нанесения вреда здоровью или имуществу пострадавшего, полис будет покрывать фактический ущерб, размер которого определит суд. Лимит по одному такому страховому случаю составит порядка 20% страховой суммы по договору. Если этих средств не хватит для выплаты компенсации всем застрахованным, оставшуюся часть бизнес должен будет компенсировать из своих средств", - пояснил Владимир Новиков.

Страховым случаем, по его словам, будет считаться утечка данных, зафиксированная соответствующим сообщением на сайте Роскомнадзора.

Владельцы больших данных полагают, что внедрение подобных страховых продуктов должно быть добровольным.

"Ассоциация приветствует появление на рынке страховых продуктов в области кибербезопасности, однако полагает, что их внедрение должно носить добровольный характер, позволяющий участникам рынка самостоятельно определять способ управления соответствующими рисками и обеспечения потенциального ущерба", - отметили в пресс-службе Ассоциации больших данных.

Страхование ответственности на случай утечки персональной информации может стать важной составляющей комплексной защиты от кибер-рисков для операторов персональных данных, отметили в пресс-службе СОГАЗа. Однако такой продукт требует детальной проработки для соблюдения баланса интересов всех сторон: клиентов, которые могут пострадать, самих операторов и страховщиков, добавили в компании.

Сам по себе факт утечки данных без причиненного ущерба не может считаться страховым случаем

С этим согласен и операционный директор "Совкомбанк Страхование" Владислав Синцов. По его словам, страхователям и страховщикам предстоит определить, что такое кибер-риск и кибер-ущерб, потому что ожидания от продукта у них разные.

"Продукты по страхованию от кибер-рисков сами по себе достаточно сложные. В классических видах страхования однозначно определен термин "страховой случай" и есть прозрачный процесс его урегулирования: факт повреждения имущества или причинения вреда здоровью и жизни определить достаточно просто, причинно-следственная связь возникновения ущерба установлена. В случае с утечкой персональных данных и иных кибер-инцидентов с базовыми "страховыми" составляющими пока есть неопределенность", - говорит Синцов.

По его словам, сам по себе факт утечки персональных данных без причиненного в явном виде ущерба не может считаться страховым случаем, потому что чаще всего приводит к навязчивым спам-звонкам. Это, безусловно, неприятно, но убыток для клиента в классическом смысле этого термина не наступает. Когда мошенники крадут деньги клиента с карты или депозита, причиненный ущерб понятен, но установить, что эта ситуация произошла из-за какой-то конкретной утечки от какого-то конкретного оператора персональных данных, невозможно. Как минимум потому, что эффект от утечки может проявиться спустя несколько лет, пояснил Синцов.

Если из-за утечки данных был нанесен вред здоровью или имуществу человека, страховка покроет фактический ущерб. Размер выплаты определит суд

Сейчас спрос на полисы страхования кибер-рисков есть, но он не связан именно с разглашением или утратой персональных данных - его приобретают для покрытия других рисков, входящих в программу страхования, рассказал руководитель дирекции корпоративных продаж Страхового Дома ВСК Антон Казиев. Сам риск претензий к операторам в связи с разглашением данных, по его словам, не особо востребован, т. к. для получения возмещения от оператора необходимо доказать (как правило, в судебном порядке), что человек, чьи данные были утрачены, понес реальный ущерб. "Учитывая сложности возможного процесса и доказывания, физические лица в эту процедуру не ввязываются, а операторы, соответственно, не приобретают такие полисы (не создают резервы) для покрытия возможных претензий. Эту проблему мы и решаем в рамках ВСС", - отметил Казиев.

Создать страховой продукт с типовыми определениями застрахованных рисков является одной из основных задач, которые предстоит решить для формирования понятного для потребителей рынка услуг в этой сфере, подтвердил заместитель генерального директора СК "Двадцать первый век" Дмитрий Смирнов. "Крайне широкая вариативность может приводить к дезориентации потенциальных страхователей - операторов персональных данных, не располагающим своими собственными достаточными ресурсами юридической и правовой аналитики, которым нужна такая страховая защита", - пояснил он.

По словам Владимира Новикова, для того чтобы типовой полис заработал, прежде всего, необходимо обязать Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных) публично фиксировать случаи утечки персональных данных. "После законодательного закрепления изменений страховку можно будет запустить в течение трех-шести месяцев. Это может случиться в конце 2025 года или начале 2026", - заключил он.