Персональные данные россиян могут включить в страхование киберрисков

Персональные данные и страхование киберрисков: что предлагают изменить

Страхование киберрисков может стать обязательным для части компаний и помочь бизнесу снизить последствия крупных штрафов за утечки персональных данных. При этом обсуждается не только защита самих организаций, но и возможные страховые выплаты клиентам, сведения о которых оказались в открытом доступе. Такой подход делает страхование более значимым инструментом для рынка, где банки, бизнес, кредиты, ипотека, лизинг и инвестиции все сильнее зависят от цифровой инфраструктуры.

Сейчас парламентарии и эксперты обсуждают, каким образом оценивать ущерб от утечек и на какие компенсации смогут рассчитывать пострадавшие. Подробности этой дискуссии ранее привела «Парламентская газета». Для компаний, работающих в цифровой среде, тема уже вышла за рамки ИТ-повестки: она напрямую влияет на финансы, репутацию и подходы к управлению рисками. В смежных сегментах рынка востребованы и другие защитные решения, включая Страхование ответственности директоров и руководителей (D&O), когда бизнесу важно снижать последствия управленческих ошибок и претензий.

Утечки растут, а требования к защите становятся жестче

Какие данные привели участники обсуждения

В 2025 году Роскомнадзор зафиксировал 118 случаев компрометации баз персональных данных, в Сеть попали больше 52 миллионов записей. В 2024 году ведомство зафиксировало 135 утечек, которые содержали 710 миллионов записей о россиянах. В разное время становилось известно о сливах баз маркетплейсов, агрегаторов такси, служб доставки еды и даже медицинских лабораторий.

С 2025 года действуют миллионные штрафы за крупные утечки, а за повторные инциденты компании могут лишиться от одного до трех процентов годовой прибыли. Эти меры должны мотивировать бизнес активнее вкладываться в кибербезопасность. На практике это означает, что страхование, как и внутренний контроль, начинает рассматриваться не изолированно, а как часть общей системы защиты, особенно если компания связана с клиентскими данными, финансами и цифровыми сервисами.

Параллельно развивается страхование киберрисков, которое позволяет компаниям получать выплаты в случае взлома программного обеспечения и направлять средства на восстановление его работоспособности. Для организаций, взаимодействующих с контрагентами, арендаторами и потребителями услуг, такой механизм становится все более актуальным. В отдельных случаях бизнес также рассматривает профильные продукты, например Страхование ответственности арендатора, если необходимо комплексно закрывать разные категории рисков.

Позиция сенаторов и министерств

В условиях кратного роста кибератак и ущерба в сотни миллиардов рублей страхование становится не просто финансовым продуктом, а ключевым элементом киберустойчивости страны, сказал первый зампред Комитета Совфеда по конституционному законодательству и госстроительству Артем Шейкин на круглом столе 26 февраля.

«Российский рынок киберстрахования растет, но остается молодым и сталкивается с системными проблемами: неполнота законодательства, отсутствие качественной статистики и независимой экспертизы, сложность продуктов и низкая вовлеченность малого и среднего бизнеса», — отметил сенатор.

Для рынка это особенно важно, поскольку цифровые риски затрагивают не только классическое страхование, но и всю экосистему, где работают банки, оформляются кредиты, развивается ипотека, используется лизинг и принимаются решения про инвестиции. Любой сбой или утечка меняют стоимость риска и для бизнеса, и для клиентов.

Почему оценить ущерб от утечки так трудно

Рынок пока небольшой, а моделей расчета не хватает

Отечественный рынок киберстрахования развивается последние десять лет, его объем не превышает двух процентов от всех страховых продуктов и составляет 1,5–2 миллиарда рублей. Договоры с IT-компаниями имеют только семь страховщиков, сообщил руководитель рабочей группы Всероссийского союза страховщиков (ВСС) по страхованию информационных рисков Владимир Новиков.

Основная аудитория киберстрахования — предприятия, работающие с критической информационной инфраструктурой, которые важны для поддержания устойчивой работы экономики. Закон требует от них использовать российские программные продукты и обеспечивать кибербезопасность, поэтому для них страхование киберрисков может стать обязательным. «Концепция вмененного страхования прорабатывается», — подтвердил замглавы Минцифры Александр Шойтов. При этом страховка, по его словам, не должна отменять остальных мер защиты.

Однако самый сложный вопрос связан не с самим полисом, а с расчетом вреда для каждого конкретного человека, чьи сведения попали к злоумышленникам. Здесь страхование упирается в необходимость прозрачной оценки последствий, а единых правил пока нет.

Например, сколько стоят конкретные персональные данные конкретного человека? Одно дело, если клиент просто заполнил регистрационные данные для доступа к услуге, а другое — если он предоставил информацию о себе, на которой сможет обучаться искусственный интеллект. То есть человек продает свои данные за тысячу рублей с условием, что если они утекут, он получит миллион, гипотетически рассуждал замминистра.

«Это очень сложно, нужен пилотный проект для отработки таких моделей», — сделал вывод Шойтов.

Идею оперативно поддержали в Минэкономразвития. Запустить пилот, а официально — экспериментальный правовой режим, предложили именно как способ проверить, насколько работоспособны такие механизмы в реальной среде, где страхование должно сочетаться с понятными требованиями для компаний.

«Высокие штрафы за утечки вводились не для того, чтобы обанкротить бизнес, — объяснил директор департамента цифрового развития ведомства Владимир Волошин. — Требования по обеспечению безопасности и страхованию должны быть понятными и исполнимыми».

Может ли полис стать смягчающим обстоятельством

Точных цифр, сколько же могут стоить данные конкретного россиянина, на круглом столе так и не прозвучало. К вопросу подходили лишь теоретически. Если платить за каждую попавшую в открытый доступ строку, к примеру, по пять тысяч рублей, то уже сейчас понятно, что счет пойдет на триллионы рублей, что сделает любой IT-бизнес нерентабельным, и никакая страховка его не спасет, отметил глава департамента страхового рынка Центробанка Илья Смирнов.

В ВСС предложили двигаться поэтапно: сначала сделать наличие страхового полиса от кибератак смягчающим обстоятельством для организации при назначении штрафа. Для этого нужно снять запрет на страхование штрафов. И только после появления реального механизма можно будет перейти к следующему этапу — компенсациям пострадавшим. Такой сценарий выглядит более реалистично для рынка, где страхование должно дополнять регулирование, а не подменять его.

Как отметил Владимир Новиков, для этого нужен строгий учет согласий, которые дали граждане на обработку их данных, а также однозначная методика определения имущественного ущерба и внесудебная оценка морального вреда. С точки зрения бизнеса это важно не меньше, чем вопросы ответственности в других профессиональных сферах, где уже применяются специальные решения, например Страхование ответственности юристов.

Что дальше

Реестр согласий давно предлагают сделать дополнительной опцией на портале госуслуг, чтобы в личном кабинете каждый человек мог видеть, какие организации располагают сведениями о нем, и мог в любой момент отозвать разрешение на обработку данных. Но реализовать это технически сложно, отмечают эксперты, поэтому пока вопрос компенсаций за утечки остается делом неопределенного будущего.

Тем не менее направление уже сформировано: страхование киберрисков постепенно становится частью более широкой системы защиты граждан и компаний. Для рынка, где банки, кредиты, ипотека, лизинг и инвестиции тесно связаны с обработкой больших массивов данных, это может стать одним из ключевых факторов устойчивости в ближайшие годы.