Зарождение попыток защиты частной жизни
Как в США, так и России наибольший интерес к обеспечению безопасности личных данных граждан появился в XX веке.
В 1890 году в газете «Harvard Law Review» была опубликована статья Сэмюэля Уоррена и Луиса Брандейса «The Right to Privacy». Именно эту статью можно считать первым толчком к появлению понимания «личной жизни» в США. Она считается первой публикацией в стране, которая защищала неприкосновенность частной жизни. Сами же авторы статьи определили право на частную жизнь как «право быть оставленным в покое».
Однако только ближе к концу XX века конфиденциальность персональных данных (ПДн) и частной жизни потихоньку начинала выходить на первый план: в Соединенных Штатах начали принимать соответствующие законы и акты, которые в той или иной мере смогли бы ограничить действия кампаний и учреждений, работающих с ПДн. Например, Закон о конфиденциальности электронных коммуникаций 1986г., но об этом я расскажу вкратце немного позже.
Что касается России в XX веке, то для начала можно вспомнить первую Конституцию 1918г., которая не то что гарантировала неприкосновенность и сохранность информации о частной жизни, она в принципе изначально лишила гражданских прав несколько миллионов человек из-за провозглашения классовой демократии. Так что о какой-то защите чего-то рано пока вести речь… Однозначно исправила положение Конституция СССР от 31 января 1936г. Это была первая Конституция, которая закрепляла за человеком обширный список личных прав и свобод. Здесь-то как раз и началось упоминание такого права как «неприкосновенность частной жизни», более того, может быть, не очень остро, но вставал вопрос о гарантии осуществления прав, предписанных Конституцией. Охрану законом личной жизни предполагала и Конституция СССР 1977г.
В конце XX века Конституцией 1993г. Россия признала права и свободы человека высшей ценностью. Тут право на неприкосновенность частной жизни получает более широкую трактовку. Появляется гарантия не только тайны личной жизни, но и тайны ПДн, охраны этих сведений. Принятие этой Конституции, на мой взгляд, можно по праву считать началом бережного отношения государства к личной информации человека.
Обобщая вышесказанное, можно сказать, что разговоры о защите частной жизни и персональных данных затронули США раньше, но по попыткам регулирования этого вопроса на уровне закона обе страны находятся примерно на равных, ведь серьезные попытки начали предприниматься в обеих странах только в конце XX века.
Назад в будущее
Понятие персональных данных что в США, что в России является одинаковым. Персональные данные - это любая информация, которая косвенно или прямо относится к физическому лицу, позволяющая его однозначно определить (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация). То есть обе страны борются за защиту одного и того же. Рассмотрим меры по защите, которые действуют в этих странах в наши дни.
Россия
Что же предлагает Россия для защиты информации своих граждан?
Говоря о российском законодательстве, в первую очередь, конечно же, стоит отметить Федеральный закон от 27 июня 2006г. № 152-ФЗ «О персональных данных». Он устанавливает требования по обеспечению безопасности ПДн (принципы и условия их обработки), которые распространяются на все организации, осуществляющие их обработку. Для охраны ПДн в 152-ФЗ перечислены меры, которые обязан предпринимать оператор при работе с данными. Мне кажется, очень важно упомянуть, что описанные в 152-ФЗ условия включают в себя обязательное согласие субъекта на сбор его ПДн в определенном объеме и их обработку для установленной законной цели. Согласие также должно включать в себя список операций, которым будут подвергаться данные, срок их хранения и условия отзыва согласия. Следует отметить, что ответственность за защиту данных несет оператор даже в том случае, когда обработка чьих-либо данных осуществляется не им, а другим лицом. Законом предусмотрены и те ситуация, когда согласие и вовсе не нужно.
Помимо 152-ФЗ есть и некоторые другие нормативно-правовые документы, регулирующие действия в отношении ПДн, например:
Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». В нём устанавливаются правила фиксации ПДн на материальных носителях (например, для обработки различных категорий ПДн должны использоваться разные материальные носители), правила ведения журналов, содержащих данные, непосредственно сами меры по обеспечению безопасности ПДн при их обработке без средств автоматизации.
Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определяет классификацию ИСПДн, типы актуальных угроз и необходимый уровень защищенности системы, устанавливает требования к защите ИСПДн в зависимости от уровня защищенности, контроль за выполнением требований к защите ПДн.
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». В соответствии с этим приказом определяются меры, необходимые для реализации при создании системы защиты ПДн. Приложение к приказу содержит в себе меры безопасности для каждого уровня защищенности системы.
Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». По-моему, у этого приказа ФСБ очень говорящее название, единственное, что могу добавить, - в документе описано применение различных классов СКЗИ.
Постановление Правительства РФ от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Устанавливает обязанности оператора, возможности материального носителя, возможности технологий хранение биометрических данных вне ИС и некоторые другие моменты.
К нормативным актам, регулирующим защиту права на неприкосновенность частной жизни, относятся вышеупомянутый 152-ФЗ, Гражданский кодекс, а также такие международные договоры как Всеобщая декларация прав человека, Европейская конвенция о защите прав человека и основных свобод, Международный пакт о гражданских и политических правах.
США
Со времен Уоррена и Брандейса утекло немало воды. За сто с лишним лет, конечно же, много что поменялось в законодательстве США касательно нашей темы. Итак, что же мы имеем сейчас?
В настоящее время законы о конфиденциальности как ПДн, так и частной жизни в США представляют собой беспорядочный набор различных национальных, государственных и местных законов и положений. То есть в США, в отличие от России с её 152-ФЗ, нет единого закона, который бы регулировал действия в отношении информации, касающейся персональных данных и личной жизни гражданина, а также её конфиденциальности. HIPPA, FCRA, FERPA, GLBA, ECPA, COPPA – одни из некоторых аббревиатур той самой «каши» законов, которая действует на территории США вместо единого законодательства о ПДн. Давайте разберемся с каждой из них.
В 1996 году был принят Акт о мобильности и подотчетности медицинского страхования (HIPPA). HIPPA определил, каким образом должна быть защищена от мошенничества и кражи личная информация пациента, хранящаяся в сфере здравоохранения. Было запрещено раскрывать информацию личного дела пациента всем, кроме самого пациента и его уполномоченных представителей, без его согласия.
В 1970 году вступил в силу Закон о честной кредитной отчетности (FCRA). Закон был принят для обеспечения защиты потребителей от умышленного и/или небрежного включения ошибочных данных в их кредитные отчеты. FCRA регулирует сбор, распространение и использование информации о потребителях, в том числе информацию о потребительских кредитах.
В 1974 году был принят Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA). Закон призван защитить конфиденциальность образовательных записей учащихся, включая их личную информацию.
Акт Грэмма-Лича-Блайли (GLBA), принятый в 1999 году, был попыткой модернизировать финансовую отрасль. Если говорить о нашей теме, то в этом законе нас интересует конкретно та часть акта, в которой говориться о выдвижении требований к финансовым учреждениям, предлагающих услуги кредитования, финансовые и инвестиционные консультации, страхование, полностью объяснять своим клиентам методы обмена информацией. Кампании должны предоставить клиенту возможность отказаться от передачи его конфиденциальной информации в том случае, если он этого не захочет.
Закон о конфиденциальности электронных коммуникаций (ECPA), принятый в 1986 году, расширяет ограничения для правительства в отношении прослушивания телефонных звонков, просмотра электронных сообщений. То есть закон по сути стоит на защите конфиденциальности электронных сообщений и телефонных разговоров.
В 2000 году был принят Закон о защите конфиденциальности детей в Интернете (COPPA). Этот федеральный закон регулирует защиту личных данных детей в возрасте до 13 лет, согласно ему, администрация сайта должна включить в свою политику конфиденциальности способы получения согласия родителей или опекунов на обработку данных ребенка.
Как уже было сказано ранее, конечно, это не все законы, касающиеся конфиденциальности ПДн и личной жизни в США, однако они сейчас служат отличным примером для доказательства того, что тема ПДн в стране затронута лишь отдельными отраслевыми законами.
Поскольку кампании не имеют единого федерального закона о конфиденциальности данных, они в значительной степени вольны делать с данными всё, что хотят. В большинстве штатов кампании могут использовать ваши данные в своих целях, продавать их, не уведомляя вас об этом. Более того, третьи лица, в чьи руки, например, была продана информация о вас, так же могут делиться этими данными, не говоря вам об этом. Кроме этого, ни одно законодательство в США не регламентирует того, что какая-либо кампания должна уведомить хозяина о взломе его данных или их передаче неуполномоченным лицам.
Единственным ограничением всех вышеперечисленных безобразий может стать наличие у штата своего собственного закона о конфиденциальности данных. В этом заключается еще одно большое отличие между Россией и США: наша страна дополнительно не регулирует вопрос ПДн на региональном уровне. В настоящий момент подобные законы существуют в штатах Калифорния (CCPA), Вирджиния (VCDPA) и Колорадо (ColoPA). Естественно, эти законы действуют только внутри определенного штата, на другие штаты, пусть они хоть трижды соседние, их действие не распространяется.
Краткая сравнительная таблица
Судить о том, какая система лучше и чем, не в моих полномочиях, этот вопрос я оставлю открытым, а вот предоставить небольшую наглядную табличку по вышесказанному могу:
Россия | США | |
Что подразумевается под персональными данными? | Обе страны трактуют понятие как совокупность информации о физическом лице, которая позволяет его однозначно определить. Следовательно, обе страны борются за защиту одного и того же. | |
Когда меры по защите ПДн стали приниматься на законодательном уровне? | По этому критерию страны идут рядом: в обеих законы начали приниматься в конце XX века. | |
Есть ли общее законодательство по ПДн? | Есть (152-ФЗ) | Отсутствует |
Происходит ли дополнительное регулирование вопроса на региональном уровне? | Нет | Да (в штатах Калифорния, Вирджиния, Колорадо) |