Статья 10. Специальные категории персональных данных \ КонсультантПлюс
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи.
(в ред. Федерального закона от 24.04.2020 N 123-ФЗ)
(см. текст в предыдущей редакции)
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;
(п. 2 в ред. Федерального закона от 30.
12.2020 N 519-ФЗ)
(см. текст в предыдущей редакции)
2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
(п. 2.1 введен Федеральным законом от 25.11.2009 N 266-ФЗ)
2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»;
(п. 2.2 введен Федеральным законом от 27.07.2010 N 204-ФЗ)
2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
(п. 2.3 введен Федеральным законом от 25.07.2011 N 261-ФЗ, в ред. Федерального закона от 21.07.2014 N 216-ФЗ)
(см. текст в предыдущей редакции)
3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
(п.
3 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
(п.
6 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
(п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
(п. 7.1 введен Федеральным законом от 23.07.2013 N 205-ФЗ)
8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
(п. 8 в ред. Федерального закона от 25.
07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;
(п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ)
10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.
(п. 10 введен Федеральным законом от 04.06.2014 N 142-ФЗ)
2.1. Обработка персональных данных, касающихся состояния здоровья, полученных в результате обезличивания персональных данных, допускается в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» и Федеральным законом от 31 июля 2020 года N 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами.
(часть 2.1 введена Федеральным законом от 24.04.2020 N 123-ФЗ; в ред. Федерального закона от 02.07.2021 N 331-ФЗ)
(см. текст в предыдущей редакции)
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
Защита персональных данных в Украине
Защита персональных данных в Украине
Персональные данные как правовой институт, нуждающийся в защите, появился в украинском законодательстве в 2011 году, со вступлением в силу 1 января 2011 года Закона Украины «О защите персональных данных» (далее – Закон о защите ПД).
Для общества и государственных органов это было ошеломляющей новостью и головной болью, страну всколыхнула волна различных семинаров и практикумов по вопросам защиты персональных данных, по ходу действия создавалась специализированная служба, которая сама не совсем понимала, как защищать и оберегать персональные данные, на которые до этого никто не обращал никакого внимания. Вместо этого оказывается, что персональные данные – это такие же неимущественные ценности и блага, как жизнь, достоинство, деловая репутация. Базы персональных данных начали массово регистрировать, что парализовало работу службы по вопросам защиты персональных данных.
До этого персональным данным посвящалась только статья 23 Закона Украины «Об информации», а Конституционный Суд Украины в своем Решении No 5-зп еще в 1997 году обращал внимание на необходимость привести законодательство Украины в соответствие с европейскими стандартами.
В начале 2012 года все тот же Конституционный Суд Украины в своем Решении No 2-рп/2012 детализировал, что информацией о личной и семейной жизни лица (персональными данными), среди прочего, являются: национальность, образование, семейное положение, религиозные убеждения, состояние здоровья, материальное состояние, адрес, дата и место рождения, место жительства и нахождения и т.
п., данные о личных имущественных и неимущественных отношениях данного лица с другими лицами, в частности членами семьи, а также сведения о событиях и явлениях, которые происходили или происходят в бытовой, интимной, товарищеской, профессиональной, деловой и других сферах жизни лица, за исключением данных о выполнении полномочий лицом, занимающим должность, связанную с осуществлением функций государства или органов местного самоуправления.
Не успела служба по вопросам защиты персональных данных заработать, как уже с 1 января 2014 года основным органом, ответственным за защиту персональных сведений, стал Уполномоченный Верховной Рады Украины по правам человека (далее – Омбудсмен).
Прошло 7 лет, а юристы продолжают повторять, что существует гражданско-правовая, административная, уголовная ответственность в сфере защиты персональных данных. Однако это всесухая, аморфная теория, а что происходит на практике?
В ходе рассмотрения споров о возмещении морального вреда, в частности по делам о разглашении персональных данных и вмешательстве в личную жизнь, следует исходить из презумпции причинения лицу морального вреда ответчиком и обязанности именно ответчика опровергнуть такую презумпцию, о чем речь идет в постановлении Верховного Суда Украины от 27.
09.2017 по делу No 6-1435цс17.
Широкую огласку борьба за защиту персональных данных приобрела в сфере потребительского кредитования и противодействия коллекторским компаниям. Банки довольно часто передавали и передают персональные данные в рамках уступки права требования, факторинговых операций своих клиентов-должников третьим лицам. Вместо этого и согласно положениям ст. 10 Закона о защите ПД финансовые учреждения действуют в рамках предоставленных полномочий с целью защиты своих прав, и в договорах банковские учреждения со своими клиентами дополнительно прописывают процедуру передачи персональных данных (для примера, определение Высшего специализированного суда по рассмотрению гражданских и уголовных дел от 26.10.2016 по делу No 473/2644/15-ц).
Омбудсмен на страже защиты наших персональных данных
Положение ст. 28 Закона о защите ПД об ответственности в сфере защиты персональных данных не содержат никакой конкретики, а носят только общий характер и отсылают к законодательству Украины в целом.
В свою очередь, статьей 188 39 Кодекса Украины об административных правонарушениях (далее – КУоАП) предусмотрена административная ответственность в форме разных штрафов, которые колеблются от 1700 до 17000 грн.
Согласно предписаниям ст. 255 КУоАП Омбудсмен вправе составлять протоколы об административных правонарушениях, после чего материалы административного дела передаются в суд.
Если принять во внимание ежегодные доклады Омбудсмена, то в течение 2016 года он провел 76 проверок владельцев персональных данных, по результатам которых выданы и переданы для обязательного исполнения 33 предписания об устранении нарушения требований законодательства в сфере защиты персональных данных, выявленных в ходе проверки, а также составлено 5 протоколов об административном правонарушении.
В прошлом году количество проверок было значительно меньше – 45. По их результатам было выдано и передано для обязательного исполнения 38 предписаний об устранении нарушения требований законодательства в сфере защиты персональных данных, а также составлено и направлено в суд 34 протокола.
По результатам рассмотрения судами дел об административных правонарушениях по 2 делам лица были признаны виновными и наложено административное взыскание, по 13 делам – лицо признано виновным, однако производство по делу было закрыто в связи с окончанием на момент рассмотрения дела сроков наложения административного взыскания.
Наверное, наиболее резонансным делом в этом году стало привлечение к административной ответственности и наложение штрафа в размере 5100 грн на военного комиссара Львовского областного военкомата за размещение на официальной странице военкомата списков граждан, подлежащих призыву на срочную военную службу и не явившихся в военный комиссариат (постановление Лычаковского районного суда г. Львова от 19.02.2018 по делу No 463/255/18). На данный момент дело слушается в апелляционной инстанции, и скорее всего лицу удастся избежать ответственности. Основной проблемой привлечения к административной ответственности является архаичность и устарелость положений КУоАП, поскольку суд должен принять решение о привлечении к ответственности в пределах 3 месяцев с момента совершения правонарушения, а при длящемся правонарушении – не позднее чем через три месяца со дня его выявления.
Выходит, что
лицу довольно часто удается избежать довольно солидных штрафов. К сожалению, об этом в ежегодных докладах Омбудсмена речь не идет.
Преступление есть, а что с ответственностью?
Статьей 182 Уголовного кодекса Украины (далее – УК Украины) предусмотрена уголовная ответственность за сам факт незаконного сбора, хранения, использования, уничтожения, распространения конфиденциальной информации о лице или незаконном изменении такой информации, кроме случаев, предусмотренных другими статьями данного Кодекса, в форме штрафа от пятисот (8500 грн) до одной тысячи (1700 грн) необлагаемых минимумов доходов граждан, или исправительных работ на срок до двух лет, или ареста на срок до шести месяцев, или ограничения свободы на срок до трех лет.
А вот если правонарушение касается именно несоблюдения установленного законодательством о защите персональных данных порядка защиты персональных данных, что привело к незаконному доступу к ним или нарушению прав субъекта персональных данных, то речь идет только об административной ответственности в соответствии с положениями КУоАП.
Принимая во внимание статистику, приведенную на сайте Генеральной прокуратуры Украины, по ст. 182 УК Украины регистрировалось ежемесячно в течение 2017 года приблизительно по 150 преступлений. Но большинство дел были закрыты и только единицы доходили до суда, что в целом свидетельствует о неэффективности работы правоохранительных органов, наличии трудностей в расследовании и привлечении к уголовной ответственности.
Вывод
Следовательно, выходит, что система защиты персональных данных наших граждан остается на уровне десяти лет назад, штрафы и ответственность периодически пересматриваются, однако механизм привлечения к ответственности остается в стадии реформирования и осмысления.
Сбор личных данных: полное руководство WIRED
В Интернете личные данные, которые пользователи раздают бесплатно, превращаются в ценный товар. Люди загружают фотографии щенков, чтобы быть умнее. Вопросы, которые они задают Google, раскрывают самые глубокие предубеждения человечества.
А история их местоположений сообщает инвесторам, какие магазины привлекают больше всего покупателей. Даже, казалось бы, безобидные действия, такие как остаться дома и посмотреть фильм, генерируют горы информации, сокровища, которые позже будут зачерпнуты предприятиями всех видов.
Персональные данные часто сравнивают с нефтью — они питают сегодня самые прибыльные корпорации, точно так же, как ископаемое топливо питало их в прошлом. Но потребители, у которых он извлекается, часто мало знают о том, сколько их информации собирается, кто может ее просматривать и сколько она стоит. Каждый день сотни компаний, о существовании которых вы, возможно, даже не подозреваете, собирают о вас факты, некоторые из которых более интимные, чем другие. Затем эта информация может попасть к академическим исследователям, хакерам, правоохранительным органам и иностранным государствам, а также к множеству компаний, пытающихся продать вам что-то.
Что представляют собой «персональные данные»?
Интернет может показаться одним большим кошмаром конфиденциальности, но пока не выбрасывайте свой смартфон в окно.
«Персональные данные» — довольно расплывчатый термин, который помогает понять, что именно он означает. Медицинские записи, номера социального страхования и банковские реквизиты составляют наиболее конфиденциальную информацию, хранящуюся в Интернете. Сообщения в социальных сетях, данные о местоположении и поисковые запросы также могут быть показательными, но также обычно монетизируются так, как, скажем, номер вашей кредитной карты. Другие виды сбора данных попадают в отдельные категории, которые могут вас удивить. Знаете ли вы, что некоторые компании анализируют то, как вы нажимаете и возитесь со своим смартфоном?
Вся эта информация собирается по широкому спектру согласия: иногда данные разветвляются сознательно, а в других сценариях пользователи могут не понимать, что они вообще от чего-то отказываются. Часто ясно, что что-то собирается, но подробности скрыты от глаз или похоронены в трудно поддающихся анализу соглашениях об условиях обслуживания.
Подумайте, что происходит, когда кто-то отправляет пузырек со слюной в 23andme.
Человек знает, что делится своей ДНК с компанией, занимающейся геномикой, но может не осознавать, что она будет перепродана фармацевтическим фирмам. Многие приложения используют ваше местоположение для показа персонализированной рекламы, но они не обязательно дают понять, что хедж-фонд также может покупать эти данные о местоположении, чтобы анализировать, какие розничные магазины вы часто посещаете. Любой, кто был свидетелем того, как одна и та же реклама обуви следит за ними в Интернете, знает, что их отслеживают, но, вероятно, меньше людей понимают, что компании могут записывать не только их клики, но и точные движения их мыши.
В каждом из этих сценариев пользователь получал что-то в обмен на разрешение корпорации монетизировать свои данные. Им нужно узнать о своем генетическом происхождении, использовать мобильное приложение или просматривать последние тенденции в области обуви, не выходя из своего компьютера. Это такая же выгодная сделка, которую предлагают Facebook и Google.
Их основные продукты, включая Instagram, Messenger, Gmail и Google Maps, не стоят денег. Вы платите своими личными данными, которые используются для таргетинга рекламы.
Самые популярные
Кто покупает, продает и обменивает мои личные данные?
Компромисс между данными, которые вы предоставляете, и услугами, которые вы получаете, может стоить того, а может и нет, но другая разновидность бизнеса собирает, анализирует и продает вашу информацию, не предоставляя вам вообще ничего: брокеры данных. Эти фирмы собирают информацию из общедоступных источников, таких как записи о собственности, лицензии на брак и судебные дела. Они также могут собирать ваши медицинские записи, историю просмотров, связи в социальных сетях и онлайн-покупки. В зависимости от того, где вы живете, брокеры данных могут даже купить вашу информацию у Департамента транспортных средств. Нет водительского удостоверения? Розничные магазины также продают информацию брокерам данных.
Информация, которую собирают брокеры данных, может быть неточной или устаревшей. Тем не менее, это может быть невероятно ценным для корпораций, маркетологов, инвесторов и частных лиц. По данным Interactive Advertising Bureau, только американские компании в 2018 году потратили более 19 миллиардов долларов на сбор и анализ данных о потребителях.
Брокеры данных также являются ценным ресурсом для злоумышленников и преследователей. Doxing, практика публичного раскрытия чьей-либо личной информации без их согласия, часто становится возможной благодаря брокерам данных. Хотя вы можете относительно легко удалить свою учетную запись Facebook, заставить эти фирмы удалить вашу информацию отнимает много времени, сложно, а иногда и невозможно. На самом деле, этот процесс настолько обременительный, что вы можете оплатить услугу, которая сделает это от вашего имени.
Подобное накопление и продажа ваших данных совершенно законно. Хотя некоторые штаты, включая Калифорнию и Вермонт, недавно ввели дополнительные ограничения для брокеров данных, они остаются в значительной степени нерегулируемыми.
Закон о справедливой кредитной отчетности определяет, как может использоваться информация, собранная для получения кредита, трудоустройства и страхования, но некоторые брокеры данных были уличены в обходе закона. В 2012 году сайт «поиска людей» Spokeo урегулировал с FTC 800 000 долларов по обвинению в нарушении FCRA, рекламируя свои продукты для таких целей, как проверка биографических данных. А брокеры данных, которые позиционируют себя как цифровые телефонные книги, вообще не обязаны соблюдать правила.
Также существует несколько законов, регулирующих сбор данных о пользователях соцсетями. В Соединенных Штатах не существует современного федерального регулирования конфиденциальности, и правительство может даже на законных основаниях запрашивать цифровые данные, хранящиеся у компаний, без ордера во многих случаях (хотя Верховный суд недавно расширил защиту Четвертой поправки до узкого типа данных о местоположении).
Хорошая новость заключается в том, что информация, которой вы делитесь в Интернете, вносит свой вклад в глобальное хранилище полезных знаний: исследователи из ряда академических дисциплин изучают сообщения в социальных сетях и другие данные, созданные пользователями, чтобы узнать больше о человечестве.
В своей книге Все лгут: большие данные, новые данные и что Интернет может рассказать нам о том, кто мы есть на самом деле, Сет Стивенс-Давидовиц утверждает, что во многих случаях люди более честны с такими сайтами, как Google, чем с традиционными опросами. Например, по его словам, менее 20% людей признаются, что смотрят порно, но в Google больше запросов «порно», чем «погода».
Самые популярные
Персональные данные также используются исследователями искусственного интеллекта для обучения своих автоматизированных программ. Каждый день пользователи по всему миру загружают миллиарды фотографий, видео, текстовых сообщений и аудиоклипов на такие сайты, как YouTube, Facebook, Instagram и Twitter. Эти медиафайлы затем передаются алгоритмам машинного обучения, чтобы они могли научиться «видеть» то, что изображено на фотографии, или автоматически определять, нарушает ли публикация политику Facebook в отношении разжигания ненависти.
Ваши селфи буквально делают роботов умнее. Поздравляем.
История сбора персональных данных
На протяжении тысячелетий люди использовали технологические устройства для сбора и обработки данных о мире. Греческие ученые разработали «первый компьютер», сложную зубчатую систему, называемую антикитерским механизмом, для отслеживания астрологических закономерностей еще в 150 г. до н.э. Два тысячелетия спустя, в конце 1880-х годов, Герман Холлерит изобрел счетную машину, перфокарту, которая помогала обрабатывать данные переписи населения США 1890 года. Холлерит создал компанию для продажи своего изобретения, которая позже объединилась с тем, что сейчас называется IBM.
К 1960-м годам правительство США использовало мощные ЭВМ для хранения и обработки огромного количества данных почти о каждом американце. Корпорации также использовали машины для анализа конфиденциальной информации, включая покупательские привычки потребителей. Не существовало законов, определяющих, какие данные они могут собирать.
Обеспокоенность по поводу усиленной слежки вскоре возникла, особенно после публикации в 1964 году книги Вэнса Паккарда « Обнаженное общество », в которой утверждалось, что технологические изменения вызывают беспрецедентную эрозию частной жизни.
В следующем году администрация президента Линдона Джонсона предложила объединить сотни федеральных баз данных в один централизованный Национальный банк данных. Конгресс, обеспокоенный возможной слежкой, дал отпор и организовал специальный подкомитет по вторжению в частную жизнь. Законодатели обеспокоены тем, что банк данных, который будет «объединять статистические данные о миллионах американцев», может «возможно нарушить их тайную жизнь», как сообщала в то время The New York Times . Проект так и не был реализован. Вместо этого Конгресс принял ряд законов, регулирующих использование персональных данных, в том числе Закон о достоверной кредитной отчетности в 1919 г.70 и Закон о конфиденциальности в 1974 году. Положения требовали прозрачности, но не мешали правительству и корпорациям собирать информацию в первых местах, утверждает историк технологий Маргарет О’Мара.
К концу 1960-х годов некоторые ученые, в том числе политолог Массачусетского технологического института Итиэль де Сола Пул, предсказывали, что новые компьютерные технологии будут способствовать еще более инвазивному сбору личных данных. Реальность, которую они себе представляли, начала обретать форму в середине 19-го века.90-х, когда многие американцы начали пользоваться интернетом. Однако к тому времени, когда почти все были в сети, одна из первых битв за конфиденциальность с брокерами цифровых данных уже развернулась: в 1990 году Lotus Corporation и кредитное бюро Equifax объединились для создания Lotus MarketPlace: Households, маркетингового продукта на компакт-дисках. который рекламировался как содержащий имена, диапазоны доходов, адреса и другую информацию о более чем 120 миллионах американцев. Это быстро вызвало бурю негодования среди защитников конфиденциальности на цифровых форумах, таких как Usenet; более 30 000 человек связались с Lotus, чтобы отказаться от базы данных.
В конечном итоге он был отменен еще до того, как был выпущен. Но скандал не помешал другим компаниям в будущем создавать массивные наборы данных с информацией о потребителях.
Несколько лет спустя в Интернете начала появляться реклама. Вначале онлайн-реклама оставалась в значительной степени анонимной. Хотя вы могли видеть рекламу катания на лыжах, если искали информацию о зимних видах спорта, веб-сайты не могли связать вас с вашей настоящей личностью. (HotWired.com, онлайн-версия WIRED, был первым веб-сайтом, на котором в 1994 г. был размещен рекламный баннер в рамках кампании AT&T.) Затем, в 1999 г., гигант цифровой рекламы DoubleClick разжег скандал, связанный с конфиденциальностью, когда попытался — анонимизировать свою рекламу, объединившись с огромным брокером данных Abacus Direct.
Группы конфиденциальности утверждали, что DoubleClick могла использовать личную информацию, собранную брокером данных, для таргетинга рекламы на основе реальных имен людей. Они подали петицию в Федеральную торговую комиссию, утверждая, что такая практика будет приравниваться к незаконному отслеживанию.
В результате в 2006 году DoubleClick продала фирму с убытком, и была создана Network Advertising Initiative, торговая группа, разработавшая стандарты онлайн-рекламы, в том числе требующие от компаний уведомлять пользователей о сборе их личных данных.
Но опасения защитников конфиденциальности в конце концов оправдались. В 2008 году Google официально приобрела DoubleClick, а в 2016 году пересмотрела свою политику конфиденциальности, разрешив отслеживание в Интернете, позволяющее установить личность. До этого Google хранил свои данные о просмотре DoubleClick отдельно от личной информации, которую он собирал из таких сервисов, как Gmail. Сегодня Google и Facebook могут нацеливать рекламу на основе вашего имени — именно то, чего люди опасались, что DoubleClick сделает два десятилетия назад. И это еще не все: поскольку большинство людей носят устройства слежения в своих карманах в виде смартфонов, эти и многие другие компании также могут следовать за нами, куда бы мы ни пошли.
Самые популярные
Будущее сбора персональных данных
В настоящее время личная информация собирается в основном через экраны, когда люди используют компьютеры и смартфоны.
Ближайшие годы принесут широкое распространение новых устройств, потребляющих данные, таких как умные колонки, одежда со встроенным цензором и носимые мониторы здоровья. Даже те, кто воздерживается от использования этих устройств, вероятно, будут собирать свои данные с помощью таких вещей, как камеры наблюдения с функцией распознавания лиц, установленные на углах улиц. Во многом это будущее уже наступило: фанаты Тейлор Свифт собрали данные о своих лицах, а Amazon Echos подслушивают миллионы домов.
Однако мы еще не решили, как ориентироваться в этой новой, наполненной данными реальности. Следует ли разрешить колледжам в цифровом виде отслеживать своих абитуриентов-подростков? Действительно ли мы хотим, чтобы медицинские страховые компании следили за нашими сообщениями в Instagram? Над этими и многими другими вопросами задумаются правительства, художники, ученые и граждане.
И по мере того, как ученые раздвигают границы возможного с помощью искусственного интеллекта, нам также необходимо научиться понимать личные данные, которые даже не настоящий , по крайней мере, в том смысле, что он исходил не от людей.
Например, алгоритмы уже генерируют «фальшивые» данные для обучения других алгоритмов. Так называемая технология дипфейков позволяет пропагандистам и мошенникам использовать фотографии из социальных сетей для создания видеороликов, изображающих события, которых никогда не было. ИИ теперь может создавать миллионы синтетических лиц, которые никому не принадлежат, изменяя значение украденной личности. Эти мошеннические данные могут еще больше исказить социальные сети и другие части Интернета. Представьте, что вы пытаетесь понять, действительно ли существует совпадение в Tinder или человек, на которого вы подписаны в Instagram.
Независимо от того, сфабрикованы ли данные компьютерами или созданы реальными людьми, одной из самых больших проблем будет то, как они анализируются. Важно не только то, какая информация собирается, но и какие выводы и прогнозы делаются на ее основе. Персональные данные используются алгоритмами для принятия невероятно важных решений, например, следует ли кому-то сохранить свои медицинские льготы или его отпустят под залог.
Эти решения легко могут быть предвзятыми, и исследователи и компании, такие как Google, сейчас работают над тем, чтобы сделать алгоритмы более прозрачными и справедливыми.
Самые популярные
Технологические компании также начинают осознавать необходимость регулирования сбора персональных данных. Microsoft призвала к федеральному регулированию распознавания лиц, в то время как генеральный директор Apple Тим Кук утверждал, что FTC должна вмешаться и создать информационный центр, где все брокеры данных должны зарегистрироваться. Но не все заявления Big Tech могут быть добросовестными. Летом 2018 года Калифорния приняла строгий закон о конфиденциальности, который вступит в силу 1 января 2020 года, если его не заменит федеральный закон. Такие компании, как Amazon, Apple, Facebook и Google, теперь настаивают на том, чтобы Конгресс принял новое, менее строгое законодательство о конфиденциальности в 2019 году.до того, как закон Калифорнии вступит в силу.
Даже в разделенном Конгрессе законодатели могут объединиться вокруг конфиденциальности — тщательное изучение больших технологий стало важным вопросом для обеих сторон.
Некоторые компании и исследователи утверждают, что правительству недостаточно просто защищать личные данные; потребители должны владеть своей информацией и получать компенсацию за ее использование. Социальные сети, такие как Minds и Steemit, экспериментировали с вознаграждением пользователей криптовалютой, когда они делятся контентом или проводят время на своих платформах. Другие компании будут платить вам в обмен на обмен данными — например, вашими банковскими транзакциями — с ними. Но разрешение людям вернуть право собственности, вероятно, не решит все проблемы конфиденциальности, связанные со сбором личных данных. Это также может быть неправильной постановкой вопроса: вместо этого, возможно, в первую очередь следует разрешить меньший сбор, что вынудит компании полностью отказаться от бизнес-модели целевой рекламы.
Прежде чем мы сможем понять будущее сбора персональных данных, нам нужно узнать больше о его настоящем. Каскад скандалов, связанных с конфиденциальностью, которые всплыли в последние годы — от Cambridge Analytica до теневых методов отслеживания местоположения Google — продемонстрировали, что пользователи до сих пор не знают всех способов продажи, обмена и распространения их информации. Пока потребители на самом деле не поймут экосистему, частью которой они невольно стали, мы не сможем с ней справиться.
Узнать больше
Битва за конфиденциальность, чтобы спасти Google от самой себя
Разросшийся аппарат конфиденциальности Google включает в себя тысячи сотрудников и миллиарды долларов совокупных инвестиций. Но компания по-прежнему является рекламным гигантом и в основном зарабатывает деньги, монетизируя личные данные, которые она собирает у пользователей. Тем не менее, Google также сыграл ведущую роль в создании отраслевых стандартов прозрачности и защиты данных.
Более дюжины сотрудников Google, занимающихся вопросами конфиденциальности, поговорили с WIRED о том, как они понимают парадокс своей работы, настаивая на том, что нет никакого внутреннего давления, направленного на нарушение защиты конфиденциальности ради получения большей прибыли.Несколько правил регулируют использование полицией технологии распознавания лиц
Одна из самых важных личных данных, которыми вы владеете, вовсе не скрыта: это ваше лицо. Этот вопрос стал спорным для борцов за гражданские права, и Amazon, в частности, столкнулась с негативной реакцией — даже со стороны своих сотрудников — по поводу использования технологии, особенно в правоохранительных целях. Однако, за исключением двух штатов, существует несколько законов, регулирующих использование распознавания лиц.Перевозчики клялись, что перестанут продавать данные о местоположении. Будут ли они когда-нибудь?
В 2018 году операторы мобильной связи США пообещали прекратить продажу данных о местоположении клиентов после того, как журналисты обнаружили, что они оказались в руках сомнительных третьих лиц. Не прошло и года, как тех же перевозчиков снова поймали на этом. Теперь вопрос в том, как Федеральная комиссия по связи будет решать эту проблему. У агентства есть полномочия запретить операторам продавать такую информацию, но пока не сказано, должен ли закон применяться к данным о местоположении. Тем временем потребителям остается принимать обещания Verizon, Sprint, T-Mobile и AT&T за чистую монету.Я продал свои данные за криптовалюту. Вот сколько я заработал
Новая волна компаний распространяет заманчивую идею: пользователи должны владеть своими данными и получать долю от их ценности, вместо того, чтобы позволять рекламным компаниям и брокерам данных бесплатно монетизировать их. Зарегистрируйтесь в одном из этих приложений, и покупатели свяжутся с вами напрямую, предложив токены криптовалюты в обмен на информацию, такую как ваши банковские транзакции, история болезни или колебания вашего умного термостата.Будьте готовы к обсуждению закона о конфиденциальности в 2019 году
Такие компании, как Amazon, Apple, Facebook и Google, активно настаивают на принятии федерального законодательства о цифровой конфиденциальности в 2019 году, и не совсем по доброте душевной. Прошлым летом законодательный орган штата Калифорния принял новаторский закон о конфиденциальности, который должен вступить в силу 1 января 2020 года. Сейчас технологические гиганты стремятся заменить этот закон более благоприятным для отрасли федеральным законодательством. Несмотря на то, что Конгресс разделен политически, похоже, что сделка может быть достигнута. Господство в больших технологиях стало двухпартийным вопросом.Выбор вашего смартфона может определить, получите ли вы кредит
В Европе некоторые кредиторы используют пассивные сигналы, например, какой у вас телефон, чтобы определить, имеете ли вы право на получение кредита. Исследования Национального бюро экономических исследований показывают, что эти индикаторы могут предсказывать поведение потребителей так же точно, как и традиционные кредитные рейтинги. Но эти факторы не обязательно являются теми, о которых потребители знают или могут изменить.The Wired Guide to Data Breaches
Идеальной защиты не существует, и невозможно защититься от каждой потенциальной утечки данных. Но насколько должны волноваться пользователи, когда узнают, что их личная информация просочилась или была украдена? Чтобы ответить на этот вопрос, полезно немного узнать об истории утечек данных. Вооружившись контекстом, потребители могут определить, нужно ли им принимать дополнительные меры предосторожности после инцидента, связанного с безопасностью.Как на самом деле выглядит честный алгоритм?
Законодатели в основном не решили, какими правами должны обладать граждане, когда речь идет о прозрачности алгоритмического принятия решений. Не существует «права на объяснение» того, как машина пришла к выводу о вашей жизни. Некоторые исследователи концептуализируют, как такое право должно выглядеть в будущем.
Более дюжины сотрудников Google, занимающихся вопросами конфиденциальности, поговорили с WIRED о том, как они понимают парадокс своей работы, настаивая на том, что нет никакого внутреннего давления, направленного на нарушение защиты конфиденциальности ради получения большей прибыли.
Не прошло и года, как тех же перевозчиков снова поймали на этом. Теперь вопрос в том, как Федеральная комиссия по связи будет решать эту проблему. У агентства есть полномочия запретить операторам продавать такую информацию, но пока не сказано, должен ли закон применяться к данным о местоположении. Тем временем потребителям остается принимать обещания Verizon, Sprint, T-Mobile и AT&T за чистую монету.
Прошлым летом законодательный орган штата Калифорния принял новаторский закон о конфиденциальности, который должен вступить в силу 1 января 2020 года. Сейчас технологические гиганты стремятся заменить этот закон более благоприятным для отрасли федеральным законодательством. Несмотря на то, что Конгресс разделен политически, похоже, что сделка может быть достигнута. Господство в больших технологиях стало двухпартийным вопросом.
Но насколько должны волноваться пользователи, когда узнают, что их личная информация просочилась или была украдена? Чтобы ответить на этот вопрос, полезно немного узнать об истории утечек данных. Вооружившись контекстом, потребители могут определить, нужно ли им принимать дополнительные меры предосторожности после инцидента, связанного с безопасностью.Спасибо Ghostery, Mozilla, Electronic Frontier Foundation и Seth Stephens-Davidowitz за их помощь в создании этого руководства.
Последнее обновление: 13 февраля 2019 г.
Понравилось это глубокое погружение? Ознакомьтесь с другими руководствами WIRED.
Законы о конфиденциальности данных США вступят в новую эру в 2023 году
- Юридические фирмы
Dickinson Wright PLLC изменение философии, лежащей в основе законов о конфиденциальности данных в Соединенных Штатах.
Исторически сложилось так, что законы о конфиденциальности данных здесь уходят корнями в «основанную на предотвращении вреда» мешанину средств защиты конфиденциальности, направленных на предотвращение или смягчение вреда в определенных секторах. Напротив, в соответствии с более широким подходом, основанным на правах, примером которого является Общий регламент ЕС по защите данных (GDPR), люди фактически владеют своей личной информацией и, таким образом, предположительно имеют законное право контролировать ее, а кто может ее использовать — это вопрос. чтобы они решили.
Вслед за Калифорнией четыре других штата — Колорадо, Коннектикут, Юта и Вирджиния — начнут применять новые законы, вдохновленные GDPR, в 2023 году.
Соединенные Штаты исторически разрешали предприятиям и учреждениям собирать личную информацию без явного согласия, при этом регулируя такое использование для предотвращения или уменьшения вреда в определенных секторах.
Например, эти секторы включают законы и нормативные акты, применимые к финансовому (например, Закон Грэма-Лича-Блайли (GLBA)) и медицинскому сектору (Закон о переносимости и подотчетности медицинского страхования (HIPAA)), образованию (права семьи на образование и неприкосновенность частной жизни). Закон (FERPA)), дети (Закон о защите конфиденциальности детей в Интернете (COPPA)) и другие сектора как на федеральном уровне, так и на уровне штатов.
Законы, подобные этому, создают правила, применимые к определенным отраслям и типам учреждений.
Эти правила защищают и предотвращают неправомерное использование определенных категорий личной информации. В соответствии с их основной философией, позволяющей собирать и использовать личную информацию, но предотвращать вред, эти правила налагают ограничения на отрасли и учреждения в отношении их обработки личной информации.В отличие от этой философии, основанной на предотвращении вреда, страны Европейского союза (ЕС) уже давно придерживаются режима защиты личной информации, основанного на соблюдении прав человека. Исторически эта философия утверждает, что конфиденциальность данных является одним из основных прав человека. Люди фактически владеют своей личной информацией, и кто может ее использовать, это их дело.
Это отличающееся мировоззрение права на неприкосновенность частной жизни уходит корнями в исторический опыт страданий европейцев из-за печально известного сбора данных нацистами, которые собирали и систематизировали информацию о происхождении и принадлежности людей (среди прочего) и использовали ее для совершения злодеяний.
. Чудовищность этих преступлений против человечности сопровождалась аналогичным сбором данных секретной полицией бывшей коммунистической Восточной Германии. Эта трагическая история привела к понятной необходимости регулирования сбора, хранения и использования личной информации.В 1970 году в немецкой земле Гессен был принят первый в мире закон о защите данных за десятилетия до того, как Интернет и Всемирная паутина стали повсеместными. В 1978 году в Германии был принят Федеральный закон о защите данных. А в 1983 году Федеральный конституционный суд Германии постановил, что каждый человек имеет конституционное право на «информационное самоопределение».
С таким историческим прошлым в Европе и Германией, выступающей в качестве лидера в разработке законов о конфиденциальности данных, к 2016 году ЕС осознал необходимость модернизированного подхода к конфиденциальности данных. Это признание возникло в свете достижений в области информационных технологий и ускорения использования персональных данных в глобально взаимосвязанном мире.
Соответственно, ЕС принял Общий регламент по защите данных (GDPR). GDPR, вступивший в силу в 2018 году, кодифицировал несколько ключевых принципов, отражающих европейскую философскую основу защиты конфиденциальности данных, основанную на правах человека.Понимание основных принципов, кодифицированных в GDPR, полезно для понимания того, что происходит с новыми законами о конфиденциальности данных, которые должны вступить в силу в ближайшие недели и месяцы 2023 года. Новые законы вступят в силу в 2023 году в Калифорнии, Колорадо, Коннектикут, Юта и Вирджиния (а также другие штаты, которые, вероятно, последуют их примеру в ближайшие годы) отражают влияние основанной на правах человека философской основы GDPR. Эти новые законы представляют собой комплексный подход к защите конфиденциальности, применимый к предприятиям во многих секторах, в дополнение к законам для конкретных секторов, которые остаются в силе.
GDPR подразделяет на «контроллеров данных» и «обработчиков данных».
Контроллеры данных, как следует из названия, — это предприятия и организации, которые контролируют сбор и использование данных — контроллеры данных решают, что делать с данными. Обработчики данных выполняют инструкции, предоставленные контроллерами данных. Обязательства, которые применяются к контроллерам данных, и их ответственность отличаются от тех, которые применяются к обработчикам данных. Новые законы штатов о конфиденциальности данных содержат это различие и подход.GDPR устанавливает несколько прав физических лиц в отношении их личной информации. Конкретные применимые права зависят от типа данных, особенно данных, считающихся очень конфиденциальными. Детали в законах США различаются, но в основном права аналогичны правам, изначально установленным в GDPR.
Эти права включают следующее:
•Доступ — физические лица имеют право запрашивать доступ для проверки своей личной информации.
• Исправление — физические лица имеют право требовать исправления ошибок в их личной информации.
• Переносимость — физические лица имеют право потребовать, чтобы их личная информация была передана другому лицу.
•Удаление — физические лица имеют право потребовать удаления их личной информации.
•Согласие — физические лица имеют право решать, может ли их личная информация быть продана или может быть использована для целей получения целевой рекламы.
• Апелляция — физические лица имеют право обжаловать отказ компании в удовлетворении их запроса.
Помимо обеспечения этих прав для отдельных лиц (называемых «субъектами данных» на языке GDPR), GDPR устанавливает определенные руководящие принципы. Эти принципы включают следующее:
• Конфиденциальность или защита данных по дизайну — система управления данными должна быть разработана с учетом защиты конфиденциальности (включая сопоставление данных, чтобы вы знали, какие данные где хранятся, а средства защиты соответствовали уровню чувствительности данных).
• Ведение учета — должны вестись адекватные записи в отношении сбора, обработки и использования данных.
•Минимизация данных — личная информация, особенно конфиденциальная, должна храниться, если вообще хранится, только до тех пор, пока она служит своим целям. Если данные не хранятся, хакеры не могут их украсть.
•Прозрачность, информированное согласие и законное использование — личная информация должна использоваться с информированного согласия субъектов данных, понятным для них образом и только в законных целях, разрешенных законом.
• Специалисты по защите данных и оценки защиты данных — обученный персонал должен следить за соблюдением требований защиты конфиденциальности, а защита данных должна оцениваться с использованием соответствующих принципов управления рисками.
• Передовые методы кибербезопасности — данные должны быть защищены с использованием передовых методов кибербезопасности, чтобы свести к минимуму риски утечки данных, включая соответствующие физические и технологические средства защиты.
• Уведомления об утечке данных — в случае утечки данных должен иметься проверенный план реагирования на инциденты, чтобы гарантировать своевременную доставку соответствующих уведомлений в различные сроки, предусмотренные законодательством.
• Обучение сотрудников — сотрудники должны быть обучены методам защиты конфиденциальности в соответствии с хорошо разработанными политиками, а доступ сотрудников к конфиденциальной личной информации должен быть ограничен для снижения рисков.
• Требование надлежащих формулировок контракта — положения контракта, касающиеся защиты данных и конфиденциальности, должны использоваться для обеспечения того, чтобы поставщики и подрядчики также принимали меры против неправомерного использования и утечки личной информации.
Приведенные выше списки прав и правовых принципов не являются исчерпывающими; 99 статей GDPR содержат гораздо больше.
Но знакомство с ними помогает изучить быстро меняющиеся законы о конфиденциальности данных в США и предвидеть появление новых.Вот список новых законов штата о конфиденциальности данных, которые должны быть опубликованы в 2023 году:
(1) Большинство положений Калифорнийского закона о правах на неприкосновенность частной жизни (CPRA) вступают в силу 1 января 2023 года. Закон Калифорнии о конфиденциальности потребителей (CCPA), который уже создал ряд индивидуальных прав по образцу GDPR. CPRA создало новое государственное агентство, аналогичное агентствам по защите данных в странах ЕС, которым поручено обеспечивать соблюдение GDPR.
(2) Закон штата Колорадо о конфиденциальности (CPA) вступает в силу 1 июля 2023 г. В дополнение к созданию прав по образцу индивидуальных прав в соответствии с GDPR, CPA требует обеспечения безопасности данных и положений контракта для поставщиков, а также оценки «высокого риска».
обработка.(3) Закон Коннектикута о конфиденциальности данных (CDPA), как и новый закон штата Колорадо о конфиденциальности, вступает в силу 1 июля 2023 г. CDPA также создает набор индивидуальных прав, подобных GDPR, и требует минимизации данных, безопасности и оценки. для обработки «высокого риска».
(4) Закон штата Юта о конфиденциальности потребителей (UCPA) вступает в силу 31 декабря 2023 г. Он предусматривает определенные индивидуальные права, подобные GDPR, а также требует обеспечения безопасности данных и положений контракта. Но UCPA не включает в себя явно требуемые оценки рисков.
(5) Закон штата Вирджиния о конфиденциальности данных потребителей (VCDPA) вступает в силу 1 января 2023 г. Он предусматривает определенные права личности, подобные GDPR. Но в 2022 году «право на удаление» было заменено правом отказа от определенной обработки.
Хотя эти новые законодательные акты штатов должны быть всеобъемлющими, они содержат определенные исключения для данных, уже защищенных другими законами, такими как HIPAA.
Эти правила защищают и предотвращают неправомерное использование определенных категорий личной информации. В соответствии с их основной философией, позволяющей собирать и использовать личную информацию, но предотвращать вред, эти правила налагают ограничения на отрасли и учреждения в отношении их обработки личной информации.
. Чудовищность этих преступлений против человечности сопровождалась аналогичным сбором данных секретной полицией бывшей коммунистической Восточной Германии. Эта трагическая история привела к понятной необходимости регулирования сбора, хранения и использования личной информации.
Соответственно, ЕС принял Общий регламент по защите данных (GDPR). GDPR, вступивший в силу в 2018 году, кодифицировал несколько ключевых принципов, отражающих европейскую философскую основу защиты конфиденциальности данных, основанную на правах человека.
Контроллеры данных, как следует из названия, — это предприятия и организации, которые контролируют сбор и использование данных — контроллеры данных решают, что делать с данными. Обработчики данных выполняют инструкции, предоставленные контроллерами данных. Обязательства, которые применяются к контроллерам данных, и их ответственность отличаются от тех, которые применяются к обработчикам данных. Новые законы штатов о конфиденциальности данных содержат это различие и подход.
Но знакомство с ними помогает изучить быстро меняющиеся законы о конфиденциальности данных в США и предвидеть появление новых.
обработка.