Що таке захист конфіденційності та як він впливає на споживачів та бізнес?
Питання конфіденційності перебувають у верхній частині списку для користувачів Інтернету у всьому світі. Зростання інтернет-комерції та обміну даними, що перетинають міжнародні кордони, особливо між США та Європою, також викликало ряд проблем конфіденційності на рівні уряду. Не все це пов’язано зі злочинним злому. Багато що стосується того, як великі та малі підприємства використовують дані клієнтів.
Намагаючись краще обслуговувати європейських користувачів, дані яких перетинають кордон США, Міністерство торгівлі США та Європейська Комісія працювали разом над розробкою того, що називають Щитом конфіденційності, регуляторною реалізацією, покликаною гарантувати громадянам Європи належний захист даних ЄС закони про захист, оскільки їхні дані передаються до та виходять із США.
Вступ до щита конфіденційності
12 липня 2016 року уряд США та Європейська комісія спільно затвердили Рамку захисту конфіденційності. Фактична документація для Privacy Shield Framework надає багато цінної інформації для споживачів. Однак, може бути важко проаналізувати документи та зрозуміти, що це все означає. Ось простий спосіб зрозуміти концепцію.
США та країни Європейського Союзу займаються великою торгівлею. Насправді трансатлантична торгівля виробляє майже 5 трлн доларів на рік. Значна частина цієї комерції вимагає від компаній збирання даних через міжнародні кордони. У деяких випадках компанії, які приносять безліч клієнтів та користувачів з Європейського Союзу, таких як Google чи Facebook, збирають та обробляють величезну кількість даних користувачів.
Часом Google і Facebook можуть обробляти ці дані, тримати їх у невизначеному обсязі часу, використовувати їх для метрики та аналітики або навіть передавати третім сторонам для інших цілей. Аналогічно, уряд США може контролювати деякі з цих даних або навіть збирати їх у цих компаній.
Європейський Союз має дуже специфічний закон, Директива про захист даних, яка суворо обмежує те, як такі підприємства, як Google або Facebook, або такі організації, як АНБ, можуть використовувати або навіть збирати дані. Сюди входить, як уряди можуть збирати дані від підприємств для спостереження. (Термін дії DPD закінчується в 2023 році, його замінять нові правила, про які ми обговорюємо наприкінці.)
Рамка захищеності конфіденційності діє як набір правил, що регулюють бізнес США з європейськими операціями. Це дозволяє бізнесу робити дві речі:
- Самостійно підтверджують, що вони згодні з Рамкою захисту конфіденційності
- Популяризуйте себе та дотримуйтесь принципів захисту конфіденційності
Щодо щита конфіденційності, важливо зазначити:
- Дотримання рамки є добровільним. Однак на даний момент сотні американських підприємств, які добровільно сертифіковані. Це створює простий шлях для цих підприємств для збору приватних даних від громадян ЄС для ділових цілей, збільшуючи потік інтернет-торгівлі.
- Усі підприємства, які погоджуються брати участь у програмі, повинні публічно розмістити свою участь. Після того, як це буде завершено, підприємства сильно дотримуються цього стандарту, і не дотримання Рамкової системи призводить до можливих штрафів у розмірі 21 842 000 доларів США або 4 відсотків валового доходу компанії за весь рік, залежно від того, яка кількість більша. Виконання законів безпосередньо випливає з правил Федеральної комісії з торгівлі, які забороняють “нечесні та обманні дії”.
- Звіт про порушення даних повинен бути складений протягом 72 годин. Оскільки щит конфіденційності включає в себе захист інформації в свої принципи “Принципи”, це щось, що потрібно сприймати серйозно.
Позитивним є те, що багато підприємств вже мали належні протоколи, щоб легко самостійно звітувати.
Що таке щит конфіденційності? Детальний огляд
По-перше, найкраще зрозуміти, що таке Щит конфіденційності, щоб краще структурувати дискусію про те, що це насправді.
Privacy Shield – це не програма захисту даних чи програмне забезпечення
Це важливо, щоб зрозуміти, так як ім’я, можливо, передасть інше повідомлення. Захист конфіденційності – це не те, що користувачі можуть встановлювати на свої комп’ютери, щоб захистити їх конфіденційність, а також не якийсь Інтернет-фільтр, який контролює та фільтрує або шифрує дані користувачів.
Захист конфіденційності не є обов’язковим для всіх американських підприємств
Можливо, однією з найбільших недоліків Рамок конфіденційності є той факт, що це абсолютно добровільна програма. Насправді це навіть не є обов’язковим для американських компаній, які ведуть бізнес у Європі. Підприємства, які бажають взяти участь, повинні завершити процес само сертифікації, який підтверджує, що модель конфіденційності даних їх бізнесу відповідає основним принципам цієї рамки.
Щит конфіденційності – це не двостороння вулиця
За будь-якими намірами та цілями, щит конфіденційності існує як своєрідний докор США та його відсутність організованого регулювання від імені особистих даних споживачів. Щит конфіденційності був розроблений спеціально для американських підприємств як частина добросовісних зусиль з боку американських підприємств щодо безпечного поводження з даними, отриманими від користувачів Інтернету в ЄС, таким чином, що більше відповідає законам Європейського Союзу про захист даних.
Чи суттєві відмінності між стандартами захисту даних США та ЄС?
Ось коротка версія: Європейський Союз має дуже жорсткі стандарти для захисту того, як чиїсь особисті дані збираються та використовуються компаніями та урядами. Це зводиться до думки, що люди мають право на конфіденційність спочатку над правом уряду чи бізнесу або бажанням збирати особисті дані для різних цілей, навіть для цілей, які можуть вважатися гідними. Крім того, він передбачає, що кожен, хто вважає, що їхні дані були зловживані, має право подати відшкодування у компанії чи уряду, які їх неправомірно використали..
Якщо у вас є кілька вільних годин (і, можливо, вміння розбирати легальний), ви можете переглянути конкретну мову, розташовану в Ініціатива захисту даних.
Тим часом США не мають офіційного законодавства на федеральному рівні щодо захисту прав окремих споживачів. Ось чому жорстоке відкриття Едварда Сноудена шпигунської програми АНБ викликало стільки хвиль. Багато американців та інших людей у всьому світі, можливо, підозрювали, що федеральний уряд США шпигує за окремими, невинними громадянами, але до цього моменту було мало способів перевірених доказів. У 2013 році Сноуден забезпечив цю перевірку. Програма шпигунства в США була настільки обширною і такою широкою, що Сноуден відчув вимушеність просочувати інформацію лише через кілька місяців після того, як прийняли на роботу в НСА.
Закон про патріоти США спричинив такі програми, як PRISM та Закон про нагляд за зовнішньою розвідкою (FISA), які збирають дані від громадян США та за кордоном. Багато втручань у Закон про патріот були серйозно обмежені Законом про свободу 2015 року, законом, який розширив Закон про патріот з істотними обмеженнями щодо того, як уряд може збирати дані. Ці закони регулюють багато захистів, які американці ще не мали, накладаючи обмеження на свободи способами, непопулярними в Європі. (Ми дослідили ступінь дії Патріотського закону, Закону про свободу та FISA, про які ви можете прочитати тут.)
При цьому США не є Диким Заходом викрадених особистих даних користувачів, ні уряду, ні іншим чином. Існують закони про книги урядових відомств як на державному, так і на федеральному рівні. Найбільше занепокоєння в ЄС пов’язане із загальною відсутністю всебічного та чіткого повідомлення у США про те, як можна отримувати та обробляти дані користувачів, а також немає чітких вказівок щодо прав людини на відшкодування шкоди. Закони, які частково регулюють захист персональних даних у США, включають:
- Закон про Федеральну торгову комісію
- Закон про модернізацію фінансових послуг
- Закон про переносність та підзвітність медичного страхування (HIPAA)
- Правило сповіщення про порушення безпеки
- Закон про справедливу кредитну звітність
- Контроль за посяганням на непрохану порнографію та закон про маркетинг (CAN-SPAM)
- Закон про захист прав споживачів
- Закон про конфіденційність електронних комунікацій
- Закон про комп’ютерні шахрайства та зловживання
- Закон про судові відшкодування (закон США, який передбачає лише громадянам країн-членів ЄС право вимагати відшкодування урядових або правоохоронних органів, що надають їм особисті дані)
Хоча Директива ЄС про захист даних далеко не легка для читання, надзвичайно різноманітний зміст законодавства в США, що висвітлює цю тему, спричиняє чималий бюрократичний кошмар, обмежуючи можливість індивіда краще розуміти свої права стосовно того, як збираються уряди та підприємства. і використовувати персональні дані. Крім того, багато цих законів, застосовуючись, сильно застаріли і не мають мови, щоб найкраще відповідати поточному поколінню обчислень та обробки даних..
Як рамки Privacy Shield Framework вирішують проблеми конфіденційності?
За даними Європейської комісії, передача персональних даних за межами ЄС чи ЄЕП не допускається, коли не можна забезпечити належний рівень захисту. Це означає, що підприємства, які збирають дані від громадян ЄС та передають ці дані через кордон, або громадяни ЄС, які надсилають свої дані американським компаніям, потрапили в юридичний глухий кут. Рішенням для цього стала Рамка конфіденційності.
Для країн-членів Європейського Союзу та їхніх громадян щит конфіденційності має на меті:
- Забезпечення прозорості від компаній у формі публічних декларацій щодо їх політики використання даних
- Надати особам можливість відмовитися від передачі своїх даних третій стороні
- Введіть гарантії, щоб організації, які передають дані третім сторонам, передавали їх лише цим сторонам для обмеженого використання, а також, що ці одержувачі третіх сторін також дотримуються вимог захисту даних.
- Запевнення, що компанії та організації захищають дані від втрат методами безпеки та шифрування
- Захист від неправомірного використання персональних даних за межею призначеного
- Надати людям доступ до інформації, якою володіють організації, з можливістю вносити зміни, виправлення чи видалення цих даних там, де вони або мають неточності, або неправильно використовуються згідно з Принципами щита конфіденційності.
- Забезпечення принципів захисту даних шляхом доцільного арбітражу для осіб, які подають позови, без витрат на особу, яка подає позов, за допомогою належного розслідування позову та перевірки чи захисту конфіденційності, а також швидких процедур ухвалення рішень.
Це все може здатися трохи здоровим для пересічного користувача Інтернету. Простіше кажучи, Щит конфіденційності існує як сукупність процедур, яких повинні дотримуватися організації та підприємства США при обробці окремих даних користувачів, гарантуючи, що їх збирання та використання відповідають законам Європейського Союзу.
Що означає щит конфіденційності для споживачів?
Для споживачів щит конфіденційності служить одній головній меті: захист від неправомірного використання та необґрунтованого збору особисто-ідентифікаційної інформації. Оскільки щит конфіденційності призначений для захисту громадян Європейського Союзу від неправомірного використання їхніх даних під час передачі в США та поза нею, щит конфіденційності захищає лише членів ЄС та три країни Європейського економічного простору: Норвегію, Ліхтенштейн та Ісландію..
Він не призначений для захисту американських споживачів і не поширюється на американських споживачів тих самих захистів, які надаються членами ЄС відповідно до Директиви про захист даних. Натомість Privacy Shield – це угода між США та ЄС, яка зосереджена на електронній комерції та державному нагляді. Ці засоби захисту охоплюють також масовий збір даних як від підприємств, так і від уряду США, де формулювання включає суттєві обмеження щодо того, що і особи, і урядова розвідка та правоохоронні органи США можуть, а не можуть робити з особистими даними.
Найголовніше, що стосується громадян ЄС, впровадження механізму відшкодування збитків та завдання Омбудсмана для вирішення проблем щодо конфіденційності були невід’ємною частиною забезпечення того, щоб терміновий договір зміг прийняти рішення.
Що означає щит конфіденційності для бізнесу?
Для бізнесу Privacy Shield надає елемент довіри споживачам ЄС та простіший спосіб використання даних клієнтів ЄС. До “Захисту конфіденційності” система, яка існувала, була відома як “Безпечна гавань”. Ці принципи були аналогічні тим, які зараз існують у щиті конфіденційності, лише із меншою кількістю, менш обмежувальних засобів захисту конфіденційності. Після того, як австрійський юрист Макс Шремс довів, що Принципи безпечної гавані США та ЄС не змогли охопити його приватні дані у Facebook, Суд Європейського Союзу визнав недійсним закон у 2015 році. Безпечна гавань існувала 15 років, з 2000 року до її визнання недійсною 2015. Про те, що він був розроблений перед такими великими послугами соціальних медіа, що збирають дані, як Facebook та Закон про патріот, є свідченням того, чому він не виконав вимоги щодо конфіденційності, зокрема тих, що зазначені в Директиві про захист даних..
Коли безпечна гавань була визнана недійсною, багато американських підприємств не могли легально збирати або зберігати дані від європейських клієнтів. Таким чином, ЄС та США швидко працювали над розробкою заміни, що в кінцевому рахунку призвело до щита конфіденційності. Для підприємств це дозволило відновити операції як завжди, а також надало клієнтам ЄС додатковий захист, який вони бажали, використовуючи свої дані. Оновлення щита конфіденційності з Safe Harbor примусово внесли кілька змін для бізнесу:
- Необхідна, детальна публічна заява щодо участі у програмі. Ця заява повинна містити конкретне пояснення щодо кроків, які компанія вживає, щоб забезпечити захист конфіденційності та щоб компанія відповідала Принципам щита конфіденційності.
- Посилення переносу даних та обміну даними. У безпечній гавані треті сторони мали обмеження щодо того, як вони могли використовувати передані їм дані сторонніх осіб. У розділі “Щит конфіденційності” треті сторони настільки ж обмежені у використанні даних, як і перші сторони, від яких вони їх отримують, а також повинні вказати, що вони відповідають Політиці конфіденційності.
- FTC тепер підтримує “стіну сорому” для тих компаній, які порушують Принципи захисту конфіденційності після публічної підписки на них..
- Компанії повинні відповідати на проблеми з виправленням прав і повинні дозволяти користувачам оновлювати, змінювати або стирати дані на запит, якщо ці запити знаходяться в межах причини.
Підприємства, які беруть участь у програмі “Захист конфіденційності”, повинні переконатися, що їхні дані захищені, що вони повністю відповідають Принципам, а також, що їх юридична команда та персонал повністю знають вимоги FTC щодо участі у захисті конфіденційності.
Великі корпорації мають унікальний вплив
Для великих підприємств, таких як Apple, Facebook та Google, принцип цілісності даних та мети є дійсно найбільш обмежуючим аспектом для щита конфіденційності. Цей принцип суттєво обмежує те, як підприємства можуть використовувати об’ємні дані для аналізу даних, заявляючи, що “особиста інформація повинна бути обмежена інформацією, яка є актуальною для цілей обробки”. Великі веб-сайти соціальних медіа мають глибокі юридичні побоювання щодо закону. Чоловік, безпосередньо відповідальний за остаточну смерть Безпечного порту, Макс Шремс, вважає, що щит конфіденційності недостатній для таких компаній, як Facebook, Apple та Google, і очікує, що він остаточно не зможе.
Так само великі компанії набагато частіше зберігають дані і швидше надсилають дані клієнтів третім сторонам. Це створює поважну позицію для цих компаній, оскільки обмеження щодо зберігання даних та передачі цих даних третім сторонам вкрай обмежені. Шанси виступити проти “Принципів” негативно збільшуються лише для цих великих корпорацій.
Участь у захисті конфіденційності є добровільною
Жоден бізнес у США не змушений брати участь у Privacy Shield. Навіть підприємства, які хочуть залучати клієнтів з Європи, не вимагають участі. З огляду на це, участь підприємств настійно заохочується з однієї, основної причини: правові наслідки.
Ті компанії, які вирішили самосертифікуватись у рамках Privacy Shield, ідентифікують, що вони узгодили свої стандарти захисту даних з тими, які відповідають законодавчим стандартам ЄС щодо збору та обробки даних. Ця чіткість проходить довгий шлях до забезпечення правової охорони для цієї компанії. Однак компанії, які вирішили не приймати ці стандарти, ускладнюють їхнє життя. Незважаючи на те, що все ще можна вести бізнес в ЄС, відсутність чіткості робить бізнес більш відкритим для юридичних викликів. Для більшості учасників участь у захисті конфіденційності – це простий спосіб допомогти зменшити будь-які юридичні проблеми, які можуть виникнути.
Щит конфіденційності не захищає бізнес від державних запитів даних
І для бізнесу, і для споживачів важливо зрозуміти, що щит конфіденційності не заважає уряду США чи правоохоронним органам вимагати даних від таких компаній, як Facebook або Google. Однак, щит конфіденційності, поряд з переглянутою версією закону про патріот, значно обмежив, яку інформацію можна отримати та під якими умовами.
Тим не менш, багато спостерігачів зазначають, що в цьому напрямку принципи захисту конфіденційності мають явні слабкі сторони, особливо якщо мова йде про примусове виконання законодавства США. Залишається зрозуміти, чи може американська компанія була санкціонована під захистом конфіденційності за виконання федерального уряду або прохання про правоохоронні дані. Однак, щит конфіденційності надає підприємствам проспект і виправдання для відмови, принаймні, що стосується даних громадян ЄС.
Захист конфіденційності, можливо, доведеться змінити у 2023 році з новими нормами ЄС
Захист конфіденційності був розроблений, щоб задовольнити проблеми конфіденційності країн-членів ЄС та його громадян, працюючи з Директивою щодо захисту даних. Однак у квітні 2016 року Європейська Комісія прийняла новий закон, що регулює питання конфіденційності даних: Загальний регламент захисту даних. GDPR був розроблений для заміни DPD у 2023 році. Це тому, що DPD, який було прийнято в 1995 році, не вдається адекватно вирішити зміни в технологіях, з якими зараз стикаються підприємства та споживачі, зокрема ті, що стосуються великих даних та його важливості для бізнес.
Є кілька вагомих відмінностей між Директивою та Регламентом:
- Новий GDPR залишає мало місця для тлумачення окремими країнами-членами, тоді як Директива була трактована різними країнами ЄС. Це включає в себе нове, єдине визначення того, що насправді означає “персональні дані”, те, що DPD також залишило для тлумачення.
- Новий GDPR чітко визначає, як особисті дані можуть бути використані організаціями, вимагаючи від них чітко відображати та пояснювати, як вони мають намір використовувати дані, та фактично інформувати користувачів, коли вони хочуть використовувати ці дані різними способами. Також є нове застереження про “відмову” для зберігання даних, тому організації не можуть просто зберігати дані за замовчуванням.
- Новий GDPR застосовується до всіх підприємств та організацій, які обробляють дані громадян ЄС, незалежно від того, беруть вони участь у захисті конфіденційності чи ні. Це розширює сферу дії регламенту щодо охоплення приватних даних громадян ЄС за межами ЄС.
- Тепер організації також повинні відстежувати, як вони використовують дані та куди ці дані надходять. Ця інформація повинна бути легко доступною на запит. Великі організації (250 співробітників або більше) повинні мати службовця із захисту даних, який допоможе відслідковувати, куди дані переміщуються всередину організації та поза нею.
- Як контролери даних, так і процесори даних тепер несуть відповідальність і відповідальність за використання та захист даних. Це означає, що сторонні організації настільки ж відповідальні, як і другі сторони.
- GDPR включає необхідну політику щодо повідомлення про порушення. Про будь-які порушення даних необхідно повідомити протягом 72 годин. Це також призводить до зовнішнього дослідження методів захисту даних, які використовувались на момент порушення.
Усі ці правила повинні звучати звично. Вони збігаються з великою частиною того, що ми знаходимо в Принципах захисту конфіденційності. Це не випадково. Щит конфіденційності та новий GDPR розроблялися одночасно та були розроблені для спільної роботи. Однак GDPR набирає чинності до 2023 року. Багато спостерігачів чекають, чи захистить щит конфіденційності досить добре, щоб зробити його ефективним партнером для нових правил GDPR..
Зараз найбільша стурбованість пов’язана з процесом “само сертифікації”, який деякі спостерігачі вважають найбільшою слабкістю Щита конфіденційності. Минувши два роки, перш ніж GDPR набуде чинності, залишається зрозуміти, чи буде захист конфіденційності подальшим вивченням..
“Безпечна гавань” Саймона МакГарра, що отримала ліцензію під CC BY 2.0