За кулисами штрафа в 10% от оборота: контроль данных уже вышел на уровень совета директоров

Вопрос AI · Как перемещение ответственности совета директоров меняет цепочку принятия решений по защите данных?

10 марта 2026 года в Южной Корее был проведен новый этап поправок в Закон о защите личной информации.

Эти изменения не являются изолированным административным обновлением, а происходят в очень конкретном контексте — в последние годы в Южной Корее регулярно происходили крупные утечки данных, затрагивающие финансовый, телекоммуникационный, электронный коммерческий и другие секторы, а интенсивность регулирования и правоприменения также увеличивалась. В таких условиях существующая система, ориентированная на соблюдение нормативных требований, все труднее поддерживать ожидания регуляторов.

Именно в этом контексте проявилась очень важная перемена: она не сводится к простому «усилению контроля» за счет увеличения обязательств, а включает корректировку более фундаментальной проблемы — как компании относятся к рискам данных.

С одной стороны, правила были сдвинуты вперед. Вводится механизм, при котором при достижении определенного уровня риска по закону, необходимо немедленно уведомлять регуляторов и пользователей. Таким образом, соблюдение нормативов перестает начинаться с «произошедшего инцидента» и переносится на этап выявления риска; с другой стороны, ответственность была повышена. Усилена ответственность руководителей компаний, введены штрафы до 10% от соответствующего оборота, а руководитель по защите личных данных включен в систему принятия решений и отчетности на уровне совета директоров, что формально интегрирует защиту данных в систему корпоративного управления.

Если рассматривать эти изменения вместе с недавней серией типичных судебных дел, можно заметить более глубокий тренд, чем просто ужесточение регулирования: ключевое внимание регуляторов смещается с вопроса «соблюдаем ли мы правила» к вопросу «есть ли в компании люди, которые делают оценки рисков данных и несут за них ответственность».

До внесения поправок в законодательство в Южной Корее регулярно происходили крупные утечки данных. Например, финансовые учреждения записывали номера регистрации граждан в открытом виде в логах, что приводило к утечкам миллионов пользователей; бренды страдали от атак из-за слабых механизмов контроля доступа и аутентификации, что позволяло злоумышленникам получать доступ к клиентским данным; платформенные компании — из-за отсутствия базовых мер безопасности — сталкивались с масштабными утечками.

На первый взгляд, все эти случаи объединяет одна метка — «атака». Но если смотреть глубже, проблема не в атаках как таковых.

Истинная проблема — в отсутствии у компаний базовых навыков оценки рисков. Какие данные требуют более высокого уровня защиты, в каких частях системы есть структурные уязвимости, могут ли своевременно обнаруживаться аномальные действия — эти вопросы должны были бы постоянно рассматриваться в ходе ежедневной деятельности, но во многих случаях этого не происходило.

Таким образом, эти инциденты выявили не просто отдельные случаи нарушения безопасности, а системные сбои в распознавании рисков, внутреннем контроле и реагировании.

С точки зрения системы, самый очевидный аспект изменений — перенос обязанности уведомлять о рисках на более ранний этап.

Во многих юрисдикциях базовая логика соблюдения данных все еще строится на реакции после инцидента. После утечки компания должна в установленный срок уведомить регуляторов и пользователей. Это классическая модель «после случившегося».

В новой редакции закона Южной Кореи, наоборот, этот порядок был сознательно нарушен.

Согласно статье 34, при выполнении определенных условий, даже если утечка еще не подтверждена, при наличии риска, достигающего законных стандартов, компания обязана начать уведомление. Это означает, что компания не может откладывать решение, ссылаясь на «еще не случившееся», а должна принимать его в условиях неопределенности.

Кроме того, уведомление перестает быть простым информированием. Компания должна четко указать, какие юридические действия могут предпринять пользователи — например, компенсацию ущерба, законные способы разрешения споров и т. д. Таким образом, уведомление превращается из информационной процедуры в юридически значимый акт соблюдения требований.

Но если воспринимать это только как перенос обязанности, это будет поверхностным взглядом. Главное — эта перемена вынуждает компании развивать способность принимать решения в условиях неопределенности — еще до того, как риск полностью реализуется.

Более важным, чем перенос обязанностей, является изменение структуры ответственности.

В этой редакции закона прямо не прописаны штрафы или уголовная ответственность для владельцев или руководителей компаний, однако через ряд механизмов ответственность за защиту данных была явно встроена в систему корпоративного управления. Руководители и представители компаний теперь не просто абстрактные лица, отвечающие в конце концов, а должны через ресурсы и системы обеспечить эффективность мер безопасности. Руководитель по защите данных включен в систему принятия решений и отчетности совета директоров, его назначение, изменения и исполнение должны постоянно контролироваться на уровне управления.

В таких условиях соблюдение нормативов перестает быть задачей только юридического или технического отдела. Обработка данных — это процесс, охватывающий дизайн продукта, архитектуру технологий, операционные процессы, бизнес-решения и внешние партнерства. Риски распределены по всей цепочке бизнес-операций, а не сосредоточены в одном месте. Поэтому соблюдение правил по защите данных — это не только задача юристов или ИТ-специалистов, а комплексная деятельность, требующая ресурсов и координации нескольких отделов под руководством профессионалов.

Ранее многие компании рассматривали это как задачу одного подразделения, что свидетельствует о недостатке понимания важности и характера этой работы. В условиях, когда обязанности по уведомлению были сдвинуты вперед, а оценка рисков должна проводиться в условиях неопределенности, а также когда ресурсы начинают учитываться в оценке регуляторов, все эти вопросы неизбежно выходят на уровень руководства.

Штраф в размере 10% от оборота — безусловно, самый заметный аспект изменений. Но если смотреть только на его жесткость, можно упустить его истинную функцию.

Новые правила связывают крупные штрафы с определенными сценариями — например, повторные крупные нарушения, умышленные или грубые ошибки, приводящие к масштабной утечке данных, или случаи, когда после устранения нарушений происходит повторное нарушение. Также предусмотрено, что при наличии у компании достаточных ресурсов для защиты данных (персонала, бюджета, технологий) штраф может быть снижен.

Это вводит более целенаправленную систему оценки: регулятор теперь не только оценивает результат, но и спрашивает — делали ли компания разумные оценки и выделяли ли для этого ресурсы.

Именно в этом заключается связь между штрафами и структурой ответственности: штраф — это не только наказание за результат, а инструмент, который стимулирует компании отвечать за процесс принятия решений — кто их принимал, на основании каких данных и аргументов.

Иными словами, акцент смещается с результата на процесс принятия решений.

Если рассматривать все эти изменения вместе, можно увидеть более глубокий тренд.

Эта редакция закона — не просто повышение требований к соблюдению, а изменение подхода к управлению данными. Защита данных перестает быть только вопросом соответствия, а становится постоянной задачей оценки, инвестирования и ответственности.

Компании должны не только следовать правилам, но и уметь принимать решения в условиях неопределенности, когда правила еще не полностью сформулированы, а риски еще не реализовались. В этом процессе риск данных становится частью повседневной бизнес-логики. Он перестает быть только пассивной реакцией на инциденты и превращается в переменную, которую нужно постоянно оценивать, взвешивать и управлять.

Следовательно, вопрос «кто отвечает» — не добавляется извне, а возникает естественно после переноса ответственности: когда оценка рисков становится частью ежедневных бизнес-процессов, ответственность должна лежать не только на исполнителях, а на руководстве, обладающем ресурсами и полномочиями принимать решения.

Эти изменения особенно актуальны для компаний, выходящих за границу.

Многие компании — особенно те, что работают за рубежом — не имеют системных внутренних механизмов, стабильных ресурсов и профессиональной поддержки. Внутри организации ответственность за соблюдение правил часто распылена между юридическими, техническими, продуктовыми и безопасностными командами, а при возникновении риска приходится импровизировать. В прошлом это могло работать, но в новых условиях это становится все менее возможным.

Потому что регуляторы требуют не только наличия документов и процедур, а способности своевременно выявлять риски, формировать оценки и координировать действия между отделами, чтобы эти оценки и решения были приняты и одобрены регуляторами. Для большинства компаний, выходящих за границу, это — не навык, который можно развить за короткое время самостоятельно.

Ключевая проблема сместилась: не только в субъективной важности, но и в том, как превратить эту важность в устойчивую систему. Какие риски нужно выявлять в первую очередь, какие вопросы поднимать на уровень руководства, как обеспечить эффективное взаимодействие бизнес, технологий и юриспруденции, и как сохранять единообразие оценки при постоянных изменениях правил.

Практика показывает, что компании, которые быстро выстраивают такие механизмы, делают это не только за счет внутреннего опыта, а через системную работу по реорганизации и структурированию существующих процессов, превращая разрозненные обязанности, неясные границы и задержки в управляемую систему.

Следовательно, влияние этой реформы — не только в соблюдении нормативов, а в способности быстро закрывать пробелы в управлении рисками и закреплять ответственность в организационной структуре.

Аналогичные тенденции проявляются и в Китае. Введение системы ответственного за защиту данных — по сути, тоже движение к концентрации ответственности в ресурсно обеспеченных уровнях. В разных юрисдикциях есть различия в деталях, но логика схожа.

Для компаний, эта перемена ставит очень конкретный вопрос:

В условиях, когда риск еще не реализовался, а правила еще не полностью сформулированы, есть ли в компании люди, способные делать оценки и нести за них ответственность?

Если на этот вопрос нельзя ответить утвердительно, то сама идея соблюдения правил перестает быть границей риска. Истинная опасность — в отсутствии у компании способности принимать решения в условиях неопределенности и в том, чтобы эти решения были приняты на правильном уровне.