Новое о персональных данных в зарубежном законодательстве

Ранее мы приводили анализ российских нормативных правовых актов и их проектов, регулирующих вопросы обеспечения безопасности персональных данных.  Затем решили посмотреть шире, какие меры в отношении защиты персональных данных недавно приняты за рубежом. В данном обзоре приведены некоторые наиболее интересные инициативы иностранных государств по безопасности персональных данных и биометрии по состоянию на конец 2021 года.

КАНАДА

В Квебеке вышли изменения к Закону о защите персональных данных. Поправки, названные «Законопроектом 64» [1], приняты в целях повышения безопасности ПДн и вводят новые обязательства для организаций, их обрабатывающих.

Ранее закон не требовал от организаций формировать политику в отношении персональных данных, и компании делали это на добровольной основе.

«Законопроект 64» вносит важные поправки в Закон, связанные с управлением обработкой персональных данных. Теперь организации обязаны:

• назначить «лицо, ответственное за персональные данные» (Person in Charge of Personal Information – «PCPI»);
• разработать и опубликовать на веб-сайте политику в отношении персональных данных;
• оценить воздействие на конфиденциальность ПДн при разработке новых проектов по предоставлению электронных услуг;
• установить порядок ответа на запросы лиц, чьи персональные данные могут быть собраны.

Подход «Законопроекта 64» к требованиям политики и процедур соответствует существующим требованиям Закона о защите персональных данных и электронных документах (Personal Information Protection and Electronic Documents Act – PIPEDA) и Регламента Евросоюза о персональных данных (GDPR), а также ряду положений российских нормативных правовых актов. Однако в отличие от вышеуказанных законов, «Законопроект 64» требует более подробного описания регламентов. Например, он требует, чтобы организация предоставила полное и исчерпывающее описание «жизненного цикла» ПДн, а также регламентировала обязанности персонала в отношении ПДн. «Закон 64», в отличие от PIPEDA и GDPR, требует чаще и публично раскрывать информацию.

Например, существующий Закон о частной сфере (Private Sector Act) не содержит требований по уведомлению затронутых лиц или специальной комиссии в случае инцидента. Новый законопроект требует, чтобы организация незамедлительно уведомляла Комиссию по доступу к информации и всех лиц, чьи ПДн были затронуты инцидентом, который имеет риск большого ущерба для субъекта ПДн. Организации также должны вести реестр случаев нарушения конфиденциальности, независимо от последствий данного нарушения, а также отправлять этот реестр по запросу Комиссии.

Организации обязаны вести учет нарушений конфиденциальности и принятых мер по их исправлению, а также предоставлять информацию надзорным органам по запросу. В случае, если нарушение создает высокий риск причинения вреда субъекту данных, организация обязана сообщить об этом соответствующему надзорному органу в течение 72 часов, а затронутые субъекты персональных данных должны быть уведомлены без неоправданной задержки.

ИНДИЯ

Индийские компании с 1 января 2022 не могут больше хранить данные о платежных картах клиентов. Такие ограничения ввел Резервный банк Индии (RBI) [2]. Согласно новым правилам, хранить данные теперь будут только банки-эмитенты и платежные системы, такие как Visa и MasterCard.

Например, розничные продавцы смогут хранить в своих базах данных и серверах ограниченные данные для идентификации покупателя — последние четыре цифры карты и название банка, выпустившего карту. Все организации, которые хранили полные данные карт, должны их удалить.

В 2022 году Индия также намерена ужесточить наказания за утечки информации, а также ввести обязательное уведомление об инцидентах. Организации будут должны сообщать о нарушениях в течение 72 часов. Такой шаг приведет законодательство Индии в соответствие с международными нормами, такими как Регламент Евросоюза о персональных данных (GDPR).

Компании будут также обязаны сообщать о любых утечках данных, а также принимать все возможные меры по реагированию на инцидент.

Для тех, кто намеренно раскрыл персональные данные без согласия субъекта, предусмотрены штрафы размером до 200 000 рупий (около $2700) и тюремное заключение сроком до 3 лет.

Законопроект находится в разработке и ожидается, что будет подписан в 2022 году и полностью реализован Управлением по безопасности данных в течение двух лет.

США

В США Федеральная торговая комиссия (FTC) в декабре 2021 года ввела более жесткие правила в отношении безопасности данных клиентов финансовых учреждений [3].

Подобную поправку в политику безопасности данных (Standards for Safeguarding Customer Information («Safeguards Rule») США вводит впервые, и связана она с повышенной сложностью обеспечения информационной безопасности, а также с рядом утечек данных, которые происходили в финансовом секторе последние годы.

Что изменилось:

1. Расширен перечень организаций, которые попадают под определение «финансовых». Теперь ими являются также и торговые площадки, объединяющие множество продавцов и покупателей.
2. Компании теперь обязаны проводить тестирование на проникновение в корпоративные ИТ-сети и на уязвимости, проводить оценку рисков и официально ее фиксировать, а также обучать своих сотрудников мерам по обеспечению информационной безопасности. От тестирования на проникновение и оценки рисков освобождены организации, обрабатывающие персональные данные менее 5000 человек.

Данное Правило безопасности было изменено в соответствии Законом Грэмма-Лича-Блайли (Gramm-Leach-Bliley Act - GLBA). Закон является основной регулирования безопасности ПДн финансовых учреждений на федеральном уровне. Например, GLBA требует, чтобы подобные учреждения обязательно информировали своего клиента о практике обеспечения безопасности данных, а также о его правах на отказ от обработки ПДн.

ИТ-гигант Facebook решил отказаться от технологии распознавания лиц и объявил об удалении шаблонов лиц 1 млрд человек [4]. Такой большой шаг компания сделала ввиду еще недостаточного регулирования безопасности биометрических данных. С таким заявлением в ноябре 2021 года выступил вице-президент компании Джером Пезенти. По его словам, подобное решение станет одним из крупнейших в истории технологии распознавания лиц.

Компания тщательно взвешивала все за и против, чтобы принять такое непростое решение, ведь более трети пользователей Facebook выбрали технологию распознавания лиц, и в течение долгих лет они получали уведомления, когда кто-либо публиковал фотографию с ними.

Эта технология также использовалась в системе автоматического замещающего текста на основе искусственного интеллекта (AI) для создания описания изображений для слепых и слабовидящих людей. Система сообщала, когда человек или его друг появлялись на фотографии. После данного изменения система по-прежнему сможет определять, сколько людей на фотографии, однако не будет пытаться идентифицировать людей на них.

Facebook все еще рассматривает технологию распознавания лиц как мощный инструмент, который в будущем может помочь, например, подтвердить личность или защитить от мошенничества, но подобная технология на текущий момент несет как пользу, так и риски. Соответственно, это все еще важная тема для обсуждения с гражданским обществом и регулирующими органами.

КИТАЙ

В Китае с 1 ноября 2021 года вступил в силу Закон о персональных данных [5], в котором регламентированы основные правила сбора, обработки и хранения персональных данных. В нем также изложены требования к иностранным компаниям, работающим на территории и за пределами Китая. Теперь для того, чтобы совершить трансграничную передачу данных, компании должны будут пройти оценку и получить сертификат о соответствии правилам безопасности ПДн от государственных органов.

Закон также обязывает иностранные компании, работающие за пределами Китая, но обрабатывающие персональные данные китайских граждан (например, это относится к интернет-магазинам), открыть на территории Китая представительство или назначить своего представителя в Китае, ответственного за безопасность персональных данных, что аналогично российскому Закону «О деятельности иностранных лиц в информационно-телекоммуникационной сети «Интернет» на территории Российской Федерации» (Федеральный закон № 236-ФЗ от 01.07.2021) в части 3 статьи 5.

Источники:

1. Act respecting the protection of personal information in the private sector, CQLR c P-39.1, сентябрь 2021
2. Tokenisation – Card Transactions: Permitting Card-on-File Tokenisation (CoFT) Services, сентябрь 2021
3. Standards for Safeguarding Customer Information (the ‘Safeguards Rule’). Federal Trade Commission, декабрь 2021
4. An Update On Our Use of Face Recognition, ноябрь 2021
5. Personal Information Protection Law of the People's Republic of China