Политика конфиденциальности — это заявление или юридический документ (в законе о конфиденциальности), который раскрывает некоторые или все способы, которыми сторона собирает, использует, раскрывает и управляет данными клиента или клиента. [1] Персональной информацией может быть все, что может быть использовано для идентификации человека, не ограничиваясь именем человека, адресом, датой рождения, семейным положением, контактной информацией, выдачей удостоверения личности и датой истечения срока его действия, финансовыми отчетами, кредитной информацией, медицинской информацией. история, куда человек путешествует, и намерения приобретать товары и услуги. [2] В случае бизнеса это часто заявление, в котором объявляется политика стороны в отношении того, как она собирает, хранит и публикует собираемую личную информацию. Он информирует клиента, какая конкретная информация собирается и сохраняется ли она конфиденциальной, передается ли она партнерам или продается другим фирмам или предприятиям. [3] [4] Политики конфиденциальности обычно представляют собой более широкий и обобщенный подход, в отличие от заявлений об использовании данных, которые, как правило, более подробны и конкретны.
Точное содержание определенной политики конфиденциальности будет зависеть от применимого законодательства и, возможно, должно учитывать требования, выходящие за пределы географических границ и юридических юрисдикций. В большинстве стран есть собственное законодательство и инструкции относительно того, на кого распространяется страхование, какую информацию можно собирать и для чего ее можно использовать. В целом законы о защите данных в Европе охватывают как частный, так и государственный сектор. Их законы о конфиденциальности применяются не только к государственным операциям, но также к частным предприятиям и коммерческим сделкам.
Кодекс бизнеса и профессий Калифорнии, Требования конфиденциальности в Интернете (CalOPPA) требуют, чтобы веб-сайты, собирающие личную информацию () от жителей Калифорнии, должны явно публиковать свою политику конфиденциальности. [5] x (см. также Закон о защите конфиденциальности в Интернете)
В 1968 году Совет Европы начал изучать влияние технологий на права человека , признавая новые угрозы, создаваемые компьютерными технологиями, которые могут связывать и передавать информацию способами, ранее не широко доступными. В 1969 году Организация экономического сотрудничества и развития (ОЭСР) начала изучать последствия утечки личной информации из страны. Все это побудило совет рекомендовать разработать политику защиты персональных данных, хранящихся как в частном, так и в государственном секторах, что привело к принятию Конвенции 108. В 1981 году была принята Конвенция о защите частных лиц в отношении автоматической обработки персональных данных (Конвенция 108). был представлен. Одним из первых когда-либо принятых законов о конфиденциальности был Шведский закон о данных в 1973 году, за ним последовали Западногерманский закон о защите данных в 1977 году и французский закон об информатике, банках данных и свободах в 1978 году. [6]
В Соединенных Штатах обеспокоенность по поводу политики конфиденциальности, начавшаяся примерно в конце 1960-х и 1970-х годах, привела к принятию Закона о справедливой кредитной отчетности . Хотя этот закон не был задуман как закон о конфиденциальности, он дал потребителям возможность проверить свою кредитную историю и исправить ошибки. Он также наложил ограничения на использование информации в кредитных записях. Несколько исследовательских групп Конгресса в конце 1960-х годов изучали растущую легкость, с которой можно было автоматически собирать личную информацию и сопоставлять ее с другой информацией. Одной из таких групп был консультативный комитет Министерства здравоохранения и социальных служб США , который в 1973 году разработал кодекс принципов, получивший название «Практика справедливой информации». Работа консультативного комитета привела к принятию Закона о конфиденциальности в 1974 году. Соединенные Штаты подписали руководящие принципы Организации экономического сотрудничества и развития в 1980 году. [6]
В Канаде в 1977 году в соответствии с Законом о правах человека Канады был учрежден Комиссар по конфиденциальности . В 1982 году назначение Комиссара по конфиденциальности стало частью нового Закона о конфиденциальности. Канада подписала руководящие принципы ОЭСР в 1984 году. [6]
Существуют существенные различия между законами ЕС о защите данных и законами США о конфиденциальности данных. Этим стандартам должны соответствовать не только предприятия, работающие в ЕС, но и любая организация, которая передает личную информацию, собранную о гражданах ЕС. В 2001 году Министерство торговли США работало над обеспечением соблюдения законодательства американскими организациями в рамках добровольной программы Safe Harbor. Федеральная торговая комиссия утвердила eTRUST для сертификации упрощенного соблюдения «Безопасной гавани» США и ЕС.
В 1995 году Европейский Союз (ЕС) принял Директиву о защите данных [7] для своих государств-членов. В результате многие организации, ведущие бизнес в ЕС, начали разрабатывать политику соответствия этой Директиве. В том же году Федеральная торговая комиссия США (FTC) опубликовала «Принципы добросовестной информации» [8] , которые предоставили набор необязательных руководящих принципов коммерческого использования личной информации . Хотя эти принципы и не устанавливали обязательную политику, они служили руководством для решения растущих проблем относительно того, как разрабатывать политику конфиденциальности.
В Соединенных Штатах нет специального федерального постановления, устанавливающего универсальное применение политики конфиденциальности. Конгресс время от времени рассматривал всеобъемлющие законы, регулирующие сбор информации в Интернете, такие как Закон о повышении конфиденциальности потребителей в Интернете [9] и Закон о защите конфиденциальности в Интернете 2001 года, [10] , но ни один из них не был принят. В 2001 году Федеральная торговая комиссия заявила, что отдает предпочтение «большему обеспечению соблюдения законов, а не большему количеству законов» [11] и призвала продолжать уделять внимание саморегулированию отрасли .
Во многих случаях Федеральная торговая комиссия обеспечивает соблюдение условий политики конфиденциальности как обещаний, данных потребителям, используя полномочия, предоставленные разделом 5 Закона о Федеральной торговой комиссии , который запрещает недобросовестную или вводящую в заблуждение маркетинговую практику. [12] Полномочия Федеральной торговой комиссии в некоторых случаях ограничены законом; например, авиакомпании находятся в ведении Федерального авиационного управления (FAA), [13] а операторы сотовой связи находятся в ведении Федеральной комиссии по связи (FCC). [14]
В некоторых случаях частные стороны обеспечивают соблюдение условий политики конфиденциальности путем подачи коллективных исков, которые могут привести к урегулированию споров или судебным решениям. Однако такие судебные иски часто невозможны из-за арбитражных оговорок в политике конфиденциальности или других соглашениях об условиях обслуживания . [ нужна цитата ]
Хотя общеприменимых законов не существует, некоторые федеральные законы регулируют политику конфиденциальности в конкретных обстоятельствах, например:
Некоторые штаты ввели более строгие правила политики конфиденциальности. Закон штата Калифорния о защите конфиденциальности в Интернете от 2003 года – разделы 22575–22579 Кодекса предпринимательства и профессий требуют, чтобы «любые коммерческие веб-сайты или онлайн-сервисы, которые собирают личную информацию о жителях Калифорнии через веб-сайт, открыто размещали на сайте политику конфиденциальности». [26] И в Небраске, и в Пенсильвании действуют законы, рассматривающие вводящие в заблуждение заявления в политике конфиденциальности, опубликованные на веб-сайтах, как вводящие в заблуждение или мошеннические методы ведения бизнеса. [27]
Федеральный закон Канады о конфиденциальности , применимый к частному сектору, официально называется Законом о защите личной информации и электронных документов (PIPEDA). Целью закона является установление правил, регулирующих сбор, использование и раскрытие личной информации коммерческими организациями. Организации разрешается собирать, раскрывать и использовать тот объем информации, который разумный человек сочтет целесообразным в данных обстоятельствах. [28]
Закон назначает комиссара по вопросам конфиденциальности Канады омбудсменом для рассмотрения любых жалоб, поданных против организаций. Комиссар работает над решением проблем путем добровольного соблюдения требований, а не жесткого принуждения. Комиссар расследует жалобы, проводит проверки, повышает осведомленность и проводит исследования по вопросам конфиденциальности. [29]
Право на неприкосновенность частной жизни является высокоразвитой областью права в Европе. Все государства-члены Европейского Союза (ЕС) также подписали Европейскую конвенцию по правам человека (ЕКПЧ). Статья 8 ЕКПЧ предусматривает право на уважение «частной и семейной жизни, жилища и корреспонденции» с некоторыми ограничениями. Европейский суд по правам человека в своей судебной практике дал этой статье очень широкое толкование. [30]
В 1980 году, стремясь создать комплексную систему защиты данных по всей Европе, Организация экономического сотрудничества и развития (ОЭСР) опубликовала «Рекомендации Совета относительно руководящих принципов, регулирующих защиту конфиденциальности и трансграничных потоков персональных данных». ". [31] Семью принципами, регулирующими рекомендации ОЭСР по защите персональных данных, были:
Однако руководящие принципы ОЭСР не имели обязательной силы, а законы о конфиденциальности данных по-прежнему сильно различались по всей Европе. США, хотя и поддержали рекомендации ОЭСР , ничего не сделали для их реализации внутри Соединенных Штатов. [32] Однако все семь принципов были включены в Директиву ЕС. [32]
В 1995 году ЕС принял Директиву о защите данных , которая регулирует обработку персональных данных на территории ЕС. Существовали существенные различия между законами ЕС о защите данных и эквивалентными законами США о конфиденциальности данных. Этим стандартам должны соответствовать не только предприятия, работающие в ЕС, но и любая организация, которая передает личную информацию, собранную о гражданине ЕС. В 2001 году Министерство торговли США работало над обеспечением соблюдения законодательства американскими организациями в рамках добровольной программы Safe Harbor . [33] Федеральная торговая комиссия одобрила ряд поставщиков услуг в США для сертификации соответствия требованиям «Безопасной гавани» США-ЕС. С 2010 года Safe Harbor подвергается критике, особенно со стороны немецких публично назначенных защитников конфиденциальности, поскольку желание Федеральной торговой комиссии утвердить определенные правила не было реализовано должным образом даже после выявления дисгармоний. [34]
С 25 мая 2018 года Директива о защите данных заменяется Общим регламентом защиты данных (GDPR), который гармонизирует правила конфиденциальности во всех государствах-членах ЕС. GDPR налагает более строгие правила на сбор личной информации, принадлежащей субъектам данных ЕС, включая требование, чтобы политика конфиденциальности была более краткой, четко сформулированной и прозрачной при раскрытии любого сбора, обработки, хранения или передачи личной информации . информация . Контроллеры данных также должны предоставить возможность переноса своих данных в общий формат и их удаления при определенных обстоятельствах. [35] [36]
Закон о конфиденциальности 1988 года обеспечивает правовую основу конфиденциальности в Австралии. [37] Он включает ряд национальных принципов конфиденциальности. [38] Закон о конфиденциальности содержит тринадцать принципов конфиденциальности. [39] Он контролирует и регулирует сбор, использование и раскрытие частной информации людей, определяет, кто несет ответственность в случае нарушения, а также права отдельных лиц на доступ к своей информации. [39]
Закон об информационных технологиях (поправка) 2008 года внес существенные изменения в Закон об информационных технологиях 2000 года , введя раздел 43A. В этом разделе предусмотрена компенсация в случае, если юридическое лицо проявляет халатность при внедрении и поддержании разумных методов и процедур обеспечения безопасности и тем самым причиняет неправомерные убытки или неправомерную выгоду любому лицу. Это применимо, когда юридическое лицо владеет, имеет дело или обрабатывает любые конфиденциальные персональные данные или информацию в компьютерном ресурсе, которым оно владеет, контролирует или управляет.
В 2011 году правительство Индии ввело «Правила информационных технологий (разумные методы и процедуры обеспечения безопасности и конфиденциальные персональные данные или информация) 2011 года» [40] , опубликовав их в Официальном вестнике. [41] Эти правила требуют от юридического лица предоставления политики конфиденциальности для обработки или обращения с личной информацией, включая конфиденциальные личные данные или информацию. [42] Такая политика конфиденциальности должна состоять из следующей информации в соответствии с правилами:
Политика конфиденциальности должна быть опубликована на веб-сайте юридического лица и доступна для просмотра поставщикам информации, предоставившим личную информацию в соответствии с законным договором.
Программы онлайн-сертификации или «печати» являются примером отраслевого саморегулирования политики конфиденциальности. Программы сертификации обычно требуют внедрения практики добросовестного использования информации, как это определено программой сертификации, и могут потребовать постоянного контроля за соблюдением требований. TRUSTARc (ранее TRUSTe), [43] первая программа онлайн-печати конфиденциальности, к 2007 году насчитывала более 1800 участников. [44] Другие программы онлайн-печати включают программу Trust Guard Privacy Verified, [45] eTrust , [46] и Webtrust . [47]
Некоторые веб-сайты также определяют свою политику конфиденциальности с использованием P3P или Ассоциации рейтинга интернет-контента (ICRA), что позволяет браузерам автоматически оценивать уровень конфиденциальности, предлагаемый сайтом, и разрешает доступ только в том случае, если правила конфиденциальности сайта соответствуют настройкам конфиденциальности пользователя. Однако эти технические решения не гарантируют, что веб-сайты действительно следуют заявленной политике конфиденциальности. Эти реализации также требуют от пользователей наличия минимального уровня технических знаний для настройки собственных настроек конфиденциальности браузера. [48] Эти автоматизированные политики конфиденциальности не пользовались популярностью ни у веб-сайтов, ни у их пользователей. [49] Чтобы уменьшить бремя интерпретации отдельных политик конфиденциальности, Йосанг, Фрич и Малер предложили многократно используемые сертифицированные политики, доступные на сервере политик. [50]
Многие критики критиковали эффективность и легитимность политики конфиденциальности, найденной в Интернете. Существуют опасения по поводу эффективности политики конфиденциальности, регулируемой отраслью. Например, в отчете Федеральной торговой комиссии за 2000 год «Конфиденциальность в Интернете: добросовестная информационная практика на электронном рынке» было обнаружено, что, хотя подавляющее большинство опрошенных веб-сайтов имели тот или иной способ раскрытия конфиденциальной информации, большинство из них не соответствовало стандарту, установленному в Принципах Федеральной торговой комиссии. Кроме того, многие организации оставляют за собой прямое право в одностороннем порядке изменять условия своей политики. В июне 2009 года веб-сайт EFF TOSback начал отслеживать такие изменения в 56 популярных интернет-сервисах, включая мониторинг политик конфиденциальности Amazon , Google и Facebook . [51]
Также возникают вопросы о том, понимают ли потребители политику конфиденциальности и помогают ли они принимать более обоснованные решения. В отчете Стэнфордской лаборатории убедительных технологий за 2002 год утверждалось, что визуальный дизайн веб-сайта имел большее влияние, чем политика конфиденциальности веб-сайта, когда потребители оценивали надежность веб-сайта. [52] Исследование, проведенное в 2007 году Университетом Карнеги-Меллон, показало, что «когда им не предоставляется важная информация о конфиденциальности...», потребители «…вероятно, совершат покупки у продавца по самой низкой цене, независимо от политики конфиденциальности этого сайта». [53] Однако то же исследование также показало, что, когда информация о правилах конфиденциальности представлена четко, потребители предпочитают розничных продавцов, которые лучше защищают их конфиденциальность, а некоторые готовы «платить больше, чтобы покупать на веб-сайтах, более защищающих конфиденциальность». Более того, исследование, проведенное в 2007 году в Калифорнийском университете в Беркли, показало, что «75% потребителей считают, что, если на сайте есть политика конфиденциальности, это означает, что он не будет передавать данные третьим лицам», путая существование политики конфиденциальности с обширная защита конфиденциальности. [54] Учитывая общий характер этого недоразумения, исследователь Джозеф Туроу заявил Федеральной торговой комиссии США , что термин «политика конфиденциальности», таким образом, представляет собой обманную торговую практику и что следует использовать альтернативную формулировку, например «как мы используем вашу информацию». вместо. [55]
Политика конфиденциальности, как правило, страдает недостатком точности, особенно по сравнению с новой формой Заявления об использовании данных. В то время как заявления о конфиденциальности предоставляют более общий обзор сбора и использования данных, заявления об использовании данных представляют собой гораздо более конкретный подход. В результате политика конфиденциальности может не соответствовать возросшему требованию прозрачности, которое обеспечивают заявления об использовании данных.
Критики также задаются вопросом, читают ли потребители вообще политику конфиденциальности или понимают ли они то, что читают. Исследование 2001 года, проведенное Privacy Leadership Initiative, показало, что только 3% потребителей внимательно читают политику конфиденциальности, а 64% бегло просматривают или никогда не читают политику конфиденциальности. [56] Среднестатистический пользователь веб-сайта, прочитав однажды заявление о конфиденциальности, может испытывать большую неуверенность в надежности веб-сайта, чем раньше. [57] [58] Одной из возможных проблем является продолжительность и сложность политики. Согласно исследованию Карнеги-Меллона , проведенному в 2008 году , средняя длина политики конфиденциальности составляет 2500 слов, а ее чтение занимает в среднем 10 минут. В исследовании отмечается, что «Политику конфиденциальности трудно читать» и, как следствие, «читают нечасто». [59] Однако любые попытки сделать информацию более презентабельной упрощают информацию до такой степени, что она не передает степень, в которой данные пользователей передаются и продаются. [60] Это известно как «парадокс прозрачности».
Исследователи провели множество исследований для оценки политики конфиденциальности веб-сайтов компаний. В одном исследовании обработка естественного языка и глубокое обучение используются в качестве предлагаемого решения для автоматической оценки эффективности политики конфиденциальности компаний, чтобы помочь пользователям стать более осведомленными. [61]
{{cite book}}
: CS1 maint: числовые имена: список авторов ( ссылка ){{cite web}}
: CS1 maint: archived copy as title (link){{cite journal}}
: Требуется цитировать журнал |journal=
( помощь )