УДК 34.05
АНАЛИЗ ЗАКОНОДАТЕЛЬСТВА РАЗНЫХ СТРАН ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
© 2023 Т. А. Гиш1, Н. В. Ржевская2, А. С. Медведева2
1 доцент кафедры информационной безопасности автоматизированных систем e-mail: [email protected]
2 студент Северо-Кавказского Федерального университета e-mail: natalia070901 @gmail.com e-mail:medvedeva anna2001 @mail.ru
Северо-Кавказский Федеральный университет
В нынешнюю цифровую эпоху персональные данные стали ценным товаром как для бизнеса, так и для правительства. Однако обработка персональных данных и их конфиденциальность также стали предметом беспокойства для отдельных лиц. Чтобы решить эти проблемы, многие страны ввели законы и правила, регулирующие сбор, использование и хранение персональных данных. В статье были составлена сравнительная характеристика законодательства об обработке персональных данных России, стран Европы и США, рассмотрены их сильные и слабые стороны.
Ключевые слова: Федеральный закон «О персональных данных», ФЗ-152, GDPR, CCPA, HIPAA, персональные данные, информационная защита, закон.
ANALYSIS OF THE LEGISLATION OF DIFFERENT COUNTRIES TO ENSURE THE PROTECTION OF PERSONAL DATA
© 2023 T. A. Gish1, N. V. Rzhevskaya2, A.S. Medvedeva2
1 Associate Professor of the Department of Information Security of Automated Systems e-mail: [email protected] 2 student of the North Caucasus Federal University e-mail: natalia070901 @gmail.com e-mail:medvedeva anna2001 @mail.ru
North Caucasus Federal University
In the current digital age, personal data has become a valuable commodity for both business and government. However, the processing of personal data has also become a matter of concern for individuals and their privacy. To solve these problems, many countries have introduced laws and regulations governing the collection, use and storage of personal data. In this article, we analyzed and compiled a comparative description of the legislation on the processing of personal data in Russia, Europe and the USA. As a result of the study, the strengths and weaknesses of each of the countries' legislation were considered.
Keywords: Federal Law "On Personal Data", FZ-152, GDPR, CCPA, HIPAA, personal data, information protection, law.
Защита персональных данных становится все более важной проблемой в наступившую цифровую эпоху. С распространением утечек данных и кибератак как частные лица, так и организации ищут способы защитить свою личную информацию. В этой статье мы сравним законодательство об обработке персональных данных в России, США и странах Европы. Наша цель - установить, законодательство какого региона обеспечивает наиболее полную и эффективную защиту персональных данных.
В настоящее время персональные данные стали товаром первой необходимости для бизнеса и государства. Поскольку обработка персональных данных, их конфиденциальность - предмет беспокойства отдельных лиц, важно понимать различия в законодательстве об обработке персональных данных в разных регионах.
В статье представлено четкое и краткое сравнение законодательства в вышеперечисленных регионах с выделением ключевых сходств и различий с точки зрения согласия, мер безопасности, хранения данных, прав отдельных лиц и сообщения об утечке данных. Информация, представленная в статье, является точной и актуальной, что делает ее ценным ресурсом для частных лиц и предприятий, работающих в этих регионах.
В России действует ряд законов, регулирующих обработку персональных данных, в том числе Федеральный закон «О персональных данных», принятый в 2006 г. Этот закон требует от компаний получения согласия от физических лиц до сбора их персональных данных. Также компании должны принимать соответствующие меры безопасности для защиты данных. Кроме того, закон требует, чтобы персональные данные хранились на территории России, а любая передача данных в другие страны должна быть одобрена российскими властями [1]. Закон требует, чтобы персональные данные обрабатывались законно и справедливо с согласия лица, чьи данные обрабатываются [5]. Следует отметить, что, согласно Федеральному закону, категория персональных данных в качестве конфиденциальной информации не имеет четко установленных пределов [11].
Однако в российском законодательстве о защите персональных данных есть ограничения [4]. Критики утверждают, что в законе отсутствуют четкие определения и процедуры, а органы, ответственные за соблюдение закона, практически не контролируются. Кроме того, закон подвергся критике за требование о том, что персональные данные должны храниться в России, что, по мнению некоторых, создает ненужные барьеры для международной передачи данных.
Обращаясь к законодательной базе европейских стран, можно заметить множество законов по защите персональных данных. Общий регламент ЕС по защите данных (GDPR) является основным законом о защите персональных данных в европейских странах. GDPR был введен в 2018 г. и распространяется на все государства-члены Европейского союза. GDPR требует, чтобы персональные данные обрабатывались законно, справедливо и прозрачно с согласия человека. Кроме того, GDPR предоставляет физическим лицам ряд прав, включая право на доступ к своим данным, право на удаление и право на переносимость данных.
Также в европейских странах есть несколько основных законов о защите персональных данных:
• Общее положение о защите данных (GDPR);
• Директива об электронной конфиденциальности;
• Директива о защите данных;
• Директива о конфиденциальности электронных коммуникаций;
• Закон Великобритании о защите данных 2018 г.;
• Закон Франции о защите данных;
• Федеральный закон Германии о защите данных;
Гиш Т. АРжевская Н. ВМедведева А. С.
Анализ законодательства разных стран по обеспечению защиты персональных данных
• Органический закон Испании о защите данных и гарантии цифровых прав;
• Кодекс защиты данных Италии;
• Закон о защите персональных данных Нидерландов.
вЭРЯ считается одним из наиболее полных и эффективных законодательных актов о защите персональных данных. Он основан на наборе четких и обязательных принципов и обеспечивает людям высокий уровень защиты и контроля над их личными данными [6]. вЭРЯ также получил высокую оценку за активный подход к защите данных, требующий от организаций принятия мер по защите персональных данных и сообщения властям об утечках данных в течение 72 часов [3].
В США существует сложная нормативно-правовая база, регулирующая обработку персональных данных. В этой стране нет единого закона о защите персональных данных. Вместо этого существует несколько федеральных законов и законов штатов, которые регулируют различные аспекты обработки персональных данных [9]. Например, Закон о переносимости и подотчетности медицинского страхования (Н1РАА) регулирует обработку личных данных о здоровье, а Закон штата Калифорния о конфиденциальности потребителей (ССРА) обеспечивает защиту личных данных жителей Калифорнии. Другие федеральные законы, такие как Закон о достоверной кредитной отчетности (БСЯА), регулируют использование персональных данных в кредитной отчетности.
Законы, регламентирующих защиту персональных данных:
• Закон штата Калифорния о конфиденциальности потребителей (ССРА);
• Закон о переносимости и подотчетности медицинского страхования (Н1РАА);
• Закон о защите конфиденциальности детей в Интернете (СОРРА);
• Закон Грэмма-Лича-Блайли (вЬБА);
• Закон о справедливой кредитной отчетности (БСЯА).
Исследователи утверждают, что лоскутное одеяло законов в Соединенных Штатах не обеспечивает людям последовательный и всеобъемлющий уровень защиты. Кроме того, законы в Соединенных Штатах, как правило, считаются менее активными, чем ОЭРЯ, с меньшими требованиями к организациям по реализации мер по защите персональных данных [10].
Трудно определить, какое законодательство - России, стран Европы или США -является наиболее целостным в отношении защиты персональных данных, так как каждый регион имеет свой уникальный подход к обработке персональных данных и защите конфиденциальности.
В целом законодательство, регулирующее обработку персональных данных в России, странах Европы и США, имеет как сходства, так и различия. С точки зрения сходства все три региона требуют, чтобы компании получали согласие от отдельных лиц, прежде чем собирать их личные данные, и обязывают принимать соответствующие меры безопасности для защиты данных. Кроме того, во всех трех регионах приняты законы, дающие людям право доступа к своим личным данным и их исправления.
Однако есть и некоторые существенные отличия [7]. Например, вЭРЯ дает физическим лицам больше прав, чем законодательство России и США. вЭРЯ дает физическим лицам право на удаление своих личных данных и право на передачу своих данных другой компании. Кроме того, вЭРЯ требует от компаний сообщать об утечках данных в течение 72 часов, тогда как в России или США такого требования нет.
При сравнении законодательства о защите персональных данных в России, странах Европы и США видно, что вЭРЯ обеспечивает наиболее полную и эффективную защиту персональных данных. вЭРЯ основан на четких и применимых принципах, предоставляет физическим лицам высокий уровень контроля над своими
личными данными и требует от организаций принятия мер по защите личных данных и сообщения властям об утечках данных [11].
Напротив, законодательство в России и Соединенных Штатах подвергалось критике за отсутствие ясности и надзора, а также за предоставление отдельным лицам меньшего контроля над персональными данными.
Еще одно ключевое отличие - требование к компаниям хранить персональные данные внутри страны. Россия обязывает хранить персональные данные на своей территории, тогда как в США или европейских странах такого требования нет.
ОБРЯ содержит исчерпывающие и четкие рекомендации о том, как следует собирать, обрабатывать и защищать персональные данные, и он применяется ко всем организациям, которые обрабатывают персональные данные граждан ЕС, независимо от их местонахождения [7]. Он предоставляет физическим лицам существенные права, в том числе право на доступ, исправление, удаление и передачу своих персональных данных, а также право возражать против определенных видов обработки данных. Регламент также налагает строгие требования на организации, такие как получение явного согласия от отдельных лиц перед обработкой их личных данных, принятие соответствующих мер безопасности и сообщение об утечке данных в течение 72 часов [12].
Напротив, в России есть Федеральный закон о защите персональных данных, он имеет ограничения в отношении индивидуальных прав и не содержит подробностей о требованиях к обработке данных [12]. В США нет всеобъемлющего федерального закона о защите персональных данных, а нормативные положения в основном находятся на уровне штатов, что может привести к лоскутному одеялу из различных требований и стандартов.
На основе всего вышесказанного составим таблицу, описывающую различие между рассматриваемым законодательством.
Россия Европейские страны США
Законодательство Федеральный закон о персональных данных Общее положение о защите данных (ОБРЯ) Нет всеобъемлющего федерального закона, но есть законы/нормативные акты штата, такие как Закон штата Калифорния о конфиденциальности потребителей (ССРА)
Согласие Требуется перед сбором персональных данных Требуется перед сбором персональных данных Требуется перед сбором персональных данных
Меры безопасности Должны быть приняты для защиты личных данных Должны быть приняты для защиты личных данных Должны быть приняты для защиты личных данных
Права физических лиц Ограниченные права, но включают право на доступ и исправление личных данных Всеобъемлющие права, включая право на доступ, исправление, удаление и передачу личных данных Ограниченные права, но включают право знать, какие данные собираются, право запрашивать удаление данных и право отказаться от продажи данных
Хранилище данных Должен храниться в России Нет такого требования Нет такого требования
Отчет об утечке данных Нет особых требований Должен сообщить об утечке данных в течение 72 часов Нет особых требований
Гиш Т. АРжевская Н. ВМедведева А. С. Анализ законодательства разных стран по обеспечению защиты персональных данных
Таким образом, законодательство, регулирующее обработку персональных данных, существенно различается в Россией, странах Европы и США. Хотя есть некоторые сходства, такие как требование согласия и меры безопасности, существуют также значительные различия с точки зрения прав, предоставляемых отдельным лицам, и требований к хранению данных. Для компаний важно знать об этих различиях при работе в нескольких регионах, чтобы обеспечить соблюдение местных законов и правил и защитить конфиденциальность личных данных отдельных лиц.
Библиографический список
1. Российская Федерация. Законы. О персональных данных : федер. закон от 27.07.2006 № 152-ФЗ. - Москва : Ось-89, 2008. - 32 с
2. Российская Федерация. Законы. Об информации, информационных технологиях и о защите информации : федер. Закон от 27.07.2006 № 149-ФЗ. -Новосибирск : Сибирское университетское издательство, 2008. - 16 с.
3. General Data Protection Regulation "GDPR" от 25.05.2018 // https://advisera.com/gdpr/. - 2020 г. - с изм. и допол. в ред. от 25.05.2018.
4. Талапина, Э. В. Защита персональных данных в цифровую эпоху: российское право в Европейском контексте / Эльвира Владимировна Талапина // Труды Института государства и права РАН. - 2018. - №5. - URL: https://cyberleninka.ru/article/n/zaschita-personalnyh-dannyh-v-tsifrovuyu-epohu-rossiyskoe-pravo-v-evropeyskom-kontekste (дата обращения: 04.04.2023).
5. Ибрагимова, А. Н. Г. Понятие персональных данных; информационная безопасность права на неприкосновенность частной жизни согласно анализу статьи 8 Европейской конвенции по правам человека / Айтекин Назим Гызы Ибрагимова // Северо-Кавказский юридический вестник. - 2021. - №4. - URL: https://cyberleninka.ru/article/n/ponyatie-personalnyh-dannyh-informatsionnaya-bezopasnost-prava-na-neprikosnovennost-chastnoy-zhizni-soglasno-analizu-stati-8 (дата обращения: 04.04.2023).
6. Чурилов, А. Ю. Принципы общего Регламента Европейского союза о защите персональных данных (GDPR): проблемы и перспективы имплементации / Алексей Юрьевич Чурилов // Сибирское юридическое обозрение. - 2019. - №1. - URL: https://cyberleninka.ru/article/n/printsipy-obschego-reglamenta-evropeyskogo-soyuza-o-zaschite-personalnyh-dannyh-gdpr-problemy-i-perspektivy-implementatsii (дата обращения: 04.04.2023).
7. Терешин, М. В. Правовое регулирование защиты персональных данных в РФ и ЕС в контексте вступления в силу общего регламента по защите данных (GDPR) / Марк Витальевич Терешин // Образование и право. - 2019. - №8. - URL: https://cyberleninka.ru/article/n/pravovoe-regulirovanie-zaschity-personalnyh-dannyh-v-rf-i-es-v-kontekste-vstupleniya-v-silu-obschego-reglamenta-po-zaschite-dannyh (дата обращения: 04.04.2023).
8. Sagatov, M. Research of methods and means of organization data protection based on the analysis of circulating information / M. Sagatov, M. Nomozov // SAI. - 2022. -№A8. - URL: https://cyberleninka.ru/article/n/research-of-methods-and-means-of-organization-data-protection-based-on-the-analysis-of-circulating-information (дата обращения: 04.04.2023).
9. Писарев, В. В. Реализации концепции комплексного регулирования оборота персональных данных в США на федеральном уровне / Владимир Владимирович Писарев // Юридическая наука. - 2022. - №9. - URL:
https://cyberleninka.ru/article/n/realizatsii-kontseptsii-kompleksnogo-regulirovaniya-oborota-personalnyh-dannyh-v-ssha-na-federalnom-urovne (дата обращения: 04.04.2023).
10. Соколова, М. Е. Первые успехи нового европейского общего Регламента по защите персональных данных / Марианна Евгеньевна Соколова // Современная Европа. - 2020. - №2. - URL: https://cyberleninka.ru/article/n/pervye-uspehi-novogo-evropeyskogo-obschego-reglamenta-po-zaschite-personalnyh-dannyh (дата обращения: 04.04.2023).
11. Овчинникова, Е. А. Сравнительный анализ законодательства в области защиты персональных данных в Российской Федерации и Евросоюзе / Е. А. Овчинникова // Интерэкспо Гео-Сибирь. - 2022. - №2. - URL: https://cyberleninka.ru/article/n/sravnitelnyy-analiz-zakonodatelstva-v-oblasti-zaschity-personalnyh-dannyh-v-rossiyskoy-federatsii-i-evrosoyuze (дата обращения: 04.04.2023).
12. Персональные данные по-русски и по-европейски // Syssoft. - URL: https://www.syssoft.ru/personalnye-dannye-po-russki-i-po-evropeyski/ (дата обращения: 03.04.2023).