Персональные данные: карта подходов от ОЭСР

Ольга Магомедова Ольга Магомедова Эксперт Центра Россия-ОЭСР опубликовано Об ОЭСР · Регуляторная политика · Цифровая экономика
Персональные данные: карта подходов от ОЭСР

Специально для рабочей группы по цифровой экономике G20 эксперты ОЭСР подготовили обзор современных подходов к регулированию персональных данных и потоков данных. Распространение устройств и датчиков, экспоненциальный рост мощности вычислительной техники, резкое снижение затрат на хранение данных и растущие возможности доставлять больше данных с большей скоростью определили стремительное развитие цифровой экономики. Изменилась конфигурация глобальных производственно-сбытовых цепочек, образовались новые информационные отрасли, такие как облачные вычисления, 3D-печать и Интернет вещей, изменение способа производства и предоставления услуг, и даже изменился порядок выращивания и торговля продовольственными товарами. Все эти преобразования получили своё отражение и в правовом регулировании персональных данных, как базового компонента цифровой экономики. Правовое регулирование охватывает не только традиционные вопросы конфиденциальности и безопасности, но также вопросы в контексте экономического развития или необходимости защиты интеллектуальной собственности, вопросы контроля за пересечением потока различных юрисдикций. Ключевым вопросом в повестке G20 по цифровой экономике стало регулирование потоков данных.

На основе анализа национальных практик ОЭСР выявила четыре подхода к регулированию потоков данных по уровню требований и ограничений.

I. Самый простой подход – отсутствие какого-либо регулирования вопроса, что чаще всего сопряжено с отсутствием законодательно установленного режима персональных данных.

II. Второй подход определяется как «ex post accountability». Это значит, что государство не запрещает трансграничную передачу данных и не требует выполнения каких-либо конкретных условий, но предусматривает ex-post ответственность экспортера данных в случае допущения нарушения защиты отправленных зарубеж данных. На практике это значит, что компании свободно отправляют данные, но в случае выявленного нарушения режима персональных данных, компании понесут юридическую ответственность.

III. Третий подход обуславливает поток данных выполнением требований предосторожности (flows conditional on safeguards). Гарантии для защиты перадачи данных могут быть установлены, как государственным органом, так и самими частными компаниями. Например, компании могут включить такие требования в корпоративные правила, в общие положения договоров или оговорки.

IV. Четвёртый подход устанавливает жёсткий порядок передачи данных, обусловленный получением санкции соответствующего компетентного органа на индивидуальной основе (flows conditional on ad-hoc authorization). Такой подход может применяться в отношении персональных данных отдельных категорий, так и в отношении информации, которая национальным законодательством определяется как стратегически значимая.

Требования о локализации данных стоят особняком в числе вероятных ограничений потоков данных, поскольку их выполнение связано с издержками содержания локальных серверов. ОЭСР выделяет три вида данного требования.

Во-первых, может быть установлено требование хранения копий конкретных данных. При данном подходе не устанавливается ограничений с точки зрения передачи или обработки копий данных за рубежом. Такие требования чаще всего установлены в отношении телекоммуникационных метаданных, данных в сфере бизнеса и налогообложения. Одна из модификаций требования сформулирована таким образом: от операторов требуется хранить определённые данные и обеспечивать к ним доступ госорганам, но при этом данные могут храниться на серверах в любой стране. В таком случае устанавливается срок сохранения данных.

Во-вторых, может быть установлен порядок свободной передачи данных с запретом хранения данных за рубежом. Это значит, что за границей могут производиться любые операции процесса обработки данных, за исключением хранения. Такой подход был принят Россией в 2015 г.

В-третьих, самый строгий вариант требования представляет собой комбинацию из требований о хранении данных на территории государства и условий передачи данных. ОЭСР отмечает, что применение такого подхода может быть обусловлено целями промышленной политики, ориентированной на развитие секторов, связанных с информационным обслуживанием. Если в России будет реализован проект суверенного рунета, который уже разработан в рамках федерального проекта "Информационная безопасность", то требования России будут соответствовать характеристикам третьего подхода в классификации подходов ОЭСР.

Множественность правовых режимов может создать неопределенность для правительств, предприятий и частных лиц в понимании, какие правила управляют ситуацией.

В преодолении регуляторных отличий ОЭСР выявила 4 инструмента:

  1. многосторонние соглашения и договорённости
  2. торговые соглашения
  3. односторонние инструменты
  4. соглашения и инициативы внутри частного сектора.

Многосторонние инструменты могут приниматься как в формате обязательных соглашений, как Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. (в редакции 2018 г.), так и договорённостей рекомендательного характера, как Руководящие принципы ОЭСР о защите неприкосновенности частной жизни и трансграничной передачи персональных данных 1980 г. (в редакции 2013 г.). Многосторонние инструменты активно применяются на региональном уровне, например, Конвенция Африканского Союза по кибер-безопасности и защите персональных данных 2014 г., Основы защиты персональных данных АСЕАН 2018 г., Правила АТЭС о трансграничной передаче данных 2011 г.

Торговые соглашения могут включать положения о передаче данных, поскольку в условиях цифровой экономики свобода потоков данных напрямую затрагивает торговлю товарами и услугами. В ВТО пока медленно продвигается процесс по подготовке Соглашения об электронной торговле. Тем не менее положения о свободе передачи данных включены в двусторонние и региональные соглашения, такие как Всеобъемлющее и прогрессивное соглашение о транстихоокеанском партнёрстве, обновленное Соглашение о свободной торговле между США, Канадой, Мексикой, соглашения о свободной торговле между Канадой и Перу, Мексикой и Панамой, Японией и Монголией, Южной Кореей и Вьетнамом, Аргентиной и Чили. Принимаются и специальные соглашения, как соглашение между США и Японией о цифровой торговле 2019 г., между Австралией и Сингапуром о цифровой экономике 2020 г.

Односторонние инструменты предполагают признание государствами, что та или иная система защиты персональных данных в другом государстве соответствует разумному уровню защиты (adequacy determination). Например, ЕС заявила о признании правового режима персональных данных в Японии, как отвечающего необходимому уровню защиты. Япония приняла аналогичную взаимную позицию.

Инструменты в отношении персональных данных на уровне частного сектора основаны на международных стандартах. Например, компании могут интегрировать в свою работу стандарт ISO (ISO/IEC 27701:2019), который определяет требования и обеспечивает руководство для создания, внедрения, поддержания и постоянного совершенствования системы управления конфиденциальной информацией.

Данные инструменты не являются исключительными друг для друга: страны могут использовать разные подходы в отношении разных партнеров, типов данных и в различных ситуациях. Объем данных, охватываемых каждым подходом, также варьируется: например, правила о трансграничном потоке данных в торговых соглашениях часто охватывают все виды данных. Между тем, существующие многосторонние договоренности по трансграничной передаче данных и некоторые односторонние документы сосредоточены главным образом на вопросах защиты персональных данных. Таким образом, комбинация инструментов может позволить охватить все нюансы режима персональных данных.