CCPA* та GDPR**: концептуально про захист персональних даних

June 27, 2019

Через півроку набирає чинності Закон Каліфорнії про захист персональних даних споживачів (California consumer privacy act), який, зокрема, змінює усталені бізнес-практики таких Інтернет-гігантів як Facebook, Google та Twitter. Розбираємося, що це та для чого нам потрібно про нього знати. Історія з довгим вступом і великим майбутнім.

Визначення за 30 секунд:

CCPA* (California Consumer Privacy Act) – підписаний 28.06.2018 року губернатором Брауном Закон Каліфорнії про захист персональних даних споживачів, який набуває чинності 1 січня 2020 року. Правила спрямовані на спрощення процедур щодо здійснення прав споживачів відповідно до CCPA, а також надають рекомендації бізнесу щодо їх дотримання. Детальніше про це читайте нижче.

GDPR** (General Data Protection Regulation) – Загальний регламент про захист даних 2016/679, спрямований на захист фізичних осіб стосовно обробки персональних даних та про вільний рух таких даних. Регламент прийнятий Європейським парламентом та Радою міністрів ЄС у 2016 та набув чинності 25.05.2018. Також Загальний регламент замінив Директиву 95/46, яка раніше охоплювала згадану сферу регулювання. Детальніше про Регламент читайте тут.

Конвенція 108*** (Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data) – перший обов’язковий документ, спрямований на захист від зловживань, які можуть супроводжувати збір та обробку персональних даних, прийнятий у 1981 році Радою Європи.

Маніфест про приватність

Право на приватність закріплене в безлічі як міжнародних, регіональних, так і національних правових актів, проте його декларативність досить часто підкреслюється стрімким розвитком технологій. В умовах глобалізації, як не дивно, почали розвиватись дві абсолютно діаметральні позиції щодо цього питання.

Перша – поняття приватності зовсім скоро зникне як таке, враховуючи об’єми персональної інформації, які збираються про кожного з нас. Починаючи від контактних даних (ім’я, номер телефону, електронна пошта, адреса і тд.), віку, політичних поглядів і так далі аж до вподобань щодо музики, кіно, їжі чи сексуальної орієнтації. Ще у 2013 році було доведено, що наші лайки дозволяють визначити інтимні деталі та особисті риси кожного, для прикладу, Facebook знатиме, що хтось – гей раніше від його мами. 

Друга – право на повагу до приватного життя буде набувати чи не абсолютної цінності, враховуючи знову ж таки швидкість розвитку технологій, а також зростання можливостей на цьому заробити. При цьому  компанії, які отримують прибутки від операцій з великими обсягами даних, вже розуміють, що with great power comes great responsibility [1], і починають розробляти власні політики щодо підвищення безпеки персональних даних. До цього також призвели масштабні витоки даних в таких компаніях, як Reddit, FedEx, Microsoft Office 365 та Uber (у випадку України – це “майже витік” в Новій Пошті), коли мільйони особистих профілів користувачів потрапляли в руки хакерів та активно продавались на нелегальних ресурсах Dream Market (прихований ринок даркнету [2], де також продається зброя, наркотики тощо). Саме тому активний розвиток комплаєнсу (внутрішня розробка власних правил поведінки для подальшої відповідності нормам закону) все більше сприяє захисту приватності осіб.

Комплаєнс, приватність – для чого це потрібно взагалі? В глобальному та філософському сенсах. Так, в основному, ми це помічаємо, коли випадково в “Налаштуваннях” соцмереж чи під час реєстрації на цих ресурсах натрапляємо на “Умови використання” та “Політики приватності”. Проте, цей такий собі “етикет” дозволяє всім гравцям приблизно зрозуміти, хто і яку ціну платить і з чим погоджується. Або ні. Досить часто ми не розуміємо, що, до прикладу, рекламодавці платять за користування цими ресурсами грішми, а користувачі – інформацією, яку ми добровільно віддаємо. Звідси, акти щодо захисту персональних даних, їхні передумови та мета створення, спрямовані не лише на споживача, а й значною мірою на бізнес, на спрощення умов його ведення, запровадження універсального підходу до обробки та збору таких даних, умовно – для запровадження єдиних правил гри.

Тим часом, світ

Світова практика у питаннях законодавчого регулювання приватної сфери та захисту персональних даних розвивається по-різному, проте нині неможливо не помітити активізацію цієї теми. До тригерів таких рухів можна віднести прийняття в ЄС Загального регламенту про захист даних чи масштабні незаконні витоки персональної інформації, з останніх – скандал Cambridge Analityca. За останні три роки низка країн прийняла спеціальні закони, які встановлюють правила щодо захисту приватних даних фізичних осіб, можливості їх обігу та обробки.

Зокрема, 22.06.2019 року Єгипетський парламент схвалив перший в країні акт у сфері захисту персональних даних. Трохи раніше, в кінці 2018 року, Канада внесла правки до Закону про конфіденційність, який регулює обробку персональних даних федеральними інституціями та Закону про захист персональних даних та електронні документи, який діє в приватному секторі (останні поправки внесені в 2015 році). Скандал щодо витоку персональних даних та їх незаконного використання британською компанією Cambridge Analityca, до чого був причетний і Facebook, став каталізатором реформування інформаційного законодавства Канади щодо його відповідності сучасним цифровим викликам. У Бразилії, в серпні 2018 року, також прийняли Загальне законодавство щодо захисту даних (General data protection law), що набуде чинності на початку 2020 року і на федеральному рівні встановлюватиме регулювання щодо використання персональних даних онлайн та офлайн, в приватному та публічному секторах. Індія, реагуючи на GDPR-ініціативу в ЄС, почала розробку власного акту щодо захисту персональних даних в приватній та публічній сферах, максимально охоплюючи всі можливі моменти: чутливі дані, зберігання та обіг інформації тощо.

Водночас деякі країни не вдавались до таких глобальних кроків, а лише вносили поправки до існуючих актів, що охоплювали згадане питання. Серед таких держав, у яких відбувся matchup [3] з GDPR внаслідок прийняття окремих змін, можна назвати Японію, яка в 2017 році наблизила свій Закон про захист персональної інформації (Act on the Protection of Personal information) до положень Загального регламенту.

Контрастують з наведеною тенденцією Китай та Росія, хоч і дещо в різних напрямках. У Китаї, зокрема, немає загального закону, який би регулював питання захисту персональних даних. При цьому, 1 червня 2017 року був прийнятий перший на національному рівні Закон Китайської Народної Республіки про кібербезпеку, який мав би охоплювати і захист персональних даних, проте все ще залишається досить невизначеним щодо його застосування в згаданій сфері. У Російській Федерації ситуація розгортається (сюрприз!) в сторону ігнорування міжнародних стандартів та імперативних способів впливу на розпорядників даних, тобто тих осіб, які отримують персональну інформацію від володільця (в тому числі ми з вами) і на підставі закону можуть її обробляти.

Хоч і Росія також є стороною Конвенції 108***, Конвенції про захист прав людини, все одно створюються механізми, які ускладнюють застосування згаданих актів, зокрема, в контексті виконання рішень Європейського суду з прав людини. При цьому, до федерального закону “Про персональні дані”  в 2014 були внесені поправки, які вимагають обробку та збереження будь-яких персональних даних російських фізичних осіб лише в російських базах даних. Санкцією за невиконання такої вимоги є блокування веб-сайту, при цьому реєстр порушників та, власне, саму процедуру блокування здійснює Федеральна служба з нагляду у сфері зв’язку, інформаційних технологій і масових комунікацій, відома як Роскомнагляд. Найвідомішою справою з цього приводу стало блокування месенджеру Telegram, що нині розглядається в Європейському суді з прав людини.

Ближче до теми

Як уже стало зрозуміло, мало хто залишився осторонь чутливого питання захисту персональних даних та його закріплення на законодавчому рівні. Не стали винятком й Сполучені Штати Америки. Першим штатом, який найбільше перейнявся темою про оновлення законодавства про персональні дані, стала Каліфорнія, прийнявши відповідний закон майже рік тому – California Consumer Privacy Act. Закон оновлює спеціальний розділ “Персональні дані” Каліфорнійського Цивільного кодексу (Division 3, Title 1.8). CCPA – це як шматочок GDPR в Каліфорнії, тільки навіщо нам потрібно про нього знати?

Правильна відповідь – лайк, шер, твіт. А якщо точніше – головні офіси всесвітньо відомих Інтернет-гігантів, таких як Facebook (разом з Інстаграмчиком), Twitter та Google (разом з Ютьюбчиком) сконцентровані саме на цій, як виявилось, інтелектуально проактивній території. У зв’язку з цим, першим питанням щодо Каліфорнійського акту, яке також виникло з прийняттям Загального регламенту, – це юрисдикція. Тобто чи дотянуться його руки загребущі до усіх наших профілів у згаданих платформах, а головне, що ми з цим зможемо робити. Але спочатку варто згадати основні права, які цей акт передбачає.

Закон містить регулювання не лише стосовно споживачів, а й визначає можливі варіанти поведінки бізнесу, який працює з персональними даними перших. Основні права споживачів, які передбачає Каліфорнійський закон, можна визначити так:

  • права щодо розкриття інформації та доступу до неї. Особа має знати, які персональні дані щодо неї збираються. Причому, акт передбачає категорії інформації, які розпорядники цих даних повинні розкрити на вимогу споживача;
  • право знати види інформації, яка обробляється щодо неї та з якими цілями, особливо це стосується можливого продажу персональних даних;
  • Видалення інформації. на верифікований запит споживача. Розпорядник інформації повинен видалити персональні дані особи, окрім певних винятків, у відповідь;
  • недискримінація. Бізнес не може дискримінувати споживача, який здійснює будь-які з прав, передбачені цим актом. При цьому, компанії можуть встановлювати різні ціни чи надавати послуги різної якості, якщо різниця пов’язана з рівнем доступу до даних, які надає споживач. Зокрема, бізнес, може фінансово стимулювати користувачів з метою збору, продажу або видалення особистої інформації за попередньою згодою.
  • право відмови (opt-out). Відомо, що корпорації (розпорядники даних) продають наші персональні дані третім особам (тут знову згадуємо Cambridge Analityca). Згідно з цим актом, компанії зобов’язані повідомити про цей факт споживачів, в свою чергу, останні мають право відмовитися від продажу цієї інформації.

Очевидно, наразі час переходити до питання поширення дії закону та його особливостей, але щоб виправдати заголовок тексту, необхідно розкрити ці аспекти в порівнянні з Загальним регламентом. Цікавим є, мабуть, більше політичний вплив закону Каліфорнії на всю територію США. І якщо GDPR розтригерив низку країн на різних континентах, тим часом CCPA спричинив ефект copycat [4] по всій території США, адже розробку часом майже ідентичних проектів почали: Гаваї, Меріленд, Массачусеттс, Міссісіпі, Нью-Мексико, Нью-Йорк, Північна Дакота та Род-Айленд.

Тим часом GDPR

Як відомо, Загальний регламент, який вступив у силу в 2018 році, замінив Директиву 95/46, яка нині втратила чинність. При цьому,  хоч і сфера регулювання лишилась однакова, згадані види документів в ЄС мають різну юридичну силу. Загалом, за своєю суттю, директива визначає основну ціль, а вже спосіб її досягнення держава обирає самостійно. Регламент – обов’язковий законодавчий акт, який має бути застосований усіма країнами Євросоюзу, і мета прийняття такого документу – встановлення однакових стандартів по всій його території. При цьому всьому, GDPR має екстериторіальний ефект, поширюючись не лише на країни ЄС. Наприклад, імплементація Загального регламенту в Норвезьке законодавство була включена в Угоду про Європейську економічну зону у липні 2018 року. Таким чином, Норвезький Закон про персональні дані був оновлений відповідно до положень GDPR. Крім того, Європейський суд з прав людини також не залишився осторонь тренду захисту персональних даних через право на повагу до приватного життя.

Зокрема, це проявилось у справі Big Brother Watch and Others v. the United Kingdom, де заявники скаржились на обсяги та масштаби даних, які збираються електронними системами спостереження, керованими Сполученим Королівством. Заявники намагалися оскаржити три різні системи масового нагляду, застосовані британськими спецслужбами: 1) масове перехоплення повідомлень; 2) обмін інформацією з іноземними урядами та 3) отримання комунікаційних даних від постачальників послуг зв’язку. У цій справі Європейський суд визнав, що використання згаданих систем порушує права, передбачені Європейською конвенцією. При цьому, згаданий у справі Загальний регламент передбачає, що “розпорядник персональних даних повинен чітко розкривати будь-який збір даних, декларувати законні підстави та цілі для обробки даних, тривалість зберігання даних, а також обмін даними з будь-якими третіми сторонами або поза межами ЄС. Користувачі мають право вимагати портативну копію даних, зібраних процесором, у загальному форматі, а також право на видалення даних за певних обставин.” (§ 220). Звідси випливає, що розробка та оновлення стандартів захисту персональних даних повинні працювати не лише в сфері захисту від несанкціонованого використання в комерційних цілях, а й в інтересах національної безпеки.

Молодший брат – теж Великий брат?

Погодимося з тим, що Каліфорнійський закон про захист персональних даних споживачів є прямим наслідком прийняття Загального регламенту, і при цьому теж запустив процеси вдосконалення механізмів захисту персональних даних у США. Проте, неможливо не відмовитись від порівняння цих актів.

Отже, яка сфера регулювання? – Каліфорнійським актом охоплюються всі підприємства, які здійснюють бізнес в Каліфорнії та мають річний валовий дохід [5] більше 25 млн доларів (для порівняння: Facebook за минулий рік заробив 55 838 млн доларів, а материнська компанія стартапу TikTok – Вytedance – у 2017 році заробила 2 500 млн доларів) або щорічно отримує персональні дані більше 50 тис. споживачів для комерційних цілей, або отримує більше половини доходів від продажу даних. Закон також застосовується до суб’єктів, що контролюються згаданим бізнесом або мають спільний брендинг (наприклад, Facebook та Instagram). Окремі положення акту застосовні до провайдерів та третіх сторін.

На противагу, територія поширення GDPR набагато ширша, оскільки стосується суб’єктів розташованих не лише на території ЄС, а й поза нею. Юрисдикція Регламенту охоплює і тих, хто обробляє персональні дані у зв’язку з рухом товарів та послуг в ЄС або моніторингу їх поведінки, не маючи, умовно, офісу чи зареєстрованого доменного імені на території ЄС.  Відповідно, GDPR має значно ширшу територію поширення, а також відрізняється від CCPA суб’єктами, на кого спрямоване згадане законодавство, оскільки Каліфорнійський закон акцентує увагу саме на бізнесі.

Кого захищає акт? – Споживачів, які є резидентами Каліфорнії. У той час, Загальний регламент захищає ідентифікованих суб’єктів персональних даних та осіб, яких ці дані стосуються. По суті, знову проявляється різниця в цілях прийнятих актів, проте підходи до регулювання дуже схожі. Серед спільного беззаперечно можна назвати екстериторіальний ефект, на що повинні зважати підприємства, розташовані поза юрисдикцією актів.

Яка інформація захищається? – За визначенням персональної інформації обидва акти суттєво схожі. Що цікаво, у визначенні персональних даних, CCPA, окрім особистої інформації, яка ідентифікує, стосується чи може бути конкретно або опосередковано пов’язана не лише зі споживачем, але й з домогосподарством. Однаково схожі підходи в обох актах щодо заходів безпеки щодо захисту даних, передбачені обидвома актами. Також, і регламент, і закон передбачають майже ідентичні права щодо можливості розкриття, яка персональна інформація обробляється, а також право вимагати видалення персональних даних.

А суттєва різниця взагалі існує? – Дуже так. Перш за все, це право вимоги (right to opt-out), оскільки Каліфорнійський закон передбачає право відмовитись від використання компаніями ваших даних з метою їх подальшого продажу, коли Загальний регламент не включає окремо такої опції. Також, важливим є момент щодо дітей, оскільки персональні дані осіб до 16 років, згідно з законом Каліфорнії, не можуть використовуватись для продажу без згоди батьків. Загальний регламент вимагає загалом згоди батьків на обробку персональної інформацію дітей в будь-яких цілях. Попри це, GDPR передбачає право коригувати неправильні персональні дані,  а також їх доповнювати, про що не згадується в CCPA.

Якщо узагальнити, найбільше ці акти відрізняються цілями прийняття, оскільки CCPA спрямований на регулювання безпосередньо збору та обробки персональних даних підприємствами з метою їх подальшого продажу, а GDPR – на право користувачів знати, яка інформація про них обробляється та що можна з цим зробити. При цьому, можна сміливо заявити про те, що молодший брат таки має свій вплив і свою маленьку територію, яку потрібно захищати.

Політики соціальних платформ: що маємо і що чекати

Насправді, суттєвих змін у політиках всім відомих соціальних мереж не відбудеться. Нині, такі компанії надають розгорнуту інформацію щодо правил використання їхніх даних, яку інформацію ми та інші користувачі про нас надаємо, як вона використовується, а головне – як розповсюджується. Зокрема, це відбувається через інших людей, з якими ви спілкуєтесь в мережі шляхом розміщення постів в соцмережі чи в процесі користування іншими продуктами цієї компанії, через аналітику та статистику, які допомагають людям та компаніям зрозуміти, як люди взаємодіють з їхніми профілями.

Неможливо не згадати рекламодавців, яким компанії надають звіти про різні типи людей, які продивляються їхні рекламні оголошення. Також сюди належать компанії, що займаються аналітикою зібраних персональних даних, партнери, які пропонують послуги і товари в соцмережах, продавці і постачальники послуг, дослідники, і – як уже згадувалось вище – органи правопорядку. Що цікаво, соцмережі в цих ситуаціях залишають за собою досить велику дискрецію. Для прикладу, Instagram, відповідає на офіційні запити інших країн, окрім США, які надійшли від органів влади, якщо мають достатні підстави вважати таку відповідь законною вимогою цієї країни, якщо вона позначиться на користувачах, які там проживають.  Серед помітних змін, які вносить CCPA – усі компанії, які підпадають під дію Каліфорнійського акту, повинні розмістити окреме посилання на веб-сторінку, де буде опція “Не продавати персональну інформацію”. Також, ці компанії повинні оновлювати свої політики хоча би кожні 12 місяців.

Далі – більше

Беззаперечно можна визнати, що оновлення законодавства в сфері захисту персональних даних спрямовані на те, щоби люди мали змогу керувати потоками власних даних, усвідомлювали можливості, які виникають внаслідок їх збору, обробки та подальшого продажу, а головне – могли захистити свою приватність. Саме тому, тенденції в цій сфері йдуть до відродження (обрежно, тавтологія) трохи забутого “права бути забутим”, що знову розкрилось у згаданому вище Індійському варіанті Загального регламенту, а також право на інформацію трансформується в дещо іншу, також досить усталену просту форму – право знати.

Проте якщо раніше це було більше про публічну владу та здійснення їхніх повноважень то, зараз – це про право знати про себе, про конфіденційну інформацію, яка обробляється відносно осіб, а також – про прозорість забезпечення таких механізмів компаніями. Зокрема, на реалізацію цього права спрямований Проект штату Іллінойс, де відбувається розгляд акту, який зобов’язує комерційні веб-сайти чи онлайн-сервіси надавати електронну пошту, безкоштовний номер телефону чи форму на сайті, що дозволить отримати всі персональні дані, які обробляються в який спосіб.

Чим це може бути корисно в контексті українського суспільства? Насправді, в більшості випадків кожен з нас не усвідомлює небезпеки, а тим паче шкоди від витоків персональних даних, оскільки максимальну незручність, яку ми можемо уявити – це засилля реклами в браузері чи постійні повідомлення від служб таксі. Проте використання персональної інформації надасть змогу її розпорядникам знати ваше місцезнаходження, впізнавати вас в обличчя, користуватись вашими реквізитами не лише в комерційних, а й злочинних цілях.  Саме тому грубі порушення приватності людей та частота таких випадків дозволяють зрозуміти, що докласти зусиль для власного захисту повинна не лише влада, а й самі користувачі, оскільки убезпечити себе – означає убезпечити всіх.

[1]with great power comes great responsibility – “велика сила – це велика відповідальність”, культова цитата з фільму “Людина-павук”.

[2] даркнет – анонімна тіньова мережа.

[3] matchup – підходити один одному

[4] copycat (неформальний вираз, використовується в дитячій лексиці) – особа, яка копіює чиюсь поведінку, ідеї чи зовнішній вигляд.

[5] валовий дохід (gross revenue) – загальна сума продажів без будь-яких відрахувань, визначена за звітний період.