Политика конфиденц.

Политика конфиденциальности — это заявление или юридический документ (в праве о приватности), раскрывающий способы сбора, использования, раскрытия и управления данными клиента или пользователя.[1] Персональные данные — любая информация, по которой можно идентифицировать человека: имя, адрес, дата рождения, семейное положение, контакты, данные документов, финансовые и кредитные сведения, медицинская история, маршруты поездок и намерения приобрести товары или услуги.[2] Для бизнеса это обычно декларация о том, какие данные собираются, хранятся ли они конфиденциально, передаются партнёрам или продаются другим компаниям.[3][4] Политики приватности обычно более общие, в отличие от детализированных заявлений об использовании данных.

Содержание конкретной политики зависит от применимого законодательства и может учитывать требования разных юрисдикций. В большинстве стран есть свои законы о том, кого они охватывают, какие данные можно собирать и для чего их использовать. В Европе законы о защите данных распространяются и на частный, и на государственный сектор — на госоперации и на коммерческие сделки.

В 1995 году Европейский союз (ЕС) принял Директиву о защите данных[6] для государств-членов. Многие организации, работающие в ЕС, начали готовить политики для соответствия этой директиве. В том же году Федеральная торговая комиссия США (FTC) опубликовала принципы Fair Information Principles[7] — нормы для коммерческого использования персональной информации. Хотя они не обязывали к политикам напрямую, они задали направление развития практик их составления.

В США нет единого федерального закона, обязывающего внедрять политики конфиденциальности повсеместно. Конгресс неоднократно рассматривал комплексные законы о сборе данных в интернете, но ни один не был принят. В 2001 году FTC заявила о предпочтении «большего правоприменения, а не большего числа законов»[10] и поддержке саморегулирования отрасли.

Во многих случаях FTC обеспечивает соблюдение политик конфиденциальности как обещаний потребителям по полномочиям Section 5 FTC Act, запрещающей несправедливые или вводящие в заблуждение маркетинговые практики.[11] Полномочия FTC ограничены в отдельных сферах: авиакомпании — FAA[12], сотовые операторы — FCC[13].

Иногда частные лица добиваются соблюдения политик через коллективные иски, что может приводить к соглашениям или решениям суда. Однако такие иски часто невозможны из-за арбитражных оговорок в политиках конфиденциальности или других пользовательских соглашениях.[14]

Хотя единого общего закона нет, отдельные федеральные акты регулируют политики конфиденциальности в конкретных ситуациях, например:

• Закон о защите конфиденциальности детей в интернете (COPPA)[15] касается сайтов, собирающих данные о детях младше 13 лет.[16] Такие сайты должны публиковать политику конфиденциальности и соблюдать ограничения на обмен информацией.[17] COPPA включает «safe harbor» для саморегулирования отрасли.[18]
• Закон Грамма — Лича — Блайли[19] требует от финансовых организаций «ясных, заметных и точных» заявлений о практиках обмена информацией и ограничивает использование финансовых данных.[21]
• Правила HIPAA[22] требуют письменного уведомления о практиках конфиденциальности медицинских услуг, в том числе электронных.[23]
• Закон Калифорнии о конфиденциальности потребителей (CCPA) даёт потребителям больше контроля над персональными данными, которые собирают бизнесы; регламенты CCPA описывают реализацию.[24]
• California Privacy Rights Act of 2020 (CPRA) расширяет обязательства по приватности и информационной безопасности для большинства работодателей в Калифорнии.[25]

Некоторые штаты ввели более строгие правила. California Online Privacy Protection Act of 2003 (разделы 22575–22579 Кодекса о бизнесе и профессиях) обязывает коммерческие сайты и онлайн-сервисы, собирающие данные жителей Калифорнии, заметно публиковать политику конфиденциальности.[26] Небраска и Пенсильвания трактуют вводящие в заблуждение заявления в политиках как недобросовестную или мошенническую деловую практику.[27]

Право на приватность в Европе хорошо развито. Все государства-члены ЕС также подписали Европейскую конвенцию о правах человека (ЕКПЧ). Статья 8 ЕКПЧ гарантирует право на уважение «частной и семейной жизни, жилища и переписки» с оговорками. Европейский суд по правам человека дал этой статье широкое толкование в своей практике.[30]

В 1980 году OECD выпустила «Рекомендации Совета по руководящим принципам защиты приватности и трансграничных потоков персональных данных»[31] для комплексной системы защиты данных в Европе. Семь принципов OECD:

1. Уведомление — субъекты данных должны быть уведомлены о сборе;
2. Цель — данные используются только для заявленной цели;
3. Согласие — данные не раскрываются без согласия субъекта;
4. Безопасность — собранные данные защищены от злоупотреблений;
5. Раскрытие — субъекты информируются, кто собирает данные;
6. Доступ — субъекты могут получить доступ к данным и исправить неточности;
7. Подотчётность — субъекты могут привлечь сборщиков к ответственности за несоблюдение принципов.[32]

Рекомендации OECD были необязательными, и законы о приватности в Европе сильно различались. США поддержали рекомендации, но не внедрили их внутри страны.[32] Все семь принципов были включены в директиву ЕС.[32]

В 1995 году ЕС принял Директиву о защите данных, регулирующую обработку персональных данных в ЕС. Стандарты должны соблюдать не только бизнес в ЕС, но и организации, передающие данные граждан ЕС. В 2001 году Министерство торговли США обеспечило соответствие программы Safe Harbor.[33] FTC одобрила ряд американских провайдеров для сертификации. С 2010 года Safe Harbor критикуют, в том числе немецкие уполномоченные по защите данных.[34]

С 25 мая 2018 года Директива заменена Общим регламентом по защите данных (GDPR), унифицирующим правила приватности во всех странах ЕС. GDPR ужесточает требования к сбору персональных данных граждан ЕС, включая более краткие и прозрачные политики конфиденциальности. Контролёры данных должны обеспечивать переносимость данных в общем формате и удаление в определённых случаях.[35][36]