19.01.2015

Американцы унифицируют законодательство по персональным данным

Президент Обама сделал очередную попытку в части унификации законодательства по защите персональных данных, предложив Конгрессу рассмотреть законопроект  The Personal Data Notification & Protection Act. Это уже не первая попытка Обамы сделать это, но вероятнее всего сейчас она пройдет все препоны и будет принята Конгрессом, что наконец-то приведет к стандартизации в данном вопросе и повышении защищенности персональных данных американцев. По мнению экспертов это позволит стать США на один уровень с Канадой, Австралией и Европой (ближайшими партнерами), имеющих свое законодательство. Пока же Америку сравнивают с Россией (вот удивительно с нашим драконовским ФЗ-152), Индией и Бразилией. И это несмотря на сходные законы в большинстве из штатов США (такие законы есть в 47 штатах и отсутствуют в Алабаме, Нью-Мехико и Южной Дакоте).

Законопроект не очень большой - всего 13 статей на 9 страницах. Из наиболее интересных положений могу отметить следующее:

  • Определение ПДн, включающее перечисление того, что считается персональными данными. Никакой "любой информации" - все предельно ясно. Это ФИО или инициал и фамилия в комбинации с любыми двумя элементами - почтовый адрес или телефон, девичья фамилия матери, дата рождения. Также к ПДн относятся еще 5 видов данных:
    • номер социального страхования, номер водительского удостоверения, номер паспорта или номер иного документа, удостоверяющего личность
    • биометрические данные, такие как отпечатки, голос, радужка глаза или иные уникальные физиологические особенности субъекта ПДн
    • уникальный номер счета в банке, номер платежной карты
    • имя пользователя или e-mail в комбинации с паролем или секретным вопросом и ответом, которые позволяют получить доступ к учетной записи
    • комбинация следующих данных
      • имя и фамилия или инициал имени и фамилия
      • уникальный номер в банке, номер платежной карты
      • любой код безопасности, код доступа, пароль.
  • О несанкционированном доступе к ПДн должна уведомить пострадавших любая компания, которая за последние 12 месяцев обрабатывала ПДн более чем о 10000 субъектах.
  • Уведомление должно быть осуществлено без необоснованных задержек. Обоснованная задержка не должна быть более 30 дней. Можно больше, но по согласованию с регулятором (Федеральная торговая комиссия). Также можно затянуть с уведомлением в случае уголовного расследования или по требованиям национальной безопасности.
  • Можно не уведомлять, если по результатам анализа риска будет доказано, что угрозы субъекту или его ПДн нет.
  • Уведомление может быть письменным (по последнему известному адресу), по телефону или e-mail с электронной подписью.
  • Дальше идут детали уведомления (или освобождения от него) для разных категорий лиц - судьи, правоохранительные органы, силовики и т.д.
  • Несмотря на название, о защите в законопроекте ни слова.

Лично я большого смысла в этом законе не вижу при наличии уже принятых в абсолютном большинстве штатов своих собственных, местами даже более жестких законов. Единственное, что можно поставить в плюс Обаме - попытку унифицировать подходы в данном вопросы и с регионального уровня поднять его на федеральный.

ЗЫ. У нас такой законопроект тоже хотели принять - мы даже один раз рабочей группой собирались по этому вопросу. Но, к сожалению, в связи с покиданием одного из регуляторов ряда достойных людей и конфликтом между некоторыми регуляторами данная тема подвисла в воздухе. Хотя может быть это и хорошо, учитывая как наши законодатели переиначивают все хорошие начинания.

ЗЗЫ. Помимо данного законопроекта Обама планирует анонсировать и ряд других инициатив по кибербезопасности, как результат взлома Sony.

3 коммент.:

-)гоист комментирует...

"Определение ПДн, включающее перечисление того, что считается персональными данными..."
Список больше похож (а он так и называется sensitive PII) на перечисление только узкого списка чуйствительных ПДн.
152-ФЗ он же не только про них, а вообще про все ПДн.
Другое дело, что у нас вместо того, чтобы оценивать реальность ущерба от использования ПДн, номер паспорта относят к ПДн самого паспорта =), а не к идентификационной информации его владельца.

Michael комментирует...

Если быть честным, то наш закон больше о правах субъектов ПДн, чем этот законопроект.

На основании этого закона ЕС формально не должны признать США страной с адекватной защитой ПДн (то есть признать могут, но не на основании этой "поделки"). Уведомление при инцидентах - это процентов 10 от соблюдения прав субъекта.

Алексей Лукацкий комментирует...

А США в РФ НИКОГДА не признают адекватной страной