Журнал об IT-бизнесе, технологиях и цифровой трансформации

Дорога к GDPR: история регуляции персональных данных с 1970-х по наши дни Mail.ru Cloud Solutions
Mail.ru Cloud Solutions

Дорога к GDPR: история регуляции персональных данных с 1970-х по наши дни

Вступление в силу GDPR застало множество компаний врасплох, заставив их переосмыслить свои бизнес-процессы. Однако те меры, о которых сейчас многие говорят, появились не на пустом месте: регуляция обработки персональных данных (ПД) началась задолго до принятия этого закона. Мы решили вспомнить наиболее интересные эпизоды из истории защиты ПД: от законов из «эпохи перфокарт» до «права на забвение».


1970: Ограничение власти правительства (Германия)

История современных законов о защите персональных данных началась в 1970 году. В то время цифровая обработка данных была прерогативой государственных институтов и больших компаний. Из-за такого социального дисбаланса (граждане, по сути, никак не контролировали то, как именно используются их персональные данные) немецкая земля Гессен ввела локальный закон, регулирующий электронную обработку данных граждан государством и его подрядчиками. Закон установил правила сбора и обработки данных налогоплательщиков и пользователей муниципальных сервисов. Этот ранний законодательный акт во многом опередил свое время, однако регулировал он только деятельность госсектора и не учитывал коммерческого интереса к электронной обработке данных.


1973: Регулирование работы частных компаний (Швеция)

Первый национальный закон о персональных данных, регулировавший бизнес-сектор, появился в Швеции. К началу семидесятых в стране постепенно стали внедряться информационные технологии: как в государственных инстанциях, так и в частных компаниях. Шведское правительство понимало неизбежность стихийной централизации данных и вред, который может нанести недобросовестный подход к их обработке. Законодательный акт, получивший название Datalgen, создал бюрократические преграды для бесконтрольного сбора и обработки цифровых данных и обрисовал карательные меры, к которым может привести безответственное обращение с ними.

Закон запретил автоматическую обработку данных без лицензии, выданной специальной инспекцией по защите данных (Data Inspection Board). К каждой лицензии прилагался список условий, несоблюдение которых было наказуемо. Универсальных правил закон не предписывал — каждая заявка обрабатывалась индивидуально.

Но закон не был идеальным. Включённый в него набор мер, в частности, препятствовал выводу цифровых данных за пределы страны. Религиозные объединения, политические партии и иные организации с зарубежными связями не были довольны необходимостью получать ещё одну лицензию для того, чтобы продолжить нормально работать.

В связи с этими недочётами закон неоднократно пересматривался, но полная ревизия так и не была проведена. А в 1995 году Швеция вступила в Европейский Союз и внедрила у себя общеевропейские регуляции, окончательно упразднив Datalgen.


1974: Неприкосновенность частной жизни (США)

Американские законодатели, как и немецкие, были в первую очередь озабочены безопасностью граждан в цифровом государстве. Поэтому первый американский закон «цифрового века» дал новую трактовку фундаментального права человека на неприкосновенность частной жизни.

Принятый в 1974 году Privacy Act ужесточил требования к обработке персональных данных, предъявлявшиеся федеральным министерствам. Граждане, в свою очередь, получили право запрашивать и при необходимости корректировать связанные с ними документы в распоряжении государственных органов — от судебных бумаг до справок об образовании.


1981-1995: Информированное согласие (Совет Европы и Евросоюз)

В 1981 году Совет Европы ратифицировал «Европейскую конвенцию о защите физических лиц при автоматизированной обработке персональных данных» — первое международное соглашение, регулирующее эту сферу. Конвенция, которую, помимо стран СЕ, приняли Сенегал, Маврикий, Уругвай и Тунис, имела один важный элемент, дошедший до нас в составе GDPR. Граждане этих стран получили право знать, какая информация про них была передана третьим лицам и почему.

Эта концепция получила развитие в документах, разработанных Европейским Парламентом вскоре после образования Евросоюза. Так, закон, принятый уже в 1995 году, обязывал бизнесы обосновывать необходимость передачи персональных данных человека третьим лицам. Без информированного согласия субъекта такая передача считалась нелегальной.


1998: Легальный статус информации о детях (США)

США и по сей день не имеет единого закона, аналогичного GDPR или более ранним европейским инициативам. Обработка данных финансовыми, медицинскими и телекоммуникационными организациями регулируется различными правовыми актами. Обязанность заполнять пробелы, существующие в федеральных законах, ложится на локальных законодателей. Так как значительная часть персональных данных обрабатывается в коммерческих целях, их использование контролируется Федеральной торговой комиссией США — органом, защищающим права американских потребителей.

Учитывая особый (юридический и экономический) статус детей, в 1998 году в США приняли закон, защищающий данные о детях от неправомерного использования. Сhildren’s Online Privacy Protection Act (COPPA) запрещает корпорациям собирать данные о пользователях, не достигших возраста 13 лет, без согласия их родителя или опекуна.

Такое согласие должно подтверждаться вручную, поэтому многие социальные сети за это вовсе не берутся и «на бумаге» имеют возрастной ценз 13+. На практике дети обходят это требование, указывая более ранний год рождения, а социальные сети вынуждены выявлять и удалять подобные аккаунты.


2006: От общего к конкретному (Россия)

В 2012 году, после 18 лет переговоров, Россия вступила в ВТО. Одним из условий этого членства было применение на территории страны Конвенции Совета Европы о защите ПД. Подписав в 2001 году этот документ, Россия принялась создавать локальную законодательную базу, обеспечивающую его соблюдение. Результатом стал подписанный в 2006 году закон «О защите персональных данных».

От похожих директив закон «О персональных данных» отличает конкретика — в нём прописаны технические стандарты безопасности, которым обязаны соответствовать компании. Средства защиты баз персональных данных и обеспечения кибербезопасности в обязательном порядке сертифицируются контролирующими органами, такими как Роскомнадзор, ФСБ и ФСТЭК. Чтобы компаниям было легче совершить необходимые инфраструктурные модификации, подзаконные акты вступили в силу лишь пять лет спустя — в 2011 году.


2009-2016: Новое законодательство для цифрового общества. Право на забвение (ЕС)

На законодательство, регулирующее компьютерные технологии, во многом влияет та роль, которую эти технологии играют в обществе. Ближе к концу нулевых стало ясно, что интернет — не просто информационный ресурс, а набор инструментов, на который мы с каждым годом всё больше и больше полагаемся. Вместе с этим власти ЕС пришли к выводу, что существующая законодательная база Евросоюза не способна адекватно регулировать современные цифровые бизнесы.

В 2009 году Европейская Комиссия приняла решение пересмотреть связанное с данными законодательство и поинтересовалась у граждан, как это сделать лучше всего. На основе полученной информации был создан GDPR (Global Data Protection Regulation), подписанный в 2016 году и введённый в силу весной 2018.

Особого внимания заслуживает пункт 17 этого закона, дарующий гражданам Евросоюза «право на забвение» — право требовать удаления связанных с ними результатов поисковой выдачи без весомых причин. В европейской судебной практике это право было признано ещё до принятия GDPR, в связи с иском Марио Костеха Гонсалеса против Google.

В 1998 году дом Марио продавался на аукционе недвижимости должников, о чём написала государственная испанская газета. Серверы Google проиндексировали статью и десять лет спустя продолжали показывать её в поисковой выдаче, значительно усложнив жизнь человека. Обращение Марио в Google с просьбой удалить результат ни к чему не привело, поэтому с помощью Испанского Агентства по защите данных он довёл дело до суда и победил.

Схожие законы, позволяющие удалять персональные данные из публичного доступа, также действуют в Индии и Аргентине.


2017: Комплексное решение для национальной безопасности (Китай)

Китайский национальный закон о кибербезопасности — комплексное законодательное решение, фокусирующееся как на безопасности граждан, так и на национальной безопасности. Цифровые технологии являются важной частью китайской стратегии развития, поэтому введение такого закона было вполне ожидаемо. Он заменил десятки разрозненных директив, ранее регулировавших это поле.

Степень безопасности, которую компания, обрабатывающая данные китайских граждан, обязана гарантировать, зависит от её места в новой пятиуровневой классификации. Большие социальные сети и порталы, попадающие под третью категорию и выше, к примеру, обязаны проходить регулярные аудиты у агентств-подрядчиков и отчитываться о них перед Бюро Общественной Безопасности.

Но самой важной частью нового закона являются директивы, связанные с национальной безопасностью. Они регулируют использование VPN и вывод информации за границу. Чтобы соответствовать новым требованиям, Apple уже переводят данные китайских пользователей iCloud в дата-центры на территории страны.


2018: Совмещение международного и национального (Соединённое Королевство)

Члены Евросоюза имеют высокую степень автономии и поэтому отличаются в интерпретации и применении законов о защите персональных данных. В некоторых странах параллельно с GDPR были разработаны собственные акты, покрывающие зоны, которые не может регулировать центральный Европейский законодательный орган. Одной из таких стран является готовящаяся к выходу из Евросоюза Британия.

Для того, чтобы сделать процесс Брексита максимально легким, Британский Акт о Защите Информации почти полностью копирует GDPR, но вместе с этим регулирует сферы, находящиеся в чисто британской юрисдикции — национальную безопасность и иммиграцию.


Что нас ждёт в будущем?

К странам Европы, США, Китаю в ближайшем будущем присоединятся и другие государства — например, Бразилия. Индия и Пакистан уже приняли ряд законов о защите ПД и, вероятно, будут развивать это направление вслед за ростом IT-индустрии этих стран. Законодательные решения России и Саудовской Аравии, по мнению международной юридической компании DLA Piper, попадают в категорию «умеренных» и тоже могут со временем поменяться.

Цифровое законодательство развитых стран уже имеет богатую историю. Но столь же большой вклад в то, как мы воспринимаем интернет и цифровые сервисы, могут внести и те страны, которые пока молчали.

Популярное
Разработка
Путь к Kubernetes и его преимущества для разработки
Бизнес
Анализ больших данных в облаке: как бизнесу стать дата-ориентированным
Бизнес
Опыт Lamoda: как пережить «черную пятницу»
Ссылка скопирована!