stringtranslate.com

FTC честная информационная практика

Принципы добросовестной информационной практики Комиссии США (FIPP) представляют собой руководящие принципы, которые представляют собой широко принятые концепции, касающиеся добросовестной информационной практики на электронном рынке. [1]

Введение

Принципы добросовестной информационной практики FTC являются результатом расследования комиссии относительно того, как онлайн-субъекты собирают и используют личную информацию, а также мер безопасности, гарантирующих добросовестность практики и адекватную защиту конфиденциальности информации . [2] FTC изучает вопросы конфиденциальности в Интернете с 1995 года, и в своем отчете за 1998 год [3] Комиссия описала широко признанные принципы добросовестной информационной практики уведомления, выбора, доступа и безопасности . [1] Комиссия также определила правоприменение , использование надежного механизма для предоставления санкций за несоблюдение, как критически важный компонент любой правительственной или саморегулируемой программы по защите конфиденциальности в Интернете. [1] [4]

История и развитие

Справедливая информационная практика была первоначально предложена и названа [5] Консультативным комитетом секретаря США по автоматизированным системам персональных данных в отчете 1973 года « Записи, компьютеры и права граждан» , [6] выпущенном в ответ на растущее использование автоматизированных систем данных, содержащих информацию о людях. Центральным вкладом Консультативного комитета была разработка кодекса справедливой информационной практики для автоматизированных систем персональных данных. Комиссия по изучению защиты конфиденциальности также могла внести свой вклад в разработку принципов FIP в своем отчете 1977 года « Персональная конфиденциальность в информационном обществе» . [7]

По мере того, как законы о конфиденциальности распространялись на другие страны Европы, международные институты занялись конфиденциальностью, уделяя особое внимание международным последствиям регулирования конфиденциальности. В 1980 году Совет Европы принял Конвенцию о защите лиц в связи с автоматической обработкой персональных данных . [8] В то же время Организация экономического сотрудничества и развития (ОЭСР) предложила аналогичные руководящие принципы конфиденциальности в Руководящих принципах ОЭСР по защите конфиденциальности и трансграничных потоках персональных данных. [9] Руководящие принципы ОЭСР, Конвенция Совета Европы и Директива Европейского союза о защите данных [10] опирались на FIP как на основные принципы. Все три организации пересмотрели и расширили первоначальное заявление США о FIP, при этом Руководящие принципы ОЭСР по конфиденциальности стали версией, наиболее часто цитируемой в последующие годы. [11]

Принципы

Основными принципами конфиденциальности, рассматриваемыми в настоящих принципах, являются:

1. Уведомление/Осведомленность [12] Потребители должны быть уведомлены о методах работы с информацией организации до того, как у них будет собрана какая-либо персональная информация . [12] Это требует, чтобы компании явно уведомляли о некоторых или всех из следующих моментов:

2. Выбор/Согласие [13] Выбор и согласие в смысле сбора информации в режиме онлайн означают предоставление потребителям возможности контролировать, как используются их данные. В частности, выбор относится к вторичному использованию информации, выходящему за рамки непосредственных потребностей сборщика информации для завершения транзакции потребителя. Два типичных типа моделей выбора — «opt-in» или «opt-out». Метод «opt-in» требует, чтобы потребители утвердительно дали разрешение на использование своей информации в других целях. Без принятия потребителем этих утвердительных шагов в системе «opt-in» сборщик информации предполагает, что он не может использовать информацию в других целях. Метод «opt-out» требует, чтобы потребители утвердительно отклонили разрешение на другие виды использования. Без принятия потребителем этих утвердительных шагов в системе «opt-out» сборщик информации предполагает, что он может использовать информацию потребителя в других целях. Каждая из этих систем может быть разработана таким образом, чтобы позволить отдельному потребителю адаптировать использование информации сборщиком информации в соответствии со своими предпочтениями, устанавливая флажки для предоставления или отклонения разрешения для определенных целей, а не используя простой метод «все или ничего». [13]

3. Доступ/Участие [14] Доступ, как он определен в Принципах честной информационной практики, включает не только возможность потребителя просматривать собранные данные, но также проверять и оспаривать их точность. Этот доступ должен быть недорогим и своевременным, чтобы быть полезным для потребителя. [14]

4. Целостность/Безопасность [15] Сборщики информации должны гарантировать, что собираемые ими данные являются точными и безопасными. Они могут улучшить целостность данных, ссылаясь на них только с авторитетными базами данных и предоставляя доступ потребителю для их проверки. Сборщики информации могут сохранять свои данные в безопасности, защищая их как от внутренних, так и от внешних угроз безопасности. Они могут ограничить доступ внутри своей компании только необходимым сотрудникам для защиты от внутренних угроз, и они могут использовать шифрование и другие компьютерные системы безопасности для остановки внешних угроз. [15]

5. Принудительное исполнение/возмещение ущерба [16] Для того чтобы компании следовали принципам честной информационной практики, должны быть меры принудительного исполнения. FTC определила три типа мер принудительного исполнения: саморегулирование сборщиками информации или назначенным регулирующим органом; частные средства правовой защиты, которые предоставляют гражданские основания для иска лицам, чья информация была неправомерно использована для подачи исков нарушителям; и государственное принуждение, которое может включать гражданские и уголовные санкции, налагаемые правительством. [16]

Обеспечение соблюдения принципов

В настоящее время версия FTC принципов честной информации представляет собой лишь рекомендации по поддержанию дружественных к конфиденциальности, ориентированных на потребителя методов сбора данных и не подлежит исполнению по закону. Исполнение и соблюдение этих принципов в основном осуществляется посредством саморегулирования. Однако FTC предприняла усилия по оценке отраслевых методов саморегулирования , [17] предоставляет рекомендации для отрасли по разработке информационных методов, [18] и использует свои полномочия в соответствии с Законом FTC для исполнения обещаний, данных корпорациями в их политике конфиденциальности. [19]

Поскольку инициативы саморегулирования не достигают идеальной реализации принципов (например, в отчете FTC 2000 года отмечалось, что инициативы саморегулирования не имеют значимых политик и практик мониторинга и обеспечения соблюдения), Комиссия рекомендует Конгрессу США принять законодательство, которое в сочетании с продолжающимися программами саморегулирования обеспечит адекватную защиту конфиденциальности потребителей в сети. [20] «Законодательство, рекомендованное Комиссией, установит базовый уровень защиты конфиденциальности для ориентированных на потребителя коммерческих веб-сайтов» и «установит базовые стандарты практики сбора информации в сети... ориентированные на потребителя коммерческие веб-сайты, которые собирают персональную идентификационную информацию от потребителей или о потребителях в сети... должны будут соответствовать четырем общепринятым принципам честной информационной практики». [11]

Однако принципы формируют основу многих отдельных законов как на федеральном, так и на государственном уровне — так называемый «секторальный подход». Примерами являются Закон о добросовестной кредитной отчетности , Закон о праве на финансовую конфиденциальность , Закон о конфиденциальности электронных коммуникаций , Закон о защите конфиденциальности видео (VPPA) и Закон о защите кабельного телевидения и конкуренции . [21] Кроме того, принципы продолжают служить моделью для защиты конфиденциальности в новых развивающихся областях, таких как разработка программ Smart Grid. [22]

Другие предложения относительно «честной информации»

Организация экономического сотрудничества и развития (ОЭСР) и Европейский союз , среди прочих, приняли более комплексные подходы к честной информационной практике. Принципы ОЭСР обеспечивают дополнительную защиту посредством принципа индивидуального участия , где предъявляются особые требования к доступу и изменению персонально собранной информации отдельным лицом, и принципа подотчетности (контролер данных должен нести ответственность за соблюдение мер, которые приводят в действие принципы, указанные выше). [23] [24]

Директива Европейского Союза о защите данных является еще одной моделью комплексной защиты конфиденциальности. [25] [26]

Критика принципов FTC

Некоторые ученые критикуют FIPP за то, что они менее всеобъемлющи по охвату, чем режимы конфиденциальности в других странах, в частности в Европейском Союзе и других странах ОЭСР. Кроме того, формулировка принципов FTC подверглась критике по сравнению с теми, которые были выпущены другими агентствами. Версия FTC 2000 года FIP короче и менее полна, чем принципы защиты конфиденциальности, выпущенные Управлением конфиденциальности Министерства внутренней безопасности в 2008 году, которые включают восемь принципов, тесно связанных с принципами ОЭСР. [21]

Некоторые в сообществе по защите конфиденциальности критикуют FIPPs за то, что они слишком слабы, допускают слишком много исключений, не требуют агентства по защите конфиденциальности, не учитывают слабости саморегулирования и не идут в ногу с информационными технологиями. [27] Многие эксперты по защите конфиденциальности призвали к принятию всеобъемлющего законодательства о защите конфиденциальности в США [28] вместо нынешнего сочетания саморегулирования и выборочной кодификации в определенных секторах. [29]

Критики с точки зрения бизнеса часто предпочитают ограничивать FIP сокращенными элементами уведомления, согласия и подотчетности. Они жалуются, что другие элементы неработоспособны, дороги или несовместимы с принципами открытости или свободы слова. [11]

Некоторые комментаторы утверждают, что потребители не имеют честного голоса в процессе согласия. Например, клиенты предоставляют свою медицинскую информацию, такую ​​как номер социального страхования или номер медицинской карты, при онлайн-записях на стоматологический осмотр. Клиентов обычно просят подписать соглашение, в котором говорится, что «третья сторона может иметь доступ к информации, которую вы предоставляете, при определенных условиях». Определенные условия редко указываются в какой-либо части соглашения. Позже третья сторона может поделиться информацией со своими дочерними учреждениями. Таким образом, доступ к личной информации клиентов находится вне их контроля. [30]

Смотрите также

Ссылки

  1. ^ abc Федеральная торговая комиссия, Принципы честной информационной практики. Архивировано 31 марта 2009 г., на Wayback Machine
  2. ^ "Конфиденциальность: от принципов к практике". Информация для потребителей . 2018-05-11 . Получено 2021-04-09 .
  3. Федеральная торговая комиссия, Конфиденциальность в Интернете: Отчет Конгрессу (июнь 1998 г.).
  4. ^ «Конфиденциальность в Интернете: честная информационная практика на электронном рынке: отчет Федеральной торговой комиссии Конгрессу». Федеральная торговая комиссия . 2000-05-01 . Получено 2020-12-13 .
  5. ^ Консультативный комитет секретаря США по автоматизированным системам персональных данных, записям, компьютерам и правам граждан , Глава IV: Рекомендуемые меры безопасности для административных систем персональных данных (1973).
  6. ^ Консультативный комитет секретаря США по автоматизированным системам персональных данных, записям, компьютерам и правам граждан (1973).
  7. Комиссия по изучению защиты конфиденциальности, Личная конфиденциальность в информационном обществе. Архивировано 27 ноября 2008 г. на Wayback Machine (июль 1977 г.).
  8. ^ Совет Европы, Конвенция о защите лиц в связи с автоматизированной обработкой персональных данных (28 января 1981 г.).
  9. ^ Организация экономического сотрудничества и развития (ОЭСР), Руководящие принципы ОЭСР по защите конфиденциальности и трансграничной передаче персональных данных (23 сентября 1980 г.).
  10. ^ Директива Европейского Союза о защите данных, Директива 95/46/EC http://docs.cpuc.ca.gov/published/proceedings/R0812009.htm Архивировано 11.03.2010 на Wayback Machine
  11. ^ abc Роберт Геллман, Справедливая информационная практика: базовая история (10 апреля 2017 г.).
  12. ^ abc Федеральная торговая комиссия, Принципы честной информационной практики (FIPs), 1. Уведомление/Осведомленность. Архивировано 9 марта 2010 г., на Wayback Machine
  13. ^ ab Федеральная торговая комиссия, Принципы честной информационной практики (FIPs), 2. Выбор/Согласие. Архивировано 9 марта 2010 г. на Wayback Machine
  14. ^ ab Федеральная торговая комиссия, Принципы честной информационной практики (FIPs), 3. Доступ/Участие. Архивировано 9 марта 2010 г. на Wayback Machine
  15. ^ ab Федеральная торговая комиссия, Принципы честной информационной практики (FIPs), 4. Целостность/безопасность. Архивировано 9 марта 2010 г., на Wayback Machine
  16. ^ ab Федеральная торговая комиссия, Принципы честной информационной практики (FIPs), 5. Исполнение/возмещение ущерба. Архивировано 9 марта 2010 г., на Wayback Machine
  17. ^ Руководящие принципы Ассоциации промышленности FTC http://www.ftc.gov/reports/privacy3/industry.shtm#Industry%20Association%20Guidelines%20A Архивировано 30 мая 2010 г. на Wayback Machine
  18. ^ Защита личной информации: руководство для бизнеса http://www.ftc.gov/infosecurity/
  19. ^ Обеспечение соблюдения обещаний конфиденциальности: Раздел 5 Закона FTC http://www.ftc.gov/privacy/privacyinitiatives/promises.html
  20. ^ Отчет FTC 2000 о конфиденциальности http://www.ftc.gov/reports/privacy2000/privacy2000.pdf
  21. ^ ab Министерство внутренней безопасности, Меморандум о руководстве по политике конфиденциальности (2008) (Номер меморандума 2008-1), https://www.dhs.gov/xlibrary/assets/privacy/privacy_policyguide_2008-01.pdf
  22. ^ Фонд Electronic Frontier и Центр демократии и технологий совместно подали в Комиссию по коммунальным услугам Калифорнии заявление относительно программы интеллектуальных сетей Калифорнии. http://www.cpuc.ca.gov/EFILE/CM/114696.pdf; https://www.eff.org/deeplinks/2010/03/new-smart-meters-energy-use-put-privacy-risk
  23. ^ Организация экономического сотрудничества и развития (ОЭСР), Руководящие принципы ОЭСР по защите конфиденциальности и трансграничных потоков персональных данных (23 сентября 1980 г.).http://www.oecd.org/document/18/0,3343,en_2649_34255_1815186_1_1_1_1,00.html
  24. ^ Пэм Диксон, Краткое введение в практику честной информации. Всемирный форум по вопросам конфиденциальности (5 июня 2006 г.).
  25. ^ Директива 95/46/EC Европейского парламента и Совета от 24 октября 1995 года о защите лиц в отношении обработки персональных данных и о свободном перемещении таких данных.
  26. ^ Спирос Симитис , От рынка к полису: Директива ЕС о защите персональных данных, 80 Iowa L. Rev. 445 (1995).
  27. ^ Annecharico, David (2002). «Онлайн-транзакции: согласование положений Закона Грэмма-Лича-Блайли о конфиденциальности с принципами добросовестной информационной практики Федеральной торговой комиссии». Банковский институт Северной Каролины . 6 : 637–664.
  28. ^ Пол М. Шварц, Конфиденциальность и демократия в киберпространстве, 52 Vand. L. Rev. 1609 (1999); Джоэл Р. Рейденберг, Восстановление конфиденциальности американцев в электронной коммерции, 14 Berkeley Tech. LJ 771 (1999).
  29. ^ Примерами являются Закон о добросовестной кредитной отчетности , Закон о праве на финансовую конфиденциальность , Закон о конфиденциальности электронных коммуникаций и Закон о защите конфиденциальности видео . Бет Гивенс, Обзор принципов добросовестной информации: Основы государственной политики конфиденциальности. Архивировано 08.04.2009 на Wayback Machine (опубликовано в 1997 г., обновлено в 2004 г.).
  30. ^ Tavani, HT & Bottis M. (2010, июнь). Процесс согласия в медицинских исследованиях с использованием банков данных ДНК: некоторые этические аспекты и проблемы. ACM SIGCAS Computers and Society, 40(2), 11-21. doi :10.1145/1839994.1839996

Внешние ссылки