Главная
Федеральный закон о персональных данных 2019: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке \ КонсультантПлюс

Федеральный закон о персональных данных 2019: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке \ КонсультантПлюс

Содержание

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке \ КонсультантПлюс

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

(в ред. Федерального закона от 30.12.2020 N 515-ФЗ)

(см. текст в предыдущей редакции)

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

12. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

(часть 12 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

13. Указанная в части 12 настоящей статьи информация (за исключением информации, составляющей государственную тайну) передается федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в уполномоченный орган по защите прав субъектов персональных данных.

(часть 13 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

14. Порядок передачи информации в соответствии с частью 13 настоящей статьи устанавливается совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных.

(часть 14 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

Федеральный закон от 30 декабря 2020 г. N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»»

Свежий номер

РГ-Неделя

Родина

Тематические приложения

Союз

Свежий номер

11. 01.2021 00:00

Поделиться

Федеральный закон от 30 декабря 2020 г. N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»»

Дата подписания: 30.12.2020Опубликован: 11.01.2021

Вступает в силу: 01.03.2021, 01.07.2021

Принят Государственной Думой 23 декабря 2020 года

Одобрен Советом Федерации 25 декабря 2020 года

Статья 1

Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; 2010, N 31, ст. 4173, 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82; 2019, N 52, ст. 7798; 2020, N 17, ст. 2701) следующие изменения:

1) статью 3 дополнить пунктом 11 следующего содержания:

«11) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;»;

2) пункт 10 части 1 статьи 6 признать утратившим силу;

3) статью 9 дополнить частью 9 следующего содержания:

«9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.»;

4) пункт 2 части 2 статьи 10 изложить в следующей редакции:

«2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 101 настоящего Федерального закона;»;

5) дополнить статьей 101 следующего содержания:

«Статья 101. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

1) непосредственно;

2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

10. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

15. Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.»;

6) пункт 3 части 4 статьи 18 изложить в следующей редакции:

«3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 101 настоящего Федерального закона;»;

7) пункт 4 части 2 статьи 22 изложить в следующей редакции:

«4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 101 настоящего Федерального закона;».

Статья 2

1. Настоящий Федеральный закон вступает в силу с 1 марта 2021 года, за исключением абзаца десятого пункта 5 статьи 1 настоящего Федерального закона.

2. Абзац десятый пункта 5 статьи 1 настоящего Федерального закона вступает в силу с 1 июля 2021 года.

Президент Российской Федерации В. Путин

Российская газета — Федеральный выпуск: №1(8352)

Поделиться

Является комментарием к

Федеральный закон о персональных данных

Комментарии Российской Газеты

Убрать личные данные из интернета станет проще

  • Постановление Правительства Российской Федерации от 10 апреля 2023 года № 579 «Об особенностях порядка предоставления обеспечения заявок на участие в закупках товаров, работ, услуг для обеспечения государственных или муниципальных нужд участниками таких закупок, являющимися иностранными лицами»
  • Постановление Правительства Российской Федерации от 3 апреля 2023 года № 528 «Об утверждении особенностей приема на обучение по образовательным программам высшего образования, имеющим государственную аккредитацию, программам подготовки научных и научно-педагогических кадров в аспирантуре (адъюнктуре) в 2023 году»

Подход США к защите конфиденциальности

Поскольку защита конфиденциальности данных стала приоритетом для отдельных лиц, правительства всех уровней приняли различные законы о правах на неприкосновенность частной жизни, чтобы контролировать, как организации собирают, хранят и обрабатывают личную информацию, такую ​​как имена, адреса, медицинские данные, финансовые отчеты и кредитную информацию.

Узнайте больше о законах о конфиденциальности данных в США, а также о том, каких изменений и других изменений можно ожидать в существующих законах, регулирующих персональные данные.

Законы США о конфиденциальности данных

Как обеспечивается соблюдение конфиденциальности данных в США?

Необходимость решения современных проблем конфиденциальности и защиты прав на конфиденциальность данных является глобальной тенденцией. Один из определяющих моментов наступил в мае 2018 года, когда ЕС ввел в действие Общий регламент по защите данных (GDPR) — обширный законодательный акт, который применяется не только к государствам-членам ЕС, но и к любой организации, которая собирает или обрабатывает данные жителей Европы.

Проще говоря, в США нет эквивалента GDPR ЕС. Действительно, по состоянию на 2021 год США являются одной из немногих демократий и единственным членом Организации экономического сотрудничества и развития, у которого нет федерального агентства по защите данных, хотя сенатор Кирстен Гиллибранд и другие предложили создать его. В отсутствие всеобъемлющего закона о защите данных на федеральном уровне США продолжают регулировать конфиденциальность данных с помощью набора законов, принятых на уровне штатов и на федеральном уровне.

Компании должны ознакомиться со всеми применимыми законами, прежде чем они начнут собирать или обрабатывать какие-либо данные, которые могут считаться «личными данными». Несоблюдение применимых законов о конфиденциальности данных может привести к судебным искам и штрафам.

Федеральные законы о конфиденциальности в США и их применение

Федеральные законы, которые считаются законами о конфиденциальности данных, включают:

  • Закон Грэмма-Лича-Блайли (GLBA): требует, чтобы финансовые корпорации объясняли, как они защищают конфиденциальные данные клиентов и делятся ими.0024
  • Закон о переносимости и подотчетности медицинского страхования (HIPAA): Этот федеральный закон регулирует раскрытие и использование защищенной медицинской информации (PHI).
  • Закон о защите конфиденциальности детей в Интернете (COPPA): Этот закон ограничивает сбор личной информации о детях младше 13 лет.
  • Закон о правах семьи на образование и конфиденциальность (FERPA): Этот федеральный закон защищает конфиденциальность личных данных учащихся и применяется ко всем школам, которые получают средства от Министерства образования США.
  • Закон о достоверной кредитной отчетности (FCRA): Регулирует сбор и использование информации о потребителях

На федеральном уровне Федеральная торговая комиссия (FTC) обладает широкой юрисдикцией в отношении коммерческих организаций для предотвращения «мошеннических торговых практик», которые могут включать вопросы конфиденциальности данных. FTC имеет право обеспечивать соблюдение законов о конфиденциальности, издавать правила и принимать меры для защиты потребителей. В частности, FTC может действовать против компаний, которые:

  • Неспособность создать, внедрить и поддерживать разумные меры по нарушению безопасности данных
  • Нарушение прав потребителей на конфиденциальность данных путем сбора, обработки или обмена информацией о потребителях без их согласия
  • Публиковать и устанавливать неточные или вводящие в заблуждение политики конфиденциальности и безопасности для потребителей на веб-сайтах и ​​в приложениях
  • Собирать, обрабатывать, передавать или делиться личной информацией способами, не указанными в политике конфиденциальности

Законы штата о конфиденциальности данных в США

Во многих штатах США также действуют собственные законы о конфиденциальности и безопасности данных. Генеральные прокуратуры штатов несут ответственность за надзор за соблюдением этих законов.

Положения на государственном уровне часто содержат дублирующие друг друга или несовместимые положения. Например, все 50 штатов США приняли законы об уведомлении об утечке данных, но существуют различия в определении персональных данных и даже в том, что представляет собой утечку данных. Точно так же по крайней мере 35 штатов (и Пуэрто-Рико) ввели в действие те или иные правила удаления данных, причем многие из этих законов конкретно касаются цифровых данных.

Вот основные принятые законы о конфиденциальности данных по штатам:

Закон штата Калифорния о конфиденциальности потребителей

Вступление в силу Дата: 1 января 2020 г. инициатива голосования в ответ на растущую обеспокоенность общественности по поводу объема частных данных, которые цифровые и технологические компании в Силиконовой долине незаметно собирают и продают на протяжении десятилетий. Калифорнийский закон включает в себя основные принципы требований к защите данных и конфиденциальности данных в GDPR Европейского Союза.

CCPA регулирует сбор, продажу и раскрытие личной информации жителей Калифорнии. Он применяется к деятельности предприятий, поставщиков услуг, обслуживающих предприятия, и третьих лиц (которые могут быть отдельными лицами или организациями). Одним из ключевых условий закона является то, что предприятия должны оперативно отвечать на запросы потребителей Калифорнии относительно того, какие личные данные собираются о них и продаются ли они или разглашаются. Закон не допускает дискриминации потребителей, осуществляющих свои права; потребителям должно быть предоставлено такое же качество обслуживания, даже если они возражают против определенного действия, такого как продажа их данных. Поставщики услуг могут использовать данные потребителей только по указанию бизнеса, который они обслуживают, и должны удалять личную информацию потребителя из своих записей по запросу.

Область действия : CCPA применяется ко всем коммерческим предприятиям, действующим в Калифорнии, которые удовлетворяют определенным условиям, таким как порог дохода. Он имеет экстерриториальное действие, поскольку распространяется на предприятия, не входящие в штат Калифорния, но работающие в Калифорнии.

Другие важные факты:

  • Определенные конфиденциальные данные не подпадают под действие требований CCPA, включая защищенную медицинскую информацию (PHI), уже подпадающую под действие Закона о переносимости и подотчетности медицинского страхования (HIPAA), медицинскую информацию, уже подпадающую под действие Закона штата Калифорния о конфиденциальности Закон о медицинской информации и некоторая информация, подпадающая под действие Закона Грэмма-Лича-Блайли (GLBA).
  • В настоящее время закон требует, чтобы предприятия распространяли права, предоставляемые CCPA, на своих сотрудников. Однако на рассмотрении находится законопроект, который внесет поправки в этот закон, чтобы исключить сотрудников из определения «потребитель».
  • Когда компания получает запрос о собранной и хранимой информации о физическом лице, она должна убедиться, что человек, делающий запрос, действительно является тем, за кого он себя выдает, прежде чем отвечать.

Штрафы за нарушения : Закон дает компаниям 30 дней на «лечение» нарушений. Неустранение нарушения влечет за собой гражданский штраф в размере до 7500 долларов США за каждое преднамеренное нарушение и 2500 долларов США за каждое непреднамеренное нарушение.

Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA)

Официальное название: Предложение 24

Дата вступления в силу: 1 января 2023 г., но не будет применяться до 1 июля 2023 г. дает новые права потребителям, такие как право на:

  • Исправление неточной информации.
  • Собирать личную информацию с учетом целевых ограничений и минимизации данных.
  • Получите уведомление от компаний, планирующих использовать конфиденциальную личную информацию, и попросите их прекратить это.
    Это включает биометрическую информацию, генетические данные и любую информацию, касающуюся здоровья человека, сексуальной ориентации или сексуальной жизни.

Область действия: Этот закон имеет более широкую сферу применения, чем CCPA, поскольку он предлагает следующие расширенные права потребителям:

  • Право подавать в суд на предприятия, когда они раскрывают пароли и имена пользователей: CPRA расширяет определение CCPA « личная информация», включая имена пользователей и пароли.
  • Право отказаться от обмена информацией с третьими лицами: В соответствии с Законом о защите конфиденциальности и защиты населения (CCPA) этот вопрос обсуждался, поскольку «продажа» явно не включала в себя передачу. С помощью CPRA потребители теперь могут отказаться от продажи и передачи личной информации третьим лицам.
  • Право на доступ к дополнительной информации:     Потребители могут запросить доступ к любой личной информации, собранной предприятием, а не только к информации, собранной за предшествующий 12-месячный период.

Другие важные факты: Этот закон также создает новое агентство по защите конфиденциальности, Калифорнийское агентство по защите конфиденциальности (CPPA), которое будет нести ответственность за правоприменение.

Штрафы за нарушения: Штрафы могут составлять от 2500 до 7500 долларов США, в зависимости от того, являетесь ли вы юридическим или физическим лицом. Существуют также автоматические штрафы в размере 7500 долларов США за нарушение данных несовершеннолетних (лиц, не достигших 16-летнего возраста).

Закон штата Колорадо о конфиденциальности (CPA)

Официальное название: SB 21-190

Дата вступления в силу: 1 июля 2023 г. или услуги, предназначенные для жителей Колорадо, которые:

  • Контролируют или обрабатывают персональные данные 100 000 или более потребителей в течение одного года
  • Получать доход или получать скидки на цены услуг или товаров от продажи, обработки или управления персональными данными 25 000 или более потребителей

Начиная с 1 июля 2024 г. контролеры, отвечающие вышеуказанным требованиям, должны разрешать отказ от целевых продаж и рекламы. CPA также дает жителям Колорадо право доступа, исправления и удаления своих личных данных в дополнение к праву на переносимость данных. У контролеров будет 45 дней, чтобы ответить на запросы.

Область применения: В отличие от Калифорнийского закона о конфиденциальности потребителей от 2018 года, CPA не имеет порога применимости в денежном выражении. Это означает, что каждый бизнес должен учитывать этот закон. Однако это не относится к следующим учреждениям:

  • Финансовые учреждения, подпадающие под действие GLBA
  • Различные типы данных, связанных со здравоохранением
  • Данные регулируются FERPA

В отличие от законов Калифорнии, CPA не исключает некоммерческие организации.

Другие важные факты: CPA обязывает контролеров заключать соглашения об обработке данных (DPA) с обработчиками. Контроллеры также должны будут проводить и регистрировать оценки защиты данных.

Штрафы за нарушения: Нет частного права на иск, поэтому генеральный прокурор Колорадо и окружные прокуроры будут обеспечивать соблюдение CPA. Они могут требовать возмещения денежного ущерба или судебного запрета. Однако, прежде чем принимать меры, генеральный прокурор и окружные прокуроры должны направить уведомление о нарушении и предоставить компаниям или частным лицам 60 дней на устранение предполагаемого нарушения. После января 2025 года это «право на исправление» будет заменено правом контролера запрашивать указания у Генеральной прокуратуры.

Закон о защите потребительских данных Вирджиния (CDPA)

Официальное название: SB-1392

Дата вступления в силу: 1 января 2023

Проводные: CDPA предоставляет потребителя с шестью правами:

1
  • : . Право на исправление
  • Право доступа
  • Право на переносимость данных
  • Право на удаление
  • Право на отказ
  • Право на обжалование

    • Область действия: Этот закон применяется к организациям, которые ведут бизнес в Вирджинии или создают услуги или продукты, предназначенные для жителей Вирджинии, которые:

    • Контролировать или обрабатывать персональные данные более 100 000 потребителей в течение года
    • Контролировать или обрабатывать персональные данные более 25 000 потребителей и получать не менее половины их валового дохода от продажи персональных данных

    Как и CPA в Колорадо, CPDA в Вирджинии не имеет порога дохода. Это означает, что предприятия всех размеров должны обратить внимание на этот закон.

    Определение «потребитель» не включает лицо, действующее по найму или в коммерческом контексте. Это отличает его от CPRA, который включает данные о сотрудниках. Соответственно, предприятиям не придется учитывать данные сотрудников при принятии решения о применении к ним CPDA.

    Другие важные факты: Как и GDPR ЕС и CCPA Калифорнии, CDPA имеет положение, ограничивающее сбор данных теми данными, которые «адекватны, актуальны и разумно необходимы в связи с целями, для которых данные обрабатываются».

    Штрафы за нарушения: Как и CPA штата Колорадо, CDPA штата Вирджиния не имеет частного права на иск. Правоприменение является обязанностью Генерального прокурора. У контролера есть 30 дней на устранение нарушения после того, как генеральный прокурор уведомит контролера о принятии мер. Если контролер не устранит нарушение в течение этого периода, генеральный прокурор может оштрафовать его на сумму до 7500 долларов за каждое нарушение.

    Закон штата Невада о конфиденциальности в Интернете (SB260)

    Официальное название: BDR-52-253

    Дата вступления в силу: 1 октября 2021 г.

    Положения: от продажи их личной информации. Это также создает новые требования для «брокеров данных», которые определяются как организации, основным видом деятельности которых является продажа информации о потребителях от операторов или других брокеров данных. Брокеры данных должны установить специальный адрес, по которому потребители могут потребовать от брокера данных прекратить продажу их информации. Брокер данных должен будет ответить в течение 60 дней с момента получения.

    Сфера действия: Закон расширяет сферу действия права отказа, но сфера охвата «защищенной информации» уже, чем «личная информация», определяемая аналогичными законами.

    «Покрываемая информация» ограничена:

    • Имя и фамилия
    • Домашний/физический адрес
    • Адрес электронной почты
    • Номера телефонов
    • Номера социального страхования
    • Идентификаторы, позволяющие связаться с человеком лично или через Интернет

    Другие важные факты: Законопроект вносит поправки в законы штата Невада об уведомлении о конфиденциальности в Интернете, такие как NRS 603A. 300-360.

    Штрафы за нарушения: Генеральному прокурору штата Невада поручено обеспечить соблюдение этого закона. Суд вынесет временный или постоянный судебный запрет или гражданский штраф в размере до 5000 долларов США за нарушение.

    Закон штата Массачусетс о конфиденциальности данных

    Официальное название : Стандарты защиты личной информации резидентов Содружества (201 CMR 17.00)

    Дата вступления в силу : 1 марта 2010 г.

    Положения : Этот закон содержит требования по защите жителей штата Массачусетс от кражи личных данных и мошенничества.

    Сфера действия : Любая организация, которая лицензирует, хранит или поддерживает личные данные о жителях Массачусетса, должна внедрить комплексную программу информационной безопасности.

    Другие важные факты:

    • Закон требует, чтобы компании имели специального человека для запуска программы безопасности данных и проведения регулярного обучения сотрудников.
    • Закон также требует, чтобы предприятия предпринимали «разумные шаги» для проверки того, что сторонние поставщики услуг, имеющие доступ к личной информации, могут защитить эту информацию.
    • Закон защищает безопасность и конфиденциальность личной информации как потребителей, так и сотрудников, включая имя, фамилию, номер социального страхования, номер водительских прав, номер удостоверения личности, выданного штатом, номер финансового счета, номер кредитной или дебетовой карты и любой код доступа, который позволяет получить доступ к финансовой информации человека. Однако он исключает информацию, полученную из общедоступных источников.
    • Массачусетс также работает над регулированием конфиденциальности данных, подобным CCPA. В случае принятия SD.341 «Закон о конфиденциальности данных потребителей» планируется вступить в силу 1 января 2023 года.

    Штрафы за нарушения : Управление по делам потребителей и регулированию бизнеса отвечает за правоприменение. Каждое умышленное нарушение закона может повлечь за собой гражданский штраф в размере до 5000 долларов США плюс «разумные расходы на расследование и судебное разбирательство такого нарушения, включая разумные гонорары адвокатов».

    Закон штата Миннесота о конфиденциальности данных

    Официальное название : Закон штата Миннесота о практике работы с данными (MGDPA) (Закон штата Миннесота, § 13)

    Дата вступления в силу : 1979

      Положения о защите прав физических лиц для доступа к правительственным данным и контролирует сбор, хранение, использование и распространение частных данных. Он устанавливает систему классификации для различения различных типов информации, таких как данные об образовании и данные правоохранительных органов. Кроме того, данные о физических лицах помечаются как общедоступные или непубличные, а данные, не относящиеся к физическим лицам, помечаются как непубличные или защищенные непубличные

      Область применения : Закон применяется к любому государственному учреждению штата Миннесота.

      Другие ключевые факты:

      • Закон требует, чтобы каждое государственное учреждение назначало «ответственный орган», который устанавливает процедуры, обеспечивающие «получение и выполнение запросов на данные надлежащим и оперативным образом». Если государственное учреждение хочет собрать личные или конфиденциальные данные человека, оно должно предоставить этому лицу уведомление о конфиденциальности, называемое «Tennessen» 9.0024
      • В случае возникновения спора между государственным органом и лицом в отношении практики работы с данными, лицо может запросить консультативное заключение у Комиссара по административным вопросам.

      Штрафы за нарушения : Санкции могут включать гражданский иск за умышленное нарушение или оплату услуг адвоката, если государственный орган не выполняет консультативное заключение. За умышленные нарушения суд также может наложить уголовную ответственность на государственных служащих, отстранить их от должности без сохранения заработной платы или уволить.

      Предлагаемые законы штата США о конфиденциальности данных

      Все вышеперечисленные законы о конфиденциальности данных приняты, но некоторые законы обсуждаются. К ним относятся следующие:

      Закон штата Огайо о конфиденциальности (OPPA)

      Официальное название : Законопроект Палаты представителей 376

      Описание: Этот законопроект аналогичен законодательству, принятому в Калифорнии, Вирджинии и Колорадо. Если он будет принят, он даст жителям Огайо определенные цифровые права и наложит обязательства на любой бизнес, который собирает личные данные потребителей из Огайо.

      Закон о конфиденциальности потребителей Северной Каролины (CPA)

      Официальное название : Сенатский законопроект 569

      Описание: В случае принятия этот закон предоставит потребителям Северной Каролины следующие права:

      • Право на получение информации и доступ
      • Право на исправление
      • Право на удаление
      • Право на отказ
      • Частное право иска

      Это будет применяться ко всем предприятиям, которые ориентируют свои услуги и продукты на жителей Северной Каролины и которые:

      • Обрабатывать или контролировать персональные данные 100 000 или более потребителей ежегодно
      • Обрабатывать или контролировать персональные данные не менее 25 000 потребителей и получать более половины валового дохода от продажи этих персональных данных.

      Закон штата Род-Айленд о прозрачности данных и защите конфиденциальности

      Официальное название : HB 5959

      Описание: Этот законопроект описывает методы обмена информацией и требует прозрачности в том, как собираются данные о потребителях, требуя от некоторых компаний раскрытия политики конфиденциальности. . В случае принятия закон поможет потребителям идентифицировать личную информацию, собранную, переданную или проданную третьим лицам поставщиками онлайн-услуг и коммерческими веб-сайтами.

      Закон о конфиденциальности данных потребителей штата Пенсильвания

      Официальное название : Счет Палаты представителей 1126

      Описание: Этот закон применяется к коммерческим компаниям, отвечающим всем следующим критериям:

      • Ведение бизнеса в Пенсильвании
      • Сбор, обмен или продажа личной информации потребителей
      • Самостоятельно или вместе с другими определять цели и средства обработки личной информации потребителей
      • Соответствует одному из следующих требований:
        • Получать половину своего годового дохода от продажи личной информации потребителей
        • Ежегодно покупать, делиться или продавать (самостоятельно или совместно с другими) личную информацию 50 000 потребителей, устройств или домохозяйств
        • Иметь годовой валовой доход не менее 10 миллионов долларов

      Нью-Джерси — Три законопроекта о конфиденциальности данных

      Официальные названия: A5448, A3283 и A3255

      Описание:

      A5448 и A3255 преследуют схожие цели: они требуют, чтобы предприятия по сбору платежей лично уведомляли потребителей и раскрывали информацию о сборе платежей. идентифицирующую информацию и позволить потребителям отказаться.

      A3283, Закон Нью-Джерси о раскрытии информации и прозрачности подотчетности (NJ DaTA), устанавливает требования к раскрытию и обработке личной информации. Законопроект также предусматривает создание Управления по защите данных и ответственному использованию в Отделе по делам потребителей.

      Закон штата Массачусетс о конфиденциальности информации (MIPA)

      Официальное название : S.46

      Описание: Этот законопроект представляет собой модифицированную версию Закона о конфиденциальности людей в штате Вашингтон. Это защитит потребителей от несанкционированного сбора, использования и монетизации их личной информации, включая местоположение и биометрические данные; запрещать дискриминацию на основе личной информации и защищать работников от необоснованного электронного контроля на рабочем месте.

      Гавайи Закон о защите прав потребителей

      Официальное название : SB 418

      Описание: Этот предлагаемый законопроект предоставит потребителям право доступа, удаления и отказа от продажи их личной информации. Как и CCPA, он имеет широкое определение «личной информации». Он имеет те же основные средства защиты и права, что и CCPA, но не определяет, что такое «бизнес», поэтому не исключает предприятия по размеру.

      Закон штата Нью-Йорк о конфиденциальности потребителей (NYPA)

      Официальное название: Сенатский законопроект S567

      Описание: Предлагаемый Нью-Йоркский закон о конфиденциальности данных очень похож на CCPA. Это позволит людям узнать, какие данные о них собрала компания и с кем они ими поделились, запросить у компании исправление или удаление данных и отказаться от передачи или продажи своих данных третьим лицам. NYPA дополнит существующий в Нью-Йорке закон об уведомлении об утечке данных, расширив защиту личной информации.

      Предлагаемый законопроект устанавливает высокие стандарты защиты конфиденциальности данных, такие как следующие:

      • Он налагает фидуциарные обязанности на любое юридическое лицо, которое собирает, продает или лицензирует личные данные, и определяет эти обязанности в широком смысле. Предприятия должны защищать личные данные потребителей от любого риска, который их затрагивает. Более того, в нем говорится, что фидуциарная ответственность за данные заменяет «любые обязанности перед владельцами или акционерами».
      • Он сильнее, чем законы других штатов, поскольку требует от компаний ставить конфиденциальность своих клиентов выше собственной прибыли. В этом законе о конфиденциальности есть очень спорная строчка, в которой говорится, что организации должны «действовать в интересах потребителя». Однако это не объясняет, что компании должны на самом деле понимать в отношении интересов жителей Нью-Йорка и других клиентов.
      • Он предлагает частное право на иск, предоставляя потребителям право напрямую предъявлять иски компаниям в связи с нарушением конфиденциальности, а не оставляя правоприменение Генеральному прокурору штата.

      Заключение

      Штаты США принимают собственные правила конфиденциальности данных и кибербезопасности, поскольку, в отличие от ЕС, США еще не приняли всеобъемлющий федеральный закон о конфиденциальности данных. Ситуация будет продолжать усложняться по мере того, как в ближайшие месяцы и годы вступит в силу больше законов штата. Чтобы избежать серьезных штрафов, судебных исков и других последствий несоблюдения требований, организациям следует внимательно изучить законы США о конфиденциальности данных и убедиться, что они соответствуют всем применимым требованиям.

       

      Часто задаваемые вопросы

      Какие законы США предъявляют требования к обеспечению конфиденциальности данных?

      Ввиду отсутствия всеобъемлющего федерального законодательства, регулирующего конфиденциальность данных, в США действуют отраслевые законы и законы отдельных штатов, которые контролируют обмен определенными типами персональных данных. Эти законы включают:

      • Закон о конфиденциальности от 1974 г. — защищает личную информацию, хранимую федеральными агентствами
      • Закон о переносимости и подотчетности медицинского страхования (HIPAA) и Закон об информационных технологиях здравоохранения для экономического и клинического здравоохранения (HITECH) — Защищает личную медицинскую информацию (PHI)
      • Закон Грэмма-Лича-Блайли (GLBA) — Защита финансовой информации
      • Закон о защите конфиденциальности детей в Интернете (COPPA) — защищает конфиденциальность детей
      • Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) — защищает личную информацию учащихся
      • Закон штата Калифорния о конфиденциальности потребителей (CCPA) — защищает права на неприкосновенность частной жизни жителей Калифорнии
      • The New York SHIELD Act — Защищает личную и частную информацию жителей штата Нью-Йорк
      Какие типы данных подпадают под действие законов США о конфиденциальности?

      Информация, считающаяся конфиденциальной в соответствии с законодательством США, включает:

      • Персональные данные (PII) — Информация, которая может быть использована для идентификации, установления контакта или местонахождения человека или для различения одного человека от другого, например, имя, адрес и Номер социального страхования
      • Личная медицинская информация (PHI) — Информация о состоянии здоровья, история болезни, страховая информация и другие личные данные, которые собираются поставщиками медицинских услуг и могут быть связаны с определенным лицом
      • Личная финансовая информация (PIFI) — Номера кредитных карт, реквизиты банковского счета или другие данные, касающиеся финансов человека
      • Записи учащихся — Индивидуальные оценки, стенограммы, расписание занятий, платежные реквизиты и другие записи об образовании
      Что защищает Закон о конфиденциальности 1974 г. ?

      Закон о конфиденциальности от 1974 г. регулирует порядок ведения федеральными агентствами личных документов федерального правительства и требует, чтобы федеральные агентства соблюдали различные строгие требования к ведению документации. Это позволяет людям получать доступ к записям о себе, узнавать, были ли эти записи раскрыты, и запрашивать исправления или поправки к этим записям, если только записи не подпадают под действие закона.

      В скольких штатах США действуют законы о конфиденциальности данных?

      По крайней мере, в 16 штатах действуют законы о конфиденциальности данных, а в трех из них действуют всеобъемлющие законы о конфиденциальности данных потребителей. В Калифорнии был принят хорошо известный Калифорнийский закон о конфиденциальности потребителей (CCPA), который послужил толчком к принятию аналогичных законов в Колорадо и Вирджинии.

      Распространяются ли федеральные законы США и законы штата о конфиденциальности на иностранные компании?

      Это зависит от нескольких факторов, включая влияние на отдельных лиц, влияние на торговлю в США и наличие у компании дочерней компании в США. Иностранные компании могут подпадать под действие законов США, если они собирают, обрабатывают или передают личную Информация о резидентах США. Например, если иностранная компания ведет бизнес в Калифорнии и собирает личную информацию жителей Калифорнии, в то время как потребители находятся в Калифорнии, она подпадает под действие закона CCPA.

      Чем законы о конфиденциальности в США отличаются от GDPR ЕС?

      GDPR — это комплексный мандат на конфиденциальность данных, который распространяется на все государства-члены и любую компанию в мире, которая собирает или обрабатывает данные резидентов ЕС. В США нет эквивалентного закона; вместо этого конфиденциальность данных регулируется набором отраслевых федеральных законов и законов различных штатов.

      Стоит упомянуть одно конкретное право, защищенное GDPR: право на забвение, то есть право требовать удаления личной информации из записей организации. Это право часто считается несовместимым с правом на свободу слова, закрепленным в Первой поправке к Конституции Соединенных Штатов, поскольку принуждение к исключению информации из перечня может рассматриваться как ограничение свободы слова и риск цензуры. Тем не менее, несколько законов в США предлагают ту или иную форму права на забвение. Например, COPPA позволяет родителям просматривать и удалять информацию о своих детях, а CCPA позволяет жителям Калифорнии запрашивать удаление своих записей с некоторыми ограничениями.

      Состояние законов о конфиденциальности данных потребителей в США (и почему это важно)

      Мы независимо проверяем все, что рекомендуем. Когда вы покупаете по нашим ссылкам, мы можем получать комиссию. Узнать больше›

      Real Talk

      Советы, выбор персонала, разрушение мифов и многое другое. Позвольте нам помочь вам.

      Иллюстрация: Дана Дэвис

      Поделиться этой публикацией

      Чем больше вещей люди покупают, будучи подключенными к Интернету, тем больше наших обзоров и рекомендаций на Wirecutter включают длинные разделы с подробным описанием функций конфиденциальности и безопасности. таких продуктов, от умных термостатов до фитнес-трекеров. Поскольку данные, которые собирают эти устройства, продаются и передаются, а также взламываются, принятие решения о том, какие риски вас устраивают, является необходимой частью осознанного выбора. И эти риски сильно различаются, отчасти потому, что не существует единого всеобъемлющего федерального закона, регулирующего сбор, хранение или обмен данными о клиентах в большинстве компаний.

      Большая часть экономики данных, лежащей в основе обычных продуктов и услуг, невидима для покупателей. По мере того, как ваши данные передаются между бесчисленным количеством третьих лиц, появляется не только больше компаний, получающих прибыль от ваших данных, но и больше возможностей для утечки или взлома ваших данных таким образом, что причиняет реальный вред. Только за последний год мы видели, как новостное издание использовало псевдонимные данные приложения, предположительно просочившиеся от рекламодателя, связанного с приложением для знакомств Grindr, чтобы разоблачить священника. Мы читали о том, что правительство США покупает данные о местоположении у молитвенного приложения. Исследователи обнаружили, что приложения для лечения опиоидной зависимости обмениваются конфиденциальными данными. А в T-Mobile недавно произошла утечка данных, которая затронула как минимум 40 миллионов человек, у некоторых из которых даже никогда не было учетной записи T-Mobile.

      «У нас есть эти компании, которые собирают просто гигантские объемы данных о каждом из нас, весь день, каждый день», — сказала Кейт Руан, старший советник по законодательным вопросам по Первой поправке и конфиденциальности потребителей в Американском союзе гражданских свобод. . Руан также указал, что данные в конечном итоге используются неожиданным образом — намеренно или нет, — например, для таргетинга рекламы или корректировки процентных ставок в зависимости от расы. «Ваши данные берутся и используются во вред».

      Законы о конфиденциальности данных потребителей могут дать людям право контролировать свои данные, но при ненадлежащем исполнении такие законы также могут сохранить статус-кво. — Мы можем это остановить, — продолжил Руан. «Мы можем создать лучший Интернет, лучший мир, в котором будет больше защиты конфиденциальности».

      Что (не) делают действующие национальные законы о конфиденциальности

      В настоящее время законы о конфиденциальности представляют собой беспорядочную смесь различных отраслевых правил. «Исторически сложилось так, что в США существует множество разрозненных федеральных [и государственных] законов, — говорит Эми Степанович, исполнительный директор Silicon Flatirons Center в Colorado Law. «[Они] либо смотрят на определенные типы данных, такие как кредитные данные или информацию о здоровье, — сказал Степанович, — либо смотрят на определенные группы населения, такие как дети, и регулируют в этих сферах».

      В Соединенных Штатах нет единого закона, регулирующего конфиденциальность всех типов данных. Вместо этого в нем есть набор законов, которые обозначаются такими аббревиатурами, как HIPAA, FCRA, FERPA, GLBA, ECPA, COPPA и VPPA.

      Данные, собираемые подавляющим большинством продуктов, которые люди используют каждый день, не регулируются. Поскольку федеральных законов о конфиденциальности, регулирующих многие компании, нет, они практически вольны делать с данными все, что хотят, если только в штате нет собственного закона о конфиденциальности данных (подробнее об этом ниже).

      • В большинстве штатов компании могут использовать, делиться или продавать любые данные, которые они собирают о вас, не уведомляя вас об этом.
      • Ни одно национальное законодательство не устанавливает, когда (или если) компания должна уведомлять вас, если ваши данные взломаны или раскрыты неуполномоченным сторонам.
      • Если компания передает ваши данные, включая конфиденциальную информацию, такую ​​как ваше здоровье или местонахождение, третьим лицам (например, брокерам данных), эти третьи стороны могут в дальнейшем продавать или передавать их без уведомления вас.

      «Большинство людей верят, что они защищены, пока это не оказывается таковым», — сказал Ашкан Солтани, независимый исследователь и бывший главный технолог Федеральной торговой комиссии. «К сожалению, поскольку эта экосистема в основном скрыта от глаз и непрозрачна, потребители не могут видеть и понимать поток информации».

      Всеобъемлющий европейский закон о конфиденциальности, Общий регламент по защите данных (GDPR), требует от компаний запрашивать некоторые разрешения на обмен данными и дает отдельным лицам права доступа, удаления или контроля над использованием этих данных. В Соединенных Штатах, напротив, нет единого закона, регулирующего конфиденциальность всех типов данных. Вместо этого в нем есть набор законов, обозначаемых такими аббревиатурами, как HIPAA, FCRA, FERPA, GLBA, ECPA, COPPA и VPPA, предназначенных для обработки только определенных типов данных в особых (часто устаревших) обстоятельствах.

      • Закон о переносимости и подотчетности медицинского страхования (HIPAA) имеет мало общего с конфиденциальностью и распространяется только на общение между вами и «застрахованными лицами», к которым относятся врачи, больницы, аптеки, страховые компании и другие подобные предприятия. Люди склонны думать, что HIPAA охватывает все данные о здоровье, но это не так. Например, ваши данные Fitbit не защищены, и закон не ограничивает, кто может запрашивать ваш статус прививки от COVID-19.
      • Закон о достоверной кредитной отчетности (FCRA) распространяется на информацию, содержащуюся в вашем кредитном отчете. Он ограничивает круг лиц, которым разрешено просматривать кредитный отчет, информацию, которую могут собирать бюро кредитных историй, и способы получения информации.
      • Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) подробно описывает, кто может запрашивать документы об образовании учащихся. Это включает в себя предоставление родителям, правомочным учащимся и другим школам права проверять документы об образовании, которые ведет школа.
      • Закон Грэмма-Лича-Блайли (GLBA) требует, чтобы потребительские финансовые продукты, такие как кредитные услуги или услуги инвестиционного консультирования, объясняли, как они обмениваются данными, а также право клиента на отказ. Закон не ограничивает использование компаниями собираемых ими данных, если они заранее сообщают о таком использовании. По крайней мере, он пытается защитить некоторые личные данные.
      • Закон о конфиденциальности электронных коммуникаций (ECPA) ограничивает прослушивание правительственными телефонными разговорами телефонных звонков и других электронных сигналов (хотя Закон США о патриотизме многое изменил). Он также устанавливает общие правила, касающиеся того, как работодатели могут отслеживать общение сотрудников. Критики часто отмечают, что ECPA, принятый в 1986 году, устарел. Поскольку ECPA был написан задолго до появления современного Интернета, он не защищает от современных тактик наблюдения, таких как доступ правоохранительных органов к старым данным, хранящимся на серверах, в документах облачного хранилища и в поисковых запросах.
      • Правило о защите конфиденциальности детей в Интернете (COPPA) налагает определенные ограничения на сбор компанией данных о детях младше 13 лет.
      • Закон о защите конфиденциальности видео (VPPA) запрещает раскрытие записей об аренде видеокассет. Сейчас этот закон может показаться глупым, но он был принят после того, как журналист вытащил видеопрокат кандидата в Верховный суд Роберта Борка. Однако VPPA не устояла против стриминговых компаний.
      • Закон о Федеральной торговой комиссии (Закон о Федеральной торговой комиссии) уполномочивает Федеральную торговую комиссию преследовать приложение или веб-сайт, которые нарушают ее собственную политику конфиденциальности. FTC также может расследовать нарушения маркетинговых формулировок, связанных с конфиденциальностью, как это было, когда она подала жалобу на Zoom за обман пользователей, заявив, что видеочаты были зашифрованы сквозным шифрованием. Некоторые группы также недавно призвали Федеральную торговую комиссию распространить эту власть на неправомерные действия с данными.

      Среди множества различных законов легко увидеть, как люди путаются в том, какие права у них есть, а какие нет. Чтобы добавить к этому, наряду с этими федеральными законами также есть несколько законов штатов.

      Всего в трех штатах действуют всеобъемлющие законы о конфиденциальности данных

      Изображение: IAPP

      В настоящее время в трех штатах США действуют три различных всеобъемлющих закона о конфиденциальности потребителей: Калифорния (CCPA и его поправка, CPRA), Вирджиния (VCDPA) и Колорадо (ColoPA). . Независимо от того, в каком штате находится компания, права, предусмотренные законодательством, распространяются только на людей, проживающих в этих штатах.

      «Многие положения подтверждают бизнес-модель. [VCDPA], по сути, позволяет компаниям, занимающимся сбором больших данных, продолжать делать то, что они делали раньше». — Кейт Руан, старший юрисконсульт Американского союза гражданских свобод

      Эти законы имеют схожие положения, которые, как правило, дают вам определенное уведомление и возможность выбора в управлении вашими данными. По сути, компания, работающая в соответствии с этими правилами, должна сообщить вам, продает ли она ваши данные; у вас также есть выбор, согласны вы с этим или нет, и у вас есть право доступа, удаления, исправления или перемещения ваших данных. Эти законы немного отличаются в других аспектах, например, в разрешенных периодах исправления (количество времени, которое компания должна исправить ошибку), размере или уровне доходов предприятий, к которым применяется закон, а также в том, можете ли вы использовать инструменты или «уполномоченные агенты» для запросов на отказ (например, настройка в вашем веб-браузере, которая автоматически отключает вас от продажи данных на веб-странице, или служба, в которой другой человек делает запросы на отказ от вас).

      Эксперты, с которыми мы разговаривали, назвали систему защиты конфиденциальности в Калифорнии самой надежной в США, поскольку правила включают ограниченное «частное право на иск» — возможность подать в суд на компанию — в отношении определенных типов утечек данных. Калифорния также требует «глобального отказа», чтобы отказаться от обмена данными с помощью устройства или браузера, вместо того, чтобы быть вынужденным отказаться на каждом сайте в отдельности. Напротив, некоторые из экспертов, с которыми мы беседовали, скептически отнеслись к Закону о защите данных потребителей штата Вирджиния. «Я бы посчитал [VCDPA] довольно слабым законопроектом», — сказал Руан из ACLU. «Это основано на согласии на отказ. Нет защиты гражданских прав. Частного права на иск нет. Многие положения подтверждают бизнес-модель. По сути, это позволяет компаниям, занимающимся сбором больших данных, продолжать делать то, что они делали раньше». Ничто из этого не должно вызывать удивления, учитывая, что закон Вирджинии был написан при активном участии Amazon.

      По крайней мере еще четыре штата, Массачусетс, Нью-Йорк, Северная Каролина и Пенсильвания, в настоящее время рассматривают серьезные комплексные предложения по конфиденциальности данных потребителей. В других штатах действуют различные законы на ранних стадиях. Может быть сложно отследить статус всех этих предложений, но у Международной ассоциации профессионалов в области конфиденциальности есть трекер, который показывает, в каких штатах действует законодательство о конфиденциальности и где эти законопроекты находятся в процессе. Согласно исследованию The Markup, по крайней мере 14 предложений аналогичны более слабому закону Вирджинии.

      Как и в случае с национальными законами, существуют законы на уровне штатов, которые охватывают отдельные аспекты конфиденциальности данных. В штате Миссури действуют правила конфиденциальности электронных книг. Закон Иллинойса о конфиденциальности биометрической информации (BIPA) дает людям право на конфиденциальность их биометрических данных, таких как отпечатки пальцев или сканирование лица. Когда дело доходит до уведомлений об утечке данных, особенно сложно знать свои права, поскольку существует как минимум 54 различных закона, которые различаются в зависимости от региона.

      Эми Степанович из Silicon Flatirons Center отметила, что такие государственные законы по-прежнему полезны, даже если они могут ввести в заблуждение. «Вы можете думать о них как о повышении уровня воды», — сказала она, добавив, что компании часто предпочитают «применять более сильные, более защитные стандарты по всем направлениям для всех», когда юридические стандарты повышаются.

      Существует также риск того, что слишком много законов штатов создадут путаницу как для компаний, так и для потребителей. Уитни Меррилл, поверенный в области конфиденциальности и сотрудник по защите данных, сказала, что федеральный закон упростит задачу для всех. «Нам нужен федеральный закон, который рассматривает вещи с гораздо более последовательным подходом, — сказал Меррилл, — чтобы убедиться, что потребители понимают и имеют правильные ожидания в отношении прав, которые они имеют в отношении своих данных».

      Четыре области, которые заслуживают базовой защиты, по мнению экспертов по конфиденциальности

      Все, с кем мы разговаривали, описывали потенциальные законы о конфиденциальности данных потребителей как «этаж», на котором можно было бы опираться на них в будущем по мере появления новых технологий. Этот уровень обычно включает в себя несколько основных средств защиты:

      • Права на сбор и обмен данными : Законы должны давать людям право видеть, какие данные о них собрали различные компании, требовать, чтобы компании удаляли любые данные, которые они собрали, и для удобного переноса данных из одного сервиса в другой. Это также включает в себя право запретить компаниям продавать (или передавать) ваши данные третьим лицам. Чтобы получить представление о том, как такое регулирование работает на практике, мы рассмотрели, каково это запрашивать информацию в Калифорнии в соответствии с CCPA, которое, как правило, требует, чтобы вы щелкнули по крайней мере одну форму на каждом веб-сайте, с которым вы взаимодействуете (и для некоторых третьих лиц, о существовании которых вы можете даже не знать).
      • Согласие на согласие: Компания должна спросить вас, может ли она передавать или продавать ваши данные третьим лицам. Вам не придется часами отказываться от сбора ваших личных данных через каждый сервис, которым вы пользуетесь.
      • Минимизация данных: Компания должна собирать только то, что необходимо для предоставления услуги, которой вы пользуетесь.
      • Недискриминация и отсутствие дискриминации в отношении использования данных: Компания не должна дискриминировать людей, осуществляющих свои права на неприкосновенность частной жизни; например, компания не может взимать с кого-либо дополнительную плату за защиту их конфиденциальности, а компания не может предлагать клиентам скидки в обмен на то, что они откажутся от большего количества данных. Этот регламент также должен включать разъяснения о защите гражданских прав, например о предотвращении дискриминации рекламодателями определенных характеристик.

      Компания Merrill также хотела бы видеть более полный закон об уведомлении об утечке данных, возможно, в виде отдельного законопроекта. «Я думаю, что это будет довольно легко пройти», — сказала она. «Кто получает уведомление? Каковы общие стандарты? Давайте упростим задачу, чтобы все были на одной волне».

      «Особенно в тех штатах, где они не разрешают частное право [подавать в суд], чтобы затем также недофинансировать государственное правоприменение — это просто оскорбление». — Хейли Цукаяма, законодательный активист, Electronic Frontier Foundation

      Никакое регулирование не имеет большого значения без механизма правоприменения. И лоббисты оспаривали «частное право на иск» — разрешение частному лицу подавать в суд на компанию за нарушение конфиденциальности — как один из таких механизмов. Законодательство Калифорнии имеет ограниченное частное право на иск, связанный с небрежностью в отношении утечки данных. В законах Колорадо и Вирджинии даже этого нет. Несколько законопроектов, в том числе в Коннектикуте, Флориде, Оклахоме и Вашингтоне, не стали законами, поскольку они включали частное право на иск. В начале 2021 года законодатели Северной Дакоты представили законопроект, который включал частное право на действия и согласие на согласие, а в ответ группа рекламных компаний (PDF) заявила: «Такой подход приведет к созданию самого ограничительного закона о конфиденциальности в Соединенные Штаты.» Законопроект провалился в государственной палате.

      Хейли Цукаяма, законодательный активист Electronic Frontier Foundation, резко описала ситуацию. «Мы хотели бы видеть в законодательстве о конфиденциальности полные права частных лиц», — сказала она. «Мы просто считаем, что если компания нарушает вашу конфиденциальность, вы должны иметь возможность подать на нее в суд».

      «Исторически сложилось так, что маргинализированные сообщества не могли полагаться на государственные институты для защиты своих прав», — сказал Степанович. «Поэтому наличие чего-то вроде частного права на иск для чернокожих и других сообществ, не являющихся белыми, гарантирует, что они могут отстаивать свои права или обращаться в суд, если что-то пошло не так».

      Солтани, напротив, видел путь вперед без частного права на иск: «Я думаю, что правоприменение — действительно важный аспект. Если есть адекватное правоприменение — юридическая защита и регулирующие ресурсы — я не думаю, что отказ от частного права на иск является нарушением условий сделки».

      Эти ресурсы важны. «Особенно в тех штатах, где они не разрешают частное право [действовать], чтобы затем также недофинансировать государственное правоприменение — это просто оскорбление», — сказал Цукаяма. Калифорния создала группу правоприменения только для этой цели под названием Калифорнийское агентство по защите конфиденциальности, которое будет получать 10 миллионов долларов ежегодного финансирования. Генеральная прокуратура штата Вирджиния занимается правоприменением там с финансированием в размере 400 000 долларов, дополненным штрафами и пенями.

      Выбрасывание денег на правоприменение или требование от компаний адаптироваться к новым правилам также требует выполнения работы людьми, а эти люди не всегда легкодоступны. «Одна из моих проблем с законами штата заключается в том, что нужно учиться все больше и больше, — отметил Меррилл, — и я боюсь выгорания в сообществе конфиденциальности, потому что невозможно идти в ногу, а ставки очень высоки».

      Интернет-ассоциация, отраслевая группа, представляющая несколько крупных технологических компаний, включая Amazon, Facebook и Google, указала нам на письмо и показания, отправленные в законодательный орган штата Нью-Джерси, в которых основное внимание уделяется двум пунктам: согласию и частному праву на иск. Ассоциация настаивает на том, чтобы текущая модель отказа от согласия сохраняла статус-кво, при котором потребители должны приложить все усилия, чтобы получить защиту конфиденциальности, изложенную в законе. Ассоциация также включила документ Института правовой реформы, филиала Торговой палаты США, который выступает за благоприятные для бизнеса правовые реформы, в котором утверждается, что частные судебные процессы будут препятствовать инновациям, будут стоить слишком много денег и приведут к противоречивым решениям.

      Как более строгие законы о конфиденциальности изменят вашу повседневную жизнь

      Если вы когда-либо нажимали на одно из этих надоедливых уведомлений о файлах cookie или были вынуждены прокручивать до конца политику конфиденциальности, прежде чем вы сможете использовать программное обеспечение, вы увидели, как такие законы могут иметь пагубное влияние на вашу повседневную жизнь.

      Так быть не должно. Степанович сказал, что если закон о конфиденциальности написан хорошо, жизнь большинства людей не должна измениться. «Конфиденциальность заключается не в том, чтобы не использовать технологии, а в том, чтобы иметь возможность участвовать в жизни общества и знать, что вашими данными не будут злоупотреблять или что вы не причините вреда в будущем из-за этого», — сказала она. . Если все сделано правильно, последствия скандалов, подобных тем, что были вокруг Cambridge Analytica или Grindr, можно свести к минимуму. И вы увидите меньше персонализированной рекламы и больше контекстной, которая, возможно, менее пугающая (для чтения статьи требуется подписка).

      Хорошо написанный закон о конфиденциальности данных облегчит вам покупку многих интересующих вас продуктов, не беспокоясь о конфиденциальности. Возможно, обзоры и руководства Wirecutter не потребуют подробных сравнений с оценкой политик конфиденциальности для работающих часов, умных весов или роботов-пылесосов, потому что все они будут иметь базовый уровень конфиденциальности, а также четкие, простые для понимания опции. -in правила обмена данными. И если компания ошибается и злоупотребляет этими правами на неприкосновенность частной жизни, эта компания будет нести ответственность за изменение.

      Даже самые последние законы не учитывают всевозможные другие проблемы с данными, такие как прозрачность алгоритма или использование правительством системы распознавания лиц.

      Одним из камней преткновения нынешней системы отказа является усталость от уведомлений. Когда каждое приложение и веб-сайт запрашивает у вас десятки разрешений, становится проще принять статус-кво, чем вручную отказаться от каждой технологии отслеживания. Обзорная статья в журнале Science (PDF) в 2015 г. показала, насколько плохо большинство людей справились с рисками, связанными с конфиденциальностью, а в 2019 г.Газета описала своего рода согласие «уведомление и выбор», к которому все привыкли, как «метод регулирования конфиденциальности, который обещает прозрачность и свободу действий, но не дает ни того, ни другого».

      Все эксперты, с которыми мы говорили, предпочли модель добровольного согласия и концепцию «конфиденциальность по умолчанию». Такая договоренность изначально сделает учетные записи закрытыми, а приложения не будут иметь никаких разрешений. Вы можете выбрать эти настройки. Наряду с правом подавать в суд на компании согласие на подписку оказывается одной из самых сложных вещей для включения в законы о конфиденциальности. Вместо этого эксперты настаивают на возможности использования расширений браузера или других инструментов, которые отключаются автоматически.

      Ашкан Солтани, бывший главный технолог FTC, предложил техническое решение с глобальным контролем конфиденциальности (GPC), которое дает возможность отказаться от продажи данных на уровне браузера или устройства — улучшение по сравнению с потребностью отказаться на каждом сайте или в каждом сервисе. В настоящее время GPC включен в несколько браузеров и пользуется уважением нескольких изданий, в том числе The New York Times. После того, как в 2023 году вступят в силу глобальные правила отказа от участия, в Калифорнии будут более четко требовать от компаний соблюдать GPC9.0003

      Воздействие таких законов может даже обратить вспять отчаяние многих людей по поводу того, что «конфиденциальность мертва», как заметила Эми Степанович. «Вы хотите, чтобы эта безнадежность ушла, и чтобы люди знали: вы защищены, пока занимаетесь этим делом».

      Основные законы о конфиденциальности, за которые выступают, которые предлагаются, а иногда и принимаются, не могут и не будут все исправлять. Учитывая сложность экономики данных, которая сейчас существует, можно и, возможно, нужно сделать гораздо больше. Даже самые последние законы не учитывают всевозможные другие проблемы с данными, такие как прозрачность алгоритмов или использование правительством системы распознавания лиц. Существует несколько национальных законов о конфиденциальности, находящихся на разных стадиях принятия, но ни один из них не имеет серьезных шансов быть принятым в ближайшее время.

      Но новые законы могли бы, по крайней мере, поощрять продукты и услуги, менее враждебные конфиденциальности, и они могли бы обеспечить базовую защиту (и правоприменение) от наиболее вредоносных типов интеллектуального анализа данных, а также сформировать основу для большей защиты конфиденциальности в будущем. В лучшем случае закон о конфиденциальности данных может сделать так, чтобы вы могли покупать новейшие штуковины с забавными новыми функциями, не беспокоясь о том, что компания собирает больше данных, чем вы думаете, и продает их компаниям, о которых вы никогда не слышали. из которых будут использоваться рекламодателями для продажи вам.

      Источники

      1. Уитни Меррилл, адвокат по вопросам конфиденциальности и специалист по защите данных, телефонное интервью, 26 июля 2021 г.

      2. Ашкан Солтани, независимый исследователь и бывший главный технолог Федеральной торговой комиссии, телефонное интервью, 21 июля 2021 г.

      3. Кейт Руан, старший советник по вопросам Первой поправки и конфиденциальности прав потребителей в Американском союзе гражданских свобод, интервью по телефону, 21 июля 2021 г.

      4. Эми Степанович, исполнительный директор Silicon Flatirons Center в Colorado Law, телефон интервью, 15 июля 2021 г.

      5. Хейли Цукаяма, законодательный активист Electronic Frontier Foundation, телефонное интервью, 14 июля 2021 г.

      • Интеллектуальный термостат, такой как наш выбор, Ecobee Smart Thermostat Premium, автоматизирует систему отопления и охлаждения вашего дома, чтобы максимизировать комфорт и эффективность.

        Лучший интеллектуальный термостат 

      • После тестирования 35 фитнес-трекеров — в движении и в состоянии покоя — нам понравился надежный, простой в использовании и многофункциональный Fitbit Charge 5.

        Лучшие фитнес-трекеры

      • Проехав более 500 миль с 18 часами, мы пришли к выводу, что Coros Pace 2 и Garmin Forerunner 255 лучше всего подходят большинству бегунов.

        Лучшие часы для бега с GPS Мы обнаружили, что Wyze Scale X и его приложение — отличные инструменты для автоматического отслеживания веса.

    Оставить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *