Законопроекты, разработанные Минцифры, устанавливают множество новых обязанностей для операторов связи, финансовых организаций и компаний в ИТ-сфере, а также усиливают уголовную ответственность за киберпреступления.
Операторы связи при заключении договоров на услуги связи будут обязаны собирать идентификаторы пользовательского оборудования (IMEI) и передавать их в централизованную базу данных Минцифры. А правоохранительные органы получат право запрещать вызовы с устройств с определенными IMEI. Кроме того, для операторов связи вводится обязанность по передаче сведений о подозрительных абонентах в ГИС противодействия нарушениям с использованием информационных технологий.
Если из ГИС поступит информация о необходимости ограничить работу определенных номеров, то операторы обязаны исполнить такое требование в течение 24 часов. Если меры не были приняты, то оператор обязан возместить абоненту потери, понесенные в результате хищения его средств мошенниками. Обмениваться информацией с ГИС обяжут также администраторов мессенджеров, социальных сетей, сервисов размещения объявлений и операторов по переводу денежных средств.
Есть и другие нововведения. Например, операторы связи должны будут дополнительно маркировать вызовы от юридических лиц и ИП. Виртуальные АТС будет разрешено размещать только на российских сетевых адресах (доменах) и на серверах провайдеров хостинга, включенных в национальный реестр. Для некоторых сайтов обязательной станет авторизация пользователей с помощью российских адресов электронной почты.
Предусматривается также выпуск сертификатов безопасности для российских сайтов, получение которых станет обязательным для разработчиков веб-браузеров, а также государственных органов (при электронном взаимодействии с гражданами).
Операторы по переводу денежных средств будут взаимодействовать с названной ГИС и отказывать в исполнении распоряжений клиента при наличии информации о взломе его учетной записи. Если операцию все же выполнят и клиент в результате понесет потери, то оператор будет обязан возместить сумму такой операции. Также ограничат число банковских карт — не более пяти карт одного банка и не более 10 карт любых банков в совокупности.
Субъекты персональных данных (ПДн) смогут предоставлять согласие на обработку ПДн через портал Госуслуг (ЕСИА) в порядке, определенном правительством. В свою очередь, операторы ПДн также в случаях, определенных правительством, должны будут поставлять в ЕСИА информацию о фактах обработки ПДн. Кроме того, они не будут вправе требовать от граждан предоставления согласия на обработку ПДн, если это не предусмотрено законом или международным договором.
В статью 158 УК РФ («Кража») добавляются новые квалифицирующие признаки: 1) использование банковской карты или счета; 2) взлом информационных систем, в том числе с применением ИИ; 3) применение методов, позволяющих скрыть информацию о пользователе услуг связи (абоненте).
Дополнительные квалифицирующие признаки — использование сети Интернет и методов анонимизации абонента добавляются и в ст. 159 УК РФ («Мошенничество»). При этом утрачивают силу ст. 159.3 и 159.6 УК РФ — составы преступления из этих статей распределяются по другим статьям УК РФ. Кроме того, осужденным по статьям, связанным с интернет- и телефонным мошенничеством, хакерскими атаками и созданием вирусов, нарушением правил работы с ИТ-системами, будут грозить более значительные сроки лишения свободы и суммы уголовных штрафов.
В УК РФ вводится также новая ст. 163.1, предусматривающая ответственность за вымогательство в сфере ИТ, сопряженное со взломом информационных систем, в том числе с использованием ИИ.
Наконец, новой ст. 272.2 предусматривается уголовная ответственность за неправомерное воздействие на информационную систему, даже если доступ к данным не получен. При этом от ответственности освобождаются российские хакеры, которые атакуют «запрещенные» зарубежные сайты.
Прямо указывается, что в уголовно-правовом контексте цифровая валюта признается имуществом, в связи с чем возможны ее конфискация и арест.
Если законы будут приняты в текущей редакции, можно ожидать реального снижения числа киберпреступлений, то есть поставленные цели будут достигнуты. При этом такие меры потребуют от операторов связи и финансовых организаций дополнительных затрат, которые, в свою очередь, могут вызвать рост стоимости их услуг для потребителей.