В США законотворцы всех мастей «вспомнили» о защите персональных данных

Корпоративная мобильность
мобильная версия
, Текст: Елена Менькова / Фото: ru.depositphotos.com

В США заговорили о создании отраслевых стандартов по работе с персональными данными. Практически одновременно Администрация президента США и крупные сообщества, объединяющие интернет- и технологические корпорации, представили свое видение того, какие правила будут регулировать вопросы использования информации о пользователях.


Начало большой работы

Администрация президента США Дональда Трампа объявила о начале разработки «Руководства по конфиденциальности» (Privacy Framework), направленного на решение проблем, связанных с защитой персональных данных. Как сообщается в официальных материалах, эта работа обусловлена «все более усложняющейся и быстрорастущей средой», включая передовые технологии, такие как интернет вещей и искусственный интеллект.

Кроме этого указывается, что разработка федеральных стандартов конфиденциальности «следует за глобальными усилиями по обеспечению безопасности персональной информации», включая такие правовые акты как общий регламент ЕС по защите данных (GDPR) и калифорнийский закон «О защите данных интернет-пользователей» (CCPA). Но источники в прессе отмечают, что решение о формировании Privacy Framework появилось после серии грандиозных скандалов, связанных с масштабными утечками персональной информации. И в частности, самым громким из них стала история с британской компанией Cambridge Analytica, которая получила данные 87 млн пользователей Facebook.

Разработка «Руководства по конфиденциальности» будет вестись под руководством одного из подразделений Министерства торговли США – Национального института стандартов и технологий (NIST), у которого уже есть навыки в формировании наборов правил для сложных технологических систем. И в частности, ожидается, что в этой работе NIST будет опираться на опыт по созданию «Руководства по защите от киберугроз» (Cybersecurity Framework, CSF).

Удачный опыт и основа для новой модели

В феврале 2013 г. президент США Барак Обама подписал указ №13636, в котором среди прочего обязал NIST разработать «базовую модель защиты американских критических инфраструктур». Год спустя была опубликована первая версия Cybersecurity Framework. В процессе работы над этой моделью NIST активно сотрудничал с экспертным сообществом и коммерческими компаниями.

В основу «Руководства по защите от киберугроз» легла простая цель: предоставить общий язык, набор нормативов и легко выполнимую последовательность шагов для улучшения кибербезопасности, дать организациям возможность использования единого подхода для управления рисками ИБ, опираясь на уже существующие стандарты и передовой опыт. Для этого в Cybersecurity Framework предлагается целостный набор ориентиров, которые доступны всем участникам процесса: топ-менеджеры, руководители ИТ-отделов и специалисты в области информационной безопасности могут вести совместную работу по построению защиты от киберугроз.

При всех очевидных плюсах Privacy Framework, эксперты отмечают один немаловажный нюанс: для компаний использование этого руководства будет носить исключительно добровольный характер

В 2017 г. на обсуждение была вынесена новая версия этой модели. В том же году, после указа, подписанного Д. Трампом, использование «Руководства по защите от киберугроз» стало обязательным для всех федеральных структур США. Для бизнес-сообщества и неправительственных организаций применение Cybersecurity Framework носит добровольный характер. Но, согласно исследованию Gartner, спустя два года после публикации первой версии этого руководства, 30% процентов компаний заявили о том, что придерживаются его правил. Как ожидается, к 2020 г. этот показатель достигнет 50%.

Еще одно исследование, проведенное компанией Tenable Network Security, показало, что 70% опрошенных организаций рассматривают «Руководство по защите от киберугроз» NIST как лучшую практику в области информационной безопасности, но многие из них отмечают, что она требует значительных инвестиций. В связи с этим около 64% опрошенных используют Cybersecurity Framework частично, мотивируя это высокой стоимостью решения и отсутствием нормативного давления.

Эксперты отмечают, что к настоящему времени «Руководство по защите от киберугроз» NIST стало одним из стандартов отрасли, наряду с ISO/IEC 27000 и PCI DSS.

«Мы добились больших успехов при широком внедрении Cybersecurity Framework, и мы рассматриваем это как дополнительный ориентир при управлении рисками, связанными с персональными данными», – заявил Уолтер Копан (Walter Copan), заместитель министра торговли по стандартам и технологиям, директор NIST.

Что известно о новой инициативе

В то время как Cybersecurity Framework ориентирован на методы защиты информационной безопасности, платформа Privacy Framework будет нацелена на риски, связанные с конфиденциальными данными.

Как указывают в NIST, целью агентства является создание добровольной системы правил, позволяющей участникам отрасли лучше выявлять, оценивать, управлять и сообщать об угрозах, которым подвергаются персональные данные в процессе их сбора, хранения, использования и обмена между организациями. Разработчики также признают, что «Руководство по конфиденциальности» должно быть совместимо с существующими национальными и международными нормативными актами. Это, в свою очередь, поднимает важные вопросы регулирования процесса хранения и уничтожения пользовательских данных, а также другие сложные концепции в рамках существующих правовых режимов, таких как GDPR и CCPA.

Кроме этого, в процессе работы отдельное внимание будет уделено созданию набора правил и определений, описывающих эту модель. Они должны стать своего рода языком, который позволит найти взаимопонимание между участниками процесса.

«Цель NIST – разработать структуру, которая позволит преодолеть недопонимание между профессионалами в области конфиденциальности и руководителями высшего звена, с тем, чтобы организации могли эффективно реагировать на эти вызовы, не удушая инновации», – сообщила старший советник по политике конфиденциальности NIST Наоми Лефковитц (Naomi Lefkovitz).

Разработка «Руководства по конфиденциальности» будет вестись в открытом режиме, путем консультаций с профессиональным сообществом и представителями отрасли. Начало этой работы намечено на 16 октября, на открытой конференции, которая пройдет в Остине, Техас. Это мероприятие пройдет параллельно с ежегодной встречей Международной ассоциации профессионалов в области конфиденциальности.

При всех очевидных плюсах Privacy Framework, эксперты отмечают один немаловажный нюанс: уже сейчас заявляется, что использование этого руководства будет носить исключительно добровольный характер. Таким образом, компании и организации будут самостоятельно принимать решение, придерживаться ли этой модели защиты персональной информации или нет.

Большие игры лоббистов

Практически одновременно с заявлением администрации президента США и NIST о создании Privacy Framework, две отраслевые торговые группы независимо друг от друга опубликовали предложения о создании национальных правил, регулирующих использование персональных данных.

Так Internet Association (Интернет-ассоциация, IA) призвала к созданию собственной модели «Национального руководства по конфиденциальности» (National privacy framework). В своем пресс-релизе эта организация, в состав которой входят 40 интернет- и технологических гигантов, в том числе Facebook, Google, eBay и Amazon, заявила о поддержке уже существующего федерального законодательства о неприкосновенности частной жизни, которое «является последовательным по всей стране, пропорциональным, гибким и побуждает компании действовать в качестве хороших распорядителей конфиденциальной информацией, предоставляемой им отдельными лицами».

IA предлагает шесть основополагающих принципов конфиденциальности: прозрачность, контроль, доступ, коррекция, удаление. В частности, указывается, что физические лица должны иметь разумный доступ к личной информации, которую они предоставляют компаниям. Персональные данные могут обрабатываться, агрегироваться и анализироваться, чтобы позволить компаниям предоставлять необходимые услуги. Физические лица должны иметь возможность знать, передается ли персональная информация, которую они предоставляют, почему она передается и кто еще ее использует. Кроме этого, пользователи должны иметь возможность исправлять личную информацию в случае необходимости, а также запросить ее удаление, за исключением случаев, когда компании имеют законную потребность или юридическое обязательство в сохранении этих данных.

При этом эксперты указывают, что в рамках этой модели не упоминается о финансовых штрафах для компаний-нарушителей.

Вместе с тем, BSA / The software alliance, объединяющий три десятка компаний, таких как Microsoft, Apple, Intel, IBM и Oracle, также предложил собственную модель Privacy Framework, базирующуюся на 10 ключевых пунктах: прозрачность, спецификация цели, информированный выбор, качество данных, потребительский контроль, безопасность, содействие в использовании данных для легитимных деловых интересов, подотчетность, соблюдение правовых норм и правопорядка, возможность международного взаимодействия.

Аналитики отмечают, такая активность крупных игроков рынка не что иное, как явные признаки маневрирования со стороны лоббистов и торговых ассоциаций, для того чтобы иметь возможность влияния на то, каким будет профильное федеральное законодательство и, в частности, опередить то, насколько суровым оно будет с точки зрения наказания для компаний-нарушителей.

«Им не нужен эффективный надзор. Они не хотят регулировать свою деловую практику, что действительно необходимо, – сообщил прессе Джефф Честер (Jeff Chester), исполнительный директор Центра цифровой демократии (CDD). – Они будут работать за кулисами, чтобы сформировать законодательство, которое не будет защищать американцев от того, чтобы все их данные регулярно собирались и использовались этими цифровыми гигантами. Они рассматривают федеральный закон как возможность упредить более сильные правила».

26 сентября в Комитете по торговле, науке и транспорту Конгресса США прошли слушания, в рамках которых выступили представители шести американских технологических компаний с докладом о том, как они защищают данные своих пользователей. На встрече присутствовали топ-менеджеры AT&T, Twitter, Alphabet (материнской компании Google), Amazon, Apple и Charter Communications.

Как указывает американская пресса, эти слушания проходят в рамках разработки национального законодательства о конфиденциальности в интернете, которую ведет Конгресс США. Согласно информации опубликованной на сайте Комитета по торговле, сенаторы также ожидали от компаний объяснений, «что Конгресс может сделать для обеспечения четких ожиданий в отношении конфиденциальности без ущерба для инноваций».