Hi! My name is Damir. I’m co-founder at IFAB.ru and i’m pretty good at these scary things

  • Startups
  • E-Commerce
  • Process development
  • Process implementation
  • Project management
  • Financial modeling
  • Business strategy

You can reach me out via these networks

Are you hiring? Check out my CV

My CV page

Зарубежные тезисы – США

Организация защиты информации в США

 

Органы защиты информации в США

Основным директивным органом, координирующим режимно-секретную деятельность в стране, является Совет национальной безопасности.

Постоянными членами СНБ являются президент (председатель СНБ), государственный секретарь, министр обороны, директор управления чрезвычайного планирования.

Постоянными советниками (консультантами) СНБ являются председатель комитета начальников штабов, директор ЦРУ.

К должностным лицам СНБ относятся: помощник президента по национальной безопасности, заместитель помощника президента по национальной безопасности, исполнительный секретарь (возглавляет весь аппарат СНБ, назначается президентом).

Практическое руководство деятельностью СНБ осуществляет помощник президента по национальной безопасности. Он имеет свой штат сотрудников для разработки и подготовки документов.

СНБ подчиняется Высшая межведомственная группа по вопросам разведки. К ее задачам относятся:

– оценка эффективности контрразведывательной деятельности,

– защита секретных документов.

В работе Высшей межведомственной группы по вопросам разведки принимают участие директор ЦРУ, председатель комитета начальников штабов, помощник президента  по национальной безопасности, представители государственного секретаря и министра обороны, представители гражданских министерств и ведомств.

Наряду с СНБ основными высшими административно-государственными органами в области защиты государственной тайны являются:

– административно-бюджетное управление (АБУ), а в его составе – служба надзора по защите информации и генеральный контролер АБУ,

– межведомственная апелляционная  группа по классификации безопасности информации,

Консультативный совет по формированию политики безопасности в области защиты информации.

Административно-бюджетное управление

Директор АБУ совместно с помощником президента по  вопросам национальной безопасности осуществляет контроль за выполнением директив и указов президента в сфере защиты государственной тайны.

АБУ издает директивы и устанавливает стандарты по следующим вопросам:

– определение принципов защиты и классификации информации,

– разработка программ подготовки и обучения сотрудников служб безопасности,

– разработка руководств по вопросам засекречивания и рассекречивания информации,

– разработка рекомендаций и руководств по организации защиты информации в частном секторе.

В составе АБУ создана служба надзора по защите информации. Руководитель службы назначается генеральным контролером АБУ после согласования этого вопроса с президентом США.

Основные функции службы надзора по защите информации

  1. Разработка директив по выполнению указов президента по вопросам защиты информации.
  2. Осуществление постоянного контроля за соблюдением правил работы с грифованной информацией и требований по обеспечению защиты информации.
  3. Участие в разработке и согласовании инструкций и правил по вопросам рассекречивания документов.
  4. Направление запросов в учреждения с требованием предоставления отчетов и других информационных материалов по вопросам организации защиты информации и предоставления доступа к грифованным материалам. Если возникают вопросы в сфере организации доступа к грифованным документам, то служба имеет право рекомендовать генеральному контролеру АБУ отказать организации в осуществлении права доступа к документам. Проверка материалов по вопросам доступа к секретным документам осуществляется в регламентированные сроки (60 дней со дня подачи заявки на доступ). Отказ в доступе к документам оформляется решением главного контролера АБУ, который предварительно консультируется с помощником президента по вопросам национальной безопасности.
  5. Рассмотрение заявок должностных лиц о предоставлении им прав и полномочий по классификации защищаемой информации (прав по установлению грифов секретности). Обоснованные рекомендации по данному вопросу предоставляются генеральному контролеру АБУ для вынесения окончательного решения.
  6. Рассматривает претензии и предложения должностных лиц или государственных учреждений по вопросам реализации государственных программ защиты информации.
  7. Осуществляет консультации с заинтересованными учреждениями по вопросам стандартизации в области защиты информации, готовит предписания на разработку таких стандартов.
  8. Осуществляет контроль за деятельностью межведомственной апелляционной группы по классификации безопасности информации. Составляет отчет президенту о деятельности межведомственной апелляционной группы.
  9. Готовит для президента США ежегодный отчет об исполнении указов президента по вопросам защиты информации по национальной безопасности. Руководитель группы докладывает 1 раз в год данный отчет президенту.

Межведомственная апелляционная группа по классификации безопасности информации

 Председатель группы назначается президентом. Начальник службы надзора по защите информации осуществляет функции исполнительного секретаря.

Состав группы формируется следующим образом: своих уполномоченных в группу назначают такие должностные лица, как государственный секретарь США, министры обороны, юстиции, директор ЦРУ, архивариус США, помощник президента по вопросам национальной безопасности.

Основные функции

  1. Контроль деятельности лиц, которые имеют право осуществлять классификацию защищаемой информации.
  2. Рассмотрение заявок и принятие решений по заявкам учреждений о снижении грифов секретности или рассекречивании документов.
  3. Рассмотрение спорных вопросов в области рассекречивания документов.

 

Консультативный совет по формированию политики безопасности в области защиты информации

Назначается президентом на 4 года.

Основные функции

  1. Консультации, подготовка предложений, рекомендаций по вопросам защиты информации для президента, помощника президента по вопросам национальной безопасности, директора АБУ и других официальных лиц.
  2. Подготовка рекомендаций руководителям государственных учреждений по вопросам защиты информации по национальной безопасности.

 

В настоящее время в состав разведывательного сообщества США входят 14 самостоятельных спецслужб и подразделений федеральных министерств и ведомств США, обеспечивающих президента и Совет национальной безопасности информацией для принятия решений в области внешней, военной и экономической политики: ЦРУ, АНБ, Национальная космическая разведка, Национальное агентство картографии изображений, Разведывательное управление МО, разведки видов вооруженных сил (ВВС, ВМС, корпуса морской пехоты, армии), ФБР, Секретная служба Минфина, бюро разведки Государственного департамента, отдел исследований и разработок Минэнерго, Береговая охрана министерства транспорта.

Термин «РС» применяется с 1947 г., однако юридическую силу РС обрело только в 1992 г. (The Intelligence Organization Act of 1992).

Совершенствование системы органов защиты информации после событий 11 сентября 2001 г.

8 октября 2001 г. Создан новый правительственный орган – Управление внутренней безопасности (Office of Homeland Security). Ему поручено «разработать и реализовать всеобъемлющую национальную стратегию по защите США от угроз нападения со стороны террористических организаций» (по обеспечению национальной безопасности).

11 октября 2001 г. принят закон «О патриотизме» (USA Patriot Act).

16 октября 2001 г. создан правительственный орган – Комитет по защите критической инфраструктуры (President’s Critical Infrastructure Protection Board) (информационная, кибернетическая безопасность, защита сетей и баз данных).

16 июля 2002 г. принят директивный документ – Национальная стратегия внутренней безопасности (National Strategy for Homeland Security). Определение понятия внутренней безопасности – «концентрированные национальные усилия по: а) предотвращению нападений террористов внутри страны, б) снижению уязвимости Америки к террористическим атакам, в) минимизация величины ущерба и времени восстановления от возможных нападений».

11 сентября 2002 г. – принята Стратегия национальной безопасности США (National Security Strategy). Необходимость «преобразования американских институтов национальной безопасности в соответствии с вызовами и возможностями 21-го века».

25 ноября 2002 г. принят закон «О внутренней безопасности» (Home Security Act, H.R. 5005) и создан специальный Комитет по обеспечению внутренней безопасности (House Homeland Security Committee). В нем создан подкомитет по вопросам «Кибернетической безопасности, науки, исследований и разработок». Задачи: контроль за исполнением закона «О внутренней безопасности», обеспечение безопасности компьютерных и телекоммуникационных сетей, информационных технологий, систем управления производством, баз данных, как правительственных, так и частных и др.

В соответствии с данным законом создано Министерство внутренней безопасности (Department of Homeland  Security). Его функции:

– снижение уязвимости к актам терроризма,

– защита информационных баз данных,

– разработка и участие в проведении мероприятий и реализации программ в интересах внутренней безопасности,

– анализ и распределение разведывательной информации, сбор которой осуществляют ЦРУ, ФБР, АНБ  и др.,

– предотвращение кибернетических нападений на критическую инфраструктуру и др.

Создание Национального объединенного антитеррористического центра (Terrorist Threat Integration Center – JTIC) (представители Пентагона, ЦРУ, ФБР). Осуществляет сбор, анализ и распределение информации в интересах МВБ.

По мнению экспертов, центр может стать 15-й спецслужбой США – внутренней разведки (domestic intelligence).

Важным шагом на пути к реформированию органов защиты информации должно стать внедрение в практику спецслужб принципиально новой парадигмы обмена информацией как внутри РС, так и вне его. Старая классическая парадигма основывалась на монопольном владении источниками информации, стимулировала конкуренцию и разобщенность спецслужб, что, по мнению специалистов, привело к событиям 11 сентября 2001 г. Информация, которой располагало ФБР, не доходила до аналитических подразделений. Новая парадигма обмена информацией рассматривает информацию как продукт, которым должен распоряжаться аналитический, а не добывающий орган. При этом основная проблема для органов защиты информации заключается не в том, как собрать, а как обезличить сведения, полученные оперативным путем, зашифровать агентурные, скрыть технические источники информации, но при этом сделать информацию доступной для своевременного принятия обоснованных  решений. По мнению специалистов, чем секретнее сведения, добываемые разведкой, тем более они бесполезны для национальной безопасности в силу ограничения круга лиц, допущенных к ним.

Организация защиты коммерческой тайны

В законодательстве США имеется специальный нормативный акт, посвященный коммерческой тайне, что в международной практике является скорее исключением, чем правилом. Основной состав нормативных документов о коммерческой тайне (используется термин «trade secret» — «торговый секрет») приходится на уровень отдельных штатов. Федеральный Единый закон о торговых секретах 1979 года (The Uniform Trade Secrets Act) одобрен не всеми штатами, однако законодательство штатов находится под влиянием Федерального закона и в целом соответствует ему.

Определение торгового секрета содержится в Едином законе (ч. 4 ст. 1 «Определения»): «Торговый секрет (означает информацию, включающую формулу, образец, сборник (компиляцию), программу, прибор, метод, технику или процесс, которая обладает независимой экономической ценностью, действительной или потенциальной, в силу ее неизвестности иным лицам, которые могут получить выгоду от ее обнаружения и использования; и в отношении которой обладатель принимает меры для поддержания секретности». Таким образом, под торговым секретом понимается информация как совокупность сведений, выраженная в объективной форме в виде формулы, образца и т. д., обладающая двумя необходимыми признаками (критерии охраноспособности).

Субъектами прав на торговый секрет в соответствии с ч. 3 ст. 1 Единого закона являются физические лица (natural person), юридические лица (corporation), объединение юридических лиц (business trust), товарищество (partnership), совместное предприятие (joint venture), правительство и правительственный отдел или агентство (government, governmental subdivision or agency), а также любые другие юридические или коммерческие образования.

Единый закон предусматривает судебную форму защиты прав лица на торговый секрет. Так, п. А ст. 2 гласит, что «действительное или мнимое незаконное присвоение торгового секрета может быть оспорено в суде». Под «незаконным присвоением» (misappropriation) по ч. 2 ст. 1 Единого закона понимается:

«I. Приобретение торгового секрета у лица, которое знало или имело возможность знать, что торговый секрет получен незаконными методами;

  1. Использование торгового секрета лицом, не имеющим специального или подразумевающегося разрешения;

III. Приобретение сведений, составляющих торговый секрет, по ошибке или в силу случайности».

К «незаконным методам» (improper means) в соответствии с ч. 1 ст. 1 Единого закона относятся кража (theft), введение в заблуждение (misrepresentation), подкуп (bribery), нарушение или подстрекательство к нарушению обязанности поддержания секретности (breach or inducement of a breach of a duty to maintain secrecy), шпионаж с помощью электронных или иных способов (espionage). Не считаются незаконными методами сбора информации обратный инжиниринг (reverse engineering) и независимое получение сведений (independent derivation).

Единообразный закон в качестве способа защиты прав лица называет возмещение убытков в ст. 3 «Убытки»: «Убытки могут включать как реальный ущерб от незаконного присвоения (actual loss), так и незаконное обогащение от данных действий (unjust enrichment)».

Однако вместо возмещения убытков суд вправе применить возложение обязанности уплатить разумное вознаграждение (royalty) за неразрешенное обнаружение или использование торгового секрета. При отягчающих обстоятельствах суд вправе применить меру ответственности в виде возмещения убытков в двойном размере.

Единый закон содержит и некоторые процессуальные нормы, направленные на обеспечение секретности информации в процессе судебного разбирательства. Статья 5 Закона предусматривает следующие меры обеспечения секретности: проведение закрытых слушаний дела, опечатывание записей судебного разбирательства (протокола), наложение на лиц, участвующих в деле, обязанностей не раскрывать торговый секрет без предварительного согласия суда.

Единый закон в ст. 6 устанавливает по данной категории дел исковую давность в три года с момента обнаружения незаконного присвоения торгового секрета.

Кроме данных положений Закон включает ряд организационно-технических норм: ст. 8 «Единообразие применения и толкования», ст. 9 «Краткое наименование», ст. 10 «Применимость», ст. 11 «Вступление в силу», призванных обеспечить единообразное применение и толкование Закона в различных штатах, учитывая, что законодательства отдельных штатов отличаются друг от друга весьма существенно.

11 октября 1996 году вступил в силу Закон об экономическом шпионаже (The Economic Espionage Act), который заложил основы федеральной системы защиты коммерческой тайны и заполнил существовавшие ранее пробелы в законодательстве. Документ предусматривает уголовную ответственность за присвоение лицом коммерческой тайны в своих интересах или в интересах других лиц, если данное лицо было осведомлено о том, что его действия наносят ущерб обладателю коммерческой тайны.

Термин “присвоение” определяется в законе максимально широко и распространяется на любое незаконное действие, включая кражу, мошенничество, сокрытие, несанкционированное копирование, изготовление зарисовок, чертежей, фотографий, пересылку, загрузку файлов и иные виды несанкционированной передачи коммерческой тайны. Уголовная ответственность устанавливается также за приобретение, покупку или владение коммерческой тайной другого лица, переданной или присвоенной без ведома ее обладателя.

Определение коммерческой тайны, приведенное в Законе, расширяет это понятие, включая в него новые технологии, с помощью которых осуществляется создание и хранение коммерческой тайны. Так, к коммерческой тайне относятся все виды и формы финансовой, коммерческой, научной, технической и экономической информации, включая модели, чертежи, программы, формулы, идеи, прототипы, методики, технологии, процедуры или коды, хранящиеся любым способом, при условии, что обладатель принял разумные меры для сохранения секретности, а информация обладает самостоятельной экономической ценностью в силу отсутствия к ней доступа со стороны других лиц.

В отличие от патентного права, к коммерческой тайне предъявляются лишь минимальные требования новизны ее содержания. Таким образом, коммерческая тайна может содержать только отдельные неизвестные третьим лицам элементы, которые отличают ее от общедоступной информации.

Основным признаком информации, составляющей коммерческую тайну, является отсутствие к ней публичного доступа разрешенными законом способами и, следовательно, отсутствие идентичной информации у третьих лиц. Информация, отнесенная к коммерческой тайне, не должна содержаться в публикациях или иных общедоступных источниках. Кроме того, данная информация не должна быть очевидной для конкурентов или иных специалистов – закон не предоставляет защиту в отношении информации, которая считается секретной, несмотря на то, что она хорошо известна в соответствующих отраслях науки и промышленности. Тем не менее, если опубликованная информация позволяет специалисту узнать о содержании коммерческой тайны только с помощью проведенного им научного исследования, коммерческая тайна будет иметь юридическую защиту. Следует также учесть, что к коммерческой тайне может быть отнесена и та информация, отдельные элементы которой являются общеизвестными. Так, общеизвестные сведения могут быть признаны коммерческой тайной, если они представляют собой уникальное, экономически ценное сочетание.

Важным признаком коммерческой тайны в соответствии с американским законодательством является условие о необходимости принятия ее обладателем разумных мер в целях обеспечения конфиденциальности информации.

Закон не требует обеспечения абсолютной секретности – объем необходимых мер определяется, исходя из конкретных обстоятельств и должен соответствовать принципу разумности. На практике под “разумными усилиями” понимаются, например, сообщение работникам о необходимости соблюдения конфиденциальности, подписание работниками соглашений о неразглашении коммерческой тайны, хранение секретных документов “под замком” и т.п. Как правило, увольняющийся сотрудник в письменном виде уведомляет организацию о взятых на себя обязательствах о сохранении коммерческой тайны. Руководитель организации, откуда уволился работник, может поставить в известность нового работодателя об информированности работника в области коммерческих секретов. Предупреждая возможные правонарушения со стороны нанимаемого персонала, работодатель может самостоятельно предложить работнику известить его о наличии обязательств о неразглашении коммерческой тайны.

Раскрытие информации, являющейся коммерческой тайной, органам государственной власти в ходе предварительного следствия или иного расследования не влияет на ее правовой статус. В этом случае предоставление информации необходимо для осуществления государственных полномочий, причем, законодательство устанавливает достаточные гарантии надлежащей защиты коммерческой тайны. Помимо специально предусмотренной нормы об обеспечении конфиденциальности информации, раскрываемой в ходе судебного заседания, закон устанавливает дополнительные ограничения на получение информации органами государственной власти без согласия ее обладателя.

За нарушение прав обладателя коммерческой тайны закон предусматривает наказание в виде лишения свободы сроком до десяти лет и штрафа в размере до полумиллиона долларов США. Если субъектом преступления является юридическое лицо, штраф может достигать пяти миллионов долларов США. Повышенные наказания предусмотрены также, если кража коммерческих секретов осуществляется в интересах иностранных граждан и организаций. Кроме того, закон предусматривает конфискацию любой собственности, приобретенной с нарушением прав обладателя коммерческой тайны, а также использованной для совершения соответствующих преступных деяний. Положения о конфискации собственности наделяют федеральные органы власти полномочиями по демонтажу и изъятию компьютерных сетей, принтеров и других устройств, использованных для совершения предусмотренных законом преступлений.

В США в последние годы в связи с обострением конкурентной борьбы на внутренних и внешних рынках и расширением масштабов промышленного шпионажа все большее число не только крупных, но средних и даже мелких фирм создает собственные службы безопасности.

Как правило, эти службы возглавляют бывшие сотрудники правоохранительных органов или отставные офицеры военной разведки и контрразведки. Значительная часть персонала включает лиц, имевших ранее непосредственное отношение к вопросам обеспечения безопасности в государственных учреждениях.

                               В соответствии со служебными инструкциями и функциональными предписаниями, частные службы безопасности в США требуют от принимаемого на работу кандидата заполнения анкет, в которых обязательно указываются сведения о его прошлой жизни и деятельности, состоянии здоровья. Кроме того, требуются отзывы и рекомендации с предыдущих мест работы и документы об образовании.

В тех штатах, где это разрешено законом, проводятся испытания кандидатов с помощью «детектора лжи». Во всех фирмах службы безопасности осуществляют с привлечением психологов и врачей обязательное многоуровневое психологическое тестирование с целью выявления подлинных способностей кандидата работать в неординарных, экстремальных условиях. В ряде случаев применяются весьма сложные технические системы выявления и анализа стрессового психологического состояния личности.

Организация защиты служебной тайны

                Правовому регулированию государственной службы и статусу государственного служащего в законодательстве США уделяется самое пристальное внимание. Данные вопросы включены в пятый титул Свода законов США (сразу после таких титулов, как «Общие положения», «Конгресс», «Президент», «Флаг и печать, место нахождения правительства и штаты»).

                Вопросы защиты тайны рассматриваются  в части III «Служащие» титула 5 «Государственные органы и служащие».

                В данном разделе закона определяются следующие положения, связанные с защитой служебной тайны:

  • служащий обязан не разглашать секретную информацию, запрещенную для разглашения законом;
  • разглашать Специальному Совету или Главному Инспектору агентства или другому служащему, назначенному главой агентства для принятия таких разглашений, данные, которые, как обоснованно полагает служащий или кандидат на занятие должности, свидетельствуют о нарушении какого-либо закона, правила, постановления или об очевидно неправильном управлении, очевидной растрате средств, злоупотреблении властью или о наличии существенной и реальной угрозы благосостоянию или безопасности общества;
  • должности, связанные с секретным характером работы, исключаются из конкурсной службы.

Организация защиты персональных данных

Начиная с 60-х годов прошлого столетия, в связи с ростом заинтересованности граждан в защите личных прав и свобод, как на федеральном уровне, так и на уровне штатов в США были приняты некоторые законы, регулирующие взаимоотношения между обществом, государством и личностью. Основой обеспечения информационных свобод гражданина является Закон о свободе информации 1966 года. Он обеспечивает любому гражданину широкий доступ к информации, имеющейся в распоряжении федеральных государственных структур; закрытыми являются лишь архивы судебных органов и Белого дома. Поправки, связанные с принятием в 1996 году Закона о свободе электронной информации, обеспечили гражданам свободный доступ к электронным базам данных. Кроме того, в каждом штате действует собственный закон о доступе к правительственной информации.

Принятые на федеральном уровне законы, в отличие от Директивы 95/46/EC, объединяющей различные области применения персональной информации, затрагивают в основном лишь публичный сектор и являются частными, сосредоточенными на конкретных категориях персональной информации, таких как книги финансового учета, кредитные ведомости, журналы учета клиентов фирм проката видеокассет, абонентов кабельного телевидения и образовательных программ, регистрационные журналы абонентов телефонных компаний. Такие виды деятельности, как продажа данных медицинского и банковского учета, мониторинг на рабочих местах и видеонаблюдение за частными лицами в настоящее время действующим федеральным законодательством не запрещены.

Помимо этого, вопросы защиты персональных данных находят свое отражение в конституциональном и судебном законодательстве. В частности, согласно постановлению Верховного суда, граждане имеют ограниченное конституционное право на неприкосновенность частной жизни, основанное на ряде положений Билля о правах. Речь идет о свободе от государственного надзора за теми сферами деятельности лица, которые “в силу очевидных причин принято относить к частной жизни”. Верховный суд также признал право на анонимность и право политических организаций не раскрывать имена своих членов государственным органам.

На уровне штатов гражданам гарантировано право приватности через положения местных конституций:

Законодательное регулирование вопросов защиты персональной информации в США осуществляется исключительно в публичном секторе, оставив частным компаниям и лицам пространство для саморегулирования, за исключением некоторых специфических законов.

Развитие законодательства США по вопросам защиты персональных данных осуществлялось в несколько этапов.

1970 год – принятие акта, регулирующего предоставление кредитной информации о покупателе (Fair Credit Reporting Act). Он налагает определенные обязанности на учреждения, занимающиеся подобной деятельностью (кредитные бюро). В частности, такие учреждения должны вести список организаций, которые регулярно занимаются сбором и оценкой кредитной информации о покупателе для предоставления отчетов третьим сторонам.

В соответствии с требованиями данного акта, любое кредитное учреждение должно принимать соответствующие меры, дабы предотвратить несанкционированное разглашение информации. Со стороны пользователя такой информации должно быть заявлено следующее: личность пользователя, цели использования информации, а также гарантии, что информация не будет использоваться вне заявленных целей.

1974 год – принятие акта о защите приватности (Privacy Act). В основу данного акта легли принципы, определенные в Кодексе о Справедливой Информационной Практике (Code of Fair Information Practice), который был выпущен в 1973 году Государственным Департаментом Здоровья и Образования. К данным принципам относятся следующие:

– не должно существовать секретных баз персональных данных;

– должны быть определены механизмы, которые позволили бы отдельным гражданам проверить, какая информация личного характера находится в соответствующих базах данных и как она используется;

– должны быть определены методы, позволяющие отдельным гражданам предотвратить использование информации, собранной в базах персональных данных в незаявленных целях и без согласия субъекта данных;

– должны быть разработаны процедуры, позволяющие субъектам данных скорректировать либо удалить собранные о них персональные данные;

– организации, собирающие, обрабатывающие и использующие персональные данные, в том числе передающие их третьей стороне, должны обеспечить такое положение, когда данные будут использоваться только в заявленных целях и будут приняты меры предосторожности для предотвращения их злоумышленного использования.

Указанные принципы должны распространяться на все категории систем обработки персональных данных. Подобный кодекс является примером осуществление стратегии саморегулирования рынка персональных данных, проводимой в США.

Акт от 1974 года о защите приватности был принят с целью предотвращения злоупотреблений со стороны государства в области использования персональной информации. Данный документ включал общие правила, регулирующие процессы сбора, использования и раскрытия персональной информации, находящейся в ведении различных федеральных учреждений.

Два положения закона имеют принципиально важное значение с точки зрения защиты неприкосновенности частной жизни. Во-первых, в преамбуле закона право на приватность впервые определено как “личное и фундаментальное право, охраняемое Конституцией Соединенных Штатов” и тем самым официально приравнено к основным гражданским правам и свободам. Во-вторых, закон устанавливает запрет на сбор и хранение информации о том, как субъект осуществляет свои права, предусмотренные первой поправкой к конституции (т.е. свободу слова и печати, свободу вероисповедания, свободу собраний и др.), за исключением случаев, когда это прямо предписано законом или разрешено самим субъектом данных.

Закон закрепляет за субъектом персональных данных комплекс правомочий, позволяющих ему осуществлять превентивный контроль за тем, как его право на информационную приватность соблюдается федеральными ведомствами и их должностными лицами. К числу прав относятся:

  1. Право быть осведомленным о существовании системы обработки персональных данных. Это право обеспечивается обязанностью ведомства, создающего или реорганизующего уже имеющуюся систему персональных данных, публиковать в Федеральном реестре соответствующее уведомление, в котором указываются ее название и местонахождение; категории лиц, персональные данные которых в ней накапливаются; категории персональных данных. Требование о публикации уведомления распространяется и на те системы персональных данных, для которых закон устанавливает изъятия из общих правил о доступе индивида к своим персональным данным (например, в отношении баз персональных данных ЦРУ и ФБР). Таким образом, закон, допуская существование закрытых систем персональных данных, исключает наличие секретных систем.
  2. Право быть осведомленным о целях сбора и обработки информации. Это право обеспечивается обязанностью ведомства при сборе информации сообщать субъекту данных о предполагаемых целях использования информации, о том, на каком правовом основании собирается информация и является ли ее предоставление обязательным или добровольным, а также уведомлять о последствиях отказа предоставить персональные данные.
  3. Право на доступ к своим персональным данным, на их изучение и получение копии всех данных или их части.
  4. Право требовать внесения изменений и дополнений в свои персональные данные. В случае отказа внести такие изменения ведомство обязано уведомить субъекта данных о мотивах отказа и информировать его о процедуре пересмотра принятого решения, указав должностное лицо, к компетенции которого относится такой пересмотр. Если он настаивает на пересмотре, окончательное решение должно быть вынесено не позднее 30 дней после подачи соответствующего заявления. В случае окончательного отказа лицо может воспользоваться правом представить в ведомство аргументированное за­явление о своем несогласии с решением; это заявление должно быть приобщено к его персональным данным и следовать за ними при последующей передаче. Независимо от этого в случае отказа от внесения изменений в персональные данные или отказа в доступе к информации субъект данных вправе обратиться в суд. По результатам рассмотрения суд может издать приказ, обязывающий ведомство предоставить лицу доступ к персональным данным или внести изменения в персональные данные.

Одновременно закон налагает на ведомства ряд обязательств и ограничений, касающихся сбора и использования персональной информации:

  1. Ведомство вправе накапливать только такую информацию о субъекте данных, которая имеет непосредственное отношение к компетенции соответствующего ведомства. Накапливаемые данные должны отвечать требованию “достоверности, относимости, своевременности и полноты”. Нарушение ведомством этой обязанности, если оно имело следствием принятие неблагоприятного для субъекта данных решения, служит основанием для судебного иска. Возмещению подлежат фактические убытки и судебные расходы.
  2. Устанавливается общий режим конфиденциальности персональных данных: их раскрытие или передача третьим лицам либо другим ведомствам разрешается только по требованию или с письменного согласия субъекта персональных данных. Режим конфиденциальности призван обеспечить соблюдение одного из основных принципов добросовестной информационной практики: информация, полученная для определенной цели, не может быть использована для других целей. Вместе с тем закон предусматривает ряд исключений из правила о конфиденциальности. Одно из них – так называемая оговорка о “рутинном использовании” информации – создает широкие возможности для нарушения режима конфиденциальности и обмена персональной информацией между ведомствами. Эта оговорка разрешает ведомству использовать персональные данные и раскрывать их для целей, совместимых (но не обязательно совпадающих) с той целью, для которой была собрана информация.

Первоначальная идея этой оговорки состояла в том, чтобы предоставить ведомству некоторую оперативную свободу при работе с персональными данными. Однако законодатель не установил критериев “рутинного использования”, предоставив ведомствам возможность по собственному усмотрению определять, какое именно применение информации считается в их практике рутинным. И ведомства широко пользуются этой лазейкой. Так, ЦРУ предложило считать “рутинным использованием” передачу накапливаемой им персональной информации “органам федерации и штатов, другим компетентным учреждениям и физическим лицам, а также – по официальным каналам – некоторым иностранным правительствам, если такая передача необходима или способствует ЦРУ в выполнении обязанностей, возложенных на него федеральными законами, президентскими указами, директивами о национальной безопасности или постановлениями, принятым» в их развитие”.

Закон о приватности был одним из первых в мире законов о защите персональных данных и послужил своего рода точкой отсчета для законотворчества в других индустриальных странах. Однако, по мнению экспертов, действие принципов, положенных в его основу, во многом ослабляется нечеткостью формулировок, позволяющих ведомствам обходить неудобные для них требования закона, и многочисленными исключениями. Кроме того, установленные им гарантии направлены не столько на защиту неприкосновенности частной сферы лица при сборе и использовании персональной информации, сколько на обеспечение конфиденциальности (т.е. на предотвращение распространения информации). Данный закон является законом “первого поколения”. Он разрабатывался в те времена, когда 80% всех систем персональной информации составляли не автоматизированные, а традиционные системы, т.е. создаваемые вручную, и был ориентирован в равной мере на оба вида систем.

Акт о приватности 1974 года применим только к записям федеральных учреждений (запись определена как любая единичная запись или группа записей, включающая, но не ограничивающаяся подобным, информацию об образовании, рабочей занятости, финансовых сделках, истории болезней, криминальном прошлом и содержащая имя субъекта или иной идентификатор, в том числе отпечатки пальцев, фрагмент голоса или фотографию). Закон содержит следующие важные положения: запрещает раскрытие записей без заявленного на то согласия субъекта данных, но делает такое раскрытие возможным, если оно прямо соответствует изначально заявленным целям использования персональных данных; ограничивает количество хранимой информации критериями соответствия целям и необходимости; обязывает учреждения по требованию субъекта данных предоставить ему информацию о базах, которые содержат релевантные записи, а также возможность вносить изменения в их содержание; требует от учреждений обеспечивать сохранность сведений. Любая третья сторона, призванная по контракту с федеральным органом обрабатывать персональные данные, обязана соблюдать положения данного акта. В качестве компенсации ущерба субъекту данных предусмотрен денежный штраф нарушителю до 5 тысяч американских долларов.

Указанные положения в целом соответствуют практикуемым на территории Европейского сообщества, однако, имеется ряд положений, которые обусловили внесение США в порядке, предусмотренном в п. 4, ст. 25 Директивы 95/46/EC, в список стран, не обеспечивающих адекватную защиту. Во-первых, США не подписали и, следовательно, не ратифицировали Конвенцию N108. Во-вторых, практика защиты персональной информации в США не является достаточно надежной. В данной стране нет специального ведомства, осуществляющего надзор за неприкосновенностью частной жизни и использованием персональной информации. Бюджетно-контрольное управление играет ограниченную роль в разработке политики для федеральных ведомств и не отличается ни активностью, ни эффективностью. Федеральная торговая комиссия наделена полномочиями для надзора за исполнением законов о защите информации о потребительских кредитах и за соблюдением правил честной торговли, но не за обеспечением прав, гарантирующих неприкосновенность частной жизни, кроме тех, которые связаны с нарушениями правил честной торговли. Являясь членом Организации по экономическому сотрудничеству и развитию, США не выполняют, однако, Директивы ОЭСР о защите неприкосновенности частной жизни и международных обменов персональными данными во многих секторах, в том числе в сфере финансов и здравоохранения.

Акт о праве на финансовую приватность, 1978 год (Right to Financial Privacy Act). Положения данного акта призваны регулировать конфиденциальность финансовых записей, хранящихся в различных банковских структурах, заемных, строительных компаниях, страховых обществах и кредитных организациях (финансовые институты) при взаимодействии с государственными органами. Так, финансовые институты не могут предоставлять персональную информацию об их клиентах государственным учреждениям за исключением случаев:

– если клиент авторизовал такую передачу;

– если сведения требуются для проведения судебного или административного расследования либо в соответствии с иными законными нуждами.

Запрашивая право на доступ, государственный орган должен предоставить письменный запрос в соответствующее учреждение, а также уведомить об этом субъекта данных, который, в свою очередь, может подобный запрос опротестовать.

Субъект имеет право требовать компенсации убытков и нарушений в судебном порядке.

Акт о защите приватности в электронных коммуникациях, 1986 год (Electronic Communications Privacy Act). Электронные коммуникации в данном случае определяются как любая передача знаков, сигналов, сведений, письменных, звуковых, изобразительных сообщений и информации иной природы полностью или частично посредством проводной, радиосвязи, электромагнитных волн, фотоэлектрических и фотооптических систем с целью внутренних или международных деловых отношений.

Первая часть данного документа регулирует вопросы сбора информации, содержащейся в коммуникационных потоках (сведения и голосовые сообщения) и ее раскрытия. Акт запрещает вмешиваться в передаваемые сообщения (перехватывать, приостанавливать) любой публичной или частной стороне пока подобное не будет разрешено законодательным актом или судебным ордером. Положения акта накладывают ограничения на использование пеленгующей и отслеживающей аппаратуры.

Вторая часть устанавливает порядок сбора и раскрытие хранимой персональной информации. Доступ к хранимым файлам должен быть исключительно авторизованным. Раскрытие информации возможно в случае согласия субъекта, если это требуется для эффективного исполнения провайдером обязательств по сервису или необходимо для расследования преступлений или иных законных операций.

Субъект вправе потребовать компенсации нарушенных прав в судебном порядке, включая возмещение ущерба, расходы на адвокатов и судебные издержки.

Акт Грамма-Лича-Блайли, 1999 год (Gramm-Leach-Bliley Act). Его положения относятся к деятельности финансовых учреждений, от которых требуется предоставлять потребителям информацию о проводимой ими политике безопасности относительно собираемых персональных данных.

Таким образом, защита персональной информации в США имеет серьезную законодательную основу. Однако, учитывая, что защита персональной информации должна включать также и отлаженные механизмы защиты прав субъекта данных, можно сказать, что такая защита обеспечивается в США лишь отчасти. То есть субъекту приходится самостоятельно регулировать и отслеживать нарушения его прав с вытекающими отсюда издержками времени и средств.

В последние годы в США широко обсуждается вопрос о необходимости разработки законов о неприкосновенности частной жизни для частного сектора. В настоящее время Белый дом и частный сектор всецело полагаются на саморегулирование и считают, что новые законы не нужны – кроме небольших поправок к правилам ведения медицинского учета.

Документ о трансграничной передаче данных “Safe Harbour” (1998 год) призван способствовать соединению Европы и США в единое пространство обмена персональной информацией. Принципы Safe Harbor требуют от компаний предоставлять своим клиентам четкое и понятное уведомление о том, какую информацию они собирают, в каких целях используют, кому она может быть передана. Подобное уведомление необходимо сделать на стадии сбора персональных данных. Частные лица должны иметь возможность запретить сбор данных о себе, если предполагается их передача третьей стороне, или если данные используются в целях, отличных от оговоренных. Использование “чувствительной информации” возможно только в случае однозначного согласия субъекта данных. Если компания собирается обмениваться персональной информацией с третьей стороной, должно быть установлено, что принимающая сторона присоединилась к данному договору, либо иному документу, регламентирующему адекватную защиту персональной информации. Организации обязаны предпринимать необходимые меры для защиты данных от утраты, нецелевого их использования, несанкционированного доступа, случайного или преднамеренного раскрытия, изменения и уничтожения. Организации также обязаны предоставлять субъектам данных доступ к их персональной информации с целью исправления ошибок, внесения дополнений, удаления неверной информации. Организации, обрабатывающие персональные данные, должны обеспечивать субъектам доступ к рабочим механизмам расследования нарушений и возмещения ущерба. Организации обязаны публиковать четкие правила по данным вопросам и быть готовыми подчиниться санкциям в случае неисполнения и нарушения установленных принципов.

Американские исследователи констатируют, что европейская модель предусматривает гораздо более последовательную, полную и эффективную защиту персональных данных. При сходстве основополагающих принципов, сформулированных еще в 70-е годы, американская и европейская модели различаются в том, как эти принципы отражены в конкретном правовом регулировании.

 


Leave a Comment

Your email address will not be published. Required fields are marked with *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Pin It on Pinterest

Яндекс.Метрика