Защита персональных данных 3 миллиардов человек — сходство и различие законодательства в странах БРИКС



    Совет безопасности России на заседании 26 октября 2017 года поручил Минкомсвязи совместно с МИД России до 1 августа 2018 года инициировать в рамках БРИКС (Бразилия, Россия, Индия, Китай и Южная Африка) обсуждение вопроса о создании для государств — участников объединения собственной «системы дублирующих корневых серверов доменных имен (DNS), независимой от контроля [международных организаций] ICANN, IANA и VeriSign, и способной обслуживать запросы пользователей перечисленных стран на случай сбоев или целевых воздействий».

    В свете этих событий, нам хотелось бы рассмотреть вопрос о согласованности законодательств стран участниц БРИКС в вопросах защиты данных. Далее речь пойдет о защите персональных данных: на основании каких законов строится защита и каковы основные недостатки.

    Небольшой экскурс в основы.

    БРИКС – это группа из пяти стран: Бразилия, Россия, Индия, Китай, Южно-Африканская Республика.

    9 июля 2015 на VII саммит БРИКС, проходил в Уфе, была принята «Уфимская декларация». Декларация объемная, касается многих актуальных в глобальном плане вопросов, мы же коснемся только одного пункта, в котором декларируются отношения к информационно-коммуникационным технологиям. Итак, пункт 33 Уфимской Декларации отмечает:

    • необходимость укрепления сотрудничества в области ИКТ, включая Интернет
    • решение о создании в рамках БРИКС рабочей группы по вопросам сотрудничества в области ИКТ
    • необходимость формирования системы,
    • позволяющей обеспечить конфиденциальность и защиту персональной информации пользователей

    «Мы вновь подчеркиваем недопустимость использования ИКТ и Интернета в целях нарушения прав и основополагающих свобод человека, в том числе права на неприкосновенность частной жизни, и вновь подтверждаем, что права, которыми обладает человек за пределами Интернета, должны быть также защищены и в нем».

    С полным текстом декларации можно ознакомиться по ссылке.



    Основные моменты защиты персональных данных в странах БРИКС


    Защита ПД в Российской Федерации


    На сегодняшний день, РФ среди стран БРИК дальше всех продвинулась в этом отношении, отметим основные моменты, что сделано в рамках вопроса защиты ПД.

    Сформировано законодательство в сфере защиты ПД, включающее в себя:

    • нормы Конституции (ст. 23, 24);
    • специальный закон – Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
    • нормы отраслевых законов;
    • подзаконные акты.

    Кроме того, создан специальный уполномоченный орган, деятельность которого обеспечивает:

    • эффективное функционирование централизованной системы контроля и надзора за выполнением требований законодательства;
    • рассмотрение обращений субъектов персональных данных;
    • ведение реестра операторов ПД;
    • информационную работу с гражданами и операторами ПД.

    Так же необходимо отметить, что постепенно формируется единообразная практика правоприменения. В настоящий момент система защиты ПД, соответствующая международным стандартам, в России есть и она действует.

    Если вы не обладаете достаточной ясностью в вопросах обработки персональных данных в соответствии с нормативными правовыми актами РФ и хотели бы получить более полное понимание законодательства, рекомендуем ознакомиться с нашим White Paper о Федеральном Законе №152.

    Защита ПД в Китае


    Здесь все сложно. Специальный общий закон о защите ПД отсутствует. Впрочем, давайте посмотрим на основные моменты.

    Конституция КНР гарантирует защиту достоинства личности и тайну переписки. Положения о защите ПД содержатся в отдельных нормативно-правовых актах, их мы сейчас кратко и рассмотрим.

    05 ноября 2012 года было принято «Руководство по защите персональной информации в информационной системе по оказанию публичных и коммерческих услуг», в котором было дано следующее определение:

    Персональные данные — любая информацию об определенном физическом лице, которая сама по себе или в комбинации с другой информацией позволяет его идентифицировать

    Руководство устанавливает обязанность оператора ПД получать согласие субъекта ПД на обработку и сообщать ему о цели обработки, сроке хранения, мерах по защите ПД и так далее.

    Что касается локализации ПД, то о ней нам говорится в ст.5.4.5:

    При отсутствии ясно выраженного согласия субъекта ПД, нормативного разрешения или согласия уполномоченных органов оператор ПД не должен передавать ПД какому-либо лицу, находящемуся за рубежом, включая любых физических лиц, проживающих за рубежом, или любых организаций и компаний, которые зарегистрированы за рубежом.

    Так же, о персональных данных говорится и в принятом 25.10.2013 законе о защите потребителей:

    Статья 29. При сборе и использовании персональных данных физических лиц участники предпринимательской деятельности обязаны следовать принципам законности, обоснованности и необходимости, явным образом информировать о цели, способах и пределах сбора и использования информации и получить согласие потребителя.

    Субъекты предпринимательской деятельности обязаны предпринимать технические и другие необходимые меры для обеспечения безопасности информации и предотвращения раскрытия или утечки ПД потребителей.


    За несоблюдение норм закона предусмотрен серьезный административный штраф.

    Кроме того, есть еще ряд НПА, тем или иным образом затрагивающие защиту субъектов ПД.

    • Закон КНР «О деликтной ответственности» 2009 года, защищающий право на неприкосновенность частной жизни и, в частности, предусматривает ответственность медицинского учреждения за распространение ПД без согласия субъекта ПД
    • «Решение об усилении защиты информации в Интернете», принятое Парламентом КНР 28.12.2012
    • «Положение об электросвязи и защите персональной информации интернет-пользователей», принятое 19.07.2013
    • 15 марта 2015 года вступили в силу «Меры ответственности за нарушения прав и интересов потребителей», разработанные и принятые Государственным управлением по промышленности и коммерции Китая (SAIC).

    Последний указанный акт представляет особый интерес в отношении определения персональных данных в контексте защиты прав потребителя. Согласно Мерам, к ПД потребителя относятся следующие данные:

    1. имя;
    2. пол;
    3. профессия;
    4. дата рождения;
    5. номер паспорта;
    6. адрес;
    7. контактная информация;
    8. сведения о доходах и собственности;
    9. сведения о здоровье;
    10. привычки потребителя.

    1 июня 2017 года вступил в силу «Закон о кибербезопасности». Закон о кибербезопасности является первым сводным законом, регулирующим практически все проблемы данной сферы в Китае. В том числе, он, конечно же, касается и ПД.

    Хранение личных данных и других важных данных должно обеспечиваться исключительно на территории КНР (статья 37).

    Закон о кибербезопасности подтверждает обязанности сетевых операторов в отношении защиты персональной информации, которые определены существующим законодательством и регуляторными требованиями, включая право на отслеживание соблюдения принципа законности, необходимости и уместности сбора и использования личных данных, а также право наблюдения за выполнением «требований об информировании и получении согласия» (статья 41) об использовании личных данных лишь в тех целях на которые дало согласие соответствующее лицо (статья 41), право принимать меры защиты безопасности личных данных (статья 42) и защищать индивидуальное право оценивать и вносить исправления в личную информацию (статья 43).

    Кроме того, Закон о кибербезопасности также включает в себя некоторые новые правила в отношении защиты личных данных, включая требования об уведомлении о нарушении защиты данных (статья 42), об анонимизации данных в качестве исключения в требованиях об информировании и получении согласия (статья 42), а также об праве индивида требовать у сетевых операторов внести изменения в или удалить его личные данные в случае, если информация о нём ошибочна или используется в несогласованных с ним целях (статья 43).

    К основным проблемам защиты ПД в Китае можно отнести следующее:

    • отсутствие уполномоченного органа по защите ПД;
    • отсутствие единого специального закона о ПД;
    • отсутствие единого понятийного аппарата (ну, с этим и у нас не все гладко);
    • основные правила защиты ПД содержатся в НПА, которые носят рекомендательный характер (напр., Руководство);
    • отсутствие уведомления об обработке ПД и реестра операторов, осуществляющих обработку ПД.

    Защита ПД в Бразилии


    Конституция Бразилии защищает человеческое достоинство, неприкосновенность частной жизни и тайну переписки. Так же, как и в Китае, отсутствует общий закон о защите ПД и положения о защите ПД содержатся в отдельных НПА.

    Закон Бразилии «Об Интернете» (Marco Civil da Internet) от 23.04.2014.:

    • Устанавливает общие принципы использования Интернета, права и гарантии пользователей, обязанности провайдеров и правила оказания услуг в Интернете.
    • Закон содержит большое число норм, касающихся защиты неприкосновенности частной жизни и персональных данных.
    • Для обработки ПД в Интернете необходимо получить добровольное и информированное согласие пользователя.
    • Обработка ПД разрешается только для определенной цели, которая указывается в пользовательском соглашении или в правилах использования Интернет-сервисов

    Что касается локализации ПД. Первоначально проект закона содержал требования о хранении ПД граждан Бразилии на территории государства. В последующих редакциях положение исключили, но ввели право Президента издавать указы по данному вопросу. В принятой итоговой редакции закона вопрос о локализации данных не поднимается. Исключение данного требования из закона явилось результатом лоббирования со стороны международных корпораций и США.

    Особый интерес представляет решение в Законе вопроса о юрисдикции (ст.11). Общее правило таково:

    Интернет-провайдеры и провайдеры интернет-приложений обязаны соблюдать законодательство Бразилии, в том числе по защите ПД, если хотя бы одно из действий по сбору, хранению или обработке ПД имеет место в пределах государственной территории Бразилии.

    Но есть и дополнительные условия:

    1. Общее правило применяется к ПД, собранным на территории Бразилии и к содержанию коммуникаций, если хотя бы один из терминалов находится на территории Бразилии
    2. Общее правило применяется даже в том случае, когда такая деятельность осуществляется иностранным юридическим лицом, при условии, что:
    а) иностранное юридическое лицо оказывает услуги неограниченному кругу лиц в Бразилии;
    либо
    б) по крайней мере, одно из лиц, входящих в группу иностранных компаний, учреждено в Бразилии.

    Защита ПД в Бразилии, основные проблемы:

    • отсутствие уполномоченного органа по защите ПД;
    • отсутствие единого специального закона о ПД;
    • отсутствие единого определения персональных данных;
    • отсутствие определения специальных категорий ПД (sensetive personal data);
    • отсутствие защиты ПД в отдельных отраслях и сферах, за исключением Интернета;
    • отсутствие уведомления об обработке ПД и Реестра операторов, осуществляющих обработку ПД.

    Защита ПД в Индии


    Статья 21 Конституции Индии гарантирует каждому право на жизнь и личную свободу.

    Специального общего закона о защите ПД в Индии нет.

    Закон об информационных технологиях 2000 г. Содержит специальную статью о защите специальных категорий персональных данных (ст. 43А). Оператор ПД обязан применять необходимые меры для защиты ПД и несет ответственность за причиненный вред вследствие утечки данных.

    Есть «Правила по практике и процедуре обеспечения безопасности особых категорий персональных данных и информации», принятые в 2011 году. Согласно им:

    Персональные данные — любая информация, которая относится к физическому лицу и которая в комбинации с другой информацией, находящейся в распоряжении оператора персональных данных, может идентифицировать данное физическое лицо.

    К специальным категориям ПД относятся (п.3 Правил):

    • пароли;
    • финансовая информация (включая данные о банковском счете и кредитной карте);
    • данные о здоровье;
    • сексуальная ориентация;
    • биометрические данные.

    Локализация специальных категорий ПД. Согласно правилу 7, трансграничная передача ПД граждан Индии может быть разрешена только тогда, когда это необходимо для выполнения договора между юридическим лицом и субъектом ПД или, когда субъект дал свое согласие на передачу данных.

    Правила о защите конфиденциальности и персональных данных содержатся в ряде отраслевых законов Индии, включая законодательство о страховании, о банковской деятельности.

    Основные проблемы защиты ПД в Индии:

    • отсутствие уполномоченного органа по защите ПД;
    • отсутствие единого специального закона о ПД;
    • отсутствие уведомления об обработке ПД и Реестра операторов, осуществляющих обработку ПД.

    Выводы


    В отличие от Российской Федерации как законодательство, так и практика по защите ПД других стран БРИКС отстают. В то же время за последние годы во всех странах БРИКС наблюдается:

    • заинтересованность в развитии системы защиты ПД в связи с новыми информационными угрозами цифровой эпохи
    • принятие новых нормативных актов
    • введение или план по учреждению специального уполномоченного органа по защите субъектов ПД
    • стремление к внедрению лучших практик и международных принципов и стандартов

    Надеемся, что и Россия в дальнейшем будет совершенствовать систему законодательства, внедряя лучшие практики и избегая излишних запретительных мер.
    Cloud4Y
    #1 Корпоративный облачный провайдер

    Комментарии 5

      0
      Совет безопасности России на заседании 26 октября 2017 года поручил Минкомсвязи совместно с МИД России до 1 августа 2018 года инициировать в рамках БРИКС (Бразилия, Россия, Индия, Китай и Южная Африка) обсуждение вопроса о создании для государств — участников объединения собственной «системы дублирующих корневых серверов доменных имен (DNS), независимой от контроля [международных организаций] ICANN, IANA и VeriSign, и способной обслуживать запросы пользователей перечисленных стран на случай сбоев или целевых воздействий».

      Это им хочется наплодить альтернативных доменных зон по типу opennic.org?
        0
        Защита персональных данных как калитка посреди поля. Бесполезна и хоть и красивая, но глаза мозолит.
          0
          Отлично сказано! А за отсутствие калитки (или за другой цвет, размер, материал и т.д...) — могут отиметь в любой момент! ))))
          0
          Возможно, после того, как обкатают дублирующие сервера, они сделают их основными? И будет у нас свой собственный лунапарк…
            0
            Познавательно, но, имхо, на сегодня, более актуально сравнить наши законы (152), ЕС (GDPR) что есть в США. Есть ли у вас аналогичная понятная сравнительная характеристика?

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое