CC BY
73
Реализации концепции комплексного регулирования оборота персональных данных в США на федеральном уровне
Писарев Владимир Владимирович,
аспирант, Отдел административного законодательства и процесса, Институт законодательства и сравнительного правоведения при Правительстве РФ E-mail: pisarev_vladimir@outlook.com
В статье рассматривается идея установления комплексного регулирования оборота персональных данных в США на федеральном уровне путем исследования проекта закона США о конфиденциальности и защите данных (The American Data Privacy and Protection Act). Принятие законопроекта позволит унифицировать разрозненное законодательство о персональных данных в США, принятое как на федеральном уровне, так и на уровне отдельных штатов. Подмечая схожести с европейскими законами, автор характеризует отличительные особенности американского законодательства о персональных данных и прогнозирует пути его дальнейшего развития. Отдельное внимание посвящено ключевым особенностям законопроекта, к числу которых автор относит действие закона по кругу лиц, акцент на защиту прав субъектов персональных данных в судебном порядке, а также попытку установления контроля со стороны органов государственной власти за развитием прогрессивных цифровых технологий.
Ключевые слова: персональные данные, защита конфиденциальности, информационная безопасность, цифровые технологии, сравнительное правоведение, право США.
S2
см см о см
СП
В начале июня 2022 года в нижнюю палату федерального парламента США был внесен проект общенационального закона об унификации требований к защите и обороту персональных данных, получивший название закона о конфиденциальности и защите данных (The American Data Privacy and Protection Act, ADPPA) [1].
По мнению авторов законопроекта, ADPPA призван создать комплексный набор прав субъектов персональных данных и соответствующие механизмы, обеспечивающие их соблюдение. Также в рамках обсуждений законопроекта в Палате представителей Конгресса США прозвучала идея о том, что принятие всеобъемлющего национального закона в сфере персональных данных поможет упрочить американское лидерство в контексте развития глобального цифрового мира.
Важно отметить, что подобная инициатива развивается на фоне отсутствия в США единого федерального регулирования в сфере персональных данных [2, стр. 21].
Таким образом, анализируемая законодательная инициатива предполагает решение сразу нескольких задач.
Во-первых, это унификация законодательства США о персональных данных на федеральном уровне. Во-вторых, наделение субъектов персональных данных широким спектром прав, отвечающих реалиям развития современных цифровых технологий, и создание эффективного механизма защиты персональных данных. В-третьих, создание глобального стандарта конфиденциальности данных интегрированного в технологические продукты американских корпораций - от социальных сетей до беспилотных автомобилей.
В отличие от Европейского союза, где за основу взят общностный Регламент по защите персональных данных (GDPR), Российской Федерации, в которой действует единый Закон о защите персональных данных № 152-ФЗ, в США существует лоскутное одеяло из федеральных законов и законов штатов, а также многочисленных судебных прецедентов [3, c. 199].
На федеральном уровне в США охраняются персональные данные лишь в некоторых сферах. Один из наиболее показательных примеров - защита персональных данных детей. В соответствии Законом о защите частной жизни детей в Интернете (Children's Online Privacy Protection Act) установлены ограничения по сбору персональных данных детей младше 13 лет. Кроме того, в качестве примера федерального акта, регулирующего отраслевую защиту персональных данных, можно
привести Закон о защите частной жизни водителя (Driver's Privacy Protection Act), согласно которому установлен общий запрет обработки реквизитов водительского удостоверения, которые безусловно относятся к персональным данным.
Тем не менее, к настоящему времени наиболее прогрессивное и всеобъемлющее законодательство по защите персональных данных внедрено на уровне отдельных штатов. Так, в течение последних лет в США приняты Калифорнийский закон о конфиденциальности данных потребителей (California Consumer Privacy Act), Закон штата Колорадо о приватности (Colorado Privacy Act), Закон штата Вирджиния о защите данных потребителей (Virginia Consumer Data Protection Act) и другие.
Законы штатов оперируют широкими определениями персональных данных, в качестве операторов определяют большое количество лиц, обрабатывающих персональные данные, а также гарантируют многочисленные права субъектов персональных данных.
Кроме того, в отдельных штатах существует законодательство о защите отдельных видов наиболее чувствительной информации (специальных категорий персональных данных). Например, в штате Иллиннойс принят Закон о конфиденциальности биометрической информации (Biometric Information Privacy Act), практику применения которого предлагалось перенести на национальной уровень путем принятия единого акта об охране биометрических персональных данных в США.
Принятая на текущий день модель защиты персональных данных на уровне федерации и на уровне отдельных штатов с дифференциацией по отдельным сферам обращения данных, с одной стороны, обеспечивает точечное регулирование c сохранением свободного оборота данных. В свою очередь, это соответствует конкретным политическим, социальным и технологическим особенностям конкретного штата.
С другой стороны, для крупных американских федеральных корпораций (к примеру, Google, Meta, Apple) соблюдение существенного различающегося между собой законодательства отдельных штатов по вопросам защиты персональных данных становится трудновыполнимым. Также стоит учитывать, что вопросы защиты конфиденциальности данных в США являются по-настоящему злободневными, а это в свою очередь ведет к активному изменению многочисленного массива требований по защите персональных данных путем принятия новых законов. Отмечая данную проблематику, представители одного из наиболее крупных операторов персональных данных в США - компании Meta (ранее Facebook) неоднократно заявляли, что потоки данных не должны останавливаться на границах одного штата [4].
Разработка в США всеобъемлющего федерального закона о персональных данных влечет столкновение интересов различных лиц: BigTech-корпораций и privacy-активистов, представителей федерального правительства и легислатур штатов.
В основном критика идеи создания общенационального закона опирается на тот факт, что каждый штат является демократической лабораторией по созданию лучших практик в сфере обеспечения конфиденциальности, унификация требований может происходить в рамках горизонтального взаимодействия между штатами, а принятие единого общеамериканского закона, регулирующего обработку персональных данных, может существенно снизить уровень применимых требований в ряде штатов, например, в Калифорнии [5].
Несмотря на то, что дискуссия между лоббистами и противниками общеамериканского закона о персональных данных ведется длительное время, в Конгрессе США все более громко звучат заявления о том, что на текущий момент возникла необходимость устранения излишеств цифрового мира, которые несут в себе опасность для США на фоне усиления рисков в сфере кибербезопас-ности.
Также Конгресс США существенно обеспокоен тем обстоятельством, что в настоящее время и Европейский союз с развитой практикой применения GDPR, и Китай, принявший Закон о защите личной информации (Personal Information Protection Law), создают четкие нормативные границы оборота персональных данных и предлагают модели регулирования, влияющее на глобальное структурирование отношений в сфере обеспечения конфиденциальности.
Как считает автор, с точки зрения американского законодателя подобные практики являются правовой экспансией, способствуют возможному оттоку персональных данных в юрисдикции, в которых регулирование более упорядоченно, а значит, существенно снижают привлекательность американской юрисдикции для размещения бизнеса, связанного с накоплением и обработкой больших массивов персональных данных [6].
Кроме того, отсутствие единых правил защиты персональных данных в США приводит к тому, что многие государства считают, что законодательство США не способно обеспечить надежную защиту персональных данных при их экспорте в США в рамках трансграничной передачи данных. Это отчетливо проявилось в решении Суда Европейского Союза по делу Schrems II [7]. Российское законодательство также не рассматривает США в качестве государства, обеспечивающего адекватную защиту прав субъектов персональных данных.
Анализируя категориальный аппарат законопроекта можно отметить, что ключевые термины и определения сформулированы достаточно широко, «завязаны» на язык современных цифровых технологий. Проявляется это, в том числе, и при определении того, что является персональными р данными. Д
Так, под термином персональные данные Е (Covered Data) понимается информация, кото- К рая идентифицирует или связана или может быть S обоснованно связана, отдельно или в сочетании у с другой информацией, с физическим лицом или А
устройством, которое идентифицирует или связано или может быть обоснованно связано с физическим лицом, и может включать производные данные и уникальные идентификаторы.
В состав определения включается термин производные данные (Derived Data), под которыми понимаются данные которые созданы путем получения информации, данных, предположений, корреляций, выводов, прогнозов или выводов на основе фактов, доказательств или другого источника информации или данных о человеке или устройстве человека.
Особенностью законопроекта также является, что в нем перечисляются конкретные уникальные идентификаторы (Unique Identifier), которые относятся к персональным данным. Уникальными идентификаторами являются идентификатор устройства [например, IMEI-код - прим.], lP-адрес, файлы cookie, маячки, пиксельные метки, идентификаторы мобильной рекламы или аналогичные технологии, номер клиента, уникальный псевдоним пользователя, номера телефонов или другие формы постоянных или вероятностных идентификаторов, которые связаны или обоснованно связаны с физическим лицом или устройством.
Кроме того, определение персональных данных связывает данные не только с физическим лицом, но и устройством, которое идентифицирует или связано или может быть обосновано связано с физическим лицом. Дефиниция устройства (Device) раскрывается отдельно - это любое электронное оборудование, способное передавать или получать персональные данные, предназначенное для использования одним или несколькими лицами.
Таким образом, можно сделать вывод, что определение персональных данных, заложенное в законопроект, многосоставно и определяется через зависимые термины. Через них законопроект относит к персональным данным большое количество данных, относительно которых в европейской традиции регулирования оборота персональных данных идет дискуссия (к примеру, вопрос об отнесении IMEI-кода к персональным данным).
В иных аспектах законопроект выдержан в подобной логике. Перечень специальных категорий персональных данных сформулирован широко и конкретно, действие закона по кругу лиц распространяется дифференцировано и направлено, с одной стороны, на выделение профессионального участника рынка персональных данных - крупного держателя данных (Large Data Holder) с существенным набором обязанностей, с другой стороны, существуют послаблениями для малого бизнеса и мелких операторов персональных данных.
Также в законопроекте изложены базовые права субъектов персональных данных. За малым исключением о четких гарантиях права на отказ — от таргетированной рекламы, права по ADPPA со-S2 ответствуют широкому набору прав в GDPR. й Отдельно подчеркивается право субъекта пер° сональных данных на подачу иска в федеральный ¡в суд. При этом, в отличии от законов штатов, напри-
мер, Калифорнийского закона о конфиденциальности данных потребителей (CCPA), не устанавливается «законных убытков» (statutory damages).
Напомним, что CCPA позволяет субъекту персональных подать частный иск в случае нарушения его прав, по которому суд вправе взыскать пользу субъекта сумму в размере от 100 до 750 долларов. Если взыскание «законных убытков» допустимо, то в случае массовых утечек данных и при подаче коллективных исков возможно с высокой долей точности оценить, какая сумма может быть взыскана в пользу субъектов персональных данных. Это в свою очередь создает, прозрачные правила определения гражданско-правовой ответственности операторов персональных данных. В данном случае, по нашему мнению, законопроект существенно снижает экономическую мотивацию защиты прав субъектов персональных данных в судебном порядке.
Помимо «скелетных» положений, присущих любому закону о персональных данных - о его действии по кругу лиц, ключевых правах и обязанностях субъектов и операторов персональных данных, определению полномочий органа по защите персональных данных, законопроект предусматривает и регулирование ряда иных вопросов, отнесенных к американскому информационному праву. Среди таких особенностей можно выделить следующее:
• Контроль технологий машинного обучения и искусственного интеллекта в контексте защиты персональных данных, в частности документирование возможностей таких технологий со стороны крупных операторов персональных данных.
• Контроль технологий подделки цифрового контента путем подготовки Министерством торговли США ежегодного отчета о том, как такие технологии (к которым можно отнести, например, deepfake), влияют на права субъектов персональных данных.
• Дополнительные гарантии конфиденциальности несовершеннолетних в возрасте до 17 лет.
• Запрет распространения контента сексуального характера без согласия, изображённого в нем лица, путем применения законодательства о персональных данных. Это особенно актуально ввиду распространения в США проблемы порномести (porn revenge).
• Уведомление субъекта об обработке персональных данных в «недружественных странах», а именно в Китае, России, Иране и КНДР.
В совокупности это позволяет сделать вывод, что законопроект является не только попыткой создания эффективной модели регулирования оборота персональных данных, но и является проводником государственной политики в вопросе урегулирования ряда проблем и страхов, имеющих особое значение для американского общества.
В целом, исследуемый проект закона США о конфиденциальности и защите данных показывает, что в США существует потребность совершен-
ствования регулирования оборота и защиты персональных данных, поскольку исторически регулирование было распределено между федеральным законодательством и законодательством отдельных штатов. Тем не менее, на фоне развития цифровых технологий и возросшего значения персональных данных в цифровой экономике стало понятно, что неимение единых правил по контролю за оборотом персональных данных и отсутствие равных прав субъектов, проживающих в различных штатах, негативным образом сказывается на привлекательности американской юрисдикции для становления и развития крупного технологического бизнеса.
Кроме того, американский законодатель осознает, что создание прозрачного регулирования в сфере персональных данных необходимо для конкуренции с иными моделями регулирования, в том числе европейской и китайской. По логике законодателя, принятие законопроекта, обобщающего лучшие практики законодательства штатов о персональных данных, в тесной координации с флагманами американского IT-бизнеса позволит упрочить американское лидерство в глобальном цифровом пространстве.
По мнению автора, общенациональный закон о защите персональных данных в США может быть принят в ближайшее время. Однако даже если этого не случится, попытка развития механизмов защиты конфиденциальности данных в США окажет существенное влияние на последующее формирование как американского, так и глобального privacy-ландшафта.
Литература
1. Проект закона США о конфиденциальности и защите данных (The American Data Privacy and Protection Act) № H.R.8152 [Электронный ресурс] // URL: https://www.congress.gov/ bill/117th-congress/house-bill/8152/text (дата обращения 23.08.2022)
2. Determann L. Privacy and Data Protection // Московский журнал международного права. -2019. - № . 1. - С. 18-26.
3. Бирюков М.М. Актуальные аспекты правовой защиты персональных данных в Европейском союзе, США и России // Московский журнал международного права. - 2015. - № . 3. -С.197-208.
4. American Data Privacy and Protection Act heads for US House floor [Электронный ресурс] // URL: https://iapp.org/news/a/american-data-privacy-and-protection-act-heads-for-us-house-floor/ (дата обращения 23.08.2022)
5. Petkova B. The Safeguards of Privacy Federalism // Lewis & Clark L. Rev. - 2016. - Т. 20. -С. 595.
6. Тверякова Е.А. Юридическая экспансия: теоретико-историческое исследование. ... канд. юрид. наук. М., 2002. 28 с.
7. Постановление Большой Палаты Суда Европейского союза от 16 июля 2020 года по делу № C-311/18.
IMPLEMENTATION OF THE CONCEPT OF COMPREHENSIVE REGULATION OF THE CIRCULATION OF PERSONAL DATA IN THE UNITED STATES AT THE FEDERAL LEVEL
Pisarev V.V.
Institute of Legislation and Comparative Law under the Government of the Russian Federation
This article examines the idea of establishing comprehensive regulation of personal data in the United States at the federal level through a study of the draft American Data Privacy and Protection Act. The adoption of the Act would unify the disparate personal data legislation in the United States, adopted both at the federal and state levels. Noting the similarities with European laws, the author describes the distinctive features of the American legislation on personal data and forecasts ways of its further development. Special attention is devoted to the key features of the Act, which include the Act's scope, the emphasis on judicial protection of the rights of personal data subjects and the attempt to establish government control over the development of advanced digital technologies.
Keywords: personal data, privacy protection, information security, digital technology, comparative law, United States law.
References
1. Draft US Law on Privacy and Data Protection (The American Data Privacy and Protection Act) No. H.R.8152 [Electronic resource]. - URL: https://www.congress.gov/bill/117th-congress/ house-bill/8152/text (accessed 23.08.2022)
2. Determinann L. Privacy and Data Protection // Moscow Journal of International Law. - 2019. - No. 1. - pp. 18-26.
3. Biryukov M.M. Actual aspects of legal protection of personal data in the European Union, the USA and Russia // // Moscow Journal of International Law. - 2015. - № . 3. - С. 197-208.
4. American Data Privacy and Protection Act heads for US House floor [Electronic resource]. - URL: // https://iapp.org/news/a/ american-data-privacy-and-protection-act-heads-for-us-house-floor (accessed 23.08.2022)
5. Petkova B. The Safeguards of Privacy Federalism // Lewis & Clark L. Rev. - 2016. - Vol. 20. - P. 595.
6. Tveryakova E.A. Legal expansion: theoretical and historical research. ... cand. jurid. M., 2002. 28 p.
7. The decision of the Grand Chamber of the Court of Justice of the European Union of July 16, 2020 in case no. C-311/18.
