Защита персональных данных 3 миллиардов человек — сходство и различие законодательства в странах БРИКС

в 14:47, , рубрики: Блог компании Cloud4Y, брикс, Законодательство в IT, защита персональных данных, информационная безопасность, Исследования и прогнозы в IT, международный опыт, обработка ПД, хранение данных

Защита персональных данных 3 миллиардов человек — сходство и различие законодательства в странах БРИКС - 1

Совет безопасности России на заседании 26 октября 2017 года поручил Минкомсвязи совместно с МИД России до 1 августа 2018 года инициировать в рамках БРИКС (Бразилия, Россия, Индия, Китай и Южная Африка) обсуждение вопроса о создании для государств — участников объединения собственной «системы дублирующих корневых серверов доменных имен (DNS), независимой от контроля [международных организаций] ICANN, IANA и VeriSign, и способной обслуживать запросы пользователей перечисленных стран на случай сбоев или целевых воздействий».

В свете этих событий, нам хотелось бы рассмотреть вопрос о согласованности законодательств стран участниц БРИКС в вопросах защиты данных. Далее речь пойдет о защите персональных данных: на основании каких законов строится защита и каковы основные недостатки.

Небольшой экскурс в основы.

БРИКС – это группа из пяти стран: Бразилия, Россия, Индия, Китай, Южно-Африканская Республика.

9 июля 2015 на VII саммит БРИКС, проходил в Уфе, была принята «Уфимская декларация». Декларация объемная, касается многих актуальных в глобальном плане вопросов, мы же коснемся только одного пункта, в котором декларируются отношения к информационно-коммуникационным технологиям. Итак, пункт 33 Уфимской Декларации отмечает:

  • необходимость укрепления сотрудничества в области ИКТ, включая Интернет
  • решение о создании в рамках БРИКС рабочей группы по вопросам сотрудничества в области ИКТ
  • необходимость формирования системы,
  • позволяющей обеспечить конфиденциальность и защиту персональной информации пользователей

«Мы вновь подчеркиваем недопустимость использования ИКТ и Интернета в целях нарушения прав и основополагающих свобод человека, в том числе права на неприкосновенность частной жизни, и вновь подтверждаем, что права, которыми обладает человек за пределами Интернета, должны быть также защищены и в нем».

С полным текстом декларации можно ознакомиться по ссылке.

Защита персональных данных 3 миллиардов человек — сходство и различие законодательства в странах БРИКС - 2

Основные моменты защиты персональных данных в странах БРИКС

Защита ПД в Российской Федерации

На сегодняшний день, РФ среди стран БРИК дальше всех продвинулась в этом отношении, отметим основные моменты, что сделано в рамках вопроса защиты ПД.

Сформировано законодательство в сфере защиты ПД, включающее в себя:

  • нормы Конституции (ст. 23, 24);
  • специальный закон – Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • нормы отраслевых законов;
  • подзаконные акты.

Кроме того, создан специальный уполномоченный орган, деятельность которого обеспечивает:

  • эффективное функционирование централизованной системы контроля и надзора за выполнением требований законодательства;
  • рассмотрение обращений субъектов персональных данных;
  • ведение реестра операторов ПД;
  • информационную работу с гражданами и операторами ПД.

Так же необходимо отметить, что постепенно формируется единообразная практика правоприменения. В настоящий момент система защиты ПД, соответствующая международным стандартам, в России есть и она действует.

Если вы не обладаете достаточной ясностью в вопросах обработки персональных данных в соответствии с нормативными правовыми актами РФ и хотели бы получить более полное понимание законодательства, рекомендуем ознакомиться с нашим White Paper о Федеральном Законе №152.

Защита ПД в Китае

Здесь все сложно. Специальный общий закон о защите ПД отсутствует. Впрочем, давайте посмотрим на основные моменты.

Конституция КНР гарантирует защиту достоинства личности и тайну переписки. Положения о защите ПД содержатся в отдельных нормативно-правовых актах, их мы сейчас кратко и рассмотрим.

05 ноября 2012 года было принято «Руководство по защите персональной информации в информационной системе по оказанию публичных и коммерческих услуг», в котором было дано следующее определение:

Персональные данные — любая информацию об определенном физическом лице, которая сама по себе или в комбинации с другой информацией позволяет его идентифицировать

Руководство устанавливает обязанность оператора ПД получать согласие субъекта ПД на обработку и сообщать ему о цели обработки, сроке хранения, мерах по защите ПД и так далее.

Что касается локализации ПД, то о ней нам говорится в ст.5.4.5:

При отсутствии ясно выраженного согласия субъекта ПД, нормативного разрешения или согласия уполномоченных органов оператор ПД не должен передавать ПД какому-либо лицу, находящемуся за рубежом, включая любых физических лиц, проживающих за рубежом, или любых организаций и компаний, которые зарегистрированы за рубежом.

Так же, о персональных данных говорится и в принятом 25.10.2013 законе о защите потребителей:

Статья 29. При сборе и использовании персональных данных физических лиц участники предпринимательской деятельности обязаны следовать принципам законности, обоснованности и необходимости, явным образом информировать о цели, способах и пределах сбора и использования информации и получить согласие потребителя.

Субъекты предпринимательской деятельности обязаны предпринимать технические и другие необходимые меры для обеспечения безопасности информации и предотвращения раскрытия или утечки ПД потребителей.

За несоблюдение норм закона предусмотрен серьезный административный штраф.

Кроме того, есть еще ряд НПА, тем или иным образом затрагивающие защиту субъектов ПД.

  • Закон КНР «О деликтной ответственности» 2009 года, защищающий право на неприкосновенность частной жизни и, в частности, предусматривает ответственность медицинского учреждения за распространение ПД без согласия субъекта ПД
  • «Решение об усилении защиты информации в Интернете», принятое Парламентом КНР 28.12.2012
  • «Положение об электросвязи и защите персональной информации интернет-пользователей», принятое 19.07.2013
  • 15 марта 2015 года вступили в силу «Меры ответственности за нарушения прав и интересов потребителей», разработанные и принятые Государственным управлением по промышленности и коммерции Китая (SAIC).

Последний указанный акт представляет особый интерес в отношении определения персональных данных в контексте защиты прав потребителя. Согласно Мерам, к ПД потребителя относятся следующие данные:

  1. имя;
  2. пол;
  3. профессия;
  4. дата рождения;
  5. номер паспорта;
  6. адрес;
  7. контактная информация;
  8. сведения о доходах и собственности;
  9. сведения о здоровье;
  10. привычки потребителя.

1 июня 2017 года вступил в силу «Закон о кибербезопасности». Закон о кибербезопасности является первым сводным законом, регулирующим практически все проблемы данной сферы в Китае. В том числе, он, конечно же, касается и ПД.

Хранение личных данных и других важных данных должно обеспечиваться исключительно на территории КНР (статья 37).

Закон о кибербезопасности подтверждает обязанности сетевых операторов в отношении защиты персональной информации, которые определены существующим законодательством и регуляторными требованиями, включая право на отслеживание соблюдения принципа законности, необходимости и уместности сбора и использования личных данных, а также право наблюдения за выполнением «требований об информировании и получении согласия» (статья 41) об использовании личных данных лишь в тех целях на которые дало согласие соответствующее лицо (статья 41), право принимать меры защиты безопасности личных данных (статья 42) и защищать индивидуальное право оценивать и вносить исправления в личную информацию (статья 43).

Кроме того, Закон о кибербезопасности также включает в себя некоторые новые правила в отношении защиты личных данных, включая требования об уведомлении о нарушении защиты данных (статья 42), об анонимизации данных в качестве исключения в требованиях об информировании и получении согласия (статья 42), а также об праве индивида требовать у сетевых операторов внести изменения в или удалить его личные данные в случае, если информация о нём ошибочна или используется в несогласованных с ним целях (статья 43).

К основным проблемам защиты ПД в Китае можно отнести следующее:

  • отсутствие уполномоченного органа по защите ПД;
  • отсутствие единого специального закона о ПД;
  • отсутствие единого понятийного аппарата (ну, с этим и у нас не все гладко);
  • основные правила защиты ПД содержатся в НПА, которые носят рекомендательный характер (напр., Руководство);
  • отсутствие уведомления об обработке ПД и реестра операторов, осуществляющих обработку ПД.

Защита ПД в Бразилии

Конституция Бразилии защищает человеческое достоинство, неприкосновенность частной жизни и тайну переписки. Так же, как и в Китае, отсутствует общий закон о защите ПД и положения о защите ПД содержатся в отдельных НПА.

Закон Бразилии «Об Интернете» (Marco Civil da Internet) от 23.04.2014.:

  • Устанавливает общие принципы использования Интернета, права и гарантии пользователей, обязанности провайдеров и правила оказания услуг в Интернете.
  • Закон содержит большое число норм, касающихся защиты неприкосновенности частной жизни и персональных данных.
  • Для обработки ПД в Интернете необходимо получить добровольное и информированное согласие пользователя.
  • Обработка ПД разрешается только для определенной цели, которая указывается в пользовательском соглашении или в правилах использования Интернет-сервисов

Что касается локализации ПД. Первоначально проект закона содержал требования о хранении ПД граждан Бразилии на территории государства. В последующих редакциях положение исключили, но ввели право Президента издавать указы по данному вопросу. В принятой итоговой редакции закона вопрос о локализации данных не поднимается. Исключение данного требования из закона явилось результатом лоббирования со стороны международных корпораций и США.

Особый интерес представляет решение в Законе вопроса о юрисдикции (ст.11). Общее правило таково:

Интернет-провайдеры и провайдеры интернет-приложений обязаны соблюдать законодательство Бразилии, в том числе по защите ПД, если хотя бы одно из действий по сбору, хранению или обработке ПД имеет место в пределах государственной территории Бразилии.

Но есть и дополнительные условия:

  1. Общее правило применяется к ПД, собранным на территории Бразилии и к содержанию коммуникаций, если хотя бы один из терминалов находится на территории Бразилии
  2. Общее правило применяется даже в том случае, когда такая деятельность осуществляется иностранным юридическим лицом, при условии, что:

а) иностранное юридическое лицо оказывает услуги неограниченному кругу лиц в Бразилии;
либо
б) по крайней мере, одно из лиц, входящих в группу иностранных компаний, учреждено в Бразилии.

Защита ПД в Бразилии, основные проблемы:

  • отсутствие уполномоченного органа по защите ПД;
  • отсутствие единого специального закона о ПД;
  • отсутствие единого определения персональных данных;
  • отсутствие определения специальных категорий ПД (sensetive personal data);
  • отсутствие защиты ПД в отдельных отраслях и сферах, за исключением Интернета;
  • отсутствие уведомления об обработке ПД и Реестра операторов, осуществляющих обработку ПД.

Защита ПД в Индии

Статья 21 Конституции Индии гарантирует каждому право на жизнь и личную свободу.

Специального общего закона о защите ПД в Индии нет.

Закон об информационных технологиях 2000 г. Содержит специальную статью о защите специальных категорий персональных данных (ст. 43А). Оператор ПД обязан применять необходимые меры для защиты ПД и несет ответственность за причиненный вред вследствие утечки данных.

Есть «Правила по практике и процедуре обеспечения безопасности особых категорий персональных данных и информации», принятые в 2011 году. Согласно им:

Персональные данные — любая информация, которая относится к физическому лицу и которая в комбинации с другой информацией, находящейся в распоряжении оператора персональных данных, может идентифицировать данное физическое лицо.

К специальным категориям ПД относятся (п.3 Правил):

  • пароли;
  • финансовая информация (включая данные о банковском счете и кредитной карте);
  • данные о здоровье;
  • сексуальная ориентация;
  • биометрические данные.

Локализация специальных категорий ПД. Согласно правилу 7, трансграничная передача ПД граждан Индии может быть разрешена только тогда, когда это необходимо для выполнения договора между юридическим лицом и субъектом ПД или, когда субъект дал свое согласие на передачу данных.

Правила о защите конфиденциальности и персональных данных содержатся в ряде отраслевых законов Индии, включая законодательство о страховании, о банковской деятельности.

Основные проблемы защиты ПД в Индии:

  • отсутствие уполномоченного органа по защите ПД;
  • отсутствие единого специального закона о ПД;
  • отсутствие уведомления об обработке ПД и Реестра операторов, осуществляющих обработку ПД.

Выводы

В отличие от Российской Федерации как законодательство, так и практика по защите ПД других стран БРИКС отстают. В то же время за последние годы во всех странах БРИКС наблюдается:

  • заинтересованность в развитии системы защиты ПД в связи с новыми информационными угрозами цифровой эпохи
  • принятие новых нормативных актов
  • введение или план по учреждению специального уполномоченного органа по защите субъектов ПД
  • стремление к внедрению лучших практик и международных принципов и стандартов

Надеемся, что и Россия в дальнейшем будет совершенствовать систему законодательства, внедряя лучшие практики и избегая излишних запретительных мер.

Автор: Cloud4Y

Источник

Поделиться

* - обязательные к заполнению поля