В статье представлена краткая характеристика законов о персональных данных в России, Китае и ЕС, позволяющая сравнить их особенности с целью выявления наличия правовых инструментов по наиболее эффективной защите персональных данных в разных регионах.
Ключевые слова: Федеральный закон «О персональных данных», ФЗ-152, General Data Protection Regulation, GDPR, Personal Information Protection Law of the People's Republic of China, PIPL, персональные данные, информационная защита, закон.
В современном мире предоставление своих персональных данных стало неотъемлемой частью жизни любого гражданина, данные используются повсеместно, будь то государственные учреждения, магазины, страховые организации, больницы и т. п. Массовый переход на хранение и обработку персональных данных в электронном вид, обусловлен облегчением взаимодействия с социумом. Однако нынешнее существование в цифровом обществе несет в себе еще и определенные риски, связанные с незаконным владением и использованием персональных данных.
Поскольку в настоящее время участились случаи взлома баз данных и как следствие утечек персональной информации клиентов по всему миру, тем самым вопросы обработки и защиты ПД вызывают озабоченность и на международном уровне, в связи с чем необходимо понимать различия в законодательствах об обработке персональных данных в разных странах для анализа и перенимания опыта, успешных методов борьбы с незаконным распространением конфиденциальной информации.
Следует подчеркнуть, что каждая страна имеет свои уникальные особенности и проблемы в области законодательства о защите персональных данных. Не существует мнения о том, что какая-либо конкретная страна или компания достигла совершенства и является идеалом в обеспечении высокого уровня защиты данных своих граждан.
Крупнейшим обнародованием личных данных стала утечка компании Cam4 в марте 2020 года, в результате которой было обнаружено более 10 миллиардов записей [1]. Еще одним примером стала утечка данных в марте 2018 года в национальной базе данных Индии Aadhaar, в результате которой было раскрыто более 1,1 миллиарда записей, в них включались идентификационные номера, сканы отпечатков пальцев, которые можно было использовать для открытия банковских счетов, а также других государственных услуг.
Согласно опросу 2023 года, проведенному компанией по исследованию рынка кибербезопасности CyberEdge, 56,6 % случаев потери персональных данных в организациях по всему миру привели к сбоям в работе бизнеса, потере доходов. Около 40 % пострадали от потери репутации [6].
Основной закон, регулирующий обработку персональных данных в России, — это Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее — Федеральный Закон № 152-ФЗ) [2]. Закон характеризуется наличием: требования к организациям в получения согласия от физических лиц до сбора их персональных данных; требования законной и справедливой обработки ПД с согласия лица, чьи данные обрабатываются; требования хранения ПД на территории России; передача данных в другие страны должна быть одобрена государством; принятием компаниями соответствующих мер безопасности для защиты данных; в случае установления факта неправомерной или случайной передачи (распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных в течение 24 часов.
Согласно законодательству РФ, в качестве ПД можно рассматривать практически любую информацию, не только прямо относящуюся к конкретному лицу, но и способную определить лицо косвенно. При этом конкретный перечень ПД законодателем не предусмотрен, что в практическом применении вызывает определенные сложности.
В Европе в 2018 году вступили в силу обновленные правила обработки персональных данных под названием General Data Protection Regulation (далее — GDPR), данные правила, распространяются на все страны ЕС. Экстерриториальный принцип GDPR провозглашен как один из основных принципов, что подразумевает под собой распространение правил обработки ПД в том числе и за пределы Европейского Союза. Главная цель GDPR лучше регулировать обработку данных и личной информации компаниями и организациями, а также обеспечивать качественную защиту прав и конфиденциальности личной информации граждан. GDPR имеет глобальное влияние, так как служит моделью для законодательства о защите данных в других странах, в последние годы в мире разрабатывались аналогичные законы, защищающие информацию граждан, тем самым GDPR устанавливает в какой-то мере мировой стандарт.
Свод правил GDPR характеризуется наличием требований: обработка данных должна быть законной, справедливой и прозрачной для субъектов и с их непосредственного согласия; данные собираются только для определенных законом целей; данные должны обрабатываться таким образом, чтобы обеспечить их безопасность, включая защиту от несанкционированной или незаконной обработки; согласие на обработку данных ребенка должно получаться с разрешения законных представителей; контролирующие лица и операторы персональных данных, которые находятся за пределами ЕС, обязаны назначать на территории Европейского Союза лицо, ответственное за защиту данных; передача данных в другие страны должна быть одобрена Европейской комиссией. А в случае возникновении нарушения, связанного с ПД, по правилам GDPR компании имеют обязательство по уведомлению о таких случаях в регулирующие органы Европейского Союза в срок 72 часов после обнаружения.
Кроме того, в GDPR также указывается right to data portability (право на переносимость данных). Суть права такова, что по требованию субъекта ПД компания, к которой обращается субъект обязана передать электронную копию персональных данных другой компании.
Что касается штрафов за несоблюдение правил, установленных General Data Protection Regulation, то GDPR предусматривает размер штрафов до 20 000 000 евро или до 4 % от мирового годового оборота за предыдущий финансовый год, в зависимости от вида и тяжести нарушения [3]. Так один из самых высоких штрафов, наложенных за нарушение GDPR по состоянию на январь 2024 года наложен на компанию Meta Platforms (признана в России экстремистской организацией и запрещена) с сумой равной 1,2 миллиарда евро за передачу персональных данных в США без соблюдений правил ЕС.
В регулировании ПД азиатскими странами стоит обратить внимание на опыт Китая. В КНР действует закон о защите персональных данных под названием Personal Information Protection Law of the People's Republic of China, сокращенно «PIPL [4]. Подобно европейскому, китайский закон имеет экстерриториальный характер и распространяется на территорию вне Китая, что также оказывает влияние на компании, осуществляющие обработку ПД граждан КНР за пределами страны. Аналогично российскому закону, Китай устанавливает еще и правило об обеспечении хранения персональных данных на территории Китая, в случае если обрабатывается большой объем персональных данных либо оператор является владельцем критически важной информационной инфраструктуры.
В законе PIPL в отличии от российского и европейского аналога термин «персональные данные» заменен термином «личная информация». В Китайской Народной Республике личная информация — это любой вид информации, записанной в электронном или ином виде, относящейся к определенному физическому лицу.
В положениях PIPL иное обозначение «конфиденциальной информации», в ст.28 раздела II используется термин SPI (sensitive personal information), которая определяется как информация в случае утечки которой или ее незаконного использования может легко причинить вред достоинству физического лица, серьёзный ущерб личной или имущественной безопасности, включая информацию о биометрических характеристиках, религиозных убеждениях, специальном статусе, медицинской информации. здоровье, финансовые счета, отслеживание индивидуального местоположения и т. д. Таким образом ст.28 PIPL дает более широкое определение, не ограниченное конкретным списком, чем положения ст.9 GDPR, в котором описываются конкретные ПДн, к обработке которых применяются более высокие стандарты.
В PIPL вся личная информация несовершеннолетнего в возрасте до 14 лет определяется как SPI (конфиденциальная). Если лица, занимающиеся обработкой личной информации, обрабатывают личную информацию несовершеннолетних в возрасте до 14 лет, они должны получить согласие родителя или другого опекуна несовершеннолетнего (ст. 31 PIPL). Также накладывается обязанность на оператора, который должен разработать специальные правила обращения с персональной информацией несовершеннолетних.
За нарушения законодательства в области персональных данных в Китае может грозить штраф в размере до 50 млн. юаней (около 6 335 350 евро) или до 5 % их годового дохода. Законом также не исключается и мера по приостановке соответствующей предпринимательской деятельности или аннулированием лицензии на ведение бизнеса в Китае. Тем самым предполагается больший риск для бизнеса, чем у других представленных в статье стран.
Также законом PIPL установлена мера индивидуальной ответственности должностных лиц, ответственные за нарушения, могут быть оштрафованы на сумму от 10 000 юаней до 1 млн. юаней (от 125 000 рублей до 12 500 000 рублей) или выдан запрет на занимание определенной должности по защите личной информации (ст. 66 PIPL). Более того статья 67 PIPL предусматривает, что информацию о нарушении вносят в социальный рейтинг человека, нарушившего закон и предают гласности.
Рассматривая Федеральный Закона № 152-ФЗ и GDPR можно обратить внимание на то, что российский закон определяет понятие «Персональные данные» как любую информацию, относящуюся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Также и в GDРR приводится сходное определение персональных данных, как любой информации, относящейся к субъекту данных, то есть идентифицированному или поддающемуся идентификации физическому лицу; поддающееся идентификации физическое лицо — это лицо, которое можно прямо или косвенно идентифицировать, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор, либо на один или несколько факторов, специфичных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица. Таким образом, само определение ПД в GDPR более развернуто указывает информацию, относящуюся к персональным данным.
Обращаясь к размерам штрафов за нарушения в области защиты ПД в России хотелось бы обратить внимание на их несоразмерность масштабу содеянного, что в свою очередь не может быть действенной мерой пресечения правонарушений, особенно для крупных компаний с многомиллиардными оборотами. Однако законодатели РФ начинают перенимать опыт и в повышении штрафов, так в декабре 2023 года в Государственную Думу внесен законопроект, который предусматривает увеличение штрафов и появление зависимости размера штрафа от годового оборота компании, также вводится уголовная ответственность для тех, кто незаконно собирает, хранит, использует и (или) передает компьютерную информацию с персональными данными. Размер штрафа будет варьироваться в зависимости от тяжести деяния от 3 до 15 млн рублей. За повтор нарушений вводятся оборотные штрафы до 3 % выручки за предшествующий год. Ожидается, что такие меры поспособствуют увеличению уровня ответственности компаний в отношении случаев утечек данных и стимулируют их вложения в область информационной безопасности.
Депутатом Государственной Думы РФ Александром Евсеевичем Хинштейном было высказано мнение о том, что операторы персональных данных в большинстве своем не в состоянии качественно защищать такие данные. В связи с чем прорабатывается вопрос о вводе в законодательство категории «спецоператоры обработки персональных данных», предполагается, что такому спецоператору будут передаваться ПД на хранение и данный спецоператор квалифицирован и в состоянии их защитить [6]. Такое решение вполне может стать хорошим инструментом для организации ведения безопасного бизнеса любого формата, однако, главное, чтоб квалификация и надежность нового субъекта ПД была действительно соответствующей, но в ту же очередь и встает вопрос несения юридической ответственности.
Государства обязаны гарантировать и обеспечивать гражданам защиту их данных от несанкционированного использования. Многие страны обновляют свое законодательство, разрабатывают и тестируют новые методы защиты персональных данных, чтобы предотвратить несанкционированный доступ к личной информации своих граждан. Международное взаимодействие способствует созданию унифицированных норм и стандартов, гарантирующих единый подход к защите персональных данных в международной среде. Так, страны могут узнавать о передовых практиках, технологиях и методах, применяемых в других странах, и использовать эту информацию для улучшения своего законодательства. Что тоже может способствовать повышению эффективности защиты персональных данных. Страны, которые активно сотрудничают в сфере защиты ПД, демонстрируют свою готовность соблюдать стандарты и защищать права граждан, что способствует укреплению международной репутации и доверия со стороны других стран и иностранных компаний. В целом, сотрудничество между странами в области персональных данных способствует улучшению защиты данных, повышению прозрачности и доверия, обеспечению согласованного подхода и эффективной борьбе с киберугрозами.
Перенимая опыт зарубежных коллег, хотелось бы обратить внимание законодателей РФ на уже ранее указанное действующее европейское право граждан на переносимость данных, по которому предоставляется копия персональных данных субъекта ПД другой компании по требованию самого субъекта. Целью права является обеспечение гражданам большей свободы и контроля над своими данными. Это право может облегчить субъектам переход из одних сервисов в другие, а также поможет сэкономить время, к примеру, у субъекта есть личный аккаунт в одной социальной сети, почте или сервисе, и он может воспользоваться правом на перенос данных, чтобы перенести свои контакты, фотографии, информацию профиля в другую социальную сеть без необходимости повторного ввода, также не будет необходимости прибегать к настройке контактов, рекламе или переноса архивов электронной почты в другой сервис. Что при правильной разработке механизма могло бы обеспечить защиту от передачи данных сайтам-клонам, которые полностью копируют информацию и оформление официальных сайтов, хотя таковыми не являются. Для обычного пользовательского глаза различия часто не видимы, люди могут регистрироваться и оставлять свои личные данные мошенникам на сайтах-клонах, которые могут использовать полученную информацию для мошенничества, что можно было бы избежать при официальной и безопасной передаче данных между организациями. С точки зрения ведения бизнеса вероятно это поможет облегчить нахождение и привлечение новых пользователей в свои сервисы. Таким образом, переносимость данных обеспечит право на свободный выбор поставщиков услуг без особых хлопот, и что самое важное обеспечит безопасность перехода на новый сервис.
Дискуссии об эволюции законодательства о ПД в целом проходят в русле реализации интересов российского государства и отечественного бизнеса, но никак не в русле реализации интересов граждан. В этой связи защита ПД в нашей стране требует глубокого доктринального и законодательного переосмысления. Следовательно, на дальнейшее развитие правового регулирования защиты ПД должны влиять два фактора. Первый из них — это приоритетность обеспечения защиты российским государством основных прав человека, в частности, права на неприкосновенность частной жизни. Вторым фактором выступает выбор конкретных методов и юридического инструментария в правовой регламентации оборота ПД в качестве ответа на бурное развитие современных информационных технологий и оказываемое ими влияние на общественные отношения.
Однако, независимо от географии конкретной страны, эффективная защита данных зависит не только от законов, но и от того, насколько строго их соблюдают организации и какие меры безопасности они предпринимают, а также от того, как внимательно и осторожно граждане той или иной страны относится к своим персональным данным. Важно, чтобы граждане осознавали значение своих персональных данных и принимали превентивные меры для их защиты. Только работая над данной проблемой сообща можно выйти на новый уровень коллективной защиты персональных данных, обеспечив надежность и безопасность нашего цифрового пространства.
Литература:
- Most significant cases of data breach worldwide as of August 2023. — Текст: электронный // Statista Inc.: [сайт]. — URL: https://www.statista.com/statistics/290525/cyber-crime-biggest-online-data-breaches-worldwide (дата обращения: 23.05.2024).
- Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных» (с изм. и доп., вступ. в силу с 08.05.2023). — Текст: электронный // Интернет-портал Справочно-правовой системы «Консультант»: [сайт]. — URL: https://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 24.05.2024).
- General Data Protection Regulation. — Текст: электронный // GDPR: [сайт]. — URL: https://gdpr.algolia.com/gdpr-article-83 (дата обращения: 29.05.2024).
- Translation: Personal Information Protection Law of the People’s Republic of China. — Текст: электронный // Digichina.stanford.edu: [сайт]. — URL: https://digichina.stanford.edu/work/translation-personal-information-protection-law-of-the-peoples-republic-of-china-effective-nov-1–2021/ (дата обращения: 29.05.2024).
- В ГД сообщили о проработке введения категории «спецоператор обработки персданных». — Текст: электронный // ИТАР-ТАСС: [сайт]. — URL: https://tass.ru/obschestvo/21047343 (дата обращения: 10.06.2024).
- Most common consequences of sensitive information loss incidents in worldwide organizations in 2023. — Текст: электронный // Statista Inc.: [сайт]. — URL: https://www.statista.com/statistics/1387438/loss-sensitive-information-organizations-result-worldwide/ (дата обращения: 10.06.2024).
