Уважаемый читатель, данная статья задумывалась как обзор режимов защиты персональных данных в разных странах мира, включая Россию. У меня не было цели объять необъятное и сделать обзор режима защиты персональных данных во всех странах, поэтому здесь можно увидеть информацию только о режимах защиты персональных данных в странах, где сделаны существенные шаги для развития этого направления информационной безопасности.
Для кого эта статья?
Если вы работаете или интересуетесь информационной безопасностью в широком смысле, прошу читать далее, если же вам не интересны законодательные и организационные вопросы по защите информации (можно читать бумажные), то эта статья не будет вам интересна.
Критерии
А теперь рассмотрим критерии, по которым будет производить сравнение режимов защиты персональных данных разных стран. Данный список критериев был выбран мной в результате анализа как зарубежных нормативных документов по защите персональных данных, так и аналитических исследований режимов защиты персональных данных. В дальнейшем мы будем сравнивать режимы защиты персональных данных по следующим критериям:
• Регулирование правил защиты персональных данных на федеральном или региональном уровне;
• Наличие технических и / или организационных требований к защите;
• Наличие регулирования защиты биометрических персональных данных;
• Наличие органа власти по контролю за соблюдением требований по защите персональных данных;
• Регистрация баз и ИС персональных данных;
• Требование об оповещении о утечках персональных данных.
В данной работе будут рассмотрены режимы защиты персональных данных в следующих странах
1. Австралия
2. Канада
3. Китай
4. Франция
5. Германия
6. Индонезия
7. Россия
8. США
9. Япония
Данный список стран был выбран исходя из принципа новизны, т.е. если в режиме защиты персональных данных какой-либо страны присутствует новые интересные подходы к защите, то они были включены в список, для стран в которых подход к защите типовой рассматривалась одна из стран, например, для стран Европы рассмотрены только 2-е страны, т.к. подход к защите в остальных странах подобен. Также не рассмотрены страны, в которых режим защиты персональных данных практически отсутствует.
По тексту можно встретить следующие сокращения:
ПДн – персональные данные.
ИС – информационные системы.
Таблица сравнения режимов защиты персональных данных разных стран
Страна | Основные нормативные документы на федеральном и/или региональном уровне | Технические и организационные требования | Защита биометрических ПДн | Орган по контролю за защитой ПДн | Регистрация баз и ИС ПДн | Оповещение об утечках |
---|---|---|---|---|---|---|
Австралия | Есть регулирование как на федеральном, так и не региональном уровнях. Федеральный документ: • The Federal Privacy Act 1988. • The Privacy Amendment (Enhancing Privacy Protection) Act 2012. Региональные документы: • Information Act 2002 (Northern Territory). • Privacy and Personal Information Protection Act 1998 (New South Wales). • Information Privacy Act 2009 (Queensland). • Personal Information and Protection Act 2004 (Tasmania). • Information Privacy Act 2000 (Victoria). |
Организации должны предпринимать необходимые шаги для защиты данных от несанкционированного доступа и нарушений политик обработки. | В последнем документе от 2012 года есть специализированные требования к биометрической защите. | The Office of the Australian Information Commissionerю | Нет требований к регистрации баз. | Нет требований по оповещению об утечках. |
Канада | Есть регулирование как на федеральном, так и не региональном уровнях. Основные документы: • Personal Information Protection and Electronic Documents Act (“PIPEDA”); • Personal Information Protection Act (“PIPA Alberta”); • Personal Information Protection Act (“PIPA BC”); • An Act Respecting the Protection of Personal Information in the Private Sector • (“Quebec Privacy Act”). |
Организации должны предпринимать необходимые шаги для защиты данных, включая технические меры, от несанкционированного доступа и нарушений политик обработки. | Нет специализированных требований к биометрической защите ПДн. | В каждом регионе присутствует свой орган по контролю: • Office of the Privacy Commissioner of Canada (PIPEDA); • Office of the Information and Privacy Commissioner of Alberta (PIPA Alberta); • Office of the Information and Privacy Commissioner for British Columbia (PIPA BC); • Commission d’accès à l’information du Québec (Quebec Privacy Act). |
Нет требований к регистрации баз. | Организации должны сообщить о произошедших утечках ПДн только в Альберте. Для других областей планируется введение подобных требований. |
Китай | Нет единой системы документов по защите персональных данных. Требования разбросаны по разнообразным документам и ни в одном из них нет четкого определения персональных данных. | Организации должны предпринимать необходимые шаги для защиты данных, от несанкционированного доступа и нарушений политик обработки. | Нет специализированных требований к биометрической защите ПДн. | Нет специализированного органа по защите ПДн. | Нет требований к регистрации баз. | Нет требований по оповещению об утечках. |
Франция | Регулирование на федеральном уровне: • Law No. 78 17 of 6 January 1978 on “Information Technology, Data Files and Civil Liberty”. • The EU Data Protection Directive 95/46/EC was implemented via Law No. 2004 8021 of 6 August 2004. |
Организации должны предпринимать необходимые шаги для защиты данных, от несанкционированного доступа и нарушений политик обработки. | Нет специализированных требований к биометрической защите ПДн. | Commission Nationale de l’Informatique et des Libertés (CNIL) | Необходима уведомление контролирующего органа до начала обработки ПДн. | Нет требований по оповещению об утечках. |
Германия | Регулирование на федеральном уровне: Европейская деректива 95/46/EC реализована в Federal Data Protection Act (Bundesdatenschutzgesetz in German) (“BDSG”). На региональном уровне присутствуют законы по защите персональных данных в каждом штате. |
Организации должны предпринимать необходимые шаги для защиты данных, от несанкционированного доступа и нарушений политик обработки. | Нет специализированных требований к биометрической защите ПДн. | В каждом штате присутствует свой контролирующий орган. | В отличии от других европейских стран не требуется регистрации или уведомления обработки ПДн. | Есть требования по оповещению об утечках в некоторых случаях. |
Индонезия | Регулирование на федеральном уровне: • Law No. 11 of 2008 regarding Electronic Information and Transaction (the “EIT Law”). • Government Regulation No. 82 of 2012 regarding Provision of Electronic System and Transaction (“Reg. 82”). |
Организации должны предпринимать необходимые шаги для защиты данных, от несанкционированного доступа и нарушений политик обработки. | Нет специализированных требований к биометрической защите ПДн. | Нет специализированного органа по защите ПДн. | Нет требований к регистрации или уведомления обработки ПДн. | Необходимо уведомлять о произошедших утечках ПДн. |
Россия | Регулирование на федеральном уровне: • Федеральный закон от 19 декабря 2005 г. N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». • Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (27 июля 2006 г.). • Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». • Несколько подзаконных актов, включая: Постановления Правительства РФ, Указы Президента, и нормативные акты отдельных ведомств. |
Организации должны предпринимать необходимые шаги для защиты данных, от несанкционированного доступа и нарушений политик обработки. Также на законодательном уровне закреплены минимальные требования по защите информации. | Есть требования к обработке биометрических ПДн, закреплённые в постановлении правительства РФ. | Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) | Необходимо регистрироваться в реестре операторов до начала обработки ПДн. | Нет требований по оповещению об утечках. |
США | Нет централизованного законодательства по защите персональных данных на федеральном уровне. Существуют разные законодательные акты в разных штатах, и в разных ведомствах. |
Организации должны предпринимать необходимые шаги для защиты данных, от несанкционированного доступа и нарушений политик обработки. В некоторых штатах также на законодательном уровне закреплены минимальные требования по защите информации. | Нет специализированных требований к биометрической защите ПДн. | Нет единого органа по защите ПДн. Но для многих случаев Federal Trade Commission (“FTC”) является контролирующим органом. | Нет требований к регистрации или уведомления обработки ПДн. | Необходимо уведомлять о произошедших утечках ПДн. |
Япония | Регулирование на федеральном уровне: • Act on the Protection of Personal Information (“APPI”). • На уровне ведомств присутствуют рекомендации по выполнению APPI. |
Организации должны предпринимать необходимые шаги для защиты данных, от несанкционированного доступа и нарушений политик обработки. На уровне отдельных ведомств разработаны рекомендации по обеспечению защиты. | Нет специализированных требований к биометрической защите ПДн. | Нет единого органа по контролю защиты ПДн, но в ведомствах присутствует свой контролирующий орган. | Нет требований к регистрации или уведомления обработки ПДн. | Для большинства ведомств присутствует требование по уведомлению о произошедших утечках ПДн. |
Исходя из сравнения информации из таблицы можно сделать вывод, что в нашей стране достаточно развито регулирование вопросов защиты персональных данных. Конечно, есть замечания, например, отсутствие регулирования оповещения о произошедших утечках персональных данных, жесткий список минимальных требований по защите.
Но в целом нужно признать старания нашего государства в создания цельной системы по защите персональных данных в стране. Конечно, появляется вопрос об эффективности этой системы, но это уже отдельная тема.
В данной работе использовалась следующая литература (документы могут быть интересны тем, кто хочет самостоятельно ознакомиться с требованиями по защите ПДн в разных странах):
1. Report of the Data Protection Review Group. 2010. Data Protection Commissioner.
2. Data Protection Laws of the world. 2013. DLA PIPER.
3. Overview of the world’s main privacy and personal data protection regimes. 2010. Sisyphos.
4. Review of the European Data Protection Directive. 2009. RAND Corporation.
5. Тексты самих стандартов по защите персональных данных.