Открыть сервис

Закон о конфиденциальности потребителей

Закон о конфиденциальности потребителей (англ. Consumer Privacy Act) — это общее название для ряда нормативных правовых актов, регулирующих сбор, обработку, хранение и передачу персональных данных физических лиц, действующих в качестве потребителей товаров и услуг. В зависимости от юрисдикции, такие законы устанавливают права потребителей на доступ к своим данным, их удаление, ограничение обработки, а также обязательства бизнеса по обеспечению прозрачности и безопасности данных. Наиболее известными и влиятельными примерами являются Калифорнийский закон о конфиденциальности потребителей (CCPA) в США и Общий регламент по защите данных (GDPR) в Европейском союзе, который, хотя и не называется «законом о конфиденциальности потребителей» напрямую, выполняет аналогичные функции в отношении прав субъектов данных.

История

Предпосылки к принятию законов о конфиденциальности потребителей возникли в конце XX — начале XXI века в связи с массовым распространением интернета, электронной коммерции и цифровых технологий. Рост объёмов собираемых компаниями персональных данных, а также участившиеся случаи утечек и неправомерного использования информации (например, скандал с Cambridge Analytica в 2018 году) привели к общественному запросу на усиление правовой защиты потребителей.

Первым значимым актом в этой сфере стал GDPR, принятый Европейским парламентом 14 апреля 2016 года и вступивший в силу 25 мая 2018 года. Он установил единые стандарты защиты данных для всех стран — членов ЕС, закрепив за субъектами данных (потребителями) широкий спектр прав, включая «право на забвение» и «право на переносимость данных».

В США, где отсутствует единый федеральный закон о конфиденциальности потребителей, пионером выступил штат Калифорния. Калифорнийский закон о конфиденциальности потребителей (CCPA) был принят 28 июня 2018 года и вступил в силу 1 января 2020 года. Он стал первым в США всеобъемлющим законом, предоставляющим потребителям контроль над их личной информацией, собираемой бизнесом. В 2020 году на смену CCPA пришёл более строгий Калифорнийский закон о правах на конфиденциальность (CPRA), принятый на референдуме в ноябре 2020 года и вступивший в силу 1 января 2023 года.

Вслед за Калифорнией другие штаты США (Виргиния, Колорадо, Коннектикут, Юта) приняли собственные законы о конфиденциальности потребителей, что привело к формированию лоскутного регулирования на уровне штатов. В России аналогичные функции выполняет Федеральный закон «О персональных данных» № 152-ФЗ, принятый 27 июля 2006 года, который устанавливает общие принципы обработки персональных данных, включая согласие субъекта и требования к безопасности.

Основные положения

Несмотря на различия между юрисдикциями, большинство законов о конфиденциальности потребителей содержат общие принципы и права.

Права потребителей (субъектов данных)

Типичный набор прав, предоставляемых потребителям, включает:

  • Право на информациюпотребитель имеет право знать, какие именно его данные собираются, с какой целью, кому они передаются и как долго хранятся.
  • Право на доступ — потребитель может запросить у компании копию собранных о нём персональных данных.
  • Право на удаление («право на забвение») — потребитель может потребовать безвозвратного удаления своих данных, если для их обработки больше нет законных оснований.
  • Право на ограничение обработки — потребитель может запретить использование своих данных для определённых целей (например, для таргетированной рекламы).
  • Право на переносимость данных — потребитель может получить свои данные в структурированном, машиночитаемом формате и передать их другому поставщику услуг.
  • Право на возражение — потребитель может возражать против обработки его данных в маркетинговых целях.

Обязанности бизнеса

Компании, обрабатывающие персональные данные потребителей, обязаны:

  • Прозрачность — публиковать политику конфиденциальности, в которой ясно и понятным языком описываются практики сбора и использования данных.
  • Согласие — получать явное, информированное и добровольное согласие потребителя на обработку его данных, если это требуется законом (например, для чувствительных данных или для целей, не являющихся необходимыми для предоставления услуги).
  • Безопасность — внедрять технические и организационные меры для защиты данных от несанкционированного доступа, утечек и уничтожения.
  • Уведомление об утечках — в установленные сроки (обычно 72 часа) уведомлять регулирующий орган и, в некоторых случаях, пострадавших потребителей о факте утечки персональных данных.
  • Назначение ответственного — во многих юрисдикциях (например, по GDPR) требуется назначение сотрудника, ответственного за защиту данных (Data Protection Officer, DPO).

Классификация законов

Законы о конфиденциальности потребителей можно классифицировать по нескольким признакам:

По географическому охвату

  • Национальные (федеральные) — действуют на всей территории страны (например, GDPR в ЕС, 152-ФЗ в России).
  • Региональные (штатов/провинций) — действуют в пределах отдельного субъекта федерации (например, CCPA/CPRA в Калифорнии, PIPEDA в Канаде на федеральном уровне, но с провинциальными вариациями).
  • Отраслевые — регулируют конфиденциальность в конкретных секторах (например, HIPAA в США для медицинских данных, GLBA для финансовых данных).

По строгости регулирования

  • Модель «opt-in» (подписка) — обработка данных разрешена только после получения явного согласия потребителя. Характерна для GDPR и CPRA.
  • Модель «opt-out» (отказ) — обработка данных разрешена по умолчанию, но потребитель имеет право отказаться от неё. Характерна для CCPA в его первоначальной версии.

Применение и значение

Законы о конфиденциальности потребителей имеют прямое практическое значение для всех участников цифровой экономики.

Для потребителей

Потребители получают инструменты для контроля над своей личной информацией. Они могут требовать от компаний удаления своих данных, запрещать использование данных для рекламы, а также получать информацию о том, как именно их данные используются. В случае нарушения прав потребители могут обращаться в суд или в регулирующие органы (например, Федеральную торговую комиссию в США, Роскомнадзор в России) и требовать компенсации убытков.

Для бизнеса

Компании обязаны перестраивать свои процессы сбора и обработки данных. Это влечёт за собой значительные затраты на внедрение систем управления согласиями, аудит данных, обучение персонала и юридическое сопровождение. Несоблюдение требований может привести к крупным штрафам (до 4% от годового глобального оборота по GDPR, до 2 500 долларов за нарушение по CCPA). В то же время, соблюдение закона может стать конкурентным преимуществом, повышая доверие потребителей.

Для государства

Регулирование конфиденциальности потребителей позволяет государству защищать права граждан, бороться с мошенничеством и недобросовестной конкуренцией, а также устанавливать единые стандарты для цифрового рынка.

Критика

Законы о конфиденциальности потребителей подвергаются критике с разных сторон.

  • Бюрократизация и издержки — представители бизнеса, особенно малого и среднего, указывают на высокую стоимость соблюдения требований, которая может быть непропорциональна их доходам. Это может создавать барьеры для входа на рынок.
  • Лоскутное регулирование — в США отсутствие единого федерального закона приводит к тому, что компании, работающие в нескольких штатах, вынуждены соблюдать несколько разных, иногда противоречащих друг другу, законов. Это создаёт правовую неопределённость и дополнительные издержки.
  • Эффективность для потребителей — некоторые исследования показывают, что многие потребители не пользуются предоставленными правами из-за сложности процедур, непонимания своих прав или «усталости от согласий» (cookie fatigue). Кроме того, компании часто используют сложные юридические формулировки в политиках конфиденциальности, что затрудняет их понимание.
  • Ограничения для инноваций — чрезмерно строгое регулирование, по мнению ряда экспертов, может замедлить развитие технологий, основанных на анализе больших данных (искусственный интеллект, персонализация), ограничивая возможности для улучшения продуктов и услуг.

Примеры законов

  • GDPR (Европейский союз)Общий регламент по защите данных, наиболее влиятельный закон в мире.
  • CCPA/CPRA (Калифорния, США) — Калифорнийский закон о конфиденциальности потребителей и его обновлённая версия.
  • LGPD (Бразилия) — Закон о защите персональных данных, во многом основанный на GDPR.
  • PIPEDA (Канада) — Закон о защите личной информации и электронных документах.
  • 152-ФЗ «О персональных данных» (Россия) — Федеральный закон, регулирующий обработку персональных данных граждан РФ.
  • Закон о защите данных (Китай) — Вступил в силу в 2021 году, устанавливает строгие требования к обработке данных, включая локализацию данных.

Источники

  • Общий регламент по защите данных (GDPR) — Regulation (EU) 2016/679.
  • Калифорнийский закон о конфиденциальности потребителей (CCPA) — California Civil Code §§ 1798.100–1798.199.
  • Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006 (Российская Федерация).
  • Исследование «The Cost of Compliance» — International Association of Privacy Professionals (IAPP), 2023.
  • Доклад «Consumer Privacy: A Review of State Laws» — Congressional Research Service, 2022.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →