Россия и США: разница в подходах к защите персональных данных
В результате широкого распространения Интернета, начавшегося в 1990-е гг., люди смогли существенно расширить политические и экономические возможности развития.
Это привело к определенному ослаблению политической власти, учитывая, что технические возможности в распоряжении государственных органов не позволяют контролировать индивидуальное производство и потребление информационных ресурсов.
Обеспечение безопасности всегда было функцией государства, но вопрос защиты информации представляется гораздо более сложным. Во-первых, информационные ресурсы включают в себя как инфраструктуру, так и содержание, причем одно без другого невозможно. Во-вторых, безопасность информации подразумевает гарантию сохранения ее определенных свойств при информационном взаимодействии: объективность, доступность, целостность, конфиденциальность, оперативность и др., а соответственно, требует принципиально иного подхода по сравнению с традиционными ресурсами.
Право человека на защиту личной жизни, ее неприкосновенности, включает и защиту права на охрану персональных данных от неправомерного использования и распространения. Регулирование этой сферы в США и в России заметно различается. Давайте посмотрим подробнее.
Россия
В России, как и в Европе, после принятия основополагающего законодательного акта — Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 года — субъекты персональных данных получили стройную систему защиты своих прав. Но, несмотря на это, российское законодательство страдает рядом существенных пробелов и недостатков, которые бросаются в глаза.
В частности, хотя в России любая компания и считается оператором данных, поскольку как минимум собирает персональные данные своих сотрудников, но наш закон № 152-ФЗ касается в первую очередь тех операторов персональных данных, которые зарегистрированы и работают на территории РФ.
То же касается и санкций за нарушение законодательства о ПД: в отличие от ЕС или Канады, где наказания исчисляются миллионными суммами или процентами от выручки, по законодательству РФ самый большой штраф за сбор и обработку персональных данных без согласия субъекта (а это наиболее частое нарушение в области защиты ПД в России) по Федеральному закону № 152-ФЗ составляет всего-навсего 75 тысяч рублей (ч. 2 ст. 13.11 КоАП РФ). К тому же в нашей стране, несмотря на обширную зарегулированность информационной сферы, отсутствует специализированная уголовная статья за то же самое, скажем, хищение персональных данных человека. Российский суд в этом случае будет выбирать из двух статей УК РФ: «Нарушение неприкосновенности частной жизни» (ст. 137 УК РФ) или «Неправомерный доступ к компьютерной информации» (ст. 272 УК РФ). Но и в том, и в другом случае санкции весьма невелики — штрафы составляют максимум полмиллиона рублей, а лишение свободы как наказание в данном случае суды применяют весьма неохотно.
Идея криминализации хищения персональных данных уже пришла в голову властям — c этой идеей, в частности, выступил глава Роскомнадзора Андрей Липов.
"Здесь мы должны чётко сформулировать, что у нас есть тот, у кого украли ПД, – это те компании, в отношении которых теперь предлагается применять оборотные штрафы. Однако в их деяниях, скорее всего, нет умысла. Также есть те, кто крадёт ПД или впоследствии реализует их продажу – там умысел уже, очевидно, есть. Нужно думать о криминализации деяний, связанных со вторым и третьим этапом, с участниками этой цепочки", – сказал Липов на заседании общественного совета при ведомстве.
Что ж, в кои-то веки из РКН вышла действительно важная и значимая инициатива. Но расслабляться не стоит - ведь пока неясны ни контуры этой ответственности, ни размеры штрафов, ни сроки потенциального лишения свободы. А значит, дистанция для следственного, чиновничьего и судебного произвола в этой сфере сохраняется на неопределенный срок.
США
Регулирование сферы информации стало приоритетом американской государственной политики раньше, чем в других странах. С начала 1990-х гг. американская политика носила характер крайностей. Наиболее приоритетным направлением информационной политики было обеспечение безопасности конфиденциальной информации. Очевидно, что слабая роль государства в обеспечении информационной безопасности открывает пространство для недобросовестной конкуренции и масштабных правонарушений. Подобная ситуация сложилась в 1990-х гг., когда государство не успевало реагировать на новые вызовы информационного бума.
“В современной американской литературе описываемый феномен носит название individual empowerment — усиление влияния индивидуальных возможностей индивидов. В системе государственного управления усиление влияния индивидов означало ослабление государственной власти. В основе американской политики лежит попытка гарантировать каждому индивиду равные возможности производства и потребления информации”, — говорит кандидат политических наук Павел Шариков.
В Соединенных Штатах Америки общее законодательство о персональных данных как таковое отсутствует, но на уровне отдельных штатов соответствующие акты все же принимаются. Так, в Калифорнии с 1 января 2020 года начал действовать California Consumer Privacy Act (ССPA), регулирующий правила сбора персональных данных и работы с ними. Согласно ему, к персональным данным можно отнести, как и в России, любые данные, позволяющие идентифицировать конкретного человека: любые идентификаторы, биометрия, геолокация, история интернет-просмотров, а также информация о трудоустройстве или образовании. Но в целом законодательство о защите персональных данных в США представляется в этом плане разрозненным, и правовое регулирование там касается больше ответственности за преступления в этой сфере.
Для Соединенных Штатов вопрос киберпреступлений, включая неправомерный доступ к персональной информации, имеет двоякую природу. С одной стороны, согласно разделу 18 Свода законов США предусматривается ответственность за кражу личных данных и взлом компьютерных систем, которая на федеральном уровне составляет до 100 тыс. долл. или до 250 тыс. долл. в зависимости от тяжести преступления (§ 3571 разд. 18 СЗ США). С другой же, после терактов 11 сентября легальный сбор на государственном уровне данных об американцах стал частью Закона о патриотизме (USA PATRIOT). Однако с 2015 года в этой области наметилась тенденция к либерализации, после того, как начал действовать введен в действие так называемый Акт о свободе (USA FREEDOM). После начала его действия Агентство национальной безопасности (АНБ США), которое раньше на основании Закона о патриотизме могло массово собирать данные и перехватывать их, теперь имеет к таким данным доступ лишь на основании судебного ордера. Собирать же данные о гражданах США могут только уполномоченные на это провайдеры. А за незаконный доступ к компьютерам или перехват электронных сообщений можно загреметь в американскую тюрьму на срок от полугода до пяти лет.
Примечательно, что американские законы позволяют расследовать даже те преступления, связанные с компьютерной информацией, которые не направлены напрямую против граждан США, но имели место в отношении серверов, расположенных на территории Соединенных Штатов. Такая криминальная экстерриториальность вытекает из смысла статьи 15 Конвенции ООН против транснациональной организованной преступности от 15 ноября 2000 года, которая в таких случаях не ограничивает юрисдикцию пределами национального законодательства страны-участника.
Защита персональных данных в США опирается на большую свободу оператора и большее доверие к его сотрудникам, чем работающая в России. В США упор делается на системное обучение сотрудников базовым и специальным нормам работы с конфиденциальной информацией. Это говорит о большем доверии к сотрудникам и их понимании ответственности, законопослушности, чем в России, когда единственным возможным способом защиты персональных данных становится ограничение доступа к ним. Связано это не столько с правовым нигилизмом сотрудников российской компании, сколько с их готовностью поделиться конфиденциальной информацией, в том числе и персональными даннымина основе дружеских и социальных связей.
Далее, если в России существует требование к разработке локальных нормативных актов оператора, часто представляющих собой набор правил и пересказ действующих в этой сфере норм – постановлений правительства и приказов ФСТЭК, в США существует необходимость создания гибкой политики управления персональными данными, подготавливаемой в соответствии с рекомендациями NIST. Эта политика должна подробно описывать принципы:
- получение
- права на доступ к персональным данным;
- основные требования к их хранению на серверах и в информационных базах;
- требования к реакции сотрудников оператора на инциденты информационной безопасности и нормы, регулирующие их устранение;
- ограничение на любые формы оборота персональных данных, в том числе использование и распространение.
Практика защиты персональных данных, применяемая в США, дает больше свободы конкретному оператору в выборе средств защиты персональных данных. Но американская судебная система допускает предъявление многомиллионных исков за нарушение правил защиты данных. Такие иски удовлетворяются, и финансовые рычаги существенно больше дисциплинируют операторов и повышают меру их ответственности при защите конфиденциальной информации, чем меры административного принуждения.