7 Декабря, 2018

США: Национальный институт стандартов и технологий NIST начал работу над концепцией добровольной защиты неприкосновенности частной жизни в онлайн-среде

Наталья Храмцовская
Данная заметка, подготовленная юридической фирмой Covington & Burling LLP, была опубликована 2 ноября 2018 года на сайте «Национальное правовое обозрение» (National Law Review).

Национальный институт стандартов и технологий Министерства торговли США (National Institute of Standards and Technology, NIST) объявил в начале сентября 2018 года (см. https://www.nist.gov/news-events/news/2018/09/department-commerce-launches-collaborative-privacy-framework-effort ) о намерении создать Концепцию защиты неприкосновенности частной жизни (Privacy Framework). Эта Концепция будет содержать добровольно применяемые рекомендации, которые помогут организациям управлять рисками, связанными с неприкосновенностью частной жизни (персональными данными). В извещение NIST отмечается, что разработка такой Концепции является своевременной ввиду того, что инновационные, трансформирующие технологии, такие как искусственный интеллект и «Интернет вещей», не только обеспечивают удобство, экономический рост и производительность труда, но также требуют более сложных сетевых сред и огромного количества данных.

Развивая успех Концепции кибербезопасности NIST (см. https://www.nist.gov/cyberframework , прямая ссылка https://doi.org/10.6028/NIST.CSWP.04162018  ), Концепция защиты неприкосновенности частной жизни должна стать прозрачным инструментом корпоративного уровня, помогающим организациям приоритизировать ресурсы и стратегии с тем, чтобы создавать гибкие, основанные на анализе риска решения для обеспечения неприкосновенности частной жизни.

16 октября 2018 года на семинаре в Остине (Austin), штат Техас (см. https://www.nist.gov/news-events/events/2018/10/kicking-nist-privacy-framework-workshop-1 ), начались соответствующие обсуждения с участием представителей отраслей, групп гражданского общества, академических институтов, федеральных, региональных и местных органов власти, организаций – разработчиков стандартов и другими заинтересованных сторон. Направления дальнейшей работы были определены посредством изучения того, как организации в настоящее время управляют рисками для неприкосновенности частной жизни, выявления проблем, и определения того, чем и как Концепция может помочь организациям решать такие проблемы.

Вскоре после этого, 29 октября 2018 года, старший советник NIST по политике защиты неприкосновенности частной жизни Наоми Лефковиц (Naomi Lefkovitz) обсудила будущее Концепции с группой, сформированной Комитетом по защите неприкосновенности частной жизни в электронной среде (E-Privacy Committee) секции правовых вопросов науки и технологий Американской ассоциации адвокатов (American Bar Association). В ходе дискуссии г-жа Лефковиц отметила необходимость данной Концепции в качестве дополнения к существующим концепциям NIST по обеспечению компьютерной безопасности. Хотя хорошая практика обеспечения кибербезопасности помогает управлять рисками для неприкосновенности частной жизни, защищая персональные данные людей, однако соответствующие риски также могут возникнуть в результате авторизованного сбора, хранения, использования и обмена информацией организациями в интересах достижения их миссии или деловых целей. Риски для неприкосновенности частной жизни, если не обеспечить эффективное управление ими и осведомление о них, могут иметь последствия как для отдельных лиц и организаций, так и для отрасли в целом (например, неспособность добиться признания обществом в целом полезной технологии из-за отсутствия доверия на рынке).

Г-жа Лефковиц подчеркнула ожидаемую отдачу от разработки NIST Концепции защиты неприкосновенности частной жизни, которая в настоящее время видится следующим образом:
  • Подход, основанный на анализе рисков и ориентированный на результат. Концепция включает основанную на риске модель, которая поощряет проведение самооценки организациями. В частности, Концепция должна дать возможность организациям определять, какие программы и протоколы для них подходят, исходя из типа, характера и количества собранных данных. Помимо этого, поскольку модель ориентирована на результаты, а не является набором предписаний или упражнением по простановке галочек в контрольном списке, Концепция защиты неприкосновенности частной жизни будет более эффективной, поскольку она будет в большей степени адаптирована к области и масштабам проводимых организацией сбора, хранения, использования и обмена данными
  • Избегание ловушек, с которыми столкнулось европейское законодательство GDPR: Г-жа Лефковиц отметила, что Концепция обходит некоторые, по её мнению, серьёзные ловушки и недостатки GDPR. Так, она считает, что GDPR неоправданно разделяет виды деятельности и роли на отдельные категории (а именно, выделяя «операторов» и «обработчиков» персональных данных). Г-жа Лефковиц объяснила, что проведение подобных различий непрактично в эпоху трансформационных технологий, внедрение которых часто стирает грани между ролями, которые различные заинтересованные стороны играют при обработке персональных данных. В отличие от GDPR, Концепция не разделяет действия или роли на категории, а вместо этого просит организации тщательно продумать типы собираемых и используемых ими данных, связанные с данными риски, и способы смягчения этих рисков посредством внедряемых организациями мер контроля и управления.
  • Концепция может облегчить бремя исполнения законодательно-нормативных требований: Концепция защиты неприкосновенности частной жизни основное внимание уделяет предсказуемости, управляемости и обезличиванию (disassociability), таким образом, чтобы предприятия всех видов и размеров могли внедрять надлежащие и адекватные меры контроля в свою практику использования данных. Хотя такой подход частично уменьшает бремя масштабирования программы управления рисками для более мелких организаций, г-жа Лефковиц признала, что модель по-прежнему требует наличия в организации базового уровня опыта менеджмента риска для создания и управления программой.
В качестве начального шага NIST думает о том, как лучше структурировать Концепция для обеспечения минимальных намеченных свойств ( https://www.nist.gov/sites/default/files/documents/2018/10/11/privacy-framework-workshop-1-pre-read.pdf ), в число которых входят принятие решений на основе консенсуса, адаптируемость, отсутствие обязательных предписаний и совместимость с другими подходами к обеспечению неприкосновенности частной жизни. Г-жа Лефковиц пояснила, что Концепция может быть структурирована вокруг жизненного цикла информации, вокруг целей (таких, как обеспечение соответствия законодательно-нормативным требованиям; или достижение целей NIST в области «инженерии защиты персональных данных, см. https://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8062.pdf , таких, как предсказуемость, управляемость и обезличивание); вокруг таких принципов, как «принципы справедливой практики обработки информации» (fair information practices principles, FIPP) - или их сочетания. Кроме того, NIST обратился к заинтересованным сторонам с просьбой рассмотреть вопрос о том, следует ли включить определенные, широко применимые методы защиты неприкосновенности частной жизни (например, деидентифиукацию, предоставление пользователям возможности устанавливать свои предпочтения при обработке персональных данных и предоставление пользователям надежных сведений о том, как их информация собирается, хранится, используется и распространяется).

NIST планирует использовать «обратную связь», полученную на семинаре 16 октября, для разработки аннотированного описания Концепции. Планируется также провести 29 ноября 2018 года вебинар «вопросов и ответов» ( https://www.nist.gov/privacy-framework/development-schedule ) по Концепции. Одновременно Национальная администрация по телекоммуникациям и информации (National Telecommunications and Information Administration, NTIA) Министерства торговли США запросила отзывы ( https://www.natlawreview.com/article/ntia-requests-comments-regarding-federal-approach-to-consumer-privacy ) в отношении предложенной федеральной Концепции защиты прав потребителей, которая должна защитить инновации. Замечания и предложения на этот проект следует подавать до 9 ноября 2018 года.

© 2018 Covington & Burling LLP

Источник: сайт «Национальное правовое обозрение» (National Law Review)
https://www.natlawreview.com/article/nist-begins-developing-voluntary-online-privacy-framework