США хотят скопировать закон ЕС о защите персональных данных, но лишь частично

23 мая 2019, 15:40

Москва, 23 мая - "Вести.Экономика" Принятый год назад в ЕС Общий регламент защиты данных (GDPR) изменил правила игры для компаний высокотехнологического сектора. Регламент действует на территории ЕС, но главы техгигантов считают, что аналогичный GDPR закон должен быть принят и в США. Многие штаты уже разрабатывают собственные версии регламента о защите персональных данных, в то время как главы компании и политики спешат найти недостатки в существующем в Европе GDPR. «В то время, как законодатели разрабатывают новые правила конфиденциальности, я надеюсь, что они могут смогут ответить на некоторые вопросы, которые остаются открытыми для GDPR», - писал глава Facebook Марк Цукерберг в своем блоге в марте. Microsoft поддержал призывы Apple и других IT-компаний к принятию аналогичного закона в США. Microsoft уже внедрил защиты уровня GDPR для всех своих клиентов, но считает, что добровольных шагов со стороны технологических гигантов недостаточно – нужны законодательно закреплённые правила на уровне страны. GDPR содержит 99 отдельных статей, но главными из них являются четыре требования для компаний, которые хотят хранить и обрабатывать персональные данные: наличие конкретной и законной причины для обработки данных, персональные данные должны быть зашифрованы, у пользователя должна быть возможность скопировать свои данные, пользователи могут попросить удалить их данные. В своём заявлении Microsoft отметила, что многие страны уже последовали примеру EC и приняли новые законы, смоделированные на основе европейского регламента. В их числе – Бразилия, Китай, Индия, Япония, Южная Корея и Таиланд. Теперь пора ввести те же, более жёсткие, нормы в США, считает Microsoft. «Для Конгресса пришло время вдохновиться примером остального мира и принять федеральное законодательство, которое распространит те защиты, которые действуют в рамках GDPR, на граждан Соединённых Штатов», — отметили в компании. При этом, по мнению Microsoft, совместимость с GDPR является критически важным пунктом. Это позволит сократить издержки на соблюдение новых норм, поскольку компаниям не нужно будет создавать отдельные системы для разных требований в тех странах, где они ведут свой бизнес. Напомним, GDPR вступил в силу в мае прошлого года в Европейском Союзе, приведя к общему знаменателю законы о конфиденциальности пользовательских данных. Регуляторы и защитники конфиденциальности назвали законодательство победой для потребителей, которые стремятся к большему контролю над своими личными данными, особенно после нашумевшей истории с Cambridge Analytica. Закон включает в себя ключевые принципы и требует от компаний уведомлять органы власти о любых нарушениях данных в течение 72 часов. За несоблюдение принципов накладывается штраф в размере от 10 до 20 миллионов евро или от 2 до 4% от годового оборота компании. Законодатели, лоббисты и генеральные директора в США стремятся выделить лучшие части в GDPR - и отбросить то, что они считают неподходящим для практики в Штатах. В прошлом году Калифорния приняла закон о конфиденциальности данных (California Consumer Privacy Act, или CCPA), который копирует многие принципы GDPR, такие как права на доступ и удаление личных данных. Закон штата, который вступит в силу в 2020 году, налагает штрафы в размере до $7500 на крупные компании, которые не раскрывают методы сбора данных или не получают разрешения пользователей на передачу данных третьим лицам. Новый закон не так суров, как европейская директива, но всё же предполагает большие изменения в жизни бизнеса. У каждого интернет-пользователя в Калифорнии появляется право потребовать у компании информацию, которую она о нём собрала, и список третьих лиц, которым та стала известна. На основании этого же закона пользователь теперь может подать в суд на организацию, которая неправомерно воспользовалась его персональными данными или не выполнила какой-либо из его запросов в срок. Под действие ССРА попадают компании, которые обрабатывают персональные данные резидентов Калифорнии (резиденты могут находиться как на территории штата, так и за его пределами) и получают минимум $25 млн годового дохода. Но есть нюанс: если доход компании меньше, но она хранит персональные данные более 50 тысяч человек, её деятельность попадает под ССРА. Новый закон также регулирует деятельность фирм, получающих более половины прибыли (неважно, какого размера) от продажи данных. Месторасположение организации роли не играет: не важно, находится она в Калифорнии или за пределами штата. Когда речь заходит о федеральном законодательстве США о конфиденциальности, стоит обратить внимание на то, будет ли оно противоречить правилам штата Калифорния. Некоторые демократы, такие как сенатор Дайан Файнштейн, заявили, что они не поддержат федеральный законопроект, который «ослабляет» калифорнийские стандарты, в то время как технологические компании и некоторые республиканцы выступают за национальный закон, который отменяет и, возможно, ослабляет требования штата. Президент и генеральный директор BSA. Виктория Эспинель заявила, что законодательство Калифорнии является «очень важным шагом вперед», но добавила, что «федеральное законодательство о конфиденциальности выходило за пределы юрисдикции Калифорнии». По словам Эспинель, европейские чиновники прилагают все усилия, чтобы адаптировать комплексность GDPR особенно для небольших компаний. Критики закона отмечают, что GDPR ставит компании разного уровня в неравные условия - технологическим гигантам, обладающим достаточными ресурсами, легче выполнять свои обязательства и даже получать штрафы, в то время как для малого бизнеса соответствовать законодательству часто бывает крайне проблематично. Существует обеспокоенность потенциальным отрицательным влиянием GDPR и на свободу слова. Некоторые эксперты по конфиденциальности опасаются, что требования GDPR, связанные с «правом на забвение» (которые обязуют компании убирать из сети незаконные или неточные данные), могут спровоцировать непрозрачные злоупотребления со стороны компаний, которые будут пытаться их выполнить. «GDPR не обеспечивает адекватных процессуальных препятствий для злоупотребления удалением данных, – заявляла Дафни Келлер из Центра проблем интернета и общества при Стэнфордской юридической школе. – Во многих случаях он, по-видимому, сильно смещает баланс в сторону выполнения даже сомнительных требований о применении «права на забвение», вроде тех, которые Google получил от священников, пытавшихся скрыть скандалы из-за сексуального насилия, или финансистов, желавших, чтобы об их осуждении за мошенничество забыли». Несмотря на несколько лет критики в этом плане, законодатели ЕС не удовлетворили потребность в «адекватных мерах обеспечения безопасности для тех, чья свобода слова может в итоге оказаться попранной», утверждает Келлер. GDPR распространяется на любую компанию, которая имеет клиентов в Европейском Союзе, даже если ее головной офис находится за пределами этого блока. Многие крупные компании в конечном итоге говорят, что единый стандарт, будь то европейский закон или что-то еще, был бы самым простым способом гарантировать права на защиту персональных данных пользователей - но в ближайшее время разработка международного соглашения маловероятна. «Глобальный консенсус в отношении конфиденциальности, вероятно, наступит через несколько лет. Это неблизкая цель, но именно ее мы и стараемся достигнуть », - заявила Эспинель.