Что представляют собой отдельные законы об интернете и безопасности данных?

Что такое закон об интернете?

Закон об интернете, или киберзакон, – это набор правовых принципов и нормативов, регулирующих использование интернета. Законы об интернете не всегда ясны и понятны по следующим причинам:

• Интернет является относительно новой областью и продолжает развиваться, поэтому правовая база не всегда успевает за его изменениями.
• Законы об интернете часто используют принципы из различных областей права, например, законы о конфиденциальности и договорное право, разработанные еще до появления интернета, которые могут быть интерпретированы по-разному.
• Нет единого закона, регулирующего конфиденциальность в интернете. Вместо этого применяется комбинация федеральных и государственных законов. Кроме того, в разных юрисдикциях применение законов о конфиденциальности в интернете может иметь разные интерпретации.

В Европейском союзе действует единый закон о конфиденциальности данных, известный как GDPR – Общий регламент по защите данных. В США, напротив, нет единого федерального закона о конфиденциальности в интернете, а существует набор вертикально ориентированных федеральных законов о конфиденциальности и несколько законов о защите конфиденциальности потребителей в разных штатах. В этом обзоре рассматриваются важные законы о безопасности в интернете, о которых следует знать.

Закон США о конфиденциальности 1974 г.

Несмотря на то, что Закон о конфиденциальности 1974 года был принят еще до появления интернета, его можно считать основой большинства законов, регулирующих конфиденциальность данных и интернета в США. Закон был принят в связи с ростом количества личных данных, хранящихся в компьютерных базах данных правительственных агентств США. Закон включал следующие права и ограничения:

• Право граждан США на доступ к данным, хранящимся в государственных учреждениях, и право на копию этих данных.
• Право граждан на исправление любых информационных ошибок.
• Право агентств собирать только необходимый минимум относящейся к делу информации, необходимой для достижения их целей.
• Ограничение доступа к данным по принципу служебной необходимости.
• Ограничение на обмен информацией между федеральными и нефедеральными агентствами: обмен разрешен только при определенных условиях.

Однако с появлением интернета изменилось определение конфиденциальности и потребовалось принятие новых законов о безопасности данных, касающихся электронных коммуникаций.

Закон о Федеральной торговой комиссии

Законом о Федеральной торговой комиссии 1914 года была учреждена Федеральная торговая комиссия США. Целью его разработки также было объявить вне закона недобросовестные методы конкуренции и недобросовестные действия и методы, влияющие на торговлю.

В настоящее время Федеральная торговая комиссия напрямую не определяет, какая информация должна входить в политику конфиденциальности веб-сайтов, однако использует свои полномочия для принятия нормативных актов, обеспечения соблюдения законов о конфиденциальности и защиты потребителей. Например, Федеральная торговая комиссия может предпринять действия против организаций, которые:

• Не соблюдают опубликованную политику конфиденциальности.
• Передают личную информацию способом, не описанным в политике конфиденциальности.
• Используют неоднозначные с точки зрения потребителей формулировки о конфиденциальности и безопасности в политиках конфиденциальности. 
• Не реализуют и не поддерживают необходимые меры по обеспечению безопасности данных.
• Не соблюдают принципы саморегулирования, применяемые в отрасли организации.

Федеральная торговая комиссия играет важную роль в регулировании интернета, не в последнюю очередь потому, что проверяет вводящие в заблуждение заявления ведущих технологических компаний и компаний-разработчиков социальных сетей о конфиденциальности собираемых ими пользовательских данных. Например, Федеральная торговая комиссия рассматривала жалобы на Facebook за использование пользовательских данных.

Закон о защите конфиденциальности детей в интернете

Закон 1998 года о защите конфиденциальности детей в интернете (COPPA) является федеральным законом США. Его цель – дать родителям возможность контролировать информацию, собираемую о детях в интернете. Этот закон распространяется на операторов коммерческих веб-сайтов и онлайн-сервисов (включая мобильные приложения и устройства интернета вещей), предназначенных для детей младше 13 лет и получающих от детей личную информацию.

Ключевые положения закона COPPA включают:

• Веб-сайты, приложения и онлайн-инструменты, предназначенные для детей младше 13 лет, перед началом сбора информации от детей должны выполнить уведомление и получить согласие от родителей.
• Они должны иметь четкую и исчерпывающую политику конфиденциальности.
• Они должны хранить полученную от детей информацию надежным и безопасным способом.

Несмотря на то, что этот закон появился на заре интернета, он стал особенно актуальным в эпоху социальных сетей и таргетированной рекламы. Ключевым вопросом закона является степень, в которой сайт ориентирован на детей младше 13 лет. Федеральная торговая комиссия США оценивает сайты на основе различных критериев, в том числе:

• Тема
• Содержание
• Использование анимированных персонажей
• Использование ориентированных на детей упражнений и мер поощрения
• Возраст моделей
• Присутствие знаменитых детей или известных лиц, которые нравятся детям
• Присутствие на сайте рекламы, ориентированной на детей

Некоторые веб-сайты и сервисы проверяют возраст пользователей, что освобождает их от обязанности соблюдать закон COPPA. Например, многие социальные сети, бизнес-модель которых основана на сборе и монетизации пользовательских данных, устанавливают минимальный допустимый возраст регистрации равным 13 лет.

Другой вопрос, затрагиваемый законом COPPA, заключается в том, что подразумевается под термином «сбор личной информации». В эту категорию попадает сбор имен, адресов и фотографий. Менее очевидными являются рекламные объявления, отображаемые на основе анализа поведения. Для их отображения отслеживается поведение пользователей на веб-сайтах и ​​в приложениях, что в соответствии с COPPA также является сбором личной информации. Даже если эти рекламные объявления показывает стороннее лицо, но на веб-сайте, ориентированном на детей, владелец сайта несет за них ответственность. Учитывая, что таргетированная реклама составляет значительную часть экосистемы интернета, это имеет серьезные последствия для веб-сайтов, предназначенных для детей.

Закон Калифорнии о защите конфиденциальности потребителей

В 2018 году был подписан закон Калифорнии о защите конфиденциальности потребителей (CCPA). Его цель заключалась в решении проблемы конфиденциальности потребителей для жителей Калифорнии путем расширения мер защиты конфиденциальности потребителей на интернет. CCPA считается наиболее полным законом США о конфиденциальности данных в интернете, не имеющим аналогов на федеральном уровне.

Как и GDPR в Европейском союзе, CCPA дает потребителям право доступа к данным, а также право удалять данные и отказываться от обработки данных в любое время. Однако GDPR, в отличие от CCPA, предоставляет потребителям право исправлять неверные личные данные. CCPA не предусматривает такой возможности. GDPR также требует явного согласия в момент предоставления личных данных, в то время как CCPA только указывает, что на веб-сайтах доступно положение о конфиденциальности, информирующее о том, что потребители имеют право отказаться от сбора определенных данных. Другие положения CCPA описывают следующие права:

• Потребители имеют право на доступ к своим данным, отправив соответствующий запрос.
• Компании не имеют права продавать личную информацию потребителей без уведомления и без предоставления им возможности отказаться.
• Потребители имеют ограниченное право на подачу иска в суд, если они стали жертвой утечки данных.
• Генеральный прокурор штата имеет более широкие полномочия предъявлять иски компаниям от имени потребителей.

В CCPA приводится широкое определение личной информации: «информация, которая идентифицирует, относится к, описывает, может быть связана, прямо или косвенно, с конкретным потребителем или домохозяйством». Это похоже на расширенное описание личных данных в GDPR.

Общий регламент по защите данных

Общий регламент по защите данных (GDPR) Европейского Союза вступил в силу в 2018 году. Это правовая база, устанавливающая правила сбора и обработки персональной информации лиц, проживающих в Европейском союзе. GDPR применяется независимо местонахождения веб-сайтов. Его должны придерживаться все сайты, привлекающие посетителей из Европы. GDPR считается одним из самых строгих законов о безопасности данных в мире.

Согласно GDPR, необходимо уведомлять пользователей веб-сайтов о данных, собираемых на сайте, и пользователи должны дать свое явное согласие на сбор этих данных. Поэтому на многих веб-сайтах отображаются всплывающие окна с просьбой дать согласие на использование файлов cookie – небольших файлов, содержащих собираемую личную информацию, такую ​​как настройки и предпочтения для этого сайта.

Основное положения GDPR:

• Потребители имеют право знать, как собираются и используются их данные.
• Потребители могут запрашивать (бесплатно), какая информация о них была собрана на веб-сайте.
• Если в данных потребителей есть ошибки, они имеют право потребовать их исправления.
• Потребители имеют право запросить удаление своих данных.
• Потребители имеют право отказаться от обработки данных, например, в маркетинговых целях.
• Сайты обязаны уведомлять пользователей о фактах компрометации или взлома данных.

На официальном сайте Европейской комиссии приведены подробные разъяснения касательно GDPR . Ряд крупных компаний был оштрафован на внушительные суммы за нарушение GDPR. Google получил штраф в размере 57 миллионов долларов за сокрытие важной информации от пользователей при настройке новых телефонов Android: пользователи не знали, с какими политиками сбора данных они соглашались. British Airways была оштрафована на 28 миллионов долларов за то, что в результате атаки было украдено 500 000 записей о бронировании.

Закон о преемственности страхования и отчетности в области здравоохранения

Закон 1996 года о преемственности страхования и отчетности в области здравоохранения (HIPAA) – это федеральный закон США, направленный на регулирование медицинского страхования, включающий разделы о конфиденциальности и защите данных. Он не позволяет поставщикам медицинских услуг, а также сотрудничающим с ними компаниям и частным лицам раскрывать информацию о здоровье потребителей без их разрешения.

При упоминании HIPAA обычно ссылаются на Правило конфиденциальности, принятое в 2003 году. Это правило, в частности, было введено из-за того что Конгресс США признал, что использование интернета повышает вероятность нарушения конфиденциальности в отношении информации о здоровье. Правило конфиденциальности HIPAA дает потребителям право контролировать раскрытие своей медицинской информации: они могут определять, на раскрытие какой информации они согласны.

Однако закон HIPAA защищает только медицинскую информацию, имеющуюся у медицинских организаций определенных типов. Например, медицинские данные вашего фитнес-трекера обычно не попадают под действие HIPAA. Генетические данные, указываемые на таких сайтах, как Ancestry.com, также не подпадают под действие этого закона. Эти данные могут попадать под защиту других законов и соглашений, например, о раскрытии конфиденциальной информации, требуемых для многих приложений.

Закон Грэмма-Лича-Блайли

Закон Грэмма-Лича-Блили (GLBA), также известный как Закон о финансовой модернизации 1999 года – это закон о банковской и финансовой деятельности, содержащий положения о конфиденциальности и защите данных. Положения о защите персональной информации в этом законе основаны на предыдущих законах о финансовых данных потребителей, таких как Закон об объективной кредитной отчетности (FCRA).

По сути, GLBA защищает непубличную личную информацию, которая определяется как «информация, собранная о физическом лице в связи с предоставлением ему финансового продукта или услуги, если эта информация не является общедоступной в иных источниках». Термин «общедоступный» относится к записям о собственности или данным об ипотеке, которые могут находиться в открытом доступе.

В рамках защитных мер, предусматриваемых GLBA, необходимо, чтобы организации, осуществляющие сбор данных, обеспечивали безопасность собранной личной информации, а также наличие систем защиты данных соответствующего размера. Другими словами, крупным национальным банкам требуются более сложные системы защиты, чем, например, кредитному кооперативу соседей.

Требуется проведение регулярной проверки защитных мер. Более того, в повседневной деятельности необходимо соблюдать такие меры безопасности, как проверка биографических данных сотрудников и разработка плана действий в случае атаки.

GLBA не допускает использование претекстинга. Претекстинг – это получение неправомерного доступа к закрытой информации. Этот термин часто ассоциируется с атаками социальной инженерии, когда злоумышленник выдает себя за менеджера банка или агента правоохранительных органов для получения информации. Еще одним примером претекстинга является фишинговое мошенничество, которое иногда включает создание поддельных веб-сайтов, обманным путем заставляющих пользователей предоставлять личную информацию. Закон GLBA требует от финансовых учреждений принятия мер по предотвращению претекстинга в рамках планов безопасности.

Законы о конфиденциальности в интернете. Заключение

В разных юрисдикциях по всему миру действуют собственные законы о конфиденциальности и защите данных в интернете. Например, в Бразилии действует Общий закон о защите данных (Lei Geral de Proteção de Dados, LGPD), а в Канаде – Закон о защите конфиденциальности потребителей (CPPA). Каждый из них, в целом, аналогичен европейскому GDPR или закону CCPA Калифорнии.

В США нет единого федерального закона, регулирующего конфиденциальность данных. Законодательное регулирование интернета – это сложный набор законов, относящихся к различным отраслям и средствам передачи информации, включающий законы и постановления, касающиеся телекоммуникаций, медицинских данных, кредитной информации, финансовых учреждений и маркетинга. 

Один из лучших способов обеспечения конфиденциальности и безопасности данных в интернете – использование комплексного антивирусного решения. Например, Kaspersky Total Security блокирует обычные и сложные угрозы: вирусы, программы-вымогатели, приложения-шпионы и хакерские атаки.

Статьи по теме:

• Что такое приватность данных? Как защититься?
• Что такое интернет-безопасность? Как защититься в интернете
• Как сохранить конфиденциальность в сети при совпадении деловых и личных целей
• Как скрыть свой IP-адрес