Rabitə və İnformasiya Texnologiyaları Nazirliyinin elektron xəbər xidməti
Защита данных и конфиденциальность в облаке Облако — чье же оно?
Физическое лицо может принять решение о передаче или продаже персональных данных в облаке, однако ему следует принимать это решение осознанно.
Одной из задач эффективного регуляторного органа (который может отвечать за сферу информационно-коммуникационных технологий (ИКТ) либо за сферу защиты данных) является содействие разъяснению потребителям сущности риска для конфиденциальности и персональных данных, возникающего при пользовании облачными услугами.
Могут ли директивные органы, регуляторные органы и бизнес сообща способствовать распространению облачной грамотности?
Но что делать в том случае, если физическое лицо сознательно предоставляет свои персональные данные и не рассчитывает более на то, что эта информация останется конфиденциальной? Следует ли директивным органам вмешаться, чтобы защитить такие персональные данные?
Эти вопросы рассматриваются в только что вышедшем в свет отчете МСЭ "Тенденции в реформировании электросвязи, 2013 год" в главе "Облако: защита данных и конфиден-циальность — облако — чье же оно?", написанной Стефани Листон, старшим юридическим советником юридической фирмы Charles Russell LLP. В этой главе рассматриваются облачные услуги и их экономические и социальные выгоды, современное регулирование в области конфиденциальности и защиты данных применительно к облачным услугам, а также эффективность современного регулирования и обеспечение сохранения конфиденциальности. Кроме того, автор рекомендует разработать надлежащую модель регулирования, которая бы эффективно уравновешивала коммерческие потребности и возможности, технологическую реальность и разумную надежду граждан на конфиденциальность в международной цифровой экосистеме. Настоящая статья подготовлена на основе этой главы.
Как найти решение, приемлемое для всех? Финансовые выгоды, которые облачные услуги могут принести правительствам, бизнесу, гражданам и потребителям, надлежит уравновесить с риском, который эти услуги могут создать для неприкосновенности частной жизни физического лица или его персональных данных.
При этом все более запутанным становится вопрос о том, кто обязан осуществлять защиту персональных данных. Свободное размещение личной информации в облаке, возможно, привело к тому, что граждан перестал волновать вопрос конфиденциальности частной информации. Знают ли потребители о том, каким образом эти данные могут быть использованы, осознают ли они возможную угрозу безопасности данных? Какова действительная ценность персональных данных, которые с коммерческой точки зрения воспринимаются как "новая нефть"? И следует ли признать за потребителями имущественное право на доход от торговли этими данными?
Чтобы ответить на возникающие вопросы о конфиденциальности и защите данных в облаке, необходимо изучить и принять во внимание точки зрения отдельных лиц. В конце концов, чьи персональные данные мы стараемся защитить? Согласно специальному обследованию отношения граждан к конфиденциальности, проведенному "Евробарометром" в 2011 году, 74% опрошенных считают, что раскрытие информации в онлайновом режиме играет все бóльшую роль в повседневной жизни. Большинство опрошенных выразили беспокойство в связи с отслеживанием их поведения при помощи мобильных телефонов, платежных карт и мобильного интернета, однако 58% не видят альтернативы раскрытию личной информации в том случае, если они желают приобрести товары или услуги.
Объединения потребителей обычно стремятся играть более активную роль в попытках защиты личной информации, нежели отдельные потребители. Чтобы обеспечить понимание потребителями реальной ценности личной информации, очень важно способствовать повышению облачной грамотности.
В отчете "Тенденции в реформировании электросвязи, 2013 год" представлен обзор нормативно-правовой базы в области конфиденциальности и защиты данных, существующей в Европейском союзе (ЕС) и в ряде различных развитых и развивающихся стран. Многие страны, принявшие нормативные акты в области защиты данных или рассматривающие возможность их принятия, ориентируются на европейскую модель, поэтому положение в Европе рассмотрено в обзоре наиболее детально.
Европейская модель также прекрасно иллюстрирует проблемы, с которыми сталкиваются бизнес и экономика в связи с отсутствием ясных и последовательных законов, слаженно претворяемых в жизнь невзирая на государственные границы.
На региональном уровне в 1995 году была принята Директива Европейского союза о защите данных (для простоты именуемая Европейской директивой). Согласно Европейской директиве обязанности по защите данных обычно возлагаются на контролеров данных, в то время как к обработчикам данных предъявляются лишь конкретные требования в области безопасности. Но вследствие различий в определениях, используемых в разных европейских странах, а также неясности с отнесением поставщиков облачных услуг к контролерам либо обработчикам данных возникает неопределенность.
Клиент часто в полной мере несет ответственность за соблюдение обязательств по защите данных и соответствующих норм законодательства, несмотря на то что он едва ли может контролировать действия поставщика услуг или перемещение данных. Клиенты облачных услуг обязаны проявлять должную осмотрительность в отношении выбора поставщика, который предоставлял бы гарантии надежности, компетентности и безопасности, достаточные для соблюдения соответствующих законов.
Как обстоят дела с трансграничным потоком данных?
Согласно Европейской директиве персональные данные не должны передаваться в невходящие в Европейскую экономическую зону страны, которые признаны не принимающими достаточных мер по защите данных. Например, компания Amazon создала "Европейское облако", чтобы гарантировать клиентам, что данные не будут передаваться за рубеж в нарушение Европейской директивы. Применяемая Соединенными Штатами концепция "безопасной гавани" также признается достаточной для передачи определенных персональных данных с учетом некоторых существенных исключений и при условии проведения в определенных случаях процедур надлежащей осмотрительности.
Тем не менее, облачные вычисления обычно не привязаны к какому-либо постоянному местоположению, и маловероятно, что поставщики услуг будут находиться лишь в определенных странах. Клиент может оказаться не в состоянии установить местоположение обрабатываемых или хранимых данных в режиме реального времени. Регуляторные органы сталкиваются с той же проблемой, что затрудняет реализацию ограничений на трансграничную передачу данных.
Если нужно передать данные в страны, не относящиеся к обеспечивающим "достаточный" уровень защиты, то для этого могут потребоваться типовые статьи договоров. Такие статьи содержат не подлежащие обсуждению положения о мерах по передаче данных и безопасности, признанные достаточными в соответствии с Европейской директивой.
Международные компании могут вводить обязательные корпоративные правила, регламентирующие регулярную передачу данных по их корпоративным сетям. Ключевую роль в обеспечении соблюдения законодательства играет подотчетность, поэтому все большее значение для клиентов приобретают права на проведение проверок. Тем не менее, с практической точки зрения предоставление такого права создает проблемы для поставщиков, обслуживающих своих клиентов с помощью совместно используемой инфраструктуры. Предоставление доступа может поставить под угрозу конфиденциальность и безопасность данных, принадлежащих другим клиентам.
Какие законы действуют в облаке?
В настоящее время не существует законодательства в области конфиденциальности, одинаково обязательного к исполнению во всех странах мира. Законы о конфиденциальности и защите данных приняли 89 стран, при этом многие из них рассматривают регулирование международных потоков данных как механизм защиты неприкосновенности частной жизни физических лиц и обеспечения выполнения национальной политики.
Директива Европейского союза о конфиденциальности и электронных средствах связи адресована поставщикам сетей связи общего доступа. В ней подчеркивается, что доступ к персональным данным следует предоставлять лишь уполномоченному персоналу в разрешенных законом целях; также следует защищать сохраненные или переданные персональные данные от случайного или незаконного уничтожения, случайной потери или изменения, несанкционированного или незаконного хранения, обработки, доступа или раскрытия.
Под персональными данными в широком смысле понимается "любая информация, относящаяся к определенному или определяемому физическому лицу".
Европейская комиссия 25 января 2012 года опубликовала предложения по внесению изменений в Директиву ЕС о защите данных, для того чтобы унифицировать нынешнюю "раздробленную и устаревшую" законодательную базу в области защиты данных. Предлагаются, в частности, следующие изменения:
• Национальные регуляторные органы получат право при определенных обстоятельствах возбуждать судебные дела против организаций в других Государствах-Членах и смогут в некоторых случаях взыскивать штрафы в размере до 1 млн. евро или 2% годового оборота компании.
• Определение персональных данных будет расширено и охватит любую информацию, связанную с субъектом данных; правилами будет предусмотрено получение прямо выраженного согласия физического лица на сбор данных.
• Действие правил распространится за пределы ЕС — на находящиеся за пределами ЕС структуры, которые занимаются обработкой персональных данных, относящихся к гражданам ЕС.
• Организации будут обязаны сообщать об утечке данных без необоснованного промедления и, если это возможно, в течение 24 часов после утечки.
• Контролеры данных будут обязаны проводить оценки последствий защиты данных, назначать сотрудников по защите данных и сообщать третьим лицам о любых нарушениях.
• Физические лица получат новое "право быть забытыми" при определенных обстоятельствах и больше не будут обязаны платить за доступ к своим данным.
• Международная передача данных будет регламентироваться более подробной нормативной базой, которая предпишет принимать меры предосторожности, обяжет власти проводить предварительные проверки и ограничит возможности контролеров данных отступать от этих требований. Однако вследствие противоречивого характера предложенных реформ активизировались дискуссии и действия лоббистов, что может надолго задержать осуществление реформ.
Между тем в Соединенном Королевстве, например, суды сузили понятие персональных данных, подчеркнув, что такие данные должны быть в значительной мере биографическими и относиться к конкретному физическому лицу, а не к любому другому человеку, сделке или мероприятию.
Во Франции Национальная комиссия по вопросам обработки данных и свобод принимает упреждающие меры по обеспечению исполнения Закона об обработке данных, файлах данных и индивидуальных свободах (с поправками).
Комиссия опубликовала руководство по законной обработке персональных данных, обязывающее контролеров данных выполнять требования по предоставлению уведомлений и сотрудничеству, а также по обеспечению безопасности персональных данных и, кроме того, получать в некоторых случаях предварительную санкцию Комиссии на обработку данных.
В Германии персональные данные полагается получать непосредственно от субъекта данных, кроме тех случаев, когда данные требуются по закону в действительных коммерческих целях либо когда для получения данных непосредственно от субъекта требуются неоправданно большие усилия и нет указаний на то, что интересы субъекта данных будут этим затронуты. Кроме того, в Федеральном законе о защите данных уделяется особое внимание разработке систем защиты данных, направленных на минимизацию объемов обрабатываемых персональных данных, например путем предоставления субъекту данных анонимного статуса или использования псевдонимов.
В Соединенных Штатах Америки -законодательство претерпело существенные изменения после принятия "Патриотического акта США" вследствие террористических атак 11 сентября 2001 года. "Патриотический акт" разрешает совместное использование персональных данных любого подозреваемого в причастности к терроризму или отмыванию денег. Это привело к появлению возможности получения широкого доступа к личной информации и обмена ею.
Верховный суд США признал право на конфиденциальность, опираясь на Конституцию США, несмотря на то что подобного четко выраженного конституционного права не существует. Положения о защите конфиденциальности содержатся в конституциях многих штатов США. Лишь Калифорния расширила сферу защиты данных и наряду с государственным вмешательством сделала ее обязанностью частного сектора.
В Канаде Хартия прав и свобод содержит право "на защиту от необоснованных обысков и наложения ареста на имущество", расширенное судами до права на защиту "разумной надежды физического лица на неприкосновенность частной жизни". Благодаря недавнему прецедентному решению Апелляционного суда в Онтарио в общее право был введен деликт вторжения в частную жизнь ("нарушение уединения"). Канадские законы не ограничивают международную передачу персональных данных, но ответственность за любую передачу несет сторона, раскрывающая данные.
В Бразилии специальные законы о защите данных еще не приняты, хотя в ее Конституции закреплены основные права на конфиденциальность и тайну переписки. В Гражданском кодексе предусмотрено также, что физическое лицо может просить помощи в связи с любой угрозой его личным правам и что частная жизнь физического лица является неприкосновенной. Широкую защиту предоставляет также Кодекс защиты прав потребителей. Он, в частности, предусматривает права потребителей на доступ к любым зарегистрированным персональным данным и на внесение в них исправлений.
В настоящее время в Южной Африке нет специальных законов о защите данных, однако в ее Конституции закреплено право на конфиденциальность. Положения, касающиеся личной информации, содержатся также в Законе о защите прав потребителей 2008 года и в Законе об электронных коммуникациях и сделках 2002 года. Соблюдение норм последнего закона носит добровольный характер и должно быть отражено в соглашении с субъектом данных. На рассмотрение парламента Южной Африки внесен новый законопроект о защите личной информации.
В Саудовской Аравии нет специальных законов о защите данных, хотя право на конфиденциальность закреплено в ряде ее законов. В частности, в Основном низаме правления Саудовской Аравии закреплен основной принцип, согласно которому вся переписка и все виды связи между сторонами строго конфиденциальны и раскрывать их не следует.
В отсутствие применимого законодательства суды руководствуются нормами шариата (исламского права). На основании норм шариата может быть предъявлен деликтный иск за ущерб, причиненный в связи с незаконным раскрытием личной информации физического лица, если раскрытие информации принесло убытки физическому лицу или нанесло ему вред.
В Объединенных Арабских Эмиратах нет специальных законов о защите данных, однако право на конфиденциальность закреплено в Конституции и в различных законах. В Конституции ОАЭ указано, что физическому лицу "гарантируется свобода и конфиденциальность переписки, передачи телеграфных сообщений и других средств связи в соответствии с законом". Кроме того, в Уголовном кодексе закреплены некоторые права на конфиденциальность и на защиту персональных данных.
В Индии отсутствует конституционное право на конфиденциальность, хотя Верховный суд постановил, что принцип конфиденциальности следует считать составляющей права на жизнь и личную свободу. Сбор и обработка персональных данных регламентируются Законом об информационных технологиях 2000 года, в котором указано, что компании должны принимать адекватные меры безопасности при обработке персональных данных и что при получении таких данных в соответствии с договором их нельзя раскрывать без согласия субъекта данных в нарушение договора.
Япония является членом Азиатско-Тихоокеанского экономического сотрудничества (АТЭС) и поддерживает его политику конфиденциальности. Сбор и использование персональных данных в Японии регламентируются Законом о защите личной информации. Он касается всех видов обработки данных, однако применяется лишь тогда, когда речь идет об информации, принадлежащей 5000 и более физических лиц. Этот закон устанавливает общие требования к разрешениям, безопасности и предоставлению информации, а также дополнительные требования по контролю за работниками и третьими лицами, занимающимися обработкой персональных данных.
Рекомендации по использованию передового опыта Подходит ли нынешнее "лоскутное одеяло" нормативно-правовых актов для облака? Краткий ответ — нет. Национальный правовой режим в сфере конфиденциальности и защиты данных формировался 20–30 лет назад и не предполагал появления глобальной цифровой экосистемы. Существующие нормативно-правовые акты уже устарели.
Для решения проблем, возникающих в связи с развитием облачной экосистемы, авторы отчета "Тенденции в реформировании электросвязи, 2013 год" рекомендуют ряд мер, которые могут принять директивные и регуляторные органы. Некоторые из этих рекомендаций приводятся ниже.
Содействие распространению облачной грамотности: Регуляторным органам следует помогать потребителям осознанно выбирать личную информацию для помещения в облако, расширяя их знания о коммерческой ценности данных и способах их возможного использования. Гражданам нужно знать, к кому обращаться с жалобами в случаях злоупотребления их информацией. Накопление опыта: Директивным и регуляторным органам следует постоянно быть в курсе технических и социальных достижений в облаке, а также мнений всех заинтересованных сторон, чтобы иметь возможность разрабатывать и применять соответствующие законы.
Принятие оптимальных законов: Директивным органам международного и национального уровней следует сотрудничать в целях разработки действенных, эффективных, соразмерных и готовых к применению законов для защиты разумных ожиданий физических лиц в отношении конфиденциальности. Следует также делегировать ответственность заинтересованным сторонам в целях развития саморегулирования.
Пересмотр существующих законов: Директивным органам на международном уровне следует пересматривать существующие законы в целях упрощения использования облачных услуг на национальном и международном уровнях. Разработка общих стандартов и условий функциональной совместимости будет содействовать трансграничной передаче потока данных, обеспечивая при этом надлежащую безопасность и защиту конфиденциальности данных.
Эти рекомендации были приняты на Глобальном симпозиуме для регуляторных органов 2012 года (ГСР-12) в рамках Руководящих указаний ГСР-12 на основе примеров передового опыта по регуляторным подходам, направленным на содействие доступу к цифровым возможностям с помощью облачных услуг .
29/03/13 Çap et