ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ФИНАНСОВО-БАНКОВСКОМ СЕКТОРЕ СИНГАПУРА Текст научной статьи по специальности «Компьютерные и информационные науки»

VTTk" ^¿1? 0S1 ^Sl 8? I iTi 02021 Контент доступен по лицензии СС BY-NC 4.0

у ЛА J'+.£.:»Jl.JJl.oZ |(сс) кУ<$) iTfnsis an open access article under the CC BY-NC 4.0 license

DOI' 10 26140/bgz3-2021-1004-0083 iMiw(https://creativecommons.org/iicenses/by-nc/4.o/)

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ФИНАНСОВО-БАНКОВСКОМ

СЕКТОРЕ СИНГАПУРА

© Автор(ы) 2021 SPIN: 2498-9000 AuthorlD: 762939 ResearcherlD: C-8907-2017 ORCID: 0000-0002-5962-3929 ScopusID: 56613354600

ГОРЯН Элла Владимировна, кандидат юридических наук, доцент доцент кафедры гражданско-правовых дисциплин Владивостокский государственный университет экономики и сервиса (690014, Россия, Владивосток, улица Гоголя, 41, e-mail: ella.goryan@vvsu.ru) Аннотация. Объектом исследования выступают отношения по обеспечению безопасности персональных данных в финансово-банковском секторе Сингапура. Охарактеризованы нормативные и институциональные элементы механизма: исследована правовая основа обеспечения безопасности персональных данных и определен круг уполномоченных субъектов финансово-банковского сектора, в том числе охарактеризована роль финансового регулятора в данном механизме. Методологическую основу исследования составила совокупность методов, позволивших решить поставленные задачи и прийти к конкретным выводам - исторический, системный и структурно-функциональный. Нормативно-правовые акты Сингапура устанавливают как общий режим безопасности персональных данных (Закон о защите персональных данных), так и специальный (законы о неправомерном использовании компьютеров и кибербезопасности; о ценных бумагах и фьючерсах; о банковской деятельности и кибербезопасности). Обязанности финансовых учреждений как непосредственных субъектов механизма установлены подзаконными нормативными актами, издаваемыми финансовым регулятором (Валютным управлением Сингапура) - об аутсорсинге и управлении технологическими рисками, а также о предупреждении отмывания денег и противодействии финансированию терроризма. Финансовый регулятор Сингапура имеет полномочия издавать нормативные предписания, которые могут иметь преимущественную силу перед предписаниями Комиссии по защите персональных данных Сингапура, что подчеркивает повышенную ответственность финансового регулятора за безопасность данных в столь чувствительном секторе экономики. Специальный режим применяется к разным аспектам охраны и защиты персональных данных в финансово-банковском секторе, возлагая разного характера обязательства на операторов данных.

Ключевые слова: персональные данные, оператор данных, безопасность, финансово-банковский сектор, финансовый регулятор, кибербезопасность, финансовые учреждения, Сингапур, информационная уязвимость, права потребителей.

PERSONAL DATA PROTECTION IN FINANCIAL AND BANKING SECTOR IN SINGAPORE

© The Author(s) 2021

GORIAN Ella Vladimirovna, PhD in Jurisprudence, docent associate professor of Civil Law Department Vladivostok State University of Economics and Service (690014, Russia, Vladivostok, street Gogolya 41, e-mail: ella.goryan@vvsu.ru) Abstract. The research is focused on the issue of personal data security in the financial and banking sector of Singapore. The normative and institutional elements of the security mechanism were characterized: the legal basis for security of personal data was studied and the authorized entities of the financial and banking sector are determined, the role of the financial regulator in this mechanism was analyzed. The methodology of the study was based on a set of methods which made it possible to fulfil the assigned goal and to come to conclusions - the historical, the systemic, and the structural-functional ones. Singapore's regulations establish both a general regime of data protection (Personal Data Protection Act) as well as the special one (regulations on computer misuse and cybersecurity; securities and futures; banking and cybersecurity). The obligations of financial institutions as the subjects of the mechanism are established by regulations of the financial regulator (Monetary Authority of Singapore) - on outsourcing and technological risk management, as well as on the prevention of money laundering and countering the financing of terrorism. Singapore's financial regulator is authorized to issue regulations that prevail the regulations of Personal Data Protection Commission, highlighting the financial regulator's increased responsibility for data security in such a sensitive sector of the economy. The special regime applies to various aspects of personal data protection in the financial and banking sector, imposing different obligations on data operators.

Keywords: personal data, data operator, security, financial and banking sector, financial regulator, cybersecurity, financial institutions, Singapore, information vulnerability, customer rights.

ВВЕДЕНИЕ

Постановка проблемы в общем виде и ее связь с важными научными и практическими задачами. В конце апреля 2021 года в финансово-банковском секторе произошло знаменательное событие международного масштаба - соединение национальных платежных систем Сингапура (PayNow) и Таиланда (PromptPay), позволяющее клиентам осуществлять трансграничные переводы в реальном времени на сумму до 1 тыс. сингапурских долларов или 25 тыс. тайских бат ежедневно, используя всего лишь номер мобильного телефона. Переводы осуществляются в течение нескольких минут, что представляет собой заметное улучшение по сравнению с одним-двумя рабочими днями, необходимыми для большинства операций по международным переводам. Участвующие банки (сингапурские DBS, UOB, OCBC и

тайские Bangkok Bank, Kasikornbank, Krung Thai Bank, The Siam Commercial Bank) обязались ориентироваться на рыночные цены, устанавливая размер комиссионных отчислений на уровне рыночных цен [1].

Такое объединение стало возможным в результате сотрудничества финансовых регуляторов Сингапура (Monetary Authority of Singapore, далее - Валютное управление Сингапура) и Таиланда (Bank of Thailand, далее -Банк Таиланда) в рамках инициативы ASEAN Payment Connectivity, реализуемой с 2019 года и учитывающей последние стандарты, разработанные в рамках Большой двадцатки (G20) и Совета по финансовой стабильности (Financial Stability Board), по содействию «более быстрым, дешевым, более всеобъемлющим и прозрачным» соглашениям о трансграничных платежах. Со временем планируется создание подобных систем на основе дву-

Балтийский гуманитарный журнал. 2021. Т. 10. № 4(37)

ISSN print: 2311-0066; ISSN online: 2712-9780

сторонних соглашений государств-участников АСЕАН. Тем временем Банк Таиланда уже обеспечил осуществление национальными финансовыми учреждениями международных платежей через QR-коды с японскими, лаосскими, камбоджийскими и вьетнамскими финансовыми учреждениями [2].

Осуществление подобных проектов финансовыми регуляторами возможно при строгом соблюдении законодательства о персональных данных и разработке соответствующих стандартов для финансовых учреждений, задействованных в трансграничных операциях. Цифровизация финансово-банковского сектора, набирающая последние годы значительные обороты и вовлекающая все больше участников, способствует появлению новых рисков, связанных с осуществлением таких процессов в более чем одной юрисдикции, трансграничной передачей данных, в том числе персональных, не говоря уже о безопасности финансовых активов клиентов финансовых учреждений. С учетом этих обстоятельств сингапурский финансовый регулятор опубликовал доклад о базовой цифровой инфраструктуре, необходимой для инклюзивной цифровой экономики и осуществления беспрепятственных трансграничных транзакций по всему миру [3]. Одним из четырех ключевых элементов, лежащих в основе эффективных базовых цифровых инфраструктур, является обмен персональными данными пользователей третьими лицами в их интересах. Поэтому вопрос безопасности персональных данных в финансово-банковском секторе Сингапура выходит на новый уровень.

Анализ последних исследований и публикаций, в которых рассматривались аспекты этой проблемы и на которых обосновывается автор; выделение неразрешенных раньше частей общей проблемы. Выбранная нами тема мало исследована в российской научной литературе. Поиск в электронной библиотеке научных публикаций eLibrary.ru проиндексированных в РИНЦ исследований по теме выявил несколько статей, косвенно затрагивающих тему исследования и посвященных общим вопросам защиты персональных данных в банковской сфере [4; 5; 6] и информационной безопасности банковских систем [7; 8]. Результатов научных изысканий компаративистического характера по теме данного исследования не представлено.

В зарубежной научной литературе эта тема является предметом оживленных дискуссий. В частности, она рассматривается в аспекте уязвимости субъектов персональных данных при потреблении услуг по договору присоединения, содержащему несправедливые или обременительные условия обработки и использования их данных [9]. Существует точка зрения, что обязательство о прозрачности процессов недостаточно решает проблему асимметрии информации между компаниями и клиентами и несовместимо с требованием относительно вида и количества информации, которая должна быть доступна клиентам в соответствии с законодательством о защите данных [10]. Некоторые авторы утверждают, что вопросы защиты персональных данных необходимо рассматривать в аспекте защиты прав потребителя - «ответственность потребителя» предусматривает, что использование персональных данных зависит от решения лица делиться данными с другими субъектами [11]. Исследователи из Сингапура подходят к данной проблеме комплексно, указывая в качестве решающих факторов неизбежность глобальной цифровизации большинства общественных процессов и необходимость разработки унифицирующих международных стандартов, в том числе механизмов разрешения споров [12].

Обоснование актуальности исследования. Опыт Сингапура в решении поставленной проблемы представляет научный и практический интерес для России. Как нами отмечалось ранее [13], статус Сингапура как ведущего мирового финансового центра, обеспечивающего финансовую стабильность в Юго-Восточной Азии,

вынуждает работать на опережение потенциальных угроз в финансово-банковском секторе и разрабатывать инструменты, обеспечивающие безопасность и устойчивость системы. Поэтому успешный опыт сингапурского финансового регулятора в обеспечении безопасности персональных данных требует изучения и внедрения в России.

МЕТОДОЛОГИЯ

Формирование целей статьи. Цель исследования заключается в характеристике правового механизма обеспечения безопасности персональных данных в финансово-банковском секторе Сингапура.

Постановка задания. Поставленная цель предопределила постановку следующих задач: рассмотрение правовой основы обеспечения безопасности персональных данных и определение круга уполномоченных субъектов финансово-банковского сектора, а также определение роли финансового регулятора в данном механизме.

Используемые в исследовании методы, методики и технологии. Методологическую основу исследования составила совокупность методов, позволивших решить поставленные задачи и прийти к конкретным выводам. Исторический метод был использован для познания и объяснения причин развития правового регулирования защиты персональных данных и деятельности финансового регулятора. С помощью системного и структурно-функционального методов был исследован правовой механизм обеспечения безопасности персональных данных в совокупности своих нормативных и институциональных взаимодействующих элементов.

РЕЗУЛЬТАТЫ

Изложение основного материала исследования с полным обоснованием полученных научных результатов. В последние годы количество случаев посягательств на персональные данные растет как во всем мире, так и в Сингапуре. Как отмечает Комиссия по защите персональных данных Сингапура (Personal Data Protection Commission, PDPC), количество жалоб на нарушения частными организациями законодательства о персональных данных выросло за 2017-2019 года в два раза и составило 4,5 тысяч случаев [14]. В марте 2019 года премьер-министр Сингапура С.Л. Ли учредил Комитет по проверке безопасности данных в государственном секторе (The Public Sector Data Security Review Committee, далее - PSDSRC) для изучения правительственных процессов по обеспечению непрерывной защиты персональных данных и разработке рекомендаций и планов действий по их улучшению. В качестве таких мер выступает ежегодная публикация отчетов о правительственных действиях по защите персональных данных [14], а также обзоров состояния безопасности персональных данных в публично секторе [15].

Следует отметить такую особенность правового регулирования безопасности персональных данных в Сингапуре, как наличие двух нормативно-правовых актов, устанавливающих два правовых режима персональных данных. Один режим предусмотрен для государственных учреждений и организаций и устанавливается в соответствии с Законом о государственном секторе (управлении) 2018 года (the Public Sector (Governance) Act, далее - PSGA) [16], другой режим устанавливается для частного сектора в соответствии с Законом о защите персональных данных (The Personal Data Protection Act, далее - PDPA) [17].

Наличие двух правовых режимов объясняется наличием разных подходов к ответственности за соблюдение требований о персональных данных правительством и частным сектором: именно правительство несет ответственность за предоставление услуг через любые уполномоченные организации и учреждения, в то время как каждый представитель частного сектора несет индивидуальную ответственность за соблюдение законодательства о персональных данных. Следует отметить, что финансовый регулятор Сингапура не подпадает под круг

уполномоченных субъектов государственного сектора (статья 42(2) PSGA), равно как и финансовые учреждения. Их правовой статус в отношении персональных данных определяется в соответствии с PDPA и отраслевым законодательством, разрабатываемым в том числе и финансовым регулятором. Охарактеризуем общий режим безопасности персональных данных, устанавливаемый PDPA.

Нормативный механизм обеспечения безопасности персональных данных включает в себя еще ряд подзаконных нормативных актов, таких как Положение о защите персональных данных 2021 года (Personal Data Protection Regulations 2021) и других положений (regulation) и уведомлений (notification), конкретизирующий субъектный состав механизма и процедурные вопросы применения режима (Уведомление о защите личных данных (уполномоченные правоохранительные органы) 2014 года (Personal Data Protection (Prescribed Law Enforcement Agencies) Notification 2014), Положение о защите (применении) персональных данных 2021 года (Personal Data Protection (Enforcement) Regulations 2021) и др.).

Для толкования положений PDPA было издано несколько руководств, позволяющих уяснить основные положения этого закона, среди которых следует отметить Руководство по ключевым концепциям Закона о защите персональных данных (Advisory Guidelines on Key Concepts in the Personal Data Protection Act (revised edition 2021)); Руководство по Закону о защите персональных данных по некоторым вопросам (Advisory Guidelines on the Personal Data Protection Act for Selected Topics (revised edition 2019)); Руководство по обеспечению соблюдения положений о защите данных (Advisory Guidelines on Enforcement of Data Protection Provisions (revised edition 2021), а также Руководство по проектированию защиты данных для систем ИКТ (Guide to Data Protection by Design for ICT Systems).

Следует отметить, что PDPA устанавливает базовый стандарт защиты персональных данных в частном секторе и действует вместе (а не отменяет) с существующими законами и постановлениями. В PDPA конкретно указано, что структура защиты данных в рамках PDPA не влияет на какие-либо права или обязательства, установленные другими законами, и что в случае любого несоответствия преимущественную силу будут иметь положения других писаных законов (ст. 4.6(b)). Например, положения главы 19 о банковской тайне в соответствии с Законом о банковской деятельности 1971 года (в новой редакции) регулируют отношения по поводу информации о клиентах и имеют преимущественную силу над PDPA в случае любого с ним несоответствия. Поэтому в целях обеспечения безопасности персональных данных в финансово-банковском секторе нормативный механизм будет включать в себя и отраслевое законодательство, в частности Закон о Валютном управлении Сингапура 1970 года (Monetary Authority of Singapore Act 1970), Закон о банковской деятельности (Banking Act 1971), Закон о ценных бумагах 1973 года (Securities Industry Act 1973) и другие.

Государственным регулятором согласно PDPA является уже упоминавшаяся Комиссия по защите персональных данных Сингапура - подразделение Управления развития телекоммуникаций и СМИ (Infocomm Media Development Authority, IMDA) Министерства связи и информации (Ministry of Communications and Information).

Особенностью сингапурского механизма обеспечения безопасности персональных данных является особая терминология, используемая в PDPA (статья 2). В частности, вместо термина «оператор данных» (data controller) используется термин «организация» (organisation), обозначающий субъектов, которые обязаны выполнять обязательства, возложенные на них PDPA, и охватывающий в широком смысле всех физических лиц, юридических лиц и некорпоративные объединения лиц (например, ас-

социации).

PDPA использует еще такой термин как «посредник данных» (data intermediary) для обозначения субъекта, осуществляющего обработку данных от имени оператора данных и не являющегося сотрудником оператора данных (в зарубежном законодательстве и в частности в Общем регламенте защиты персональных данных Европейского союза (General Data Protection Regulation, GDPR) используется термин «обработчик данных» (data processor)) [18]).

Персональные данные определяются законом как выраженные в любой форме данные (истинные или ложные) о лице, которого можно идентифицировать по этим данным, или по этим данным и другой информации, к которой организация (оператор данных) имеет или может иметь доступ. Хотя PDPA не оперирует таким термином как «чувствительные данные» (sensitive data), «данные о здоровье» (health data), «биометрические данные» (biometric data), «псевдонимизация» (pseudonymisation), такие категории персональных данных определяются: 1) в нормативных актах Комиссии по защите персональных данных Сингапура и правоприменительной практике -«чувствительные данные»; 2) в Положении о продуктах для здоровья (клинические испытания) 2016 года (Health Products (Clinical Trials) Regulations 2016) и Положении о лекарственных средствах (клинические испытания) 2016 года (Medicines (Clinical Trials) Regulations 2016) - «данные о здоровье»; 3) в Рекомендациях по Закону о защите персональных данных по некоторым вопросам (Advisory Guidelines on the Personal Data Protection Act for Selected Topics (revised edition 2019)) - «псевдонимизация».

Правовой статус операторов данных (organisation) и посредников данных (data intermediary) определен в частях IV, V, VI и VIA Закона о защите персональных данных. В частности, на операторов данных не возлагается никаких обязательств по уведомлению или регистрации в Комиссии по защите персональных данных Сингапура перед началом деятельности по сбору, использованию или раскрытию каких-либо личных данных. На них распространяется обязательство об ограничении передачи персональных данных за пределы Сингапура кроме как в соответствии с требованиями, установленными в PDPA: необходимо предоставить гарантию того, что переданные персональные данные будут иметь стандарт защиты, сопоставимый со стандартом PDPA.

На операторов данных не возлагается никаких обязательств по ведению каких-либо записей обработки данных. Однако они должны гарантировать, что они соблюдают положения о защите данных PDPA при работе с персональными данными. Хотя нет отдельного обязательства по проведению оценки воздействия на защиту данных (Data Protection Impact Assessment, DPIA) в рамках PDPA, в нем есть положения, требующие от операторов данных проведения подобной «оценки» (которая может быть меньше по объему, чем полная оценка воздействия на защиту данных) при определенных обстоятельствах.

В рамках обязательства по подотчетности операторы данных обязаны назначить сотрудника по защите данных (data protection officer, DPO) или группу лиц, отвечающих за обеспечение соблюдения организацией положений PDPA, с обеспечением общедоступности их контактных данных.

Недавние поправки в PDPA предусматривают новое обязательство (вступило в силу 1 февраля 2021 года) по уведомлению о нарушениях данных в соответствии с частью VIA закона. В соответствии с этим обязательством по уведомлению о нарушениях данных, операторы данных должны оценивать нарушения персональных данных, находящихся в их распоряжении или под их контролем, с последующим уведомлением Комиссии по защите персональных данных Сингапура, а также затронутых лиц о возникновении утечек данных, которые соответствуют определенным пороговым значениям. В случае

Балтийский гуманитарный журнал. 2021. Т. 10. № 4(37)

ISSN print: 2311-0066; ISSN online: 2712-9780

финансово-банковского сектора операторы данных действуют в соответствии с разработанными Валютным управлением Сингапура Руководством по аутсорсингу (Guidelines on Outsourcing 2016) [19] и Руководством по управлению технологическими рисками для финансовых учреждений 2021 (Technology Risk Management Guidelines for Financial Institutions 2021) [20], предусматривающие обязанность финансовых учреждений информировать финансового регулятора о нарушениях безопасности и конфиденциальности персональных данных своих клиентов в течение часа (в случае системного сбоя или инцидента в области информационной безопасности, оказывающего серьезное и широкомасштабное влияние на операции финансового учреждения или существенно влияющего на обслуживание финансовым учреждением своих клиентов) или «как можно скорее» при любом неблагоприятном развитии, возникающем в результате [их] соглашений об аутсорсинге, которое может повлиять на организацию, а также «при любых таких неблагоприятных изменениях, возникающих в группе организации» [19].

Обязательство по ограничению хранения требует от операторов данных прекратить хранить документы, содержащие персональные данные, или удалить средства, с помощью которых персональные данные могут быть связаны с конкретными лицами, как только будет разумно предположить, что цель, для которой это личные данные были собраны, больше не достигается путем хранения личных данных, и такое хранение больше не требуется для юридических или деловых целей.

Как указывалось выше, в отношении персональных данных в финансовых учреждениях действует особый режим безопасности, устанавливаемый законодательством с учетом специфики финансово-банковского сектора. Этот режим дополняет положения PDPA и определяется в таких нормативно-правовых актах, как Закон о неправомерном использовании компьютеров и кибер-безопасности (Computer Misuse and Cybersecurity Act, CMCA), Закон о ценных бумагах и фьючерсах (Securities and Futures Act, SFA) и Закон о банковской деятельности (Banking Act, BA), Закон о кибербезопасности (Cybersecurity Act, CSA), Руководстве по аутсорсингу (MAS Guidelines on Outsourcing), Руководстве по управлению технологическими рисками для финансовый учреждений (Technology Risk Management Guidelines for Financial Institutions 2021) [20] и предписаниях Валютного управления Сингапура о предупреждении отмывания денег и противодействии финансированию терроризма (the MAS Notices on Prevention of Money Laundering and Countering the Financing of Terrorism, AML/CFT Notices). Особенностью этого режима является использование различной терминологии для обозначения персональных данных: «личная информация» (personal information) в Законе о неправомерном использовании компьютеров и кибербезопасности (раздел 8A(7) (a)), «информация о клиентах» (customer information) и «информация о пользователях» (user information) в Руководстве по аутсорсингу, «информация о пользователях» (user information) в Законе о ценных бумагах и фьючерсах, «информация о клиентах» (customer information) и «информация о депозите» (deposit information) в Законе о банковской деятельности.

Каждый из указанных нормативных актов регулирует отдельные аспекты безопасности персональных данных. Так, PDPA устанавливает общий режим защиты, в то время как предписания Валютного управления Сингапура о предупреждении отмывания денег и противодействии финансированию терроризма устанавливают секторальные обязательства финансовых учреждений. Закон о неправомерном использовании компьютеров и кибербезо-пасности устанавливает ответственность за нарушение режима персональных данных в информационных системах, а Закон о кибербезопасности усиливает режим обращения с персональными данными при предоставле-

нии существенных услуг (essential services) с использованием критической информационной инфраструктуры [21]. К таким услугам в финансово-банковском секторе относятся: банковские услуги, включая снятие наличных и депозиты, корпоративное кредитование, управление казначейством и платежные услуги; платежные клиринговые и расчетные услуги; торговля ценными бумагами, клиринговые, расчетные и депозитарные услуги; торговля производными финансовыми инструментами, клиринговые и расчетные услуги; услуги по поддержанию денежно-кредитной и финансовой стабильности; выпуск валюты [22]. Финансовые учреждения, предоставляющие такие услуги, выступают в статусе операторов критической информационной инфраструктуры и несут дополнительную ответственность согласно Закону о кибербезопасности. Руководство по управлению технологическими рисками для финансовых учреждений 2021 года (Technology Risk Management Guidelines for Financial Institutions 2021) [20] определяет обязанности финансовых учреждений по обеспечению безопасности персональных данных (параграф 11.1 Безопасность данных (Data Security)). В частности, они обязаны разработать комплексную политику предотвращения потери данных и принять меры для обнаружения и предотвращения несанкционированного доступа, модификации, копирования или передачи своих конфиденциальных данных. В этом контексте определяется три вида данных: данные в движении (data in motion) - данные, которые проходят по сети или передаются между сайтами; данные в состоянии покоя (data at rest) - данные на конечных устройствах, таких как ноутбуки, персональные компьютеры, портативные запоминающие устройства и мобильные устройства, а также данные в таких системах, как файлы, хранящиеся на серверах, базах данных, носителях резервного копирования и платформах хранения (например, в облаке); а также используемые данные (data in use) - данные, которые используются или обрабатываются системой (п. 11.1.1).

На финансовые учреждения возлагаются обязанности по внедрению соответствующих мер для предотвращения и обнаружения кражи данных, а также несанкционированного изменения в системах и конечных устройствах: всем системам, управляемым поставщиками услуг, должен быть обеспечен одинаковый уровень защиты и соблюдены одни и те же стандарты безопасности (п. 11.1.2).

Конфиденциальные данные, хранящиеся в системах и конечных устройствах, должны быть зашифрованы и защищены строгими средствами контроля доступа (п.

11.1.3). Для связи, передачи или хранения конфиденциальных данных необходимо использовать только авторизованные носители, системы и оконечные устройства (п.

11.1.4). Запрещается использование неавторизованных интернет-сервисов для передачи и(или) хранения конфиденциальных данных (например, социальные сети, облачное хранилище и совместное использование файлов, электронную почту и приложения для обмена сообщениями) (п. 11.1.5). Финансовые учреждения обязаны внедрить соответствующие средства контроля для предотвращения утечки данных (п. 11.1.6) и безвозвратного удаления конфиденциальных данных (п. 11.1.7).

ОБСУЖДЕНИЕ

Сравнение полученных результатов с результатами в других исследованиях. Особенностью данного исследования является его новизна, поскольку до сих пор вопросы обеспечения безопасности персональных данных в финансово-банковском секторе Сингапура не были объектом исследований в российской науке. В изложенном материале комплексно рассмотрен правовой механизм обеспечения безопасности как в нормативном, так и в институциональном аспектах

ВЫВОДЫ

Выводы исследования. В результате проведенного исследования нами была достигнута цель исследования,

позволившая сформулировать следующие выводы. Во-первых, правовой основой обеспечения безопасности персональных данных в финансово-банковском секторе Сингапура является комплекс нормативно-правовых актов, устанавливающих как общий режим (Закон о защите персональных данных), так и специальный (законы о неправомерном использовании компьютеров и кибербе-зопасности; о ценных бумагах и фьючерсах; о банковской деятельности и кибербезопасности). Обязанности финансовых учреждений как непосредственных субъектов механизма установлены подзаконными нормативными актами, издаваемыми финансовым регулятором (Валютным управлением Сингапура) - об аутсорсинге и управлении технологическими рисками, а также о предупреждении отмывания денег и противодействии финансированию терроризма. Во-вторых, институциональный механизм обеспечения безопасности персональных данных в финансово-банковском секторе представлен финансовым регулятором, имеющим полномочия издавать нормативные предписания, которые могут иметь преимущественную силу перед предписаниями Комиссии по защите персональных данных Сингапура, что подчеркивает повышенную ответственность финансового регулятора за безопасность данных в столь чувствительном секторе экономики. Специальный режим применяется к разным аспектам охраны и защиты персональных данных в финансово-банковском секторе, возлагая разного характера обязательства на операторов данных.

Перспективы дальнейших изысканий в данном направлении. Итоги проведенного исследования позволяют определить следующие направления исследований: во-первых, это соотношение правовых режимов безопасности персональных данных и информационных систем в финансово-банковском секторе в аспекте защиты прав потребителей, во-вторых, необходимо определить пределы ответственности операторов данных при трансграничной передаче данных при функционировании соединенных национальных платежных систем, и наконец, заслуживает внимания рассмотрения вопрос использования искусственного интеллекта при обработке персональных данных.

СПИСОК ЛИТЕРАТУРЫ:

1. Zhaki A. Singapore's PayNow linked to Thailand's PromptPay, allowing funds transfers 'within a matter of minutes' // CNA. — 2021. — Apr. 29. - URL: https://www.channelnewsasia.com/news/singapore/singapore-paynow-thailand-promptpay-funds-transfer-14712130 (дата обращения: 07.05.2021).

2. QR move to ease cross-border payment // Bangkok Post. — 2021. — Mar. 27. — URL: https://www.bangkokpost.com/business/2090403/qr-move-to-ease-cross-border-payment (дата обращения — 07.05.2021).

3. Foundational Digital Infrastructures for Inclusive Digital Economies // Monetary authority of Singapore. - Singapore, 2021. — URL: https:// www.mas.gov.sg/-/media/MAS/Fintech/FDI/Foundational%20Digital%20 Infrastructures%20for%20Inclusive%20Digital%20Economies.pdf (дата обращения 07.05.2021).

4. Курпас Н.В. Защита персональных данных, в банковской сфере при совершении операций с использованием мобильных банковских приложений /Н.В. Курпас, А.В. Васильев, Г.Г. Фастович // Образование и наука в России и за рубежом. 2019. № 5 (53). С. 374-377.

5. Михеева И.Е. Проведение мер по идентификации клиентов с использованием новых цифровых технологий / И.Е. Михеева // Право и цифровая экономика. 2020. № 3 (09). С. 21-27.

6. Слатвицкая И.И. Совершенствование дистанционного банковского обслуживания путем использования биометрических технологий / И.И. Слатвицкая, А.Ю. Демченко // Актуальные вопросы экономики: сборник статей III Международной научно-практической конференции. Пенза, 2020. С. 200-202.

7. Оганесян А.Л. Ключевые проблемы в области дистанционного банковского обслуживания юридических лиц на региональном уровне / А.Л. Оганесян, Т.Е. Даниловских // Вектор науки Тольяттинского государственного университета. Серия: Экономика и управление. 2017. № 1 (28). С. 45-50.

8. Четырбок П.В. Защита банковских систем / П.В. Четырбок, Е.В. Туманов //Информационные системы и технологии в моделировании и управлении: сборник трудов VМеждународной научно-практической конференции / Отв. редактор К.А. Маковейчук. 2020. С. 274-279.

9. Law, S. (2017). At the crossroads of consumer protection, data protection and private international law: Some remarks on Verein für Konsumenteninformation v Amazon EU. European Law Review, 45(1), 751-765.

10. Hermstrüwer, Y. (2017). Contracting Around Privacy: The

(Behavioral) Law and Economics of Consent and Big Data. Journal of Intellectual Property, Information Technology andE-Commerce Law, 8(1), 9-26.

11. Crabtree, A. et al (2016). Enabling the New Economic Actor: Data Protection, the Digital Economy and the Databox. Personal and Ubiquitous Computing, 20, 947-957.

12. Yip, M. (2018). Protecting consumers' personal data in the digital world: Challenges and changes. Personal Data Protection Digest. 7, 104117.

13. Горян Э.В. Роль финансового регулятора в обеспечении кибербезопасности: опыт Сингапура / Э.В. Горян // Финансовое право и управление. 2018. № 2. С. 25-38.

14. Annual update on the Government's Personal Data Protection efforts

2020 // Smart Nation. — Singapore, 2020. — URL: https://www.smartnation. gov.sg/docs/default-source/default-document-library/annual-update-on-govt-personal-data-protection-efforts-2020.pdf?sfvrsn=3acbe593_2 (дата обращения 07.05.2021).

15. Public Sector Data Security Review Committee Report 2019 // Smart Nation. — Singapore, 2019. — URL: https://www.smartnation.gov.sg/ docs/default-source/press-release-materials/psdsrc-main-report80c901c de11d48b3afbb3571f5374baf.pdf?sfvrsn=646a3dc8_2 (дата обращения 07.05.2021).

16. Public Sector (Governance) Act 2018 //Singapore Statutes Online. — URL: https://sso.agc.gov.sg/Act/PSGA2018#pr2- (дата обращения 07.05.2021).

17. Personal Data Protection Act 2012 // Singapore Statutes Online. — URL: https://sso.agc.gov.sg/Act/PDPA2012 (дата обращения 07.05.2021).

18. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing ofpersonal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) // EUR-Lex. — URL: https://eur-lex.europa.eu/eli/reg/2016/679/oj (дата обращения 07.05.2021).

19. Guidelines on Outsourcing 2016 // Monetary Authority of Singapore. — Singapore, 2021. — URL: https://www.mas.gov.sg/regulation/ guidelines/guidelines-on-outsourcing (дата обращения 07.05.2021).

20. Technology Risk Management Guidelines for Financial Institutions

2021 //MonetaryAuthority of Singapore. — Singapore, 2021. — URL: https:// www.mas.gov.sg/regulation/guidelines/technology-risk-management-guidelines (дата обращения 07.05.2021).

21. Gorian, E. (2018). Singapore's Cybersecurity Act 2018: a new generation standard for Critical Information Infrastructure protection / D.B. Soloviev, ed. // Smart Technologies and Innovations in Design for Control of Technological Processes and Objects: Proceeding of the International Science and Technology Conference "FarEastCon-2018". Volume 1. — P. 1-10.

22. Cybersecurity Act 2018 // Singapore Statutes Online. — URL: (дата обращения 07.05.2021).

Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта 20-01100454 «Обеспечение прав инвесторов в банковском и финансовом секторах в условиях цифровизации экономики в РФ и ведущих финансовых центрах Восточной Азии: сравнительно-правовой аспект».

Статья поступила в редакцию 22.06.2021 Статья принята к публикации 27.11.2021