Национальный институт стандартов и технологий Министерства торговли США (National Institute of Standards and Technology, NIST) объявил в начале сентября 2018 года (см.
Развивая успех Концепции кибербезопасности NIST (см.
16 октября 2018 года на семинаре в Остине (Austin), штат Техас (см.
Вскоре после этого, 29 октября 2018 года, старший советник NIST по политике защиты неприкосновенности частной жизни Наоми Лефковиц (Naomi Lefkovitz) обсудила будущее Концепции с группой, сформированной Комитетом по защите неприкосновенности частной жизни в электронной среде (E-Privacy Committee) секции правовых вопросов науки и технологий Американской ассоциации адвокатов (American Bar Association). В ходе дискуссии г-жа Лефковиц отметила необходимость данной Концепции в качестве дополнения к существующим концепциям NIST по обеспечению компьютерной безопасности. Хотя хорошая практика обеспечения кибербезопасности помогает управлять рисками для неприкосновенности частной жизни, защищая персональные данные людей, однако соответствующие риски также могут возникнуть в результате авторизованного сбора, хранения, использования и обмена информацией организациями в интересах достижения их миссии или деловых целей. Риски для неприкосновенности частной жизни, если не обеспечить эффективное управление ими и осведомление о них, могут иметь последствия как для отдельных лиц и организаций, так и для отрасли в целом (например, неспособность добиться признания обществом в целом полезной технологии из-за отсутствия доверия на рынке).
Г-жа Лефковиц подчеркнула ожидаемую отдачу от разработки NIST Концепции защиты неприкосновенности частной жизни, которая в настоящее время видится следующим образом:
- Подход, основанный на анализе рисков и ориентированный на результат. Концепция включает основанную на риске модель, которая поощряет проведение самооценки организациями. В частности, Концепция должна дать возможность организациям определять, какие программы и протоколы для них подходят, исходя из типа, характера и количества собранных данных. Помимо этого, поскольку модель ориентирована на результаты, а не является набором предписаний или упражнением по простановке галочек в контрольном списке, Концепция защиты неприкосновенности частной жизни будет более эффективной, поскольку она будет в большей степени адаптирована к области и масштабам проводимых организацией сбора, хранения, использования и обмена данными
- Избегание ловушек, с которыми столкнулось европейское законодательство GDPR: Г-жа Лефковиц отметила, что Концепция обходит некоторые, по её мнению, серьёзные ловушки и недостатки GDPR. Так, она считает, что GDPR неоправданно разделяет виды деятельности и роли на отдельные категории (а именно, выделяя «операторов» и «обработчиков» персональных данных). Г-жа Лефковиц объяснила, что проведение подобных различий непрактично в эпоху трансформационных технологий, внедрение которых часто стирает грани между ролями, которые различные заинтересованные стороны играют при обработке персональных данных. В отличие от GDPR, Концепция не разделяет действия или роли на категории, а вместо этого просит организации тщательно продумать типы собираемых и используемых ими данных, связанные с данными риски, и способы смягчения этих рисков посредством внедряемых организациями мер контроля и управления.
- Концепция может облегчить бремя исполнения законодательно-нормативных требований: Концепция защиты неприкосновенности частной жизни основное внимание уделяет предсказуемости, управляемости и обезличиванию (disassociability), таким образом, чтобы предприятия всех видов и размеров могли внедрять надлежащие и адекватные меры контроля в свою практику использования данных. Хотя такой подход частично уменьшает бремя масштабирования программы управления рисками для более мелких организаций, г-жа Лефковиц признала, что модель по-прежнему требует наличия в организации базового уровня опыта менеджмента риска для создания и управления программой.
NIST планирует использовать «обратную связь», полученную на семинаре 16 октября, для разработки аннотированного описания Концепции. Планируется также провести 29 ноября 2018 года вебинар «вопросов и ответов» (
© 2018 Covington & Burling LLP
Источник: сайт «Национальное правовое обозрение» (National Law Review)