Совет безопасности России на заседании 26 октября 2017 года поручил Минкомсвязи совместно с МИД России до 1 августа 2018 года инициировать в рамках БРИКС (Бразилия, Россия, Индия, Китай и Южная Африка) обсуждение вопроса о создании для государств — участников объединения собственной «системы дублирующих корневых серверов доменных имен (DNS), независимой от контроля [международных организаций] ICANN, IANA и VeriSign, и способной обслуживать запросы пользователей перечисленных стран на случай сбоев или целевых воздействий».
В свете этих событий, нам хотелось бы рассмотреть вопрос о согласованности законодательств стран участниц БРИКС в вопросах защиты данных. Далее речь пойдет о защите персональных данных: на основании каких законов строится защита и каковы основные недостатки.
Небольшой экскурс в основы.
БРИКС – это группа из пяти стран: Бразилия, Россия, Индия, Китай, Южно-Африканская Республика.
9 июля 2015 на VII саммит БРИКС, проходил в Уфе, была принята «Уфимская декларация». Декларация объемная, касается многих актуальных в глобальном плане вопросов, мы же коснемся только одного пункта, в котором декларируются отношения к информационно-коммуникационным технологиям. Итак, пункт 33 Уфимской Декларации отмечает:
- необходимость укрепления сотрудничества в области ИКТ, включая Интернет
- решение о создании в рамках БРИКС рабочей группы по вопросам сотрудничества в области ИКТ
- необходимость формирования системы,
- позволяющей обеспечить конфиденциальность и защиту персональной информации пользователей
«Мы вновь подчеркиваем недопустимость использования ИКТ и Интернета в целях нарушения прав и основополагающих свобод человека, в том числе права на неприкосновенность частной жизни, и вновь подтверждаем, что права, которыми обладает человек за пределами Интернета, должны быть также защищены и в нем».
С полным текстом декларации можно ознакомиться по ссылке.
Основные моменты защиты персональных данных в странах БРИКС
Защита ПД в Российской Федерации
На сегодняшний день, РФ среди стран БРИК дальше всех продвинулась в этом отношении, отметим основные моменты, что сделано в рамках вопроса защиты ПД.
Сформировано законодательство в сфере защиты ПД, включающее в себя:
- нормы Конституции (ст. 23, 24);
- специальный закон – Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- нормы отраслевых законов;
- подзаконные акты.
Кроме того, создан специальный уполномоченный орган, деятельность которого обеспечивает:
- эффективное функционирование централизованной системы контроля и надзора за выполнением требований законодательства;
- рассмотрение обращений субъектов персональных данных;
- ведение реестра операторов ПД;
- информационную работу с гражданами и операторами ПД.
Так же необходимо отметить, что постепенно формируется единообразная практика правоприменения. В настоящий момент система защиты ПД, соответствующая международным стандартам, в России есть и она действует.
Если вы не обладаете достаточной ясностью в вопросах обработки персональных данных в соответствии с нормативными правовыми актами РФ и хотели бы получить более полное понимание законодательства, рекомендуем ознакомиться с нашим White Paper о Федеральном Законе №152.
Защита ПД в Китае
Здесь все сложно. Специальный общий закон о защите ПД отсутствует. Впрочем, давайте посмотрим на основные моменты.
Конституция КНР гарантирует защиту достоинства личности и тайну переписки. Положения о защите ПД содержатся в отдельных нормативно-правовых актах, их мы сейчас кратко и рассмотрим.
05 ноября 2012 года было принято «Руководство по защите персональной информации в информационной системе по оказанию публичных и коммерческих услуг», в котором было дано следующее определение:
Персональные данные — любая информацию об определенном физическом лице, которая сама по себе или в комбинации с другой информацией позволяет его идентифицировать
Руководство устанавливает обязанность оператора ПД получать согласие субъекта ПД на обработку и сообщать ему о цели обработки, сроке хранения, мерах по защите ПД и так далее.
Что касается локализации ПД, то о ней нам говорится в ст.5.4.5:
При отсутствии ясно выраженного согласия субъекта ПД, нормативного разрешения или согласия уполномоченных органов оператор ПД не должен передавать ПД какому-либо лицу, находящемуся за рубежом, включая любых физических лиц, проживающих за рубежом, или любых организаций и компаний, которые зарегистрированы за рубежом.
Так же, о персональных данных говорится и в принятом 25.10.2013 законе о защите потребителей:
Статья 29. При сборе и использовании персональных данных физических лиц участники предпринимательской деятельности обязаны следовать принципам законности, обоснованности и необходимости, явным образом информировать о цели, способах и пределах сбора и использования информации и получить согласие потребителя.
Субъекты предпринимательской деятельности обязаны предпринимать технические и другие необходимые меры для обеспечения безопасности информации и предотвращения раскрытия или утечки ПД потребителей.
За несоблюдение норм закона предусмотрен серьезный административный штраф.
Кроме того, есть еще ряд НПА, тем или иным образом затрагивающие защиту субъектов ПД.
- Закон КНР «О деликтной ответственности» 2009 года, защищающий право на неприкосновенность частной жизни и, в частности, предусматривает ответственность медицинского учреждения за распространение ПД без согласия субъекта ПД
- «Решение об усилении защиты информации в Интернете», принятое Парламентом КНР 28.12.2012
- «Положение об электросвязи и защите персональной информации интернет-пользователей», принятое 19.07.2013
- 15 марта 2015 года вступили в силу «Меры ответственности за нарушения прав и интересов потребителей», разработанные и принятые Государственным управлением по промышленности и коммерции Китая (SAIC).
Последний указанный акт представляет особый интерес в отношении определения персональных данных в контексте защиты прав потребителя. Согласно Мерам, к ПД потребителя относятся следующие данные:
- имя;
- пол;
- профессия;
- дата рождения;
- номер паспорта;
- адрес;
- контактная информация;
- сведения о доходах и собственности;
- сведения о здоровье;
- привычки потребителя.
1 июня 2017 года вступил в силу «Закон о кибербезопасности». Закон о кибербезопасности является первым сводным законом, регулирующим практически все проблемы данной сферы в Китае. В том числе, он, конечно же, касается и ПД.
Хранение личных данных и других важных данных должно обеспечиваться исключительно на территории КНР (статья 37).
Закон о кибербезопасности подтверждает обязанности сетевых операторов в отношении защиты персональной информации, которые определены существующим законодательством и регуляторными требованиями, включая право на отслеживание соблюдения принципа законности, необходимости и уместности сбора и использования личных данных, а также право наблюдения за выполнением «требований об информировании и получении согласия» (статья 41) об использовании личных данных лишь в тех целях на которые дало согласие соответствующее лицо (статья 41), право принимать меры защиты безопасности личных данных (статья 42) и защищать индивидуальное право оценивать и вносить исправления в личную информацию (статья 43).
Кроме того, Закон о кибербезопасности также включает в себя некоторые новые правила в отношении защиты личных данных, включая требования об уведомлении о нарушении защиты данных (статья 42), об анонимизации данных в качестве исключения в требованиях об информировании и получении согласия (статья 42), а также об праве индивида требовать у сетевых операторов внести изменения в или удалить его личные данные в случае, если информация о нём ошибочна или используется в несогласованных с ним целях (статья 43).
К основным проблемам защиты ПД в Китае можно отнести следующее:
- отсутствие уполномоченного органа по защите ПД;
- отсутствие единого специального закона о ПД;
- отсутствие единого понятийного аппарата (ну, с этим и у нас не все гладко);
- основные правила защиты ПД содержатся в НПА, которые носят рекомендательный характер (напр., Руководство);
- отсутствие уведомления об обработке ПД и реестра операторов, осуществляющих обработку ПД.
Защита ПД в Бразилии
Конституция Бразилии защищает человеческое достоинство, неприкосновенность частной жизни и тайну переписки. Так же, как и в Китае, отсутствует общий закон о защите ПД и положения о защите ПД содержатся в отдельных НПА.
Закон Бразилии «Об Интернете» (Marco Civil da Internet) от 23.04.2014.:
- Устанавливает общие принципы использования Интернета, права и гарантии пользователей, обязанности провайдеров и правила оказания услуг в Интернете.
- Закон содержит большое число норм, касающихся защиты неприкосновенности частной жизни и персональных данных.
- Для обработки ПД в Интернете необходимо получить добровольное и информированное согласие пользователя.
- Обработка ПД разрешается только для определенной цели, которая указывается в пользовательском соглашении или в правилах использования Интернет-сервисов
Что касается локализации ПД. Первоначально проект закона содержал требования о хранении ПД граждан Бразилии на территории государства. В последующих редакциях положение исключили, но ввели право Президента издавать указы по данному вопросу. В принятой итоговой редакции закона вопрос о локализации данных не поднимается. Исключение данного требования из закона явилось результатом лоббирования со стороны международных корпораций и США.
Особый интерес представляет решение в Законе вопроса о юрисдикции (ст.11). Общее правило таково:
Интернет-провайдеры и провайдеры интернет-приложений обязаны соблюдать законодательство Бразилии, в том числе по защите ПД, если хотя бы одно из действий по сбору, хранению или обработке ПД имеет место в пределах государственной территории Бразилии.
Но есть и дополнительные условия:
- Общее правило применяется к ПД, собранным на территории Бразилии и к содержанию коммуникаций, если хотя бы один из терминалов находится на территории Бразилии
- Общее правило применяется даже в том случае, когда такая деятельность осуществляется иностранным юридическим лицом, при условии, что:
либо
б) по крайней мере, одно из лиц, входящих в группу иностранных компаний, учреждено в Бразилии.
Защита ПД в Бразилии, основные проблемы:
- отсутствие уполномоченного органа по защите ПД;
- отсутствие единого специального закона о ПД;
- отсутствие единого определения персональных данных;
- отсутствие определения специальных категорий ПД (sensetive personal data);
- отсутствие защиты ПД в отдельных отраслях и сферах, за исключением Интернета;
- отсутствие уведомления об обработке ПД и Реестра операторов, осуществляющих обработку ПД.
Защита ПД в Индии
Статья 21 Конституции Индии гарантирует каждому право на жизнь и личную свободу.
Специального общего закона о защите ПД в Индии нет.
Закон об информационных технологиях 2000 г. Содержит специальную статью о защите специальных категорий персональных данных (ст. 43А). Оператор ПД обязан применять необходимые меры для защиты ПД и несет ответственность за причиненный вред вследствие утечки данных.
Есть «Правила по практике и процедуре обеспечения безопасности особых категорий персональных данных и информации», принятые в 2011 году. Согласно им:
Персональные данные — любая информация, которая относится к физическому лицу и которая в комбинации с другой информацией, находящейся в распоряжении оператора персональных данных, может идентифицировать данное физическое лицо.
К специальным категориям ПД относятся (п.3 Правил):
- пароли;
- финансовая информация (включая данные о банковском счете и кредитной карте);
- данные о здоровье;
- сексуальная ориентация;
- биометрические данные.
Локализация специальных категорий ПД. Согласно правилу 7, трансграничная передача ПД граждан Индии может быть разрешена только тогда, когда это необходимо для выполнения договора между юридическим лицом и субъектом ПД или, когда субъект дал свое согласие на передачу данных.
Правила о защите конфиденциальности и персональных данных содержатся в ряде отраслевых законов Индии, включая законодательство о страховании, о банковской деятельности.
Основные проблемы защиты ПД в Индии:
- отсутствие уполномоченного органа по защите ПД;
- отсутствие единого специального закона о ПД;
- отсутствие уведомления об обработке ПД и Реестра операторов, осуществляющих обработку ПД.
Выводы
В отличие от Российской Федерации как законодательство, так и практика по защите ПД других стран БРИКС отстают. В то же время за последние годы во всех странах БРИКС наблюдается:
- заинтересованность в развитии системы защиты ПД в связи с новыми информационными угрозами цифровой эпохи
- принятие новых нормативных актов
- введение или план по учреждению специального уполномоченного органа по защите субъектов ПД
- стремление к внедрению лучших практик и международных принципов и стандартов
Надеемся, что и Россия в дальнейшем будет совершенствовать систему законодательства, внедряя лучшие практики и избегая излишних запретительных мер.