Закон о конфиденциальности (США)
Закон о конфиденциальности (США) — это совокупность федеральных и региональных нормативных правовых актов, регулирующих сбор, хранение, обработку и распространение персональных данных граждан Соединённых Штатов Америки. В отличие от стран Европейского союза, где действует единый Общий регламент по защите данных (GDPR), в США отсутствует всеобъемлющий федеральный закон о защите персональных данных. Регулирование осуществляется на основе отраслевых законов и законов отдельных штатов, а также решений судов и правоприменительной практики Федеральной торговой комиссии (FTC).
История
Ранние этапы (1960–1970-е годы)
Первые обсуждения необходимости защиты конфиденциальности в США начались в 1960-х годах с развитием компьютерных технологий и автоматизированной обработки данных. В 1970 году был принят Закон о справедливой кредитной отчетности (Fair Credit Reporting Act, FCRA), который стал первым федеральным законом, регулирующим сбор и использование информации о потребителях кредитными бюро.
В 1973 году Министерство здравоохранения, образования и социального обеспечения опубликовало доклад «Записи, компьютеры и права граждан», в котором были сформулированы Принципы справедливой информационной практики (Fair Information Practice Principles, FIPPs). Эти принципы легли в основу последующего законодательства и включали:
- уведомление субъекта данных о сборе информации;
- согласие на использование данных;
- ограничение сбора данных только необходимыми сведениями;
- обеспечение точности и безопасности данных;
- ответственность организации за соблюдение правил.
Закон о конфиденциальности 1974 года
В 1974 году, после Уотергейтского скандала и выявления фактов незаконного сбора данных правительством, был принят Закон о конфиденциальности (Privacy Act of 1974, 5 U.S.C. § 552a). Этот закон регулирует обработку персональных данных федеральными органами исполнительной власти. Он предоставляет гражданам право:
- знать, какие данные о них собираются и хранятся;
- получать доступ к своим записям;
- требовать исправления неточных сведений;
- ограничивать раскрытие информации третьим лицам без согласия.
Закон обязал федеральные агентства публиковать в Федеральном реестре уведомления о системах записей (System of Records Notices, SORNs), в которых описываются цели сбора, категории субъектов и источники данных.
Развитие отраслевого регулирования (1980–2000-е годы)
В 1986 году был принят Закон о конфиденциальности электронных коммуникаций (Electronic Communications Privacy Act, ECPA), который защитил перехват и раскрытие электронных сообщений. В 1996 году вступил в силу Закон о переносимости и подотчетности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA), установивший правила обработки медицинской информации.
В 1999 году был принят Закон Грэмма-Лича-Блайли (Gramm-Leach-Bliley Act, GLBA), регулирующий конфиденциальность финансовых данных. В 2000 году Федеральная торговая комиссия начала применять Правила защиты конфиденциальности детей в интернете (Children's Online Privacy Protection Rule, COPPA), которые требуют получения родительского согласия на сбор данных детей младше 13 лет.
Современный этап (2010-е годы — настоящее время)
В 2018 году в Калифорнии был принят Калифорнийский закон о конфиденциальности потребителей (California Consumer Privacy Act, CCPA), который вступил в силу в 2020 году. CCPA стал первым всеобъемлющим законом штата, предоставляющим жителям Калифорнии права на доступ, удаление и отказ от продажи своих персональных данных. В 2020 году избиратели Калифорнии одобрили Калифорнийский закон о правах на конфиденциальность (California Privacy Rights Act, CPRA), который расширил CCPA и создал Калифорнийское агентство по защите конфиденциальности.
В 2023 году были приняты законы о конфиденциальности в штатах Виргиния, Колорадо, Коннектикут, Юта и Техас. По состоянию на 2025 год более 15 штатов приняли или рассматривают аналогичные законы. На федеральном уровне обсуждается принятие Американского закона о конфиденциальности и защите данных (American Data Privacy and Protection Act, ADPPA), но он пока не принят.
Классификация
По уровню регулирования
- Федеральные законы: действуют на всей территории США и регулируют конкретные отрасли или типы данных. Примеры: HIPAA (медицина), GLBA (финансы), FCRA (кредитные отчеты), COPPA (дети), ECPA (электронные коммуникации).
- Законы штатов: действуют в пределах одного штата. Примеры: CCPA/CPRA (Калифорния), VCDPA (Виргиния), CPA (Колорадо), CTDPA (Коннектикут).
- Правоприменительная практика FTC: Федеральная торговая комиссия имеет полномочия преследовать компании за недобросовестные или вводящие в заблуждение действия, связанные с конфиденциальностью, на основании Раздела 5 Закона о Федеральной торговой комиссии.
По типу регулируемых данных
- Медицинская информация (HIPAA): включает диагнозы, результаты анализов, историю лечения.
- Финансовая информация (GLBA): включает данные о банковских счетах, кредитных картах, инвестициях.
- Кредитная информация (FCRA): включает кредитные истории, скоринговые оценки.
- Данные детей (COPPA): включает любую информацию, собираемую от детей младше 13 лет в интернете.
- Электронные коммуникации (ECPA): включает содержание электронных писем, текстовых сообщений, телефонных разговоров.
- Общие персональные данные (законы штатов): включают имя, адрес, номер телефона, IP-адрес, данные о местоположении, поведенческие данные.
Основные положения
Права субъектов данных
Законы штатов, такие как CCPA, предоставляют потребителям следующие права:
- Право на знание: узнать, какие персональные данные собираются, используются, раскрываются или продаются.
- Право на доступ: получить копию собранных данных.
- Право на удаление: потребовать удаления данных, за исключением случаев, предусмотренных законом (например, для завершения транзакции).
- Право на отказ от продажи: запретить продажу своих данных третьим лицам.
- Право на исправление: потребовать исправления неточных данных (предусмотрено CPRA и некоторыми другими законами).
- Право на ограничение использования: запретить использование чувствительных данных (например, геолокации, расовой принадлежности) для определенных целей.
Обязанности организаций
- Уведомление: предоставление четкой и понятной политики конфиденциальности, в которой описываются цели сбора, категории данных, способы их использования и передачи.
- Согласие: получение явного согласия на сбор и использование данных, особенно для чувствительных категорий.
- Безопасность: принятие разумных технических и организационных мер для защиты данных от несанкционированного доступа, утечки или уничтожения.
- Ответственность за обработку: ведение учета обработки данных, проведение оценки воздействия на конфиденциальность (Privacy Impact Assessment, PIA) для новых технологий или процессов.
- Обработка запросов: создание механизмов для приема и обработки запросов субъектов данных в установленные сроки (обычно 45 дней с возможностью продления).
Исключения и ограничения
Законы о конфиденциальности в США содержат ряд исключений:
- Правоохранительная деятельность: данные могут собираться и использоваться без согласия для целей расследования преступлений, национальной безопасности или судебного разбирательства.
- Общественная безопасность: исключения для экстренных ситуаций, угрозы жизни или здоровью.
- Научные исследования: данные могут использоваться в исследовательских целях при соблюдении определенных условий (анонимизация, одобрение этического комитета).
- Внутренние бизнес-операции: исключения для использования данных в целях аудита, обеспечения безопасности, предотвращения мошенничества.
Применение
В коммерческом секторе
Компании, работающие с персональными данными жителей США, обязаны соблюдать применимые законы. Это включает:
- Разработку и публикацию политики конфиденциальности.
- Внедрение механизмов для обработки запросов потребителей (например, формы на сайте, специальные email-адреса).
- Проведение регулярных аудитов безопасности данных.
- Обеспечение соответствия требованиям штатов, в которых проживают клиенты.
В государственном секторе
Федеральные агентства обязаны соблюдать Закон о конфиденциальности 1974 года, а также другие отраслевые законы. Это включает:
- Публикацию уведомлений о системах записей.
- Ограничение раскрытия данных без согласия.
- Проведение оценки воздействия на конфиденциальность для новых информационных систем.
В международном контексте
США участвуют в нескольких международных соглашениях, регулирующих трансграничную передачу данных:
- Privacy Shield (признан недействительным решением Суда ЕС в 2020 году) — был заменен Trans-Atlantic Data Privacy Framework (2023 год), который предусматривает механизмы защиты данных при передаче из ЕС в США.
- APEC Privacy Framework — добровольные принципы защиты данных для стран Азиатско-Тихоокеанского региона, к которым присоединились США.
Критика
Отсутствие единого федерального закона
Основной критикой системы защиты конфиденциальности в США является отсутствие всеобъемлющего федерального закона, аналогичного GDPR. Это приводит к фрагментации регулирования, когда компании обязаны соблюдать разные требования в разных штатах, что увеличивает издержки и создает правовую неопределенность.
Недостаточная защита прав потребителей
Критики отмечают, что многие законы (например, CCPA) содержат исключения, которые позволяют компаниям продолжать сбор и использование данных без согласия. Например, CCPA не требует получения согласия на сбор данных, а только предоставляет право на отказ от продажи. Кроме того, законы часто не распространяются на данные, собранные в ходе трудовых отношений или в деловом контексте.
Проблемы правоприменения
Федеральная торговая комиссия (FTC) имеет ограниченные ресурсы для расследования нарушений, а штрафы за нарушения часто несоразмерны масштабу ущерба. Например, максимальный штраф за нарушение CCPA составляет 7500 долларов за одно нарушение, что для крупных технологических компаний может быть незначительной суммой.
Влияние на малый бизнес
Небольшие компании часто не имеют ресурсов для соблюдения сложных требований законов штатов, что может приводить к непреднамеренным нарушениям. Это создает неравные условия конкуренции между крупными и малыми предприятиями.
Источники
- Privacy Act of 1974, 5 U.S.C. § 552a.
- California Consumer Privacy Act (CCPA), Cal. Civ. Code § 1798.100 et seq.
- California Privacy Rights Act (CPRA), Cal. Civ. Code § 1798.100 et seq.
- Health Insurance Portability and Accountability Act (HIPAA), Pub. L. No. 104-191.
- Gramm-Leach-Bliley Act (GLBA), 15 U.S.C. §§ 6801-6809.
- Fair Credit Reporting Act (FCRA), 15 U.S.C. § 1681 et seq.
- Children's Online Privacy Protection Act (COPPA), 15 U.S.C. §§ 6501-6506.
- Electronic Communications Privacy Act (ECPA), 18 U.S.C. §§ 2510-2522.
- Federal Trade Commission Act, 15 U.S.C. § 45.
- Daniel J. Solove, Paul M. Schwartz. Information Privacy Law. Wolters Kluwer, 2020.
- Woodrow Hartzog. Privacy's Blueprint: The Battle to Control the Design of New Technologies. Harvard University Press, 2018.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →