{"id":13637,"url":"\/distributions\/13637\/click?bit=1&hash=6eb6f4cc0fd514248f67334eed9cf9b381eca4ced68925ecf0d4e37273ec5a7a","title":"Ozon \u0440\u0430\u0437\u0432\u0435\u043d\u0447\u0438\u0432\u0430\u0435\u0442 \u043c\u0438\u0444\u044b \u043e \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0445 \u0440\u0430\u0441\u043f\u0440\u043e\u0434\u0430\u0436\u0430\u0445","buttonText":"\u041f\u043e\u043a\u0430\u0436\u0438\u0442\u0435","imageUuid":"7d00f3f0-9073-5cd7-b901-ee3a06a62041","isPaidAndBannersEnabled":false}
Право
Digital Rights Center

Россия и США: разница в подходах к защите персональных данных

В результате широкого распространения Интернета, начавшегося в 1990-е гг., люди смогли существенно расширить политические и экономические возможности развития.

Это привело к определенному ослаблению политической власти, учитывая, что технические возможности в распоряжении государственных органов не позволяют контролировать индивидуальное производство и потребление информационных ресурсов.

Обеспечение безопасности всегда было функцией государства, но вопрос защиты информации представляется гораздо более сложным. Во-первых, информационные ресурсы включают в себя как инфраструктуру, так и содержание, причем одно без другого невозможно. Во-вторых, безопасность информации подразумевает гарантию сохранения ее определенных свойств при информационном взаимодействии: объективность, доступность, целостность, конфиденциальность, оперативность и др., а соответственно, требует принципиально иного подхода по сравнению с традиционными ресурсами.

Право человека на защиту личной жизни, ее неприкосновенности, включает и защиту права на охрану персональных данных от неправомерного использования и распространения. Регулирование этой сферы в США и в России заметно различается. Давайте посмотрим подробнее.

Россия

В России, как и в Европе, после принятия основополагающего законодательного акта — Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 года — субъекты персональных данных получили стройную систему защиты своих прав. Но, несмотря на это, российское законодательство страдает рядом существенных пробелов и недостатков, которые бросаются в глаза.

В частности, хотя в России любая компания и считается оператором данных, поскольку как минимум собирает персональные данные своих сотрудников, но наш закон № 152-ФЗ касается в первую очередь тех операторов персональных данных, которые зарегистрированы и работают на территории РФ.

То же касается и санкций за нарушение законодательства о ПД: в отличие от ЕС или Канады, где наказания исчисляются миллионными суммами или процентами от выручки, по законодательству РФ самый большой штраф за сбор и обработку персональных данных без согласия субъекта (а это наиболее частое нарушение в области защиты ПД в России) по Федеральному закону № 152-ФЗ составляет всего-навсего 75 тысяч рублей (ч. 2 ст. 13.11 КоАП РФ). К тому же в нашей стране, несмотря на обширную зарегулированность информационной сферы, отсутствует специализированная уголовная статья за то же самое, скажем, хищение персональных данных человека. Российский суд в этом случае будет выбирать из двух статей УК РФ: «Нарушение неприкосновенности частной жизни» (ст. 137 УК РФ) или «Неправомерный доступ к компьютерной информации» (ст. 272 УК РФ). Но и в том, и в другом случае санкции весьма невелики — штрафы составляют максимум полмиллиона рублей, а лишение свободы как наказание в данном случае суды применяют весьма неохотно.

Идея криминализации хищения персональных данных уже пришла в голову властям — c этой идеей, в частности, выступил глава Роскомнадзора Андрей Липов.

"Здесь мы должны чётко сформулировать, что у нас есть тот, у кого украли ПД, – это те компании, в отношении которых теперь предлагается применять оборотные штрафы. Однако в их деяниях, скорее всего, нет умысла. Также есть те, кто крадёт ПД или впоследствии реализует их продажу – там умысел уже, очевидно, есть. Нужно думать о криминализации деяний, связанных со вторым и третьим этапом, с участниками этой цепочки", – сказал Липов на заседании общественного совета при ведомстве.

Что ж, в кои-то веки из РКН вышла действительно важная и значимая инициатива. Но расслабляться не стоит - ведь пока неясны ни контуры этой ответственности, ни размеры штрафов, ни сроки потенциального лишения свободы. А значит, дистанция для следственного, чиновничьего и судебного произвола в этой сфере сохраняется на неопределенный срок.

США

Регулирование сферы информации стало приоритетом американской государственной политики раньше, чем в других странах. С начала 1990-х гг. американская политика носила характер крайностей. Наиболее приоритетным направлением информационной политики было обеспечение безопасности конфиденциальной информации. Очевидно, что слабая роль государства в обеспечении информационной безопасности открывает пространство для недобросовестной конкуренции и масштабных правонарушений. Подобная ситуация сложилась в 1990-х гг., когда государство не успевало реагировать на новые вызовы информационного бума.

“В современной американской литературе описываемый феномен носит название individual empowerment — усиление влияния индивидуальных возможностей индивидов. В системе государственного управления усиление влияния индивидов означало ослабление государственной власти. В основе американской политики лежит попытка гарантировать каждому индивиду равные возможности производства и потребления информации”, — говорит кандидат политических наук Павел Шариков.

В Соединенных Штатах Америки общее законодательство о персональных данных как таковое отсутствует, но на уровне отдельных штатов соответствующие акты все же принимаются. Так, в Калифорнии с 1 января 2020 года начал действовать California Consumer Privacy Act (ССPA), регулирующий правила сбора персональных данных и работы с ними. Согласно ему, к персональным данным можно отнести, как и в России, любые данные, позволяющие идентифицировать конкретного человека: любые идентификаторы, биометрия, геолокация, история интернет-просмотров, а также информация о трудоустройстве или образовании. Но в целом законодательство о защите персональных данных в США представляется в этом плане разрозненным, и правовое регулирование там касается больше ответственности за преступления в этой сфере.

Для Соединенных Штатов вопрос киберпреступлений, включая неправомерный доступ к персональной информации, имеет двоякую природу. С одной стороны, согласно разделу 18 Свода законов США предусматривается ответственность за кражу личных данных и взлом компьютерных систем, которая на федеральном уровне составляет до 100 тыс. долл. или до 250 тыс. долл. в зависимости от тяжести преступления (§ 3571 разд. 18 СЗ США). С другой же, после терактов 11 сентября легальный сбор на государственном уровне данных об американцах стал частью Закона о патриотизме (USA PATRIOT). Однако с 2015 года в этой области наметилась тенденция к либерализации, после того, как начал действовать введен в действие так называемый Акт о свободе (USA FREEDOM). После начала его действия Агентство национальной безопасности (АНБ США), которое раньше на основании Закона о патриотизме могло массово собирать данные и перехватывать их, теперь имеет к таким данным доступ лишь на основании судебного ордера. Собирать же данные о гражданах США могут только уполномоченные на это провайдеры. А за незаконный доступ к компьютерам или перехват электронных сообщений можно загреметь в американскую тюрьму на срок от полугода до пяти лет.

Примечательно, что американские законы позволяют расследовать даже те преступления, связанные с компьютерной информацией, которые не направлены напрямую против граждан США, но имели место в отношении серверов, расположенных на территории Соединенных Штатов. Такая криминальная экстерриториальность вытекает из смысла статьи 15 Конвенции ООН против транснациональной организованной преступности от 15 ноября 2000 года, которая в таких случаях не ограничивает юрисдикцию пределами национального законодательства страны-участника.

Защита персональных данных в США опирается на большую свободу оператора и большее доверие к его сотрудникам, чем работающая в России. В США упор делается на системное обучение сотрудников базовым и специальным нормам работы с конфиденциальной информацией. Это говорит о большем доверии к сотрудникам и их понимании ответственности, законопослушности, чем в России, когда единственным возможным способом защиты персональных данных становится ограничение доступа к ним. Связано это не столько с правовым нигилизмом сотрудников российской компании, сколько с их готовностью поделиться конфиденциальной информацией, в том числе и персональными даннымина основе дружеских и социальных связей.

Далее, если в России существует требование к разработке локальных нормативных актов оператора, часто представляющих собой набор правил и пересказ действующих в этой сфере норм – постановлений правительства и приказов ФСТЭК, в США существует необходимость создания гибкой политики управления персональными данными, подготавливаемой в соответствии с рекомендациями NIST. Эта политика должна подробно описывать принципы:

  • получение
  • права на доступ к персональным данным;
  • основные требования к их хранению на серверах и в информационных базах;
  • требования к реакции сотрудников оператора на инциденты информационной безопасности и нормы, регулирующие их устранение;
  • ограничение на любые формы оборота персональных данных, в том числе использование и распространение.

Практика защиты персональных данных, применяемая в США, дает больше свободы конкретному оператору в выборе средств защиты персональных данных. Но американская судебная система допускает предъявление многомиллионных исков за нарушение правил защиты данных. Такие иски удовлетворяются, и финансовые рычаги существенно больше дисциплинируют операторов и повышают меру их ответственности при защите конфиденциальной информации, чем меры административного принуждения.

Публикация подготовлена при поддержке юристов DRC.

0
Комментарии
Читать все 0 комментариев
null