Что такое Privacy Shield и как он влияет на потребителей и бизнес?

Вопросы конфиденциальности находятся в верхней части списка пользователей Интернета во всем мире. Рост онлайн-торговли и обмена данными, пересекающих международные границы, особенно между США и Европой, также вызвал ряд проблем в области конфиденциальности на правительственном уровне. Не все это связано с преступным взломом. Многое связано с тем, как предприятия, большие и малые, используют данные клиентов.

Стремясь лучше обслуживать европейских пользователей, чьи данные пересекают границу США, Министерство торговли США и Европейская комиссия совместно работали над созданием так называемого Privacy Shield – нормативной реализации, предназначенной для обеспечения надлежащей защиты граждан Европы в соответствии с данными ЕС. законы о защите, как их данные поступают в Соединенные Штаты и из.

Введение в Privacy Shield

12 июля 2016 года правительство США и Европейская комиссия совместно утвердили структуру Privacy Shield. Фактическая документация для Privacy Shield Framework предоставляет много ценной информации для потребителей. Тем не менее, может быть трудно разобрать документы и точно определить, что все это значит. Вот простой способ понять концепцию.

Соединенные Штаты и государства-члены Европейского Союза много занимаются коммерцией. Фактически, трансатлантическая торговля приносит почти 5 триллионов долларов в год. Большая часть этой торговли требует от компаний сбора данных через международные границы. В некоторых случаях компании, которые привлекают множество клиентов и пользователей из Европейского Союза, таких как Google или Facebook, собирают и обрабатывают огромное количество пользовательских данных..

Иногда Google и Facebook могут обрабатывать эти данные, хранить их в течение неопределенного времени, использовать их для метрик и аналитики или даже передавать третьим лицам для других целей. Точно так же правительство США может отслеживать некоторые из этих данных или даже собирать их у этих компаний..

В Европейском Союзе есть очень специфический закон – Директива о защите данных, которая строго ограничивает возможности использования или сбора данных такими компаниями, как Google или Facebook, или такими организациями, как АНБ. Это включает в себя то, как правительства могут собирать данные от предприятий для целей надзора. (Срок действия DPD истекает в [year] году и будет заменен новыми правилами, которые мы обсудим в конце.)

Платформа Privacy Shield Framework представляет собой свод правил, регулирующих деятельность американских предприятий с европейскими операциями. Это позволяет предприятиям делать две вещи:

• Самостоятельно подтвердить, что они согласны с Privacy Shield Framework
• Продвигать себя и свою приверженность принципам Privacy Shield

Что касается Privacy Shield, важно отметить следующее:

• Соблюдение рамок является добровольным. Тем не менее, в настоящее время сотни американских предприятий добровольно прошли сертификацию. Это создает легкий путь для этих предприятий для сбора частных данных от граждан ЕС в деловых целях, увеличивая поток интернет-торговли.

• Все предприятия, которые согласны участвовать в программе, должны публично опубликовать свое участие. Как только это будет завершено, предприятия будут строго придерживаться этого стандарта, поскольку несоблюдение Рамочной основы приведет к потенциальным штрафам в размере 21 842 000 долл. США, или 4% мирового валового дохода компании за год, в зависимости от того, какое число больше. Правоприменение исходит непосредственно из правил Федеральной торговой комиссии, запрещающих «несправедливые и обманные действия».

• Сообщение о нарушении данных должно быть сделано в течение 72 часов. Поскольку Privacy Shield включает информационную безопасность в свою структуру Принципов, это то, что компании должны принимать всерьез.

Позитивно, что многие компании уже имели надлежащие протоколы для самостоятельной отчетности.

Что такое Privacy Shield? Подробный обзор

Во-первых, лучше понять, чем не является Privacy Shield, чтобы лучше обсуждать, что это такое на самом деле..

Privacy Shield не является программой защиты данных или каким-либо программным обеспечением

Это важно понимать, так как название может показывать другое сообщение. Privacy Shield – это не то, что пользователи могут устанавливать на своих компьютерах для защиты своей конфиденциальности, и это не своего рода интернет-фильтр, который отслеживает и фильтрует или шифрует данные пользователя..

Privacy Shield не является обязательным для всех предприятий США

Возможно, одним из самых больших недостатков Privacy Shield Framework является тот факт, что это абсолютно добровольная программа. На самом деле, это даже не обязательно для американских компаний, ведущих бизнес в Европе. Компании, которые хотят участвовать, должны завершить процесс самосертификации, который проверяет, что модель конфиденциальности данных их бизнеса соответствует основным принципам структуры.

Privacy Shield – это не улица с двусторонним движением

По сути, Privacy Shield представляет собой своего рода упрек США и отсутствию организованного регулирования в отношении личных данных потребителей. Privacy Shield был специально разработан для предприятий США как часть добросовестных усилий со стороны предприятий США по обеспечению безопасной обработки данных, полученных от интернет-пользователей ЕС, таким образом, чтобы это больше соответствовало законам ЕС о защите данных..

Значительны ли различия между стандартами защиты данных США и ЕС??

Вот краткая версия: в Европейском Союзе действуют очень строгие стандарты для защиты того, как чьи-либо личные данные собираются и используются компаниями и правительствами. Это сводится к идее, что люди имеют право на неприкосновенность частной жизни, прежде всего, право или желание правительства или бизнеса собирать личные данные для различных целей, даже для целей, которые могут считаться достойными. Кроме того, он предусматривает, что любой, кто считает, что их данные были использованы не по назначению, имеет право подать иск о возмещении ущерба от компании или правительства, которые использовали их не по назначению..

Если у вас есть несколько свободных часов (и, возможно, у вас есть навыки разбора юридического языка), вы можете просмотреть конкретный язык, расположенный в Инициатива по защите данных.

Между тем, в США нет формального законодательства на федеральном уровне, защищающего права отдельных потребителей. Вот почему откровенное откровение Эдварда Сноудена о шпионской программе АНБ вызвало столько волн. Многие американцы и другие люди во всем мире, возможно, подозревали, что федеральное правительство США шпионило за отдельными невинными гражданами, но до этого момента было мало проверенных доказательств. В 2013 году Сноуден предоставил эту проверку. Программа шпионажа в США была настолько обширной и широкой, что Сноуден был вынужден утратить информацию о ней всего через несколько месяцев после того, как АНБ было принято на работу..

Закон США «О патриотизме» породил такие программы, как PRISM и Закон о надзоре за иностранной разведкой (FISA), которые собирают данные от граждан США и за рубежом. Многие из вторжений в Закон о патриотизме были строго ограничены Законом о свободе 2015 г., который расширил Закон о патриотизме и существенно ограничил способы сбора данных правительством. Эти законы регулируют многие из мер защиты, которые американцы еще не имели при введении ограничений свобод таким образом, который не пользуется популярностью в Европе. (Мы изучили суть Закона о патриотизме, Закона о свободе и FISA, о котором вы можете прочитать здесь.)

Тем не менее, США – это не Дикий Запад украденных персональных данных пользователей, ни у правительства, ни у кого-либо еще. В государственных ведомствах существуют законы о книгах как на уровне штатов, так и на федеральном уровне. Наибольшее беспокойство у ЕС связано с отсутствием в США всеобъемлющего и четкого сообщения о том, как пользовательские данные могут быть получены и обработаны, а также с отсутствием четких указаний о том, какие права имеют люди на возмещение ущерба. Законы, которые частично регулируют защиту персональных данных в США, включают:

• Закон Федеральной торговой комиссии
• Закон о модернизации финансовых услуг
• Закон о мобильности и ответственности медицинского страхования (HIPAA)
• Правило уведомления о нарушении безопасности
• Закон о честной кредитной отчетности
• Управление штурме закона маркетинга (CAN-SPAM) Non-Запрошенная порнографии и
• Закон о защите потребителей телефонных услуг
• Закон о конфиденциальности электронных коммуникаций
• Закон о компьютерном мошенничестве и злоупотреблениях
• Закон о судебном возмещении (Закон США, который предоставляет гражданам стран-членов ЕС только право требовать возмещения ущерба от обмена личными данными со стороны правительства или правоохранительных органов)

Несмотря на то, что Директива ЕС о защите данных далека от легкого чтения, чрезвычайно разнообразное сочетание законодательства США, охватывающего эту тему, создает некоторый бюрократический кошмар, ограничивая способность человека лучше понимать свои права в отношении того, как собирают правительства и бизнес. и использовать личные данные. Кроме того, многие из этих законов, несмотря на их применение, сильно устарели и не имеют языка, который бы наилучшим образом подходил для современного поколения компьютеров и обработки данных..

Как Privacy Shield Framework решает проблемы конфиденциальности?

По данным Европейской комиссии,  передача личных данных за пределы ЕС или ЕЭЗ не допускается, если не может быть гарантирован адекватный уровень защиты. Это означает, что предприятия, собирающие данные от граждан ЕС и передающие эти данные через границы, или граждане ЕС, отправляющие свои данные американским компаниям, оказались в юридическом тупике. Решением для этого стала Privacy Shield Framework.

Для государств-членов Европейского Союза и их граждан Privacy Shield предназначен для следующих действий:

• Обеспечить прозрачность от компаний в форме публичных заявлений в отношении их политики использования данных

• Дайте людям возможность отказаться от передачи своих данных третьим лицам

• Внедрить меры предосторожности для обеспечения того, чтобы организации, передающие данные третьим сторонам, передавали их только этим лицам для ограниченного использования и чтобы эти сторонние получатели также соблюдали требования защиты данных

• Гарантирует, что компании и организации защищают данные от потери с помощью методов безопасности и шифрования.

• Защита от ненадлежащего использования персональных данных по назначению

• Предоставить лицам доступ к информации, которой владеют организации, с возможностью исправления, исправления или удаления этих данных в случае их неточностей или неправильного использования в соответствии с Принципами защиты конфиденциальности

• Обеспечение соблюдения принципов защиты данных с помощью целесообразного арбитража для лиц, подающих претензии, бесплатно для лица, подающего претензию, с надлежащим расследованием претензии и проверкой или защитой конфиденциальности, а также быстрым процессом принятия решений.

Это все может показаться немного здоровенным для среднего интернет-пользователя. Проще говоря, Privacy Shield представляет собой набор процедур, которым должны следовать организации и предприятия США при обработке данных отдельных пользователей, обеспечивая, чтобы их сбор и использование соответствовали законам Европейского Союза..

Что Privacy Shield означает для потребителей?

Для потребителей Privacy Shield служит одной главной цели: защите от неправомерного использования и необоснованного сбора идентифицирующей личность информации. Поскольку Privacy Shield предназначен для защиты граждан Европейского Союза от неправомерного использования их данных во время их въезда и выезда из Соединенных Штатов, Privacy Shield защищает только членов ЕС и три страны Европейского экономического пространства: Норвегию, Лихтенштейн и Исландию..

Он не предназначен для защиты американских потребителей или предоставления американским потребителям той же защиты, которая присуждается членам ЕС в соответствии с Директивой о защите данных. Вместо этого Privacy Shield – это соглашение между США и ЕС, в котором основное внимание уделяется электронной торговле и государственному надзору. Эти средства защиты также включают в себя массовый сбор данных, как от предприятий, так и от правительства США, где формулировка содержит существенные ограничения в отношении того, что могут и не могут делать и предприятия, и правительственные разведывательные и правоохранительные органы США с личными данными..

Что наиболее важно для граждан ЕС, включение механизма возмещения и задачи омбудсмена по решению проблем конфиденциальности было неотъемлемой частью обеспечения того, чтобы непрочное соглашение могло пройти проверку.

Что Privacy Shield означает для бизнеса?

Для предприятий Privacy Shield обеспечивает элемент доверия для потребителей из ЕС и упрощает использование данных о клиентах из ЕС. До появления Privacy Shield система на месте была известна как Safe Harbor. Эти принципы были аналогичны тем, что в настоящее время существуют в Privacy Shield, только с меньшим количеством менее ограничительных мер защиты конфиденциальности. После того, как австрийский адвокат Макс Шремс доказал, что Принципы безопасной гавани США-ЕС не охватывают его личные данные в Фейсбуке, Суд Европейского Союза признал закон недействительным в 2015 году. Безопасная гавань просуществовала 15 лет, с 2000 года до его аннулирования в 2015. То, что он был составлен до того, как основные социальные службы сбора данных, такие как Facebook и «Патриот», свидетельствуют о том, что он не соответствует изменяющимся требованиям конфиденциальности, особенно тем, которые изложены в Директиве о защите данных..

Когда Safe Harbor был признан недействительным, многие американские компании не могли законно собирать или хранить данные от европейских клиентов. Таким образом, ЕС и США быстро разработали проект замены, что в конечном итоге привело к созданию Privacy Shield. Для предприятий это позволило возобновить работу в обычном режиме, а также предоставило клиентам из ЕС дополнительные средства защиты, которые они хотели использовать с использованием своих данных. Обновления Privacy Shield от Safe Harbor вынудили несколько изменений для предприятий:

• Требуемое подробное публичное заявление об участии в программе. Это заявление должно содержать конкретное объяснение шагов, предпринимаемых компанией для обеспечения защиты конфиденциальности, и соблюдения компанией принципов защиты конфиденциальности..

• Ужесточение передачи данных и обмена данными. В рамках Safe Harbor у третьих лиц было мало ограничений в отношении того, как они могли использовать переданные им данные третьих лиц. В соответствии с Privacy Shield третьи стороны ограничены в использовании данных, как и первые лица, от которых они получают их, и также должны указать свое соответствие Privacy Shield..

• FTC теперь поддерживает «стену позора» для тех компаний, которые нарушают принципы Privacy Shield после публичной подписки на них..

• Предприятия должны реагировать на проблемы с возмещением ущерба и разрешать пользователям обновлять, изменять или удалять данные по запросу, если эти запросы находятся в пределах разумного..

Компании, участвующие в программе Privacy Shield, должны убедиться, что их данные в безопасности, что они полностью соответствуют Принципам, и что их команда юристов и персонал полностью осведомлены о требованиях FTC, касающихся участия Privacy Shield.

Крупные корпорации имеют уникальное влияние

Для крупных компаний, таких как Apple, Facebook и Google, принцип целостности данных и ограничения цели действительно является наиболее ограничивающим аспектом Privacy Shield. Этот принцип в значительной степени ограничивает то, как компании могут использовать объемные данные для целей анализа данных, заявляя, что «личная информация должна быть ограничена той информацией, которая имеет отношение к целям обработки». У крупных сайтов социальных сетей есть глубокие, юридические проблемы с законом. Макс Шремс, человек, непосредственно ответственный за окончательную гибель Safe Harbor, считает, что Privacy Shield недостаточно для таких компаний, как Facebook, Apple и Google, и ожидает, что он в конечном итоге потерпит неудачу.

Кроме того, крупные компании гораздо чаще хранят данные и с большей вероятностью отправляют данные о клиентах третьим лицам. Это создает неопределенную позицию для этих компаний, так как ограничения на хранение данных и передачу этих данных третьим сторонам чрезвычайно ограничены. Шансы натолкнуться на Принципы негативно только для этих крупных корпораций.

Участие в Privacy Shield является добровольным

Ни один бизнес в США не обязан участвовать в Privacy Shield. Даже компании, которые хотят привлечь клиентов из Европы, не обязаны участвовать. Тем не менее, участие настоятельно рекомендуется для бизнеса по одной основной причине: правовые последствия.

Те предприятия, которые выбирают самосертификацию в рамках Privacy Shield, идентифицируют, что они согласовали свои стандарты защиты данных с теми, которые соответствуют правовым стандартам ЕС для сбора и обработки данных. Эта ясность имеет большое значение для обеспечения правовой защиты для этой компании. Однако компании, которые не принимают эти стандарты, усложняют их жизнь. В то время как в ЕС все еще можно вести бизнес, отсутствие ясности делает бизнес более открытым для правовых проблем. Для большинства участников участие в Privacy Shield – это простой способ уменьшить любые юридические проблемы, которые могут возникнуть.

Privacy Shield не защищает предприятия от правительственных запросов данных

Как для компаний, так и для потребителей важно понимать, что Privacy Shield не мешает правительству США или правоохранительным органам запрашивать данные у таких компаний, как Facebook или Google. Тем не менее, Privacy Shield, наряду с пересмотренной версией Закона о патриотизме, значительно ограничила, какую информацию можно получить и на каком основании..

Тем не менее, многие наблюдатели отмечают, что в Принципах Щита Конфиденциальности есть явные недостатки в этом отношении, особенно когда речь идет о принудительном исполнении со стороны регулирующих органов США. Еще неизвестно, может ли американская компания быть оштрафована в соответствии с Privacy Shield за выполнение требований федерального правительства или данных правоохранительных органов. Тем не менее, Privacy Shield предоставляет предприятиям путь и оправдание для отказа, по крайней мере, в отношении данных граждан ЕС..

Конфиденциальность щита, возможно, придется изменить в [year] году с новыми правилами ЕС

Privacy Shield был разработан, чтобы удовлетворить проблемы конфиденциальности государств-членов ЕС и его граждан, работая с Директивой о защите данных. Однако в апреле 2016 года Европейская комиссия приняла новый закон, регулирующий вопросы конфиденциальности данных: Общее положение о защите данных. GDPR был разработан, чтобы заменить DPD в [year] году. Это потому, что DPD, который был принят в 1995 году, не в состоянии адекватно реагировать на изменения в технологии, с которыми сейчас сталкиваются предприятия и потребители, особенно те, которые связаны с большими данными и их важностью для бизнес.

Существует несколько примечательных отличий между Директивой и Регламентом:

• Новый GDPR оставляет мало места для интерпретации отдельными государствами-членами, тогда как Директива по-разному интерпретировалась различными странами ЕС. Это включает новое, единое определение того, что на самом деле означают «личные данные», что DPD также оставил для интерпретации.

• Новый GDPR занимает жесткую позицию в отношении того, как личные данные могут использоваться организациями, требуя от них значительного отображения и объяснения того, как они намереваются использовать данные, и фактически информирует пользователей, когда они хотят использовать эти данные различными способами. Существует также новое условие «opt-in» для хранения данных, поэтому организации не могут просто хранить данные по умолчанию.

• Новый GDPR применяется ко всем предприятиям и организациям, которые обрабатывают данные о гражданах ЕС, независимо от того, участвуют ли они в Privacy Shield или нет. Это расширяет сферу действия регламента для охвата личных данных граждан ЕС за пределами ЕС..

• Организации теперь должны также отслеживать, как они используют данные и куда эти данные идут. Эта информация должна быть доступна по запросу. В крупных организациях (250 или более сотрудников) должен быть сотрудник по защите данных, который поможет отследить, куда данные перемещаются внутри и из организации..

• Как контроллеры данных, так и процессоры данных теперь несут ответственность за то, как данные используются и защищены. Это означает, что сторонние организации несут такую ​​же ответственность, как и вторые стороны..

• GDPR включает в себя обязательную политику уведомления о нарушении. О любых нарушениях данных необходимо сообщать в течение 72 часов. Это также приводит к внешнему исследованию методов защиты данных, использованных во время взлома..

Все эти правила должны звучать знакомо. Они совпадают со многим из того, что мы находим в Принципах Щита Конфиденциальности. Это не случайно. Privacy Shield и новый GDPR были разработаны одновременно и предназначены для совместной работы. Тем не менее, GDPR не вступит в силу до [year] года. Многие наблюдатели ждут, чтобы убедиться, что Privacy Shield продержится достаточно хорошо, чтобы сделать его эффективным партнером новых правил GDPR..

Наибольшее беспокойство в настоящее время вызывает процесс «самосертификации», который некоторые наблюдатели считают самой большой слабостью Privacy Shield. До вступления GDPR в силу остается менее двух лет, еще неизвестно, выдержит ли Privacy Shield дальнейшую проверку..

«Безопасная гавань» Саймона МакГарра. Лицензия CC BY 2.0