Статья написана в соавторстве с @catnip_grower и @veneramuholovka
Несмотря на усилия компаний в области аудита безопасности, в медиапространстве все чаще появляются заявления об утечке критичной для бизнеса информации, в том числе персональных данных клиентов.
Причин тому может быть несколько:
человеческий фактор (часто в нашумевших сливах данных оказывается виноват конкретный сотрудник);
небрежность в проведении аудита безопасности;
несоответствие нормативным и отраслевым требованиям;
небрежное проектирование или поддержка системы безопасности.
Заметим, что соответствие законодательным требованиям не гарантирует полную безопасность. Можно составить идеальную отчетную документацию, но остаться незащищенным от атак. Объясняется это тем, что соблюдение нормативных и отраслевых стандартов удовлетворяет интересы бизнеса, а реальные технические требования безопасности остаются за скобками.
Несоответствие положениям нормативных документов ведет к наказаниям, в том числе к штрафам. Не всегда сумма штрафа эквивалентна ущербу от утечек и сливов информации.
Минцифры согласовало законопроект, который ужесточит ответственность компаний за утечку ПДн клиентов. Изначально было озвучено, что размер оборотного штрафа будет зависеть от выручки компании и составит 1%. При этом он может увеличиться до 3%, если компания попытается скрыть факт утечки от общественности. Предложенные меры в целом схожи с принципами европейского GDPR.
Однако по результатам недавнего совещания штрафы могут смягчить. На момент написания статьи максимальный штраф для компаний за утечку ПДн составляет 500 тыс. руб в соответствии со статьей 13.11 КоАП РФ. Законопроект рассчитывают принять до конца 2022 года. По мнению экспертов, главная проблема заключается в том, что законодательство не дает четкого определения понятию «утечка персональных данных». Также неясно, по каким принципам будет происходить классификация утечек и какой орган будет за это ответственен.
Комитет Госдумы по информполитике поддержал инициативу РКН и принял ряд поправок в закон «О персональных данных».
В этой статье мы хотели бы вспомнить о произошедших за последние несколько лет в РФ и за рубежом громких скандалах, связанных с критичными данными компаний и персональными данными клиентов. Рассмотрим также последствия для бизнеса, в частности возложенные штрафные меры.
Для начала приведем примеры мировых законов и методических документов, регулирующих обращение с персональными данными. Мы выбрали ряд стран, на примере которых можно проанализировать существующее законодательство и при этом уложиться в рамки одной статьи. Кроме того, мы постарались найти случаи утечек, которые нарушали бы изложенные в статье законы, чтобы посмотреть, какие штрафные меры были возложены на организацию.
Поскольку за первую половину 2022 года законодательство РФ в сфере защиты ПДн активно корректировалось и дополнялось, мы решили побыть оптимистами и отметили территорию страны зеленым цветом.
Страны со слабым законодательством в сфере защиты ПДн, как правило, ориентируются на государства, давно развивающие это направление. Так, например, Индия и Бразилия берут за основу опыт России и Китая, основываясь на партнерских отношениях в рамках БРИКС.
Россия
Рассматривать подробно все документы мы не будем (для этого потребовалась бы целая серия статей), поэтому упомянем лишь некоторые из них.
По ссылке можно ознакомиться с полным перечнем документов.
Источники:
ФСТЭК России. Методический документ «Меры защиты информации в государственных информационных системах» 2014 г.;
Приказ Россвязькомнадзора № 996 «Об утверждении требований и методов по обезличиванию персональных данных» 2013 г.;
Приказ ФСТЭК России № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» 2013 г.;
Кодекс Российской Федерации об административных правонарушениях статья 13.11. «Нарушение законодательства Российской Федерации в области персональных данных» – устанавливает размер штрафов.
США
В США нет единого законодательства о защите персональных данных. Оно представляет собой смесь национальных, государственных и местных законов и правил о конфиденциальности. В случае нарушения прав субъектов ПДн применяются положения Конституции, практика прецедентного права и локальные НПА (на уровне штата).
Помимо этого, в США существует ряд федеральных законов о конфиденциальности и безопасности данных, в основном относящихся к конкретным секторам, а также многие другие законы о конфиденциальности на уровне штата.
Приведем несколько примеров таких официальных документов:
NIST Special Publication 800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) – обязательный для госструктур, рекомендательный для коммерции; [2]
Федеральный закон Children's Online Privacy Protection Act (COPPA) 2000 г.; [3]
Privacy Act of 1974 [4] и Privacy Protection Act of 1980 [5] – регулируют деятельность органов государственной власти при обработке ПДн граждан;
Закон штата Калифорния California Consumer Privacy Act (ССPA) 2018 г. [6]
Европа
В Евросоюзе существует отдельное законодательство по странам, а также общие акты для всех стран.
Так, сюда можно отнести следующие документы:
Директива о сетевой и информационной безопасности (NIS, Network and Information Security Directive), 2015 г.; [7]
Общий регламент защиты персональных данных, он же Общий регламент по защите данных (GDPR, General Data Protection Regulation) 2016 г.
GDPR носит общий характер, и им можно руководствоваться как шаблоном при составлении закона для конкретной страны. Члены Евросоюза принимают собственные законы для реализации Общего регламента, но эти законы могут отличаться.
Каждое государство исходит из существующих проблем на территории, делает упор на условия, в которых будет работать закон, и само определяет степень наказания за нарушение.
В качестве надзорного органа выступает Европейский совет по защите данных (EDPB, European Data Protection Board), в компетенцию которого входит:
выпуск руководств и рекомендаций, выявление передового опыта, связанного с толкованием и применением GDPR;
консультирование Европейской комиссии по вопросам, связанным с защитой персональных данных в Европейской экономической зоне (ЕЭЗ), и принятие заключений для обеспечения последовательности применения GDPR национальными надзорными органами, в частности, в отношении решений, имеющих трансграничные последствия;
выполнение функций органа по разрешению споров в случае разногласий между национальными органами, сотрудничающими в правоприменении в контексте трансграничных дел;
поощрение разработки кодексов поведения и создания механизмов сертификации в области защиты данных.
Рассмотрим некоторые из законов стран, как состоящих в Евросоюзе, так и нет (при написании статьи и выборе страны мы руководствовались степенью доступности информации).
Если вкратце, то европейское законодательство представляет собой некий образец, к которому стремятся все остальные страны.
Германия
Федеральный закон о защите данных Bundesdatenschutzgesetz (BDSG) 2018 г. [8]
Франция
«Информатика и свободы» (Informatiques et Libertés [9]), в редакции закона №2018-493 от 2018 г. «О защите персональных данных». [10]
Великобритания
Закон Великобритании о защите данных (The Data Protection Act) 1998 г. [11]
Бельгия
Закон о защите физических лиц в отношении обработки персональных данных (Act on the protection of natural persons with regard to the processing of personal data) 2018 г. [12]
Турция
Закон Турецкой Республики о защите персональных данных № 6698 2016 г. (KVKK). [13]
Латинская Америка
Развитие интернета и выявление новых угроз безопасности в Латинской Америке происходит неравномерно. Сегодня разрыв не только не сокращается, а увеличивается еще больше. Разработка мер по обеспечению информационной безопасности государств, в свою очередь, тоже сильно различаются.
Эксперты разделяют государства Латинской Америки на две группы: к первой относят страны, имеющие национальную программу в области ИБ, а ко второй — те, которые по ряду причин пока не успели ее разработать.
Существует понимание необходимости совместной работы, однако в настоящее время меры локального характера существенно преобладают над региональными решениями. Мы упомянем законы Бразилии и Мексики, потому что эти государства лидируют по количеству атак злоумышленников на инфраструктуру.
Бразилия
Закон «Об Интернете» (Marco Civil da Internet) от 2014 г. [14]
Мексика
Федеральный закон о защите персональных данных, находящихся в распоряжении частных компаний, 2010 г. [15]
Общий закон о защите персональных данных, находящихся в распоряжении обязавшихся структур, 2017 г. – государственный сектор. [16]
Африка
В качестве примера африканской страны мы решили рассмотреть Нигерию, поскольку на нее приходится наибольший ущерб от деятельности киберпреступников (согласно информации за 2021-й год).
Конвенция Африканского союза о кибербезопасности и защите личных данных 2014 г. [17]
По состоянию на 2021-й год конвенция была подписана только 14 африканскими странами, а ратифицировали ее только 8 — Ангола, Гана, Гвинея, Мозамбик, Маврикий, Намибия, Руанда, Сенегал. Страны, которые считаются региональными лидерами в сфере развития IT (в том числе Нигерия) — не подписали этот документ, то есть Конвенция не ратифицирована и не вступила в силу. Ее можно рассматривать как программный документ, который пытается регулировать одно из наиболее важных направлений сотрудничества в информационной сфере, связанное с обеспечением кибербезопасности.
Дополняющий закон A/SA.1/01/10 к закону о защите данных личного характера в рамках Экономического сообщества западноафриканских государств (ЭКОВАС). [18]
Нигерия
Руководство по развитию нигерийского контента в области информационных и коммуникационных технологий от Национального агентства по развитию информационных технологий. [19]
Азия
Разрабатывая свой собственный подход к защите персональных данных, государства Азии объединяют элементы концепций «суверенного интернета», «великого файрволла» и «цензуры», при этом активно взаимодействуя и расширяя сотрудничество с Евросоюзом. Это влияет и на принятие законодательства по этим вопросам. Анализируя законы, к примеру, Индонезии, можно заметить, что специалисты также ориентируются на европейский GDRP.
Китай
Personal Information Protection Law of the People’s Republic of China (PIPL). PIPL составляет единую систему правового регулирования вместе с «Законом о безопасности данных» (Data Security Law), «Законом о кибербезопасности» (Cybersecurity Law), «Гражданским кодексом» (Civil Code) и вступившим в силу 1 сентября 2021 г. «Регламентом о защите безопасности критической информационной инфраструктуры» (Critical Information Infrastructure Security Protection Regulations). [20]
Индонезия
Постановление правительства №71 от 2019 г., определяющее работу электронных систем и осуществление транзакций. [21]
Малайзия
Закон о защите персональных данных 2010 г. (Personal Data Protection Act). [22]
Австралия
Как и в случае с США, в Австралии существует развитая система законов федерального уровня и законов по штатам. Офис австралийского комиссара по информации и конфиденциальности (OAIC, Office of the Australian Information Commissioner) занимается в том числе проверкой госведомств на исполнение ими законодательства о защите персональных данных граждан.
Законодательный акт 1988 года о неприкосновенности частной жизни (Privacy Act 1988), устанавливает 11 основных принципов защиты данных, которые обязательны для соблюдения правительственными учреждениями и ведомствами.
«Закон о безопасности в интернете» – Online Safety Act (который получил свежие правки относительно действий IT-гигантов с персональными данными). [23]
Что в итоге?
Если говорить о ситуации с законодательством на тему защиты персональных данных в целом, то в развивающихся странах персональные данные людей практически не защищены. Отсутствие единого закона компенсируется разрозненными статьями в правительственных постановлениях и административных документах.
К основным проблемам можно отнести:
отсутствие уполномоченных органов по защите ПДн;
отсутствие упорядоченного законодательства о ПДн;
отсутствие единого определения ПДн и классификации по типам;
отсутствие защиты ПДн в отдельных отраслях и сферах (медицинская, коммерческая и т.п.)
отсутствие уведомлений об обработке ПДн и общего реестра операторов, которые обрабатывают такие ПДн.
В то же время страны стремятся разрабатывать и внедрять новые стандарты и нормативные акты, которые будут поддерживать развитие системы защиты данных и предусматривать санкции за их нарушения.
В постиндустриальных государствах дела обстоят лучше. Компании не только принимают больше мер по защите данных от утечек, но и подвергаются крупным взысканиям при нарушении действующего законодательства.
Некоторые утечки
2015 год
Взлом Службы управления персоналом США
В июне 2015 года US Office of Personnel Management (Служба управления персоналом США) объявило об атаках, которые привели к утечке персональных данных четырех миллионов действующих и бывших работников организации. Окончательная оценка количества пострадавших составила 22,1 миллиона человек. В число этих записей входили данные друзей и родственников служащих, многие из которых не имели к государственному органу прямого отношения. Федеральные чиновники назвали это крупнейшим нарушением правительственных данных в истории США. Утекла личная информация: номера социального страхования, имена, даты и места рождения, адреса.
Интересно то, что OPM неоднократно была предупреждена об уязвимостях и недостатках системы системы безопасности, однако по каким-то причинам они не уделили этому должного внимания.
Последствия:
отставка Кэтрин Арчулета, директора OPM, и Донны Сеймур, IT-директора OPM
разбирательства продолжаются по сей день.
2016 год
Компания InMobi собирала геолокацию детей, чем нарушала закон COPPA (Children’s online Privacy Protection Act) 1988 года
Мобильная рекламная сеть InMobi до декабря 2015 года отслеживала координаты пользователей, даже если они отказывались от разглашения данных. Причем как взрослых, так и детей. Данные собирались на основе координат беспроводных сетей, рядом с которыми находился человек, поскольку приложения с интегрированными модулями InMobi используют подключение к Wi-Fi сетям. Информация о них использовалась для показа таргетированных рекламных объявлений.
Последствия:
компанию оштрафовали на $1 млн;
обязательство в течение следующих 20 лет проходить проверки раз в 2 года.
2017 год
Из кредитного бюро Equifax утекли персональные данные клиентов
В сентябре 2017 г. организация Equifax сообщила о масштабной утечке информации, куда входили имена, даты рождения, номера социального страхования, адреса, номера водительских удостоверений американцев, а также номера кредитных карт более 200 тыс. человек. Сообщается, что злоумышленники смогли проэксплуатировать уязвимость CVE-2017-5638 в Apache Struts Web Framework, скомпрометировав таким образом портал компании, смогли делать запросы к базам данных и извлекать нужную информацию. В ходе расследования выяснились длительные нарушения требований безопасности.
Последствия:
отставка главного исполнительного директора и председателя совета директоров американского отделения Equifax Ричарда Смита;
выплаты в размере около $700 млн на юридические вопросы, урегулирование претензий регуляторов, компенсации, улучшение технологических систем безопасности и на оказание бесплатных услуг пострадавшим клиентам.
2018 год
British Airways сообщила об утечке персональных и финансовых данных клиентов
В сентябре 2018 г. британская авиакомпания сделала заявление о том, что стала жертвой атаки, в результате которой злоумышленники украли персональные данные клиентов: имена, адреса, данные банковских карт и учетные данные сотрудников и администраторов. Представитель компании на вопрос о количестве пострадавших называл цифру в 380 тысяч. Позже цифра выросла до 430 тысяч.
По заявлениям British Airways, данные были украдены сотрудниками компании. О происшествии узнали только спустя два месяца. Эксперты предположили, что своевременное исправление проблем информационной безопасность могло бы предотвратить кражу.
Последствия:
штраф на £20 млн (около $26 млн)
Утечка данных пользователей гостиничной сети Marriott International
В ноябре 2018 года стало известно об утечке данных пользователей гостиничной группы Marriott International. Первоначально звучала цифра в 500 млн человек, однако позже представители компании заявили, что значение ниже и составляет 383 млн. Утекли имена, паспортные данные, телефоны, адреса электронной почты, банковские сведения, сведения о прибытии в отель и выезде. Представители компании подтвердили также, что злоумышленники могли украсть ключи для расшифровки информации о платежных картах. В дальнейшем этот инцидент стал причиной новой утечки в 2019 году.
В 2020 через приложение, которое используется сетью отелей для оказания услуг гостям, утекла еще порция ПДн, включая уже и номера программ лояльности. Согласно заявлениям экспертов, Marriott не предприняла необходимых мер по обеспечению безопасности своих систем в соответствии с требованиями GDPR.
Последствия:
штраф в размере $124 млн в 2019 году;
повторный штраф в размере 18,4 млн фунтов стерлингов в 2020 году.
2020 год
Оператор мобильной связи Cosmote допустил утечку учетных данных клиентов
Оператор мобильной связи Cosmote и его материнская компания OTE были оштрафованы Управлением по защите данных Греции за утечку учетных записей пользователей в сентябре 2020 года (6 и 3,25 миллиона соответственно). В частности Cosmote оштрафовали за то, что файл, содержащий историю звонков тысяч клиентов не был защищен от действий злоумышленников, а OTE – за то, что не была предоставлена необходимая инфраструктура безопасности для предотвращения такой атаки.
Cosmote нарушила как минимум восемь статей GDPR, включая нарушение обязанности информировать пострадавших клиентов об истинных последствиях инцидента. Утекли данные о местоположении клиентов, информация об их возрасте, половой принадлежности, тарифе, среднем доходе абонента, телефонных номерах и типы интерфейсов пользователей других телеком-провайдеров (общавшихся с абонентами COSMOTE); IMEI (международный идентификационный номер аппаратуры мобильной связи), IMSI (международный номер карты идентификации абонента) и координаты вышек сотовой связи, находившихся в роуминге.
Последствия:
штраф более €9 млн.
2022 год
Clearview AI, Inc. оштрафована за нарушения при распознавании лиц
Clearview AI, Inc – американская компания, разрабатывающая программное обеспечение по распознаванию лиц и предоставляющая его другим компаниям, правоохранительным органам, университетам и частным лицам. Изображения лиц, извлекаемые из общедоступных веб-источников, с помощью искусственного интеллекта превращаются в профили людей путем извлечения из изображений биометрии и связанных с изображениями метаданных, включая геолокацию.
Garante per la protezione dei dati personali (Итальянское агентство по защите персональных данных) пришло к выводу, что компания обрабатывала персональные данные без надлежащего правового основания. Кроме того, Clearview AI, Inc нарушила несколько основных принципов GDPR, таких как прозрачность, ограничение целей и сроков хранения и т.д.
Последствия:
штраф €20,000,000;
распоряжение удалить данные субъектов из Италии;
распоряжение прекратить сбор и дальнейшую обработку персональных данных в системе распознавания лиц;
распоряжение назначить в течение 30 дней представителя в ЕС.
В России
Главное отличие российского законодательства в области взысканий от европейского – в Европе введен прогрессивный расчет. Это означает, что чем больше граждан обратилось за защитой своих законных интересов, тем выше будет компенсация. В России размер штрафа на момент написания статьи фиксированный.
Давайте вспомним несколько громких утечек прошлых лет. Мы не будем рассматривать утечки 2022 года, поскольку разбирательства все еще идут, и штрафные меры не установлены целиком.
2019 год
Утечка данных кредитных карт клиентов Сбербанка
В 2019 году в сети появилась выгрузка данных как минимум 5 тыс. кредитных карт клиентов Сбербанка. В ходе расследования выяснилось, что данные выгрузил недобросовестный сотрудник, обладающий правами администратора. В выгруженном архиве содержались данные об операциях по картам, остатках на счетах, сгруппированных по территориальным банкам, а также ПДн клиентов – фамилия, имя, отчество, паспортные данные, дата рождения, адрес места жительства, номер мобильного телефона, полный номер кредитной карты, место работы и остаток собственных средств.
Последствия:
арест виновника утечки и наложение на него обязательства выплаты Сбербанку 25,8 млн руб. за нанесение ущерба деловой репутации.
Утечка персональных данных клиентов Альфа-банка
В Архангельске сотрудники Альфа-банка продавали персональные данные клиентов злоумышленникам, в числе которых были клиентские договоры с ФИО, паспортными данными, адресом, номером мобильного телефона и другой личной информацией. Воспользовавшись информацией, злоумышленники смогли вывести со счетов пострадавших пользователей 8,4 млн руб, заплатив при этом недобросовестным сотрудникам менее 150 тыс. руб.
Последствия:
арест виновников утечки, наложение на них обязательства выплатить суммарный штраф в 95 тыс. руб и запрет в течение полутора лет заниматься деятельностью, связанной с банковской тайной.
2021 год
Утечка сканов паспортов клиентов компании «Oriflame»
Летом 2021 года в сеть утекли сканы паспортов 1,3 млн российских клиентов косметической компании «Oriflame». Компания заявила, что подверглась серии кибератак, и заверила о сохранности номеров банковских счетов, телефонов, паролей и коммерческих операций пользователей. В результате атак пострадали клиенты не только из России, но и из стран СНГ и Азии.
Последствия:
штраф 30 тыс. руб.
Утечка персональных данных клиентов Совкомбанка
В конце сентября Совкомбанк подтвердил факт утечки данных 150 тыс. текущих и потенциальных клиентов. Виноватым оказался сотрудник банка, который продавал базу с персональными данными клиентов банка, подавших заявку на кредит в 2019 и 2020 годах. Утекли ФИО, номера телефонов, паспортные данные, адреса проживания, семейное положение, ФИО и контакты родственников, места работы, должности, текущие размеры доходов. Любопытно здесь то, что злонамеренного сотрудника вычислили, но он выставил на продажу базу данных повторно, уже во время следствия.
Последствия:
виновник осужден на 2 года условно за незаконное получение и разглашение сведений, составляющих банковскую тайну.
Вывод
Обычный человек редко задумывается, где и как будут использоваться его персональные данные, когда заполняет и соглашается с очередной формой компании.
А ведь вариантов очень много, начиная от законной рассылки рекламных материалов и заканчивая высокой возможностью участия в мошеннических схемах. При этом удалить персональные данные с сервиса бывает куда сложнее, чем их отправить.
Развитие технологий вызывает новые вопросы к безопасности ПДн. К примеру, мы упоминали в тексте статьи про утечку биометрических данных. Если злоумышленники получат ваши документы, копию паспорта, то вы можете принять ответные меры — заявить об утере документа, получить новый паспорт, а старый объявить недействительным. Однако, что произойдет, если в своих незаконных делах злоумышленник использует ваш голос или ваши отпечатки пальцев? Как вы докажете свою невиновность, если по всем признакам будет выходить, что действия, к примеру, с банковскими счетами, совершаются от вашего имени? Вопросов очень много, и, к сожалению, сейчас нельзя получить на них исчерпывающий ответ.
Наши рекомендации
Так что же может сделать обычный человек, чтобы максимально обезопасить себя? Подчеркнем, что пользователь не несет ответственности за утечки со стороны компаний или сервисов. Минимизировать потенциальный ущерб возможно следующими действиями:
Создавайте фейковые личности.
В магазинах и сервисах, которыми вы пользуетесь крайне редко, можно регистрироваться, используя временные почтовые ящики и псевдонимы. Также для этого можно завести отдельный номер телефона.Старайтесь избегать выгрузки документов в сеть.
Это касается личной переписки в мессенджерах и по электронной почте, а также загрузки сканов документов на различные сервисы.Не раскрывайте сервисам больше данных, чем им нужно знать.
Всегда существует риск, что сайт или платформа могут быть взломаны. Не заполняйте поля с информацией о себе без необходимости.Следите за активностью детей и пожилых родственников в интернете.
Предупредите их об опасности бездумного распространения ПДн в сети. Если необходимо, используйте систему родительского контроля на устройствах.Избегайте телефонных разговоров с мошенниками. Помните, что ваш голос может записываться, поэтому односложные ответы «да/нет», а так же запись фрагментов речи и анализ ее тембра может дать злоумышленникам достаточно материала для потенциального использования.
Обращайте внимание на свою парольную политику. Убедитесь, что вы достаточно часто меняете пароли и что они разные для разных сервисов, что они имеют достаточную сложность и их трудно подобрать перебором. Мы предлагаем использовать менеджеры паролей.
Уничтожайте бумажные документы с умом. Подумайте, какое количество прямой и косвенной информации содержится в банковских и медицинских документах. Старайтесь изымать/замазывать данные, прежде чем отправить документы на выброс.
Относитесь ответственно к выполняемой работе. Если ваша работа так или иначе связана с ПДн других людей и их сохранностью, не пренебрегайте требованиями безопасности. Помните, что от вашей небрежности может пострадать не только невинный человек, но и целые компании.
Список источников
[1] «Защита данных. От авторизации до аудита», Д. Андресс
[2] Guide to Protecting the Confidentiality of Personally Identifiable Information (PII): https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf
[3] COPPA: https://www.ecfr.gov/current/title-16/part-312
[4] Privacy Act of 1974: https://www.justice.gov/opcl/privacy-act-1974
[5] Privacy Protection Act of 1974: https://www.justice.gov/archives/jm/criminal-resource-manual-661-privacy-protection-act-1980
[6] California Consumer Privacy Act: https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375
[7] Директива о сетевой и информационной безопасности: https://fbs-tax.com/mediacenter/blog-ru/utverzhden-tekst-direktivy-es-o-setevoj-i-informacionnoj-bezopasnosti-network-and-information-security-nis-directive/
[8] Bundesdatenschutzgesetz: http://www.gesetze-im-internet.de/bdsg_2018/inhalts_bersicht.html
[9] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés: https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460
[10] Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles: https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000037085952
[11] The Data Protection Act: https://www.gov.uk/data-protection
[12] Act on the protection of natural persons with regard to the processing of personal data: https://www.dataprotectionauthority.be/publications/act-of-30-july-2018.pdf
[13] Personal Data Protection Authority - KVKK: https://www.kvkk.gov.tr/
[14] Marco Civil da Internet: https://www.tjdft.jus.br/institucional/imprensa/campanhas-e-produtos/direito-facil/edicao-semanal/marco-civil-da-internet
[15] Ley Federal de Protección de Datos Personales en Posesión de Particulares. 2010 // General Congress of Mexico Official Website: http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
[16] Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados: https://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf
[17] African Union Convention on Cyber Security and Personal Data Protection: https://au.int/en/treaties/african-union-convention-cyber-security-and-personal-data-protection
[18] The Economic Community of West African States (ECOWAS) Act: https://www.statewatch.org/media/documents/news/2013/mar/ecowas-dp-act.pdf
[19] GUIDELINES FOR THE MANAGEMENT OF PERSONAL DATA BY PUBLIC INSTITUTIONS IN NIGERIA: https://nitda.gov.ng/wp-content/uploads/2020/11/GuidelinesForImplementationOfNDPRInPublicInstitutionsFinal11.pdf
[20] Personal Information Protection Law of the People’s Republic of China: https://digichina.stanford.edu/news/translation-personal-information-protection-law-peoples-republic-china-effective-nov-1-2021
[21] Peraturan Pemerintah Nomor 71 Tahun 2019 Tanggal 10 Oktober 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik: https://jdih.kominfo.go.id/produk_hukum/view/id/695/t/peraturan+pemerintah+nomor+71+tahun+2019+tanggal+10+oktober+2019
[22] PDPA (Personal Data Protection Act): https://www.pdp.gov.my/jpdpv2/assets/2019/09/Communications-Sector-PDPA-COP.pdf
[23] Online Safety Act: https://www.ag.gov.au/rights-and-protections/privacy