Защита персональных данных: история вопроса

Вернёмся в семидесятые, чтобы посмотреть, как, в общих чертах, развивался законодательный подход к защите персональных данных.

Принятие GDPR (General Data Protection Regulation) было по-настоящему важным событием как для европейцев, так и для компаний, работающих на европейском рынке. Но, несмотря на вызванный резонанс, это — не единственный и уж точно не первый в мире регламент, регулирующий обработку персональных данных. Исторически GDPR — не революционное, а эволюционное решение. Различные законы о защите права на неприкосновенность частной жизни и безопасности соответствующих данных принимались, обновлялись и дополнялись долгие годы.

В 1970 году в немецком штате Гессен был принят первый современный закон о защите персональных данных. Идеологи этого документа предложили регулировать электронную обработку данных, связанных со сбором налогов, ЖКХ и другими муниципальными сервисами. Касалось это лишь местных властей и их подрядчиков — частный сектор оставался нетронутым.

На национальном уровне первый подобный закон — Datalgen (букв. Data Act) — был принят тремя годами позже в Швеции. На тот момент эта страна была чуть ли не самой компьютеризованной в мире – начиная с 60-х годов большая часть государственных данных хранилась на магнитных лентах. Возможные последствия автоматической обработки такого объема данных и их неизбежная централизация беспокоили правительство, что привело к принятию этого закона.

Главным отличием Datalgen от его немецкого предшественника было то, что он регулировал частный сектор. Для получения права на хранение данных граждан в форматах, позволявших автоматическую обработку, бизнесы были обязаны обратиться в Инспекцию по защите данных (Data Inspection Board). Единых правил для работы с персональными данными этот закон не прописывал, но с каждой лицензией выдавался индивидуальный список условий. Неповиновение закону влекло за собой штрафы, конфискацию данных и даже тюремные сроки.

Также подверглась регулированию работа с данными граждан в тех случаях, когда она подразумевала трансграничную передачу персональной информации. Профсоюзы, политические партии и религиозные организации, координировавшие деятельность с зарубежными коллегами, были вынуждены обратиться за специальной лицензией.

С самого начала было понятно, что к регуляции подобных интернету телекоммуникационных сетей закон не был приспособлен. С того времени его несколько раз пересматривали. В 1993-м закон решили существенно переделать, а в 1995-м Швеция вступила в ЕС и начала внедрять у себя общеевропейские нормы и требования, регулирующие работу с персональными данными.

В 1974 году американский сенат принял федеральный закон о праве на неприкосновенность частной жизни (Privacy Act). Он ужесточил требования для обработки персональных данных федеральными министерствами. Помимо этого, для граждан США был расширен доступ к документации, имеющей отношение к их персональным данным.

От справок об образовании до судебных документов — любое государственное агентство обязали по запросу предоставить соответствующую информацию. Это право не распространялось на связанные с человеком секретные документы и материалы судебных процессов. Хотя граждане получили право внести коррективы в полученные данные при наличии ошибок и некорректной информации.

Первый международный закон о персональных данных был принят в 1981, когда Совет Европы ратифицировал «Европейскую конвенцию о защите физических лиц при автоматизированной обработке персональных данных». Конвенция определяла принципы защиты персональных данных, а также наделяла людей правом знать, какая информация про них хранится у третьих лиц и почему её обрабатывают. Помимо стран Совета Европы, конвенцию приняли Маврикий, Сенегал, Тунис и Уругвай.

Вскоре после подписания Маастрихтского Договора, формально сформировавшего Евросоюз, Европейский Парламент начал работать над новым общеевропейским документом, регулирующим обработку персональных данных — как автоматическую, так и «ручную».

Именно этот, принятый в 1995 году, закон защищал права европейцев до вступления в силу GDPR. Согласно нему, до начала обработки персональных данных третьи лица были обязаны получить согласие на то человека и обосновать необходимость этого процесса. Те же принципы лежат в основе нового европейского законодательства.

Законодательство о защите персональных данных в США до сих пор представляет собой разрозненный набор локальных нормативных актов и узкоспециализированных федеральных законов. Последние, регулирующие банковские организации (FCRA, 1970 и GLB, 1999), медицинские учреждения (HIPAA, 1996) и телекоммуникации (ECPA, 1986) затрагивают обработку персональных данных. Не покрывающиеся этими законами случаи зачастую регулируются на уровне штата.

Часть работы по защите пользовательских данных ложится на плечи Федеральной торговой комиссии США, основанной в 1914 для пресечения картельных сговоров и защиты прав потребителей. Она вправе открывать дела против компаний за недобросовестное отношение к защите персональных данных и их противозаконное использование в работе бизнеса.

Например, одним из законов, за соблюдением которого следит ФТК, является принятый в 1998 году Children’s Online Privacy Protection Act (COPPA). Он запрещает сбор данных о пользователях младше 13 лет без согласия родителя или опекуна. Именно из-за сложности подтверждения родительского согласия большая часть социальных сетей отказывается регистрировать детей.

На протяжении 18 лет — с 1993 по 2011 — Россия вела переговоры о вступлении в ВТО. 7 ноября 2001 года, выполняя очередное из условий организации, страна подписала вышеупомянутую Конвенцию Совета Европы о защите персональных данных. Этот документ стал основой российских законов, регулирующих аспекты обработки персональных данных. Результат труда законодателей был подписан в 2006 году и введён в силу годом позже.

Отличительной чертой закона «О персональных данных» является то, что контролирующие органы — Роскомнадзор, ФСБ и ФСТЭК — имеют право сертифицировать средства защит баз персональных данных и оценивать техническую имплементацию их безопасности.

К концу нулевых стало очевидно, что интернет окончательно превратился из статического хранилища данных в полноценный инструмент их обработки. Приложения начали «жить» и монетизироваться в облаке, и стало ясно, что старая законодательная база не даёт инструментов для регуляции этих процессов.

Чтобы понять, что делать, европейская комиссия начала опрашивать граждан на тему их отношения к защите персональных данных. В 2012 году полученная обратная связь легла в основу черновика нового закона, теперь известного под названием GDPR. В 2016 закон был принят, а в 2018 вошел в полную силу.

Имя Марио Костеха Гоналеса известно многим из тех, кто хоть что-то слышал о «праве на забвение». В 1998 году этот человек был упомянут статье об аукционе недвижимости должников. Раздражённый тем, что спустя десять лет статья продолжала фигурировать в поисковой выдаче, Марио обратился в Google с просьбой её удалить. Когда Google отказался удовлетворять его просьбу, Марио прибег к помощи властей Испании и подал в Европейский суд. Тот признал за Марио, как и за всеми европейцами, «право на забвение».

Теперь граждане ЕС могут требовать от поисковых систем удаления связанных с ними данных из поисковой выдачи без каких-либо причин, кроме собственного желания. Права, позволяющие контролировать распространение информации о себе в интернете, также имеются у граждан Индии и Аргентины.

1 июня в Китае вошёл в силу первый национальный Закон о кибербезопасности. Согласно нему, компании должны защищать персональные данные пользователей от незаконного использования, потери, искажения или повреждения. Ранее в Китае существовали десятки разрозненных директив и правил в разных законодательных сферах. Закон о кибербезопасности стал первым подобным документом, действующим на макроуровне.

Новый закон делит информационные системы на пять категорий. В первые две попадают компании, чья кибербезопасность не представляет интереса для государства. Компании третьей категории и выше обязаны раз в два года проходить проверку у одного из агентств-подрядчиков и отчитываться о проделанном аудите перед Бюро общественной безопасности.

Закон о кибербезопасности также включает в себя директивы, в целом связанные с сектором IT. Помимо прочего, он регулирует VPN и трансфер информации за пределы страны. Например, в ответ на эти меры Apple перевели данные китайских пользователей iCloud в дата-центры на территории Китая.

Несмотря на то, что Великобритания была членом ЕС на момент вступления в силу GDPR, она параллельно вела работу над собственным Актом о защите информации. Чтобы избежать инфраструктурного коллапса после потенциального выхода страны из ЕС, закон сделали полностью совместимым с GDPR.

Однако, в отличие от общеевропейской директивы, британский Акт регулирует сферы, находящиеся вне юрисдикции ЕС, — такие, как иммиграция и национальная безопасность.

В данный момент внимание общественности обращено на ситуацию в развитых странах. Но подобные законодательные меры принимаются не только там. Международная компания DLA Piper сравнила законы разных стран по защите данных и составила карту, наглядно демонстрирующую отличия между ними.

Конечно, в значительной части мира работа с персональными данными все ещё никак не регулируется, но ситуация быстро меняется. «Ограниченные» (limited) меры по защите персональных данных уже введены в таких странах, как Индия, Индонезия и Пакистан. Законы, принятые в Турции, Саудовской Аравии и Мексике, чуть более строгие — их классифицировали как «умеренные» (moderate). С распространением цифровых технологий можно ожидать, что этот список пополнится, и новые страны внесут свой вклад в историю IT-законодательства.

Другие наши заметки в блоге Mail.Ru Cloud Solutions:

• Справочная: туманные и периферийные вычисления
• Kubernetes — для тех, у кого большое хозяйство

И исторические разборы на vc:

• Cloud native: облако — дом для новых бизнес-моделей
• GDPR: новая причина, по которой все вспомнили о цифровой трансформации