В США законотворцы всех мастей «вспомнили» о защите персональных данных

Начало большой работы Администрацияпрезидента США Дональда Трампа объявилао начале разработки «Руководства по конфиденциальности» (Privacy Framework),направленного на решение проблем, связанных с защитой персональных данных. Как сообщаетсяв официальных материалах, эта работа обусловлена «все более усложняющейся и быстрорастущейсредой», включая передовые технологии, такие как интернет вещей и искусственныйинтеллект. Кроме этогоуказывается, что разработка федеральных стандартов конфиденциальности «следуетза глобальными усилиями по обеспечению безопасности персональной информации»,включая такие правовые акты как общий регламент ЕС по защите данных (GDPR) икалифорнийский закон «О защите данных интернет-пользователей» (CCPA). Ноисточники в прессе отмечают, что решение о формировании Privacy Framework появилосьпосле серии грандиозных скандалов, связанных с масштабными утечками персональнойинформации. И в частности, самым громким из них стала история с британскойкомпанией Cambridge Analytica, которая получила данные 87 млн пользователейFacebook. Разработка «Руководствапо конфиденциальности» будет вестись под руководством одного из подразделений Министерстваторговли США – Национального института стандартов и технологий (NIST), у которогоуже есть навыки в формировании наборов правил для сложных технологических систем.И в частности, ожидается, что в этой работе NIST будет опираться на опыт по созданию«Руководства по защите от киберугроз» (Cybersecurity Framework, CSF). Удачный опыт и основа для новоймодели В феврале 2013г. президент США Барак Обама подписал указ №13636, в котором среди прочего обязалNIST разработать «базовую модель защиты американских критических инфраструктур».Год спустя была опубликована первая версия Cybersecurity Framework. В процессеработы над этой моделью NIST активно сотрудничал с экспертным сообществом икоммерческими компаниями. В основу «Руководствапо защите от киберугроз» легла простая цель: предоставить общий язык, наборнормативов и легко выполнимую последовательность шагов для улучшениякибербезопасности, дать организациям возможность использования единого подходадля управления рисками ИБ, опираясь на уже существующие стандарты и передовойопыт. Для этого в Cybersecurity Framework предлагается целостный наборориентиров, которые доступны всем участникам процесса: топ-менеджеры,руководители ИТ-отделов и специалисты в области информационной безопасностимогут вести совместную работу по построению защиты от киберугроз.

При всех очевидных плюсах Privacy Framework, эксперты отмечают один немаловажный нюанс: для компаний использование этого руководства будет носить исключительно добровольный характер В 2017 г. наобсуждение была вынесена новая версия этой модели. В том же году, после указа, подписанногоД. Трампом, использование «Руководства по защите от киберугроз» стало обязательнымдля всех федеральных структур США. Для бизнес-сообщества и неправительственныхорганизаций применение Cybersecurity Framework носит добровольный характер. Но,согласно исследованию Gartner, спустя два года после публикации первой версииэтого руководства, 30% процентов компаний заявили о том, что придерживаются егоправил. Как ожидается, к 2020 г. этот показатель достигнет 50%. Еще одноисследование, проведенное компанией Tenable Network Security, показало, что 70%опрошенных организаций рассматривают «Руководство по защите от киберугроз» NISTкак лучшую практику в области информационной безопасности, но многие из них отмечают,что она требует значительных инвестиций. В связи с этим около 64% опрошенных используютCybersecurity Framework частично, мотивируяэто высокой стоимостью решения и отсутствием нормативного давления. Экспертыотмечают, что к настоящему времени «Руководство по защите от киберугроз» NISTстало одним из стандартов отрасли, наряду с ISO/IEC 27000 и PCI DSS. «Мы добилисьбольших успехов при широком внедрении Cybersecurity Framework, и мырассматриваем это как дополнительный ориентир при управлении рисками,связанными с персональными данными», –заявилУолтер Копан (Walter Copan), заместительминистра торговли по стандартам и технологиям, директор NIST. Что известно о новой инициативе В то времякак Cybersecurity Framework ориентирован на методы защиты информационнойбезопасности, платформа Privacy Framework будет нацелена на риски, связанные с конфиденциальнымиданными. Какуказывают в NIST, целью агентства является создание добровольной системыправил, позволяющей участникам отрасли лучше выявлять, оценивать, управлять исообщать об угрозах, которым подвергаются персональные данные в процессе ихсбора, хранения, использования и обмена между организациями. Разработчики такжепризнают, что «Руководство по конфиденциальности» должно быть совместимо ссуществующими национальными и международными нормативными актами. Это, в своюочередь, поднимает важные вопросы регулирования процесса хранения и уничтоженияпользовательских данных, а также другие сложные концепции в рамках существующихправовых режимов, таких как GDPR и CCPA. Кроме этого,в процессе работы отдельное внимание будет уделено созданию набора правил иопределений, описывающих эту модель. Они должны стать своего рода языком,который позволит найти взаимопонимание между участниками процесса. «Цель NIST –разработать структуру, которая позволит преодолеть недопонимание междупрофессионалами в области конфиденциальности и руководителями высшего звена, стем, чтобы организации могли эффективно реагировать на эти вызовы, не удушаяинновации», – сообщила старший советник по политике конфиденциальности NIST Наоми Лефковитц (Naomi Lefkovitz). Разработка«Руководства по конфиденциальности» будет вестись в открытом режиме, путемконсультаций с профессиональным сообществом и представителями отрасли. Началоэтой работы намечено на 16 октября, на открытой конференции, которая пройдет вОстине, Техас. Это мероприятие пройдет параллельно с ежегодной встречейМеждународной ассоциации профессионалов в области конфиденциальности. При всехочевидных плюсах Privacy Framework, эксперты отмечают один немаловажный нюанс:уже сейчас заявляется, что использование этого руководства будет носитьисключительно добровольный характер. Таким образом, компании и организациибудут самостоятельно принимать решение, придерживаться ли этой модели защиты персональнойинформации или нет. Большие игры лоббистов Практическиодновременно с заявлением администрации президента США и NIST о создании PrivacyFramework, две отраслевые торговые группы независимо друг от друга опубликовалипредложения о создании национальных правил, регулирующих использованиеперсональных данных. Так InternetAssociation (Интернет-ассоциация, IA) призвала к созданию собственной модели «Национальногоруководства по конфиденциальности» (National privacy framework). В своемпресс-релизе эта организация, в состав которой входят 40 интернет- итехнологических гигантов, в том числе Facebook, Google, eBay и Amazon, заявилао поддержке уже существующего федерального законодательства онеприкосновенности частной жизни, которое «является последовательным по всейстране, пропорциональным, гибким и побуждает компании действовать в качествехороших распорядителей конфиденциальной информацией, предоставляемой имотдельными лицами». IA предлагаетшесть основополагающих принципов конфиденциальности: прозрачность, контроль,доступ, коррекция, удаление. В частности, указывается, что физические лицадолжны иметь разумный доступ к личной информации, которую они предоставляюткомпаниям. Персональные данные могут обрабатываться, агрегироваться ианализироваться, чтобы позволить компаниям предоставлять необходимые услуги.Физические лица должны иметь возможность знать, передается ли персональнаяинформация, которую они предоставляют, почему она передается и кто еще ееиспользует. Кроме этого, пользователи должны иметь возможность исправлятьличную информацию в случае необходимости, а также запросить ее удаление, заисключением случаев, когда компании имеют законную потребность или юридическоеобязательство в сохранении этих данных. При этом экспертыуказывают, что в рамках этой модели не упоминается о финансовых штрафах длякомпаний-нарушителей. Вместе стем, BSA / The software alliance, объединяющий три десятка компаний, таких какMicrosoft, Apple, Intel, IBM и Oracle, также предложил собственную модельPrivacy Framework, базирующуюся на 10 ключевых пунктах: прозрачность,спецификация цели, информированный выбор, качество данных, потребительскийконтроль, безопасность, содействие в использовании данных для легитимныхделовых интересов, подотчетность, соблюдение правовых норм и правопорядка,возможность международного взаимодействия. Аналитикиотмечают, такая активность крупных игроков рынка не что иное, как явныепризнаки маневрирования со стороны лоббистов и торговых ассоциаций, для тогочтобы иметь возможность влияния на то, каким будет профильное федеральноезаконодательство и, в частности, опередить то, насколько суровым оно будет сточки зрения наказания для компаний-нарушителей. «Им не нуженэффективный надзор. Они не хотят регулировать свою деловую практику, чтодействительно необходимо, – сообщил прессе ДжеффЧестер (Jeff Chester), исполнительный директор Центра цифровой демократии(CDD). – Они будут работать закулисами, чтобы сформировать законодательство, которое не будет защищатьамериканцев от того, чтобы все их данные регулярно собирались и использовалисьэтими цифровыми гигантами. Они рассматривают федеральный закон как возможностьупредить более сильные правила». 26сентября в Комитете по торговле, науке и транспорту Конгресса США прошли слушания, в рамках которых выступили представители шести американскихтехнологических компаний с докладом о том, как они защищают данные своихпользователей. На встрече присутствовали топ-менеджеры AT&T, Twitter, Alphabet (материнской компании Google),Amazon, Apple и Charter Communications. Какуказывает американская пресса, эти слушания проходят в рамках разработкинационального законодательства о конфиденциальности в интернете, которую ведетКонгресс США. Согласно информации опубликованной на сайте Комитета по торговле,сенаторы также ожидали от компаний объяснений, «что Конгресс может сделать дляобеспечения четких ожиданий в отношении конфиденциальности без ущерба дляинноваций». Ссылка на источник