Президент Обама сделал очередную попытку в части унификации законодательства по защите персональных данных, предложив Конгрессу рассмотреть законопроект The Personal Data Notification & Protection Act. Это уже не первая попытка Обамы сделать это, но вероятнее всего сейчас она пройдет все препоны и будет принята Конгрессом, что наконец-то приведет к стандартизации в данном вопросе и повышении защищенности персональных данных американцев. По мнению экспертов это позволит стать США на один уровень с Канадой, Австралией и Европой (ближайшими партнерами), имеющих свое законодательство. Пока же Америку сравнивают с Россией (вот удивительно с нашим драконовским ФЗ-152), Индией и Бразилией. И это несмотря на сходные законы в большинстве из штатов США (такие законы есть в 47 штатах и отсутствуют в Алабаме, Нью-Мехико и Южной Дакоте).
Законопроект не очень большой - всего 13 статей на 9 страницах. Из наиболее интересных положений могу отметить следующее:
Лично я большого смысла в этом законе не вижу при наличии уже принятых в абсолютном большинстве штатов своих собственных, местами даже более жестких законов. Единственное, что можно поставить в плюс Обаме - попытку унифицировать подходы в данном вопросы и с регионального уровня поднять его на федеральный.
ЗЫ. У нас такой законопроект тоже хотели принять - мы даже один раз рабочей группой собирались по этому вопросу. Но, к сожалению, в связи с покиданием одного из регуляторов ряда достойных людей и конфликтом между некоторыми регуляторами данная тема подвисла в воздухе. Хотя может быть это и хорошо, учитывая как наши законодатели переиначивают все хорошие начинания.
ЗЗЫ. Помимо данного законопроекта Обама планирует анонсировать и ряд других инициатив по кибербезопасности, как результат взлома Sony.
Законопроект не очень большой - всего 13 статей на 9 страницах. Из наиболее интересных положений могу отметить следующее:
- Определение ПДн, включающее перечисление того, что считается персональными данными. Никакой "любой информации" - все предельно ясно. Это ФИО или инициал и фамилия в комбинации с любыми двумя элементами - почтовый адрес или телефон, девичья фамилия матери, дата рождения. Также к ПДн относятся еще 5 видов данных:
- номер социального страхования, номер водительского удостоверения, номер паспорта или номер иного документа, удостоверяющего личность
- биометрические данные, такие как отпечатки, голос, радужка глаза или иные уникальные физиологические особенности субъекта ПДн
- уникальный номер счета в банке, номер платежной карты
- имя пользователя или e-mail в комбинации с паролем или секретным вопросом и ответом, которые позволяют получить доступ к учетной записи
- комбинация следующих данных
- имя и фамилия или инициал имени и фамилия
- уникальный номер в банке, номер платежной карты
- любой код безопасности, код доступа, пароль.
- О несанкционированном доступе к ПДн должна уведомить пострадавших любая компания, которая за последние 12 месяцев обрабатывала ПДн более чем о 10000 субъектах.
- Уведомление должно быть осуществлено без необоснованных задержек. Обоснованная задержка не должна быть более 30 дней. Можно больше, но по согласованию с регулятором (Федеральная торговая комиссия). Также можно затянуть с уведомлением в случае уголовного расследования или по требованиям национальной безопасности.
- Можно не уведомлять, если по результатам анализа риска будет доказано, что угрозы субъекту или его ПДн нет.
- Уведомление может быть письменным (по последнему известному адресу), по телефону или e-mail с электронной подписью.
- Дальше идут детали уведомления (или освобождения от него) для разных категорий лиц - судьи, правоохранительные органы, силовики и т.д.
- Несмотря на название, о защите в законопроекте ни слова.
Лично я большого смысла в этом законе не вижу при наличии уже принятых в абсолютном большинстве штатов своих собственных, местами даже более жестких законов. Единственное, что можно поставить в плюс Обаме - попытку унифицировать подходы в данном вопросы и с регионального уровня поднять его на федеральный.
ЗЫ. У нас такой законопроект тоже хотели принять - мы даже один раз рабочей группой собирались по этому вопросу. Но, к сожалению, в связи с покиданием одного из регуляторов ряда достойных людей и конфликтом между некоторыми регуляторами данная тема подвисла в воздухе. Хотя может быть это и хорошо, учитывая как наши законодатели переиначивают все хорошие начинания.
ЗЗЫ. Помимо данного законопроекта Обама планирует анонсировать и ряд других инициатив по кибербезопасности, как результат взлома Sony.
"Определение ПДн, включающее перечисление того, что считается персональными данными..."
ОтветитьУдалитьСписок больше похож (а он так и называется sensitive PII) на перечисление только узкого списка чуйствительных ПДн.
152-ФЗ он же не только про них, а вообще про все ПДн.
Другое дело, что у нас вместо того, чтобы оценивать реальность ущерба от использования ПДн, номер паспорта относят к ПДн самого паспорта =), а не к идентификационной информации его владельца.
Если быть честным, то наш закон больше о правах субъектов ПДн, чем этот законопроект.
ОтветитьУдалитьНа основании этого закона ЕС формально не должны признать США страной с адекватной защитой ПДн (то есть признать могут, но не на основании этой "поделки"). Уведомление при инцидентах - это процентов 10 от соблюдения прав субъекта.
А США в РФ НИКОГДА не признают адекватной страной
ОтветитьУдалить