Какие существуют законы об интернете и личных данных

Что такое интернет-закон?

Интернет-закон, также известный как киберзакон, представляет собой совокупность юридических норм и принципов, которые регламентируют использование сети. Понятие интернет-закона может вызвать недопонимания по нескольким причинам:

Во-первых, интернет является новой и динамично развивающейся сферой, что придает сложности созданию актуальной правовой базы. Во-вторых, принципы закона о кибербезопасности зачастую перенимают идеи из других правовых дисциплин, таких как право на неприкосновенность частной жизни и коммерческое право, многие из которых были сформированы задолго до появления интернета и могут иметь разные толкования.

Отсутствует единый закон, который бы полностью охватывал защиту данных в интернете. Вместо этого применяется комбинация федеральных и местных законодательств с различными трактовками в зависимости от юрисдикции. В Европейском союзе действует единый закон о защите данных – GDPR, тогда как в США существует набор специализированных федеральных актов и локальных законов о конфиденциальности. В этом контексте рассмотрим ключевые законодательные акты, касающиеся интернет-безопасности.

Законодательство ведущих стран мира

Закон о конфиденциальности, принятый в 1974 году в США, стал основой для множества нормативных актов, касающихся защиты данных и конфиденциальности в эпоху интернета, хотя сам закон был разработан до его появления. Этот закон был нужен из-за увеличения объема личной информации, хранящейся в электронных базах данных государственных учреждений. В этом законодательстве были установлены такие права и ограничения:

• Граждане США имеют право на доступ к своим данным, находящимся у государственных органов, а также на получение их копий.
• Им предоставляется возможность исправлять любые неточности в своих данных.
• Государственные агентства могут собирать только необходимую информацию для своих задач.
• Доступ к данным ограничивается на основе принципа служебной необходимости.
• Обмен информацией между федеральными и нефедеральными учреждениями возможен только при соблюдении строгих условий.

С приходом интернета понятие конфиденциальности стало меняться, что вызвало необходимость разработки новых законов, касающихся безопасности электронных коммуникаций.

Законодательство международной торговой комиссии

Федеральная торговая комиссия США была создана в 1914 году с помощью закона, который также декларировал недопустимость обманных методов конкуренции и действий, негативно влияющих на торговлю.

Хотя в настоящее время Федеральная торговая комиссия не устанавливает требования к контенту политики конфиденциальности веб-сайтов, она использует свои полномочия для разработки нормативных актов и контроля соблюдения законов о защите данных и интересов потребителей. Например, комиссию могут привлечь к действию организации, которые:

• Не следуют своей опубликованной политике конфиденциальности.
• Раскрывают личную информацию способами, не предусмотренными в этой политике.
• Используют неопределённые формулировки о конфиденциальности и безопасности для потребителей.
• Не принимают необходимых мер для защиты данных.
• Игнорируют принципы саморегулирования в своей отрасли.

Комиссия играет ключевую роль в регулировании интернет-пространства, в частности, в проверке ложных заявлений крупных технологических компаний и социальных сетей относительно конфиденциальности обрабатываемых данных пользователей. Например, она рассмотрела жалобы на Facebook, связанные с использованием пользовательской информации.

Закон на защите несовершеннолетних в глобальной сети интернет

Закон о защите конфиденциальности детей в интернете (COPPA), принятый в 1998 году, является федеральным законодательством США, направленным на предоставление родителям контроля над информацией, собираемой о детях в сети. Он применяется к операторам коммерческих веб-сайтов и онлайн-сервисов, включая мобильные приложения и устройства интернета вещей, если их аудитория — дети младше 13 лет, и они собирают их личные данные.

Основные положения COPPA включают:

• Сбор информации от детей возможен только после уведомления и получения согласия от родителей.
• Необходимо иметь ясную и полную политику конфиденциальности.
• Данные должны храниться безопасно и надежно.
• Хотя закон был принят в начале интернета, его важность возросла с развитием социальных сетей и таргетированной рекламы. Федеральная торговая комиссия США анализирует сайты по нескольким критериям, таким как содержание и применение анимации.

Некоторые платформы проверяют возраст своих пользователей, освобождая себя от соблюдения COPPA, установив минимальный возраст регистрации в 13 лет. Также закон определяет, что сбор личной информации включает такие данные, как имена и адреса, а также поведенческую аналитику для рекламы. Ответственность за такое поведение несут владельцы сайтов, ориентированных на детей.

Калифорнийский закон о защите потребительской конфиденциальности

В 2018 году был принят Калифорнийский закон о защите потребительской конфиденциальности (CCPA), который направлен на решение вопросов конфиденциальности для жителей штата, расширяя защитные меры в интернете. CCPA считается самым обширным законодательством о защите данных в США, не имеющим аналогов на федеральном уровне.

Как и в случае с GDPR в Европейском союзе, CCPA предоставляет потребителям право на доступ к своим данным, возможность их удаления и право отказаться от их обработки в любой момент. Однако в отличие от GDPR, CCPA не позволяет исправлять ошибочные личные сведения. Также GDPR требует явного согласия при предоставлении данных, тогда как CCPA лишь обязывает сайты размещать политику конфиденциальности, информируя потребителей о праве отказаться от сбора определенной информации.

Среди аспектов CCPA выделяются следующие права:

Потребители могут запросить доступ к своим данным.

Компании обязаны уведомлять о продаже личной информации и предоставлять возможность отказа.

Потребители могут в ограниченном объеме подавать иски за утечку данных.

Генеральный прокурор штата имеет право инициировать иски от имени граждан.

В CCPA содержится обширное определение личной информации, охватывающее «данные, которые позволяют идентифицировать, касаются, описывают или могут быть связаны прямо или косвенно с конкретным потребителем или домохозяйством». Это аналогично развернутой концепции личных данных в GDPR.

Регламент ЕС по защите права на персональные данные

GDPR или Общий регламент по защите данных Европейского Союза, вступил в силу в 2018 году и представляет собой правовую основу, задающую правила для сбора и обработки персональных данных граждан ЕС. Он применяется вне зависимости от местоположения веб-сайтов и обязателен для всех ресурсов, которые привлекают посетителей из Европы. Этот регламент считается одним из самых строгих в мире в сфере защиты данных.

Согласно требованиям GDPR, пользователи должны быть проинформированы о том, какие данные собираются, и давать явное согласие на их использование. На многих сайтах для этого появляются всплывающие окна, запрашивающие согласие на использование файлов cookie, которые хранят личные данные, такие как предпочтения пользователей.

Основные положения GDPR включают: право потребителей знать, как используются их данные; право на запрос информации о собранных данных; право на исправление ошибок; право на удаление данных; право отказа от обработки и уведомление о нарушениях безопасности. На сайте Европейской комиссии доступны разъяснения по данным вопросам. Крупные компании подвергаются значительным штрафам за нарушение GDPR: например, Google получил штраф в 57 миллионов долларов за сокрытие информации, а British Airways — 28 миллионов долларов за утечку данных.

Закон о преемственности в медицинском страховании и отчетности

В 1996 году был принят федеральный закон США, известный как HIPAA, который регулирует медицинское страхование и включает положения о конфиденциальности и защите данных. Данный закон запрещает медицинским учреждениям и связанным с ними организациям раскрывать личную информацию о здоровье граждан без их согласия.

Когда говорят о HIPAA, зачастую имеют в виду Правило конфиденциальности, принятое в 2003 году. Это правило было введено на фоне осознания Конгрессом США угрозы утечки конфиденциальной информации о здоровье из-за активного использования интернета. Правило позволяет потребителям контролировать, какую информацию о себе они готовы раскрыть.

Тем не менее, закон HIPAA охватывает только ту медицинскую информацию, которая хранится у определенных медицинских организаций. К примеру, данные с фитнес-трекеров в большинстве случаев не подпадают под действие HIPAA. Аналогично, генетическая информация с веб-сайтов, таких как Ancestry.com, тоже находится вне рамок этого закона. Эти данные могут быть защищены другими нормами и соглашениями о конфиденциальности.