Закон персональные данные 2019: Статья 3. Основные понятия, используемые в настоящем Федеральном законе \ КонсультантПлюс

152-ФЗ о персональных данных с изменениями на 2021 год — PDMaster.ru

Подробная информация об изменениях законодательства в области защиты персональных данных

Проконсультироваться у эксперта

«Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности»

Что же такое согласие на обработку персональных данных?

Персональные данные (также — ПД или ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К ней относятся: серия и номер паспорта, сведения о рождении, адрес постоянной регистрации и проживания субъекта, а также контактный номер телефона и другие идентификаторы, позволяющие идентифицировать лицо. На сегодняшний день к ПД можно отнести информацию о паролях и кодах к страницам социальных сетей людей и адрес электронной почты. Важным фактом остаётся и сохранность пароля от банковских карт, которые сейчас очень часто оказываются в руках мошенников.

Главной целью закона 152-ФЗ является гарантирование защиты прав и свобод человека и гражданина при обработке его персональных данных, обязательно защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Основная характеристика закона.

Основной характеристикой 152-ФЗ является его направленность на защиту персональных данных субъекта от несанкционированного доступа к ним и предотвращение незаконной обработки. Основная проблема на сегодняшний день — это использование личных данных человека незаконным путем.

Вышеуказанные сведения о субъекте персональных данных относятся к индивидуальной информации. Частично ответственность за их распространение можно возложить и на самого владельца таковых, поскольку нередко человек дает согласие на обработку непроверенным операторам (Подробнее). Однако даже на первый взгляд внушающие доверие организации и их сотрудники допускают промахи. Для того чтобы обезопасить эту информацию, органы власти принимает различные меры, в рамках которых операторы по обработке ПДн, получившие данные от физического лица, должны нести за их полную сохранность.

Другими словами, 152-ФЗ о персональных данных принимался с целью обезопасить распространение информации о персональных данных граждан без их согласия на это. Именно поэтому главным его правилом остаётся понятие о том, что оператор — это тот человек, который отвечает за всю конфиденциальность полученной информации.

Изменения на 1 января 2019 года (актуально в 2020)

Сам закон содержит в себе 25 статей. В 2017 году правительство страны хотело ввести новые изменения в текст, но они так и не были оформлены официально. Несмотря на это, 2019 год принёс более существенные правки, некоторые из которых уже вступили в законную силу: был расширен список нарушений, за которые предусмотрена административная ответственность, а также на порядок был увеличен размер. Тут основная задача оператора по обработке ПДн остается прежней — понять, как же не нарушить правовые нормы законодательства и не стать мошенником.

Краткий обзор изменений в 2021 году мы рассматривали по ссылке ниже

Ситуации применения законодательства.

С января 2019 года список нарушений, которые предусматривают ответственность, следующий:

• обработка данных физического лица без соотношения с главными целями;
• при обработке личных персональных данных отсутствует согласие на ее проведение;
• ненадлежащее информирование человека о полной политике получения и
• обработки личной информации или полное отсутствие информирования;
• неознакомление человека с информацией об обработке личных данных;
• личная информация была получена незаконным путем;
• в случае, когда удаляются или уничтожаются личные данные;
• неправильное выполнение обезличивания.

При исполнении одного из перечисленных нарушений оператору по обработке ПД может быть вменено административное или уголовное наказание (согласно ст.

 137 УК РФ). Организацией, ответственной за проведение проверки в отношении лица, нарушившего 152-ФЗ, является Роскомнадзор. Для проведения им проверки на предмет нарушения гражданину необходимо оформить жалобу.

Регулирование отношений.

Органы власти в настоящий момент могут регулировать все отношения, которые касаются любых действий с персональными данными в соответствии с законом. Конечно, в этом вопросе есть свои исключения, по которым оператор и субъект имеют отдельные отношения. К ним можно отнести:

обработку персональной информации для заключения трудового договора, получение при его заключении информации и использование её строго в пределах контрактов;
когда полученные данные можно отнести к общедоступным;
в случае, если личные данные — это фамилия, имя и отчество человека;
ситуации, когда необходимо создать одноразовый пропуск на посещение территории.

Все остальные ситуации должны рассматриваться под контролем Роскомнадзора.

Последняя редакция закона 152-ФЗ.

Для избежания ситуаций несанкционированного разглашение личной информации необходимо ее обезопасить. Июль 2019 года принёс следующее: государство приняло решение приравнять генетический материал к личной информации. Главная цель такого изменения заключается в сохранности полной информации, которая касается любой генетической информации физического лица.

16 февраля 2019 года стало известно о том, что государство приняло конкретные правила по контролю за любой обработкой личных данных. Согласно ним, весь контроль за передачей и обработкой информации будет осуществляться посредством Роскомнадзора и его органов. Под этим подразумевается проведение различных мер по проявлению нарушений со стороны операторов, а также их устранение и профилактика выявления нарушений.

Кроме того, операторы по обработке могут быть предупреждены о приближающейся проверке за три рабочих дня, а в случае, если необходимо внепланово — за сутки. Описан свод правил, по которому может осуществляться проверка, как правильно заполнять документацию после проведения контроля, а также обо всех досудебных обжалованиях.

20 января 2019 года появилась информация, что Роскомнадзор начал заводить дела в от отношении корпораций Twitter и Facebook, поскольку они не соблюдают все правила, которые прописаны в законодательстве о защите конфиденциальной информации.

Таким образом, можно сделать вывод, что право человека на полную защиту его персональных данных полностью охраняются законодательством РФ. При любом нарушении мошенников ждет административная либо уголовная ответственность. За любое действие по передаче индивидуальной информации ответственность несет только оператор.

Обращаем внимание, если Вы все еще сомневаетесь в актуальности закрепленных процессов по работе с персональными данными или у Вас есть вопросы по разработке документов —  Вы всегда можете обратиться за консультацией в форме ниже.

Здесь можно задавать свои вопросы

«Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности»

 ЗРУ-547-сон 02.

07.2019. О персональных данных

Закон Республики Узбекистан

О персональных данных

Принят Законодательной палатой 16 апреля 2019 года
Одобрен Сенатом 21 июня 2019 года

Статья 1. Цель настоящего Закона

Статья 2. Законодательство о персональных данных

Статья 3. Сфера применения настоящего Закона

Статья 4. Основные понятия

Статья 5. Основные принципы настоящего Закона

Статья 6. Органы, осуществляющие государственное регулирование в области персональных данных

Статья 7. Полномочия Кабинета Министров Республики Узбекистан в области персональных данных

Статья 8. Уполномоченный государственный орган в области персональных данных

Статья 9. Участники обработки персональных данных

Статья 10. Сбор, систематизация и хранение персональных данных

Статья 11. Изменение и дополнение персональных данных

Статья 12. Использование персональных данных

Статья 13. Предоставление персональных данных

Статья 14. Распространение персональных данных

Статья 15. Трансграничная передача персональных данных

Статья 16. Обезличивание персональных данных

Статья 17. Уничтожение персональных данных

Статья 18. Условия обработки персональных данных

Статья 19. Требования к обработке персональных данных

Статья 20. Порядок регистрации баз персональных данных

Статья 21. Порядок дачи и отзыва согласия на обработку персональных данных

Статья 22. Порядок предоставления информации, касающейся обработки персональных данных

Статья 23. Уведомление о действиях при обработке персональных данных

Статья 24. Автоматизированная обработка персональных данных

Статья 25. Обработка специальных персональных данных

Статья 26. Обработка биометрических и генетических данных

Статья 27. Гарантии защиты персональных данных

Статья 27^1. Особые условия обработки персональных данных граждан Республики Узбекистан

(статья 27¹ введена Законом Республики Узбекистан от 14 января 2021 года № ЗРУ-666 — Национальная база данных законодательства, 15. 01.2021 г., № 03/21/666/0032 — Вступает в силу с 16 апреля 2021 года)

Статья 28. Конфиденциальность персональных данных

Статья 29. Общедоступные персональные данные

Статья 30. Права и обязанности субъекта

Статья 31. Права и обязанности собственника и (или) оператора

Статья 32. Разрешение споров

Статья 33. Ответственность за нарушение законодательства о персональных данных

Статья 34. Обеспечение исполнения, доведения, разъяснения сути и значения настоящего Закона

Статья 35. Приведение законодательства в соответствие с настоящим Законом

Статья 36. Вступление в силу настоящего Закона

Президент Республики Узбекистан Ш. МИРЗИЁЕВ

г. Ташкент,

2 июля 2019 г.,

№ ЗРУ-547

(Национальная база данных законодательства, 03.07.2019 г., № 03/19/547/3363; 15.01.2021 г., № 03/21/666/0032)

Что такое законопроект о защите персональных данных 2019 года?

Законопроект о защите персональных данных 2019 года (PDP Bill 2019) был представлен в Lok Sabha министром электроники и информационных технологий Рави Шанкаром Прасадом 11 декабря 2019 года. Это произошло после более чем двух лет дебатов по поводу законопроекта. положения.

По состоянию на март 2020 года законопроект анализируется Объединенным парламентским комитетом (JPC) в консультации с отраслевыми экспертами и заинтересованными сторонами. JPC, созданный в декабре 2019 г.возглавляет член парламента (депутат) от БДП Минакши Лекхи.

Несмотря на то, что ПКД был установлен короткий срок для завершения своего отчета до Бюджетной сессии 2020 года, ему потребовалось больше времени. Ожидается, что отчет JPC будет представлен ко второй неделе предстоящей сессии индийского парламента в сезон дождей и принят в 2020 году.

Законопроект описывает механизмы защиты конфиденциальных персональных данных и предлагает создание нового орган, называемый Управлением по защите данных (DPA). Кроме того, в 2019 г.В законопроекте есть ключевые положения, которых не было в законопроекте 2018 года, например, что центральное правительство может освободить любое государственное учреждение от действия законопроекта, а также право человека на стирание, также известное как право на забвение.

Как и многие законы о защите данных, последствия законопроекта выходят за пределы Индии и могут затронуть любую организацию, которая ведет бизнес в Индии. Индия, благодаря своей численности населения, валовому внутреннему продукту и растущему числу пользователей Интернета, имеет уникальную возможность сформировать глобальный закон о конфиденциальности, как это сделал Европейский Союз с GDPR.

При этом законопроект вызвал критику внутри и за пределами Индии из-за оруэлловских, протекционистских и авторитарных положений. Другие говорят, что законопроект недостаточно защищает частную жизнь человека.

Почему был принят Закон о защите персональных данных 2019 года?

В августе 2017 года коллегия из девяти судей Верховного суда Индии подтвердила право на неприкосновенность частной жизни в К.С. Путтасвами против Союза Индии (2017 г.), «дело о праве на неприкосновенность частной жизни». Суд сослался на право на жизнь и личную свободу в соответствии со статьей 21 Конституции Индии.

В ходе рассмотрения дела правительство Индии создало Экспертную комиссию под председательством судьи Б.Н. Шрикришна, чтобы изучить различные вопросы, связанные с защитой данных в Индии. После публичного обсуждения Белой книги Комитет представил в июле 2018 года в Министерство электроники и информационных технологий проект законопроекта о защите персональных данных и сопроводительный отчет под названием «Свободная и справедливая цифровая экономика: защита конфиденциальности, расширение прав и возможностей индийцев ».

Законопроект о защите персональных данных 2019 года основан на рекомендациях Комитета экспертов и предложениях, полученных от заинтересованных сторон внутри и вне центрального правительства.

Какова цель Закона о защите персональных данных 2019 г.?

Законопроект открывается со своей целью:

обеспечить защиту частной жизни физических лиц в отношении их личных данных, указать поток и использование личных данных, создать доверительные отношения между физическими и юридическими лицами, обрабатывающими личные данные, защищать основные права лиц, чьи персональные данные обрабатываются, создавать основу для организационных и технических мер при обработке данных, устанавливая нормы для посредничества в социальных сетях, трансграничной передачи, ответственности лиц, обрабатывающих персональные данные, средств защиты от несанкционированных и вредоносная обработка, а также создание Управления по защите данных Индии для указанных целей и по вопросам, связанным с ними или сопутствующим им.

Далее выделяются три ключевых момента:

1. Право на неприкосновенность частной жизни является фундаментальным правом, и необходимо защищать личные данные как важный аспект информационной конфиденциальности
2. Рост цифровой экономики расширил использование данных как важного средства коммуникации между людьми
3. Необходимо создать коллективную культуру, которая способствует свободной и справедливой цифровой экономике, соблюдая конфиденциальность информации отдельных лиц и обеспечивая расширение прав и возможностей, прогресс и инновации посредством цифрового управления и инклюзивности, а также для вопросы, связанные с этим или связанные с ним.

Как указывалось выше, законопроект был разработан благодаря постоянному взаимодействию и консультациям с множеством заинтересованных сторон, включая правоохранительные органы Индии, которые хотят получить доступ к хранящимся в США данным во время расследований, касающихся национальной безопасности, а также их отвращение к «колониализму данных». крупных западных технологических компаний, таких как Google и Facebook.

Законопроект предлагает заменить Закон об информационных технологиях 2000 г. (раздел 43-A), удалив положения, касающиеся компенсации, выплачиваемой компаниями за утечку данных и нарушение конфиденциальности данных.

Что содержится в Законе о защите персональных данных 2019 г.?

Многие положения Закона о защите персональных данных, касающиеся согласия, аналогичны положениям Общего регламента ЕС по защите данных (GDPR).

Согласно законопроекту, доверенные лица и обработчики данных должны получить согласие от принципалов данных перед обработкой своих данных. Хранителем данных является любое лицо, в том числе государство, компания, любое юридическое лицо или любое физическое лицо, которое самостоятельно или совместно с другими определяет цель и средства обработки персональных данных. Аналогичным образом, обработчики данных — это любое лицо, включая государство, компанию, любое юридическое или физическое лицо, которое обрабатывает персональные данные от имени доверенного лица.

На сборщиков данных также распространяются новые требования к отчетности, такие как требование согласия родителей или опекунов на сбор данных, принадлежащих детям.

Законопроект также предоставляет право субъектам данных, тем субъектам данных, чьи данные собираются.

Если законопроект вступит в силу, доверенные лица и обработчики данных должны будут:

• Уведомить принципалов данных о сборе данных
• Запросить согласие до обработки данных о субъекте данных
• Сбор и хранение доказательств того, что было направлено уведомление и получено согласие
• Разрешение потребителям отзывать согласие, а также доступ, исправление и удаление их данных
• Разрешение потребителям передавать свои данные, включая любые выводы, сделанные предприятиями на такие данные другим предприятиям
• вносить организационные изменения для защиты данных, например, следуя принципам конфиденциальности и создавая меры безопасности

Закон также требует, чтобы все «конфиденциальные личные данные» хранились в Индии и чтобы личные данные» не могут быть переданы из Индии. Это было раскритиковано как протекционистское, поскольку оно искажает решения, принимаемые рынком, и вынуждает компании использовать местных поставщиков услуг хранения данных.

DPA может считать доверенное лицо данных или класс доверенных лиц важными доверенными лицами данных на основании:

• объема обрабатываемых персональных данных
• конфиденциальности обрабатываемых персональных данных
• оборота доверенного лица данных
• риска причинения вреда при обработке данных доверенным лицом
• Использование новых технологий обработки; и
• Любой другой фактор, вызывающий вред от такой обработки.

Фидуциары важных данных должны выполнять дополнительные обязанности, такие как аудит данных и назначение сотрудников по защите данных.

Законопроект также содержит требования об уведомлении о нарушениях. Фидуциары данных должны уведомить DPA об утечке данных «как можно скорее», если это «вероятно причинит вред любому субъекту данных». DPA также может поручить доверенному лицу опубликовать сообщение о нарушении на своем веб-сайте (или может опубликовать на своем собственном веб-сайте).

Тем не менее, в законопроекте есть ряд исключений, когда хранители данных не должны получать согласие на сбор личной информации о гражданах Индии. Например, существуют исключения по согласию для государства или других организаций, выполняющих судебные постановления, обеспечивающих соблюдение закона, предоставляющих общественные блага или услуги и оказывающих неотложную медицинскую помощь.

Существуют и другие исключения «по разумным причинам» для таких ситуаций, как информирование о нарушениях, слияния и поглощения, кредитный скоринг и работа поисковых систем.

Наконец, законопроект включает правила о неличных данных. В соответствии с законопроектом правительство может потребовать от любого бизнеса делиться ценными неличными данными (такими как совокупные данные о мобильности, собранные Google Maps или Uber) с правительством.

Что считается персональными данными в Законе о защите персональных данных 2019 г.?

Данные можно разделить на два типа: конфиденциальные и неконфиденциальные данные. В связи с введением общих законов о защите данных во всем мире все больше и больше персональных данных считаются конфиденциальными.

Персональные данные в Законе о защите персональных данных 2019 г. — это любые данные, которые относятся к характеристикам, чертам или атрибутам, которые могут быть использованы для идентификации человека.

Неперсональные данные, напротив, включают агрегированные данные, которые не могут идентифицировать человека. Например, местоположение человека будет представлять собой персональные данные, в то время как информация, полученная из тысяч отдельных местоположений, такая как данные для анализа транспортных потоков, не считается персональными данными.

В дополнение к приведенному выше определению, в законопроекте проводится дальнейшее разграничение конфиденциальных персональных данных, таких как финансовые данные, данные о здоровье, официальный идентификатор, сексуальная жизнь, сексуальная ориентация, биометрические данные, генетические данные, статус трансгендера, статус интерсексуала, каста или племя. и религиозные или политические убеждения.

Как персональные данные в настоящее время регулируются в Индии?

Использование и передача персональных данных в настоящее время регулируются Правилами информационных технологий 2011 г. в соответствии с Законом об информационных технологиях 2000 г.

В соответствии с действующими правилами обработка персональных данных означает, что компании могут быть привлечены к ответственности и должны компенсировать пострадавшим лицам, если плохая безопасность данных приведет к раскрытию конфиденциальных данных.

Причина, по которой законопроект был представлен, заключается в том, что правительство считает, что темпы развития цифровой экономики привели к тому, что существующее регулирование стало неполным.

Например, текущее определение конфиденциальных персональных данных является узким, и некоторые его положения могут быть отменены контактным лицом. Кроме того, Закон об информационных технологиях применяется только к компаниям, а не к самому правительству Индии.

Когда вступит в силу Закон о защите персональных данных 2019 г.?

По состоянию на март 2020 года законопроект все еще анализируется Объединенным парламентским комитетом (СПК) в консультации с экспертами и заинтересованными сторонами.

ПКД был создан в декабре 2019 года, и у него был установлен короткий срок для завершения законопроекта до Бюджетной сессии 2020 года, но с тех пор он попросил больше времени для изучения законопроекта и консультаций с заинтересованными сторонами.

Ожидается, что JPC представит свой отчет ко второй неделе муссонной сессии индийского парламента.

Кто должен будет соблюдать Закон о защите персональных данных 2019?

Законопроект налагает требования по защите данных на большинство предприятий, работающих в Индии. Законопроект нацелен не только на компании, занимающиеся технологиями, электронной коммерцией и социальными сетями, но и на обычные, риелторские, больничные и фармацевтические компании.

Кроме того, он также регулирует иностранные компании, если они имеют дело с личными данными физических лиц в Индии. Это похоже на другие общие правила защиты данных, такие как GDPR, PIPEDA, CCPA, The SHIELD Act и FIPA.

Единственным исключением являются небольшие предприятия, такие как розничные торговцы, которые собирают информацию вручную и соответствуют другим условиям, которые должны быть указаны DPA.

Какие санкции предусмотрены за несоблюдение Закона о защите персональных данных?

Законопроект дает DPA право налагать штраф на любой бизнес, который не соблюдает законопроект или постановления, принятые DPA или правительством Индии.

Максимальный штраф, который может быть наложен, составляет 150 миллионов индийских рупий (~ 2,1 миллиона долларов США) или 4 процента от мирового оборота фирмы за предыдущий финансовый год.

Каковы критические замечания по поводу Закона о защите персональных данных 2019 г.?

Наибольшее беспокойство по поводу законопроекта среди ученых и активистов вызывают исключения, предоставленные правительству. В разделе 35 говорится, что исключения могут быть сделаны из правил сбора, требований к отчетности и других требований, когда правительство считает это «необходимым или целесообразным» в «интересах суверенитета и целостности Индии, национальной безопасности, дружественных отношений с иностранными государствами и общественного мнения». порядок.»

Судья Б.Н. Шрикришна, бывший судья Верховного суда Индии, сказал, что законопроект может превратить Индию в «государство Оруэлла». В интервью Economic Times Шрикришна сказал: «Они сняли меры безопасности. Это самое опасное. Правительство может в любое время получить доступ к частным данным или данным государственных учреждений на основании суверенитета или общественного порядка. Это имеет опасные последствия».

Dvara Research, институт исследования политики финансовых систем в Индии, повторяет критику Шрикришны, определяя семь проблем защиты прав потребителей, которые могут ослабить право граждан на неприкосновенность частной жизни.

В The Hindu Апар Гутпа, исполнительный директор Фонда свободы Интернета, «Конфиденциальность упоминается только один раз в этом объемном документе — 49 упоминаний о безопасности и 56 упоминаний о технологии».

А Министерство иностранных дел предупреждает о растущем в Индии государстве слежки за «новыми технологиями, которые угрожают свободам в крупнейшей в мире демократии».

Как UpGuard может защитить персональные данные и предотвратить утечку данных

UpGuard Vendor Risk может минимизировать количество времени, которое ваша организация тратит на оценку связанных и сторонних средств защиты информации, путем автоматизации опросов поставщиков и предоставления шаблонов опросов поставщиков.

Мы также можем помочь вам мгновенно сравнить ваших текущих и потенциальных поставщиков с их отраслью, чтобы вы могли увидеть, как они складываются.

Для оценки ваших средств управления информационной безопасностью UpGuard BreachSight может отслеживать вашу организацию на наличие более 70 средств управления безопасностью, предоставляя простой и понятный рейтинг кибербезопасности и автоматически обнаруживая утечку учетных данных и раскрытие данных в корзинах S3, серверах Rsync, GitHub репо и многое другое.

Сюда входят открытые порты и другие службы, доступные в общедоступном Интернете. Наша платформа явно проверяет почти 200 служб, работающих на тысячах портов, и сообщает о любых службах, которые мы не можем идентифицировать, а также обо всех открытых портах без обнаруженных служб.

Основное различие между UpGuard и другими поставщиками рейтингов безопасности заключается в том, что существуют общедоступные доказательства нашего опыта в предотвращении нарушений и утечек данных.

О нашем опыте писали такие издания, как The New York Times, The Wall Street Journal, Bloomberg, The Washington Post, Forbes, Reuters и TechCrunch.

Вы можете узнать больше о том, что говорят наши клиенты, в обзорах Gartner.

Получите 7-дневную бесплатную пробную версию платформы UpGuard уже сегодня.

Состояние законов о конфиденциальности данных потребителей в США (и почему это важно)

Мы независимо проверяем все, что рекомендуем. Когда вы покупаете по нашим ссылкам, мы можем получать комиссию. Узнать больше›

Real Talk

Советы, выбор персонала, разрушение мифов и многое другое. Позвольте нам помочь вам.

Иллюстрация: Дана Дэвис

Опубликовано 6 сентября 2021 г.

Поделиться этой публикацией

Чем больше вещей люди покупают, будучи подключенными к Интернету, тем больше наших обзоров и рекомендаций на Wirecutter включают длинные разделы с подробным описанием функций конфиденциальности и безопасности. таких продуктов, от умных термостатов до фитнес-трекеров. Поскольку данные, которые собирают эти устройства, продаются и передаются, а также взламываются, принятие решения о том, какие риски вас устраивают, является необходимой частью осознанного выбора. И эти риски сильно различаются, отчасти потому, что не существует единого всеобъемлющего федерального закона, регулирующего сбор, хранение или обмен данными о клиентах в большинстве компаний.

Большая часть экономики данных, лежащей в основе обычных продуктов и услуг, невидима для покупателей. По мере того, как ваши данные передаются между бесчисленным количеством третьих лиц, появляется не только больше компаний, получающих прибыль от ваших данных, но и больше возможностей для утечки или взлома ваших данных таким образом, что причиняет реальный вред. Только за последний год мы видели, как новостное издание использовало псевдонимные данные приложения, предположительно просочившиеся от рекламодателя, связанного с приложением для знакомств Grindr, чтобы разоблачить священника. Мы читали о том, что правительство США покупает данные о местоположении у молитвенного приложения. Исследователи обнаружили, что приложения для лечения опиоидной зависимости обмениваются конфиденциальными данными. А в T-Mobile недавно произошла утечка данных, которая затронула как минимум 40 миллионов человек, у некоторых из которых даже никогда не было учетной записи T-Mobile.

«У нас есть эти компании, которые накапливают просто гигантские объемы данных о каждом из нас, весь день, каждый день», — сказала Кейт Руан, старший советник по вопросам Первой поправки и конфиденциальности потребителей в Американском союзе гражданских свобод. . Руан также указал, что данные в конечном итоге используются неожиданным образом — намеренно или нет, — например, для таргетинга рекламы или корректировки процентных ставок в зависимости от расы. «Ваши данные берутся и используются во вред».

Законы о конфиденциальности данных потребителей могут дать людям право контролировать свои данные, но при плохом соблюдении такие законы также могут сохранить статус-кво. — Мы можем это остановить, — продолжил Руан. «Мы можем создать лучший Интернет, лучший мир, в котором будет больше защиты конфиденциальности».

Что (не) делают действующие национальные законы о конфиденциальности

В настоящее время законы о конфиденциальности представляют собой беспорядочную смесь различных отраслевых правил. «Исторически сложилось так, что в США существует множество разрозненных федеральных [и государственных] законов», — сказала Эми Степанович, исполнительный директор Silicon Flatirons Center в Colorado Law. «[Они] либо смотрят на определенные типы данных, такие как кредитные данные или информацию о здоровье, — сказал Степанович, — либо смотрят на определенные группы населения, такие как дети, и регулируют в этих сферах».

В Соединенных Штатах нет единого закона, регулирующего конфиденциальность всех типов данных. Вместо этого в нем есть набор законов, которые обозначаются такими аббревиатурами, как HIPAA, FCRA, FERPA, GLBA, ECPA, COPPA и VPPA.

Данные, собираемые подавляющим большинством продуктов, которые люди используют каждый день, не регулируются. Поскольку федеральных законов о конфиденциальности, регулирующих многие компании, нет, они практически вольны делать с данными все, что хотят, если только в штате нет собственного закона о конфиденциальности данных (подробнее об этом ниже).

• В большинстве штатов компании могут использовать, делиться или продавать любые данные, которые они собирают о вас, не уведомляя вас об этом.
• Ни одно национальное законодательство не устанавливает, когда (или если) компания должна уведомлять вас, если ваши данные взломаны или раскрыты неуполномоченным сторонам.
• Если компания передает ваши данные, включая конфиденциальную информацию, такую ​​как ваше здоровье или местонахождение, третьим лицам (например, брокерам данных), эти третьи стороны могут в дальнейшем продавать или передавать их без уведомления вас.

«Большинство людей считают, что они защищены, до тех пор, пока это не оказывается таковым», — сказал Ашкан Солтани, независимый исследователь и бывший главный технолог Федеральной торговой комиссии. «К сожалению, поскольку эта экосистема в основном скрыта от глаз и непрозрачна, потребители не могут видеть и понимать поток информации».

Всеобъемлющий европейский закон о конфиденциальности, Общий регламент по защите данных (GDPR), требует от компаний запрашивать некоторые разрешения на обмен данными и дает отдельным лицам права доступа, удаления или контроля над использованием этих данных. В Соединенных Штатах, напротив, нет единого закона, регулирующего конфиденциальность всех типов данных. Вместо этого в нем есть набор законов, обозначаемых такими аббревиатурами, как HIPAA, FCRA, FERPA, GLBA, ECPA, COPPA и VPPA, предназначенных для обработки только определенных типов данных в особых (часто устаревших) обстоятельствах.

• Закон о переносимости и подотчетности медицинского страхования (HIPAA) не имеет ничего общего с конфиденциальностью и распространяется только на общение между вами и «застрахованными организациями», к которым относятся врачи, больницы, аптеки, страховые компании и другие подобные предприятия. Люди склонны думать, что HIPAA охватывает все данные о здоровье, но это не так. Например, ваши данные Fitbit не защищены, и закон не ограничивает, кто может запрашивать ваш статус прививки от COVID-19.
• Закон о достоверной кредитной отчетности (FCRA) распространяется на информацию, содержащуюся в вашем кредитном отчете. Он ограничивает круг лиц, которым разрешено просматривать кредитный отчет, информацию, которую могут собирать бюро кредитных историй, и способы получения информации.
• Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) подробно описывает, кто может запрашивать документы об образовании учащихся. Это включает в себя предоставление родителям, правомочным учащимся и другим школам права проверять документы об образовании, которые ведет школа.
• Закон Грэмма-Лича-Блайли (GLBA) требует, чтобы потребительские финансовые продукты, такие как кредитные услуги или услуги инвестиционного консультирования, объясняли, как они обмениваются данными, а также право клиента на отказ. Закон не ограничивает использование компаниями собираемых ими данных, если они заранее сообщают о таком использовании. По крайней мере, он пытается защитить некоторые личные данные.
• Закон о конфиденциальности электронных коммуникаций (ECPA) ограничивает прослушивание правительственными телефонными разговорами телефонных звонков и других электронных сигналов (хотя Патриотический акт США многое из этого изменил). Он также устанавливает общие правила, касающиеся того, как работодатели могут отслеживать общение сотрудников. Критики часто отмечают, что ECPA, принятый в 1986 году, устарел. Поскольку ECPA был написан задолго до появления современного Интернета, он не защищает от современных тактик наблюдения, таких как доступ правоохранительных органов к старым данным, хранящимся на серверах, в документах облачного хранилища и в поисковых запросах.
• Правило о защите конфиденциальности детей в Интернете (COPPA) налагает определенные ограничения на сбор компанией данных о детях младше 13 лет.
• Закон о защите конфиденциальности видео (VPPA) запрещает раскрытие записей об аренде видеокассет. Сейчас этот закон может показаться глупым, но он был принят после того, как журналист вытащил видеопрокат кандидата в Верховный суд Роберта Борка. Однако VPPA не устояла против стриминговых компаний.
• Закон о Федеральной торговой комиссии (Закон о Федеральной торговой комиссии) уполномочивает Федеральную торговую комиссию преследовать приложение или веб-сайт, которые нарушают ее собственную политику конфиденциальности. FTC также может расследовать нарушения маркетинговых формулировок, связанных с конфиденциальностью, как это было, когда она подала жалобу на Zoom за обман пользователей, заявив, что видеочаты были зашифрованы сквозным шифрованием. Некоторые группы также недавно призвали Федеральную торговую комиссию распространить эту власть на неправомерные действия с данными.

Среди множества различных законов легко увидеть, как люди путаются в том, какие права у них есть, а какие нет. Чтобы добавить к этому, наряду с этими федеральными законами также есть несколько законов штатов.

Всего в трех штатах действуют всеобъемлющие законы о конфиденциальности данных

Изображение: IAPP

В настоящее время в трех штатах США действуют три различных всеобъемлющих закона о конфиденциальности потребителей: Калифорния (CCPA и его поправка, CPRA), Вирджиния (VCDPA) и Колорадо (ColoPA). . Независимо от того, в каком штате находится компания, права, предусмотренные законодательством, распространяются только на людей, проживающих в этих штатах.

«Многие положения подтверждают бизнес-модель. [VCDPA], по сути, позволяет компаниям, занимающимся сбором больших данных, продолжать делать то, что они делали раньше». — Кейт Руан, старший юрисконсульт Американского союза гражданских свобод

Эти законы имеют схожие положения, которые, как правило, дают вам определенное уведомление и возможность выбора в управлении вашими данными. По сути, компания, работающая в соответствии с этими правилами, должна сообщить вам, продает ли она ваши данные; у вас также есть выбор, согласны вы с этим или нет, и у вас есть право доступа, удаления, исправления или перемещения ваших данных. Эти законы немного отличаются в других аспектах, например, в разрешенных периодах исправления (количество времени, которое компания должна исправить ошибку), размере или уровне доходов предприятий, к которым применяется закон, а также в том, можете ли вы использовать инструменты или «уполномоченные агенты» для запросов на отказ (например, настройка в вашем веб-браузере, которая автоматически отключает вас от продажи данных на веб-странице, или служба, в которой другой человек делает запросы на отказ от вас).

Эксперты, с которыми мы разговаривали, назвали систему защиты конфиденциальности в Калифорнии самой надежной в США, поскольку правила включают ограниченное «частное право на иск» — возможность подать в суд на компанию — в отношении определенных типов утечек данных. Калифорния также требует «глобального отказа», чтобы отказаться от обмена данными с помощью устройства или браузера, вместо того, чтобы быть вынужденным отказаться на каждом сайте в отдельности. Напротив, некоторые из экспертов, с которыми мы беседовали, скептически отнеслись к Закону о защите данных потребителей штата Вирджиния. «Я бы посчитал [VCDPA] довольно слабым законопроектом», — сказал Руан из ACLU. «Это основано на согласии на отказ. Нет защиты гражданских прав. Частного права на иск нет. Многие положения подтверждают бизнес-модель. По сути, это позволяет компаниям, занимающимся сбором больших данных, продолжать делать то, что они делали раньше». Ничто из этого не должно вызывать удивления, учитывая, что закон Вирджинии был написан при активном участии Amazon.

По крайней мере еще четыре штата, Массачусетс, Нью-Йорк, Северная Каролина и Пенсильвания, прямо сейчас рассматривают серьезные комплексные предложения по конфиденциальности данных потребителей. В других штатах действуют различные законы на ранних стадиях. Может быть сложно отследить статус всех этих предложений, но у Международной ассоциации профессионалов в области конфиденциальности есть трекер, который показывает, в каких штатах действует законодательство о конфиденциальности и где эти законопроекты находятся в процессе. Согласно исследованию The Markup, по крайней мере 14 предложений аналогичны более слабому закону Вирджинии.

Как и в случае с национальными законами, существуют законы на уровне штатов, которые охватывают отдельные аспекты конфиденциальности данных. В штате Миссури действуют правила конфиденциальности электронных книг. Закон Иллинойса о конфиденциальности биометрической информации (BIPA) дает людям право на конфиденциальность их биометрических данных, таких как отпечатки пальцев или сканирование лица. Когда дело доходит до уведомлений об утечке данных, особенно сложно знать свои права, поскольку существует как минимум 54 различных закона, которые различаются в зависимости от региона.

Эми Степанович из Silicon Flatirons Center отметила, что такие государственные законы по-прежнему полезны, даже если они могут ввести в заблуждение. «Вы можете думать о них как о повышении уровня воды», — сказала она, добавив, что компании часто предпочитают «применять более сильные, более защитные стандарты по всем направлениям для всех», когда юридические стандарты повышаются.

Существует также риск того, что слишком много законов штатов создадут путаницу как для компаний, так и для потребителей. Уитни Меррилл, поверенный в области конфиденциальности и сотрудник по защите данных, сказала, что федеральный закон упростит задачу для всех. «Нам нужен федеральный закон, который рассматривает вещи с гораздо более последовательным подходом, — сказал Меррилл, — чтобы убедиться, что потребители понимают и имеют правильные ожидания в отношении прав, которые они имеют в отношении своих данных».

Четыре области, которые заслуживают базовой защиты, по мнению экспертов по конфиденциальности

Все, с кем мы разговаривали, описывали потенциальные законы о конфиденциальности данных потребителей как «этаж», на котором можно было бы опираться на них в будущем по мере появления новых технологий. Этот уровень обычно включает в себя несколько основных средств защиты:

• Права на сбор и обмен данными : Законы должны давать людям право видеть, какие данные о них собрали различные компании, требовать, чтобы компании удаляли любые данные, которые они собрали, и для удобного переноса данных из одного сервиса в другой. Это также включает в себя право запретить компаниям продавать (или передавать) ваши данные третьим лицам. Чтобы получить представление о том, как такое регулирование работает на практике, мы рассмотрели, каково это запрашивать информацию в Калифорнии в соответствии с CCPA, которое, как правило, требует, чтобы вы щелкнули по крайней мере одну форму на каждом веб-сайте, с которым вы взаимодействуете (и для некоторых третьих лиц, о существовании которых вы можете даже не знать).
• Согласие на согласие: Компания должна спросить вас, может ли она передавать или продавать ваши данные третьим лицам. Вам не придется часами отказываться от сбора ваших личных данных через каждый сервис, которым вы пользуетесь.
• Минимизация данных: Компания должна собирать только то, что ей необходимо для предоставления услуги, которой вы пользуетесь.
• Недискриминация и отсутствие дискриминации при использовании данных: Компания не должна дискриминировать людей, которые осуществляют свои права на неприкосновенность частной жизни; например, компания не может взимать с кого-то дополнительную плату за защиту их конфиденциальности, а компания не может предлагать клиентам скидки в обмен на то, что они откажутся от большего количества данных. Этот регламент также должен включать разъяснения о защите гражданских прав, например о предотвращении дискриминации рекламодателями определенных характеристик.

Компания Merrill также хотела бы видеть более полный закон об уведомлении об утечке данных, возможно, в виде отдельного законопроекта. «Я думаю, что это будет довольно легко пройти», — сказала она. «Кто получает уведомление? Каковы общие стандарты? Давайте упростим задачу, чтобы все были на одной волне».

«Особенно в тех штатах, где они не разрешают частное право [подавать в суд], чтобы затем также недофинансировать государственное правоприменение — это просто оскорбление». — Хейли Цукаяма, законодательный активист, Electronic Frontier Foundation

Никакое регулирование не имеет большого значения без механизма правоприменения. И лоббисты оспаривали «частное право на иск» — разрешение частному лицу подавать в суд на компанию за нарушение конфиденциальности — как один из таких механизмов. Законодательство Калифорнии имеет ограниченное частное право на иск, связанный с небрежностью в отношении утечки данных. В законах Колорадо и Вирджинии даже этого нет. Несколько законопроектов, в том числе в Коннектикуте, Флориде, Оклахоме и Вашингтоне, не стали законами, потому что они включали частное право на иск. В начале 2021 года законодатели Северной Дакоты представили законопроект, который включал частное право на действия и согласие на согласие, и в ответ группа рекламных компаний (PDF) заявила: «Такой подход приведет к созданию самого ограничительного закона о конфиденциальности в Соединенные Штаты.» Законопроект провалился в государственной палате.

Хейли Цукаяма, законодательный активист Electronic Frontier Foundation, резко описала ситуацию. «Мы хотели бы видеть в законодательстве о конфиденциальности полные права частных лиц», — сказала она. «Мы просто считаем, что если компания нарушает вашу конфиденциальность, вы должны иметь возможность подать на нее в суд».

«Исторически сложилось так, что маргинализированные сообщества не могли полагаться на государственные институты для защиты своих прав», — сказал Степанович. «Поэтому наличие чего-то вроде частного права на иск для чернокожих и других сообществ, не являющихся белыми, гарантирует, что они могут отстаивать свои права или обращаться в суд, если что-то пошло не так».

Солтани, напротив, видел путь вперед без частного права на иск: «Я думаю, что правоприменение — действительно важный аспект. Если есть адекватное правоприменение — юридическая защита и регулирующие ресурсы — я не думаю, что отказ от частного права на иск является нарушением условий сделки».

Эти ресурсы важны. «Особенно в тех штатах, где они не разрешают частное право [действовать], чтобы затем также недофинансировать государственное правоприменение — это просто оскорбление для раны», — сказал Цукаяма. Калифорния создала группу правоприменения только для этой цели под названием Калифорнийское агентство по защите конфиденциальности, которое будет получать 10 миллионов долларов ежегодного финансирования. Генеральная прокуратура штата Вирджиния занимается правоприменением там с финансированием в размере 400 000 долларов, дополненным штрафами и пенями.

Выбрасывание денег на правоприменение или требование от компаний адаптироваться к новым правилам также требует выполнения работы людьми, а эти люди не всегда легкодоступны. «Одна из моих проблем с законами штата заключается в том, что нужно учиться все больше и больше, — отметил Меррилл, — и я боюсь выгорания в сообществе конфиденциальности, потому что невозможно идти в ногу, а ставки очень высоки».

Интернет-ассоциация, отраслевая группа, представляющая несколько крупных технологических компаний, включая Amazon, Facebook и Google, указала нам на письмо и показания, отправленные в законодательный орган штата Нью-Джерси, в которых основное внимание уделяется двум пунктам: согласию и частному праву на иск. Ассоциация настаивает на том, чтобы текущая модель отказа от согласия сохраняла статус-кво, при котором потребители должны приложить все усилия, чтобы получить защиту конфиденциальности, изложенную в законе. Ассоциация также включила документ Института правовой реформы, филиала Торговой палаты США, который выступает за благоприятные для бизнеса правовые реформы, в котором утверждается, что частные судебные процессы будут препятствовать инновациям, будут стоить слишком много денег и приведут к противоречивым решениям.

Как более строгие законы о конфиденциальности изменят вашу повседневную жизнь

Если вы когда-либо нажимали на одно из этих надоедливых уведомлений о файлах cookie или были вынуждены прокручивать до конца политику конфиденциальности, прежде чем вы сможете использовать программное обеспечение, вы увидели, как такие законы могут иметь пагубное влияние на вашу повседневную жизнь.

Так быть не должно. Степанович сказал, что если закон о конфиденциальности написан хорошо, жизнь большинства людей не должна измениться. «Конфиденциальность заключается не в том, чтобы не использовать технологии, а в том, чтобы иметь возможность участвовать в жизни общества и знать, что вашими данными не будут злоупотреблять или что вы не причините вреда в будущем из-за этого», — сказала она. . Если все сделано правильно, последствия скандалов, подобных тем, что были вокруг Cambridge Analytica или Grindr, можно свести к минимуму. И вы увидите меньше персонализированной рекламы и больше контекстной, которая, возможно, менее пугающая (для чтения статьи требуется подписка).

Хорошо написанный закон о конфиденциальности данных облегчит вам покупку многих интересующих вас продуктов, не беспокоясь о конфиденциальности. Возможно, обзоры и руководства Wirecutter не потребуют подробных сравнений с оценкой политик конфиденциальности для работающих часов, умных весов или роботов-пылесосов, потому что все они будут иметь базовый уровень конфиденциальности, а также четкие, простые для понимания опции. -in правила обмена данными. И если компания ошибается и злоупотребляет этими правами на неприкосновенность частной жизни, эта компания будет нести ответственность за изменение.

Даже самые последние законы не учитывают всевозможные другие проблемы с данными, такие как прозрачность алгоритма или использование правительством системы распознавания лиц.

Одним из камней преткновения нынешней системы отказа является усталость от уведомлений. Когда каждое приложение и веб-сайт запрашивает у вас десятки разрешений, становится проще принять статус-кво, чем вручную отказаться от каждой технологии отслеживания. Обзорная статья в журнале Science (PDF) в 2015 г. показала, насколько плохо большинство людей справились с рисками, связанными с конфиденциальностью, а в 2019 г.Газета описала своего рода согласие «уведомление и выбор», к которому все привыкли, как «метод регулирования конфиденциальности, который обещает прозрачность и свободу действий, но не дает ни того, ни другого».

Все эксперты, с которыми мы говорили, предпочли модель добровольного согласия и концепцию «конфиденциальность по умолчанию». Такая договоренность изначально сделает учетные записи закрытыми, а приложения не будут иметь никаких разрешений. Вы можете выбрать эти настройки. Наряду с правом подавать в суд на компании согласие на подписку оказывается одной из самых сложных вещей для включения в законы о конфиденциальности. Вместо этого эксперты настаивают на возможности использования расширений браузера или других инструментов, которые отключаются автоматически.

Ашкан Солтани, бывший главный технолог FTC, предложил техническое решение с глобальным контролем конфиденциальности (GPC), которое дает возможность отказаться от продажи данных на уровне браузера или устройства — улучшение по сравнению с потребностью отказаться на каждом сайте или в каждом сервисе. В настоящее время GPC включен в несколько браузеров и пользуется уважением нескольких изданий, в том числе The New York Times. После того, как в 2023 году вступят в силу глобальные правила отказа от участия, в Калифорнии будут более четко требовать от компаний соблюдать GPC9.0003

Воздействие таких законов может даже обратить вспять отчаяние многих людей по поводу того, что «конфиденциальность мертва», как заметила Эми Степанович. «Вы хотите, чтобы эта безнадежность ушла, и чтобы люди знали: вы защищены, пока занимаетесь этим делом».

Основные законы о конфиденциальности, за которые выступают, которые предлагаются, а иногда и принимаются, не могут и не будут все исправлять. Учитывая сложность экономики данных, которая сейчас существует, можно и, возможно, нужно сделать гораздо больше. Даже самые последние законы не учитывают всевозможные другие проблемы с данными, такие как прозрачность алгоритмов или использование правительством системы распознавания лиц. Существует несколько национальных законов о конфиденциальности, находящихся на разных стадиях принятия, но ни один из них не имеет серьезных шансов быть принятым в ближайшее время.

Но новые законы могли бы, по крайней мере, поощрять продукты и услуги, менее враждебные конфиденциальности, и они могли бы обеспечить базовую защиту (и правоприменение) от наиболее вредоносных типов интеллектуального анализа данных, а также сформировать основу для большей защиты конфиденциальности в будущем. В лучшем случае закон о конфиденциальности данных может сделать так, чтобы вы могли покупать новейшие штуковины с забавными новыми функциями, не беспокоясь о том, что компания собирает больше данных, чем вы думаете, и продает их компаниям, о которых вы никогда не слышали. из которых будут использоваться рекламодателями для продажи вам.

Источники

1. Уитни Меррилл, адвокат по вопросам конфиденциальности и специалист по защите данных, телефонное интервью, 26 июля 2021 г.

2. Ашкан Солтани, независимый исследователь и бывший главный технолог Федеральной торговой комиссии, телефонное интервью, 21 июля 2021 г.

3. Кейт Руан, старший советник по вопросам Первой поправки и конфиденциальности прав потребителей в Американском союзе гражданских свобод, интервью по телефону, 21 июля 2021 г.

4. Эми Степанович, исполнительный директор Silicon Flatirons Center в Colorado Law, телефон интервью, 15 июля 2021 г.

5. Хейли Цукаяма, законодательный активист Electronic Frontier Foundation, телефонное интервью, 14 июля 2021 г.

• Интеллектуальный термостат Ecobee Smart Thermostat Premium, такой как наш выбор, автоматизирует систему отопления и охлаждения вашего дома, чтобы обеспечить максимальный комфорт и эффективность.

  Лучший интеллектуальный термостат 

• После тестирования 35 фитнес-трекеров — в движении и в состоянии покоя — нам понравился надежный, простой в использовании и многофункциональный Fitbit Charge 5.

  Лучшие фитнес-трекеры

• Проехав более 500 миль с 18 часами, мы пришли к выводу, что Coros Pace 2 и Garmin Forerunner 255 лучше всего подходят большинству бегунов.

  Лучшие часы для бега с GPS 

• После более чем 1000 взвешиваний на 18 интеллектуальных весах мы рекомендуем надежные интеллектуальные весы Greater Goods Wi-Fi.