Право человека на защиту личной жизни, ее неприкосновенности, включает и защиту права на охрану персональных данных от неправомерного использования и распространения. Регулирование этой сферы в США и в Евросоюзе, чья модель была воспринята в России, различается. Американское законодательство иногда существенно жестче, особенно это касается нормативных актов, принимаемых на уровне отдельных штатов. Стандарты, которые необходимо внедрить для защиты персональных данных, имеют больше рекомендательный характер, и их выполнение обеспечивается мерами судебного принуждения. 

Федеральное и региональное законодательство

В стране принято два уровня правового регулирования любых значимых отношений: на уровне федерации и на уровне штатов, чьи полномочия в области законотворчества по Конституции США очень широки. На общегосударственном уровне системное регулирование права на защиту персональных данных как таковое отсутствует. Приняты два нормативных акта, которые определяют обязанности государственных органов в этой сфере, не касаясь норм, регулирующих деятельность по обработке персональных данных граждан компаний-операторов. Privacy Act of 1974 и Privacy Protection Act of 198 должны применяться только федеральными органами. Поскольку они содержат технические нормы, регулирующие режим конфиденциальности данных, компании могут воспользоваться ими в качестве рекомендаций по организации своей деятельности. В случае возникновения споров, связанных с защитой персональных данных, суд, скорее, обратится не к ним, а к прецедентному праву.

Законодательство штатов США, полностью автономных в своем правовом творчестве, зачастую оказывается существенно конкретнее и жестче, чем федеральное. Один из самых ярких нормативных актов, регулирующих эту сферу и неприкосновенность частной жизни, принят в штате Калифорния. Он касается только компаний-операторов, осуществляющих сбор персональных данных пользователей сети Интернет. Теперь каждое лицо, пользующееся их услугами, имеет право знать:

• какую именно информацию о них собирают провайдеры и другие интернет-компании;
• с какой целью собираются эти сведения;
• каким образом они будут использованы.

Пользователи интернет-услуг получили право требовать уничтожения этих данных или запрещать передачу их третьим лицам в любых целях. Эта норма является в какой-то мере аналогом российской, разрешающей физическим лицам отзывать согласие на обработку персональных данных, за одним исключением. Американские субъекты данных такие согласия не предоставляли, а информация, собираемая компаниями, связана по большей мере с интернет-активностью пользователей. Такой жесткий уровень регулирования в случае массового применения закона жителями Калифорнии способен причинить серьезные убытки интернет-компаниям. Дополнительно закон Калифорнии минимизирует права операторов на сбор и передачу третьим лицам персональных данных несовершеннолетних.

Единственным моментом, который облегчает жизнь интернет-компаниям, становится то, что закон начнет действовать только в 2020 году. Этот временной разрыв даст возможность операторам подготовиться и оптимизировать бизнес-процессы. Причиной принятия закона стала информация о том, что компания, чьим бизнесом было хранение данных пользователей Интернет, Cambridge Analytica, неправомерно использовала информацию о нескольких десятках миллионов человек. Закон будет действовать в отношении всех юридических лиц, чьим местонахождением является Калифорния, а поскольку именно здесь расположена Силиконовая Долина, он окажет существенно большее влияние на развитие интернет-индустрии, чем если бы был принят в любом другом штате. 

Применяемые в США стандарты в области защиты персональных данных

Законы, действующие в Америке, не могут полностью закрыть все правовое поле, связанное с регулированием защиты персональных данных. В России действует та же модель, применение закона обеспечивается принятием множества подзаконных актов на уровне правительства и ФСТЭК. В Америке в сферу действия двух федеральных актов не попали стандарты и параметры, регулирующие требования к автоматизации систем защиты персональных данных. Поскольку это направление обеспечения безопасности информации при ее хранении и обработке требует дополнительного серьезного регулирования, аналогичного тому, которое в России осуществляют ФСБ и ФСТЭК, американским операторам предписано пользоваться рекомендациями, издаваемыми Национальным институтом стандартов и технологий (NIST – National Institute of Standards and Technology). Эта организация издает нормативно-правовую документацию, носящую характер российских ГОСТов.

В области защиты персональных прав действует руководство № SP 800-122, впервые оно было представлено американским операторам персональных данных в 2009 году. Здесь описываются все системообразующие нормы и правила, касающиеся мер следующего характера:

• организационных;
• технических;
• юридических.

Кроме того, нормативно-правовой акт поясняет, как правильно применять нормы федерального законодательства США, и приводит примеры внедрения и реализации различных мер по защите персональных данных. Рекомендации, принятые в США, имеют характер, кардинально отличающийся от действующих в России приказов ФСТЭК, которые содержат крайне жесткий перечень организационных и технических мер, базовых и компенсирующих, а также строгие требования к сертификации и аттестации как самой системы, так и применяемых программных средств, средств криптографической защиты и других необходимых аппаратных решений. Американские разработчики системы защиты персональных данных применяют другую базовую концепцию. В США упор делается на системное обучение сотрудников базовым и специальным нормам работы с конфиденциальной информацией. Это говорит о большем доверии к сотрудникам и их понимании ответственности, законопослушности, чем в России, когда единственным возможным способом защиты персональных данных становится ограничение доступа к ним. Связано это не столько с правовым нигилизмом сотрудников российской компании, сколько с их готовностью поделиться конфиденциальной информацией, в том числе и персональными данными, ценность которых они не способны понять, на основе дружеских и социальных связей.

В США сотрудник, прошедший обучение, должен знать и уметь применять на практике следующие нормы:

• как понять, что обрабатываемый массив информации содержит персональные данные;
• действующие в сфере защиты данных требования федерального законодательства и законов штатов;
• существующие ограничения на сбор, обработку, хранение и использование персональных данных различных категорий;
• уровень ответственности за неправомерное обращение с данными;
• обязанности по защите данных;
• правила безопасной для носителя обработки;
• действия, предпринимаемые в ситуации выявления нарушений, связанных с обработкой и защитой персональных данных.

Далее, если в России существует требование к разработке локальных нормативных актов оператора, часто представляющих собой набор правил и пересказ действующих в этой сфере норм – постановлений правительства и приказов ФСТЭК, в США существует необходимость создания гибкой политики управления персональными данными, подготавливаемой в соответствии с рекомендациями NIST. Эта политика должна подробно описывать принципы:

• получения права на доступ к персональным данным;
• основные требования к их хранению на серверах и в информационных базах;
• требования к реакции сотрудников оператора на инциденты информационной безопасности и нормы, регулирующие их устранение;
• ограничение на любые формы оборота персональных данных, в том числе использование и распространение.

Есть и еще одно системное различие между российской и американской моделями регулирования. В США существуют рекомендации по минимизации обрабатываемых персональных данных и их максимальному обезличиванию, что затрудняет идентификацию по ним конкретной личности и получение каких-либо иных сведений о ее жизни, имуществе, здоровье. Невозможность извлечь из общего массива данных сведения о конкретном человеке существенно затрудняет их неправомерное использование или распространение.

После того, как в политике будут описаны системообразующие моменты защиты персональных данных, а именно требования к квалификации и знаниям персонала, возникает необходимость описать действующие в конкретной компании-операторе меры по защите конфиденциальной информации. Среди применяемых мер защиты:

• проведение аудита инцидентов информационной безопасности;
• управление доступом сотрудников к массивам информации;
• способы идентификации и аутентификации сотрудников, имеющих допуск к обработке персональных данных;
• меры обращения с материальными носителями информации, их маркировка, хранение и режим перемещения в пределах помещения, занимаемого оператором, и вне его;
• защита данных при их передаче методом шифрования;
• мониторинг работоспособности информационной системы защиты персональных данных.

Существенным недостатком применяемой в США модели защиты персональных данных становится то, что в полном объеме она не может быть реализована в небольших компаниях. Они не могут позволить себе потратить серьезные деньги на обучение персонала и разработку документации, тем не менее стремятся к этому. Существуют требования, по которым эти обязанности оказываются актуальными. Практика защиты персональных данных, применяемая в США, дает больше свободы конкретному оператору в выборе средств защиты персональных данных. Но американская судебная система допускает предъявление многомиллионных исков за нарушение правил защиты данных. Такие иски удовлетворяются, и финансовые рычаги существенно больше дисциплинируют операторов и повышают меру их ответственности при защите конфиденциальной информации, чем меры административного принуждения. 

Защита персональных данных в США опирается на большую свободу оператора и большее доверие к его сотрудникам, чем работающая в России. Но далеко не всегда эта модель регулирования является оптимальной. Террористические атаки на Всемирный торговый центр привели к пересмотру действующей системы безопасности, сейчас администрацию страны больше интересует возможность получить мгновенный и беспрепятственный доступ к базам персональных данных, чем их защита. Как будет развиваться американское законодательство в условиях растущей угрозы уже кибертерроризма, покажет время.