Новый закон ЕС о защите прайваси затрудняет обмен данными в области кибербезопасности
Менее чем через год в Европейском Союзе вступает в силу новый закон по защите персональных данных General Data Protection Regulation (GDPR). Европейские правила конфиденциальности предоставляют гражданам гораздо больше прав по контролю над личными данными, обрабатываемыми операторами в онлайне, чем в США. В этой связи американские компании, ведущие международный бизнес, немного напряглись.
Выступая на конференции Borderless Cyber USA Клэр Салливан (Clare Sullivan), профессор Джорджтаунского университета и консультант Центра национальной безопасности США, сказала, что GDPR существенно усложнит обмен персональными данными между операторами.
В особенности для компаний, работающих в области кибербезопасности, требуется срочная разработка чётких правил, регулирующих обмен данными между частными компаниями, правительством США и иностранными правительственными организациями. Правил, которые не будут противоречить GDPR.
«На возможность трансграничного обмена данными между IT-секюрити компаниями влияет много факторов. Наибольшую озабоченность вызывает вопрос законности обмена сведениями об IP адресах – насколько эта информация является персональной и попадает ли она под действие закона?», — сказала Салливан.
Профессор также подчеркнула, что американские компании должны быть в курсе всех подробностей GDPR, поскольку этот закон будет иметь глобальное значение. Например, исследовательский проект Джорджтаунского университета Cyber Threat Sharing Project выявил, что многие страны, имеющие тесные экономические отношения с ЕС автоматически принимают его правила по защите конфиденциальности персональных данных.
«Большинство стран в мире следуют европейскому законодательной моде. Единственное серьёзное исключение – США. И в мае 2018 г., когда вступит в силу GDPR, все эти страны начнут потихоньку подтягивать национальные законодательства к этой инициативе»
Главная причина, почему так много стран последуют GDPR состоит в том, что ЕС требует ото всех стран, с которыми имеет торговые отношения, чтобы они соответствовали новым стандартам прайваси.
«ЕС очень расплывчато определяет понятие персональных данных. Законодательство считает таковыми любые данные, которые могут прямо или косвенно идентифицировать человека». В частности, GDPR налагает на операторов данных ограничения в следующих случаях:
«Обработка персональных данных (далее «обработка») означает любую операцию, осуществляемую с персональными данными, автоматически или любыми другими способами, в том числе сбор, запись, сортировка, хранение, адаптация или изменение, получение, сверка, использование, раскрытие, распространение или любой вид публикации, группировка, блокирование, удаление или уничтожение».
Вместе с тем, американские компании должны также обратить внимание на другую особенность GDPR – экстерриториальность. «Новый закон говорит, что если вы, например, компания, зарегистрированная в США, но вместе с тем обрабатываете персональные данные гражданина ЕС, то вы должны соответствовать европейским правилам. Это очень существенный момент».
Ранее США заключили с ЕС соглашение US-EU Privacy Shield, которое позволило двум тысячам американских «облачных» компаний легально перенести данные европейских граждан для обработки в США без риска нарушения прайваси законодательства ЕС. Однако в январе Президент Дональд Трамп подписал указ, который изменил данное соглашение с целью избежать конфликта с европейскими правилами в случае слежки за неамериканскими гражданами. Это, вполне возможно, осложнит работу американских IT-компаний в ЕС. Ежегодный пересмотр US-EU Privacy Shield состоится в сентябре.
Так что же делать с данными вроде IP адресов, которые, вроде, не идентифицируют человека?
Салливан заметила, что неопределённость статуса IP адреса (насколько он является персональными данными) создаёт определённый риск для американских компаний, которые обрабатывают такую информацию. «Я уверена, что тут есть большая проблема, которая вызовет серьёзные споры. Будущее статуса IP адреса как объекта права, конечно, зависит от конкретных обстоятельств, однако я уверена, что мы ни в коем случае не должны навешивать ответственность за решение этого вопроса на бизнес. Одно могу сказать определённо – GDPR точно не будет способствовать обменом информацией между компаниями, работающими в области кибербезопасности».
«В кибербезопасности компании, разумеется, не хотят уведомлять о том, что происходит сбор данных об IP адресах, поскольку это может поставить под угрозу оперативные мероприятия против киберпреступников. И сейчас в европейских правилах есть пункт, позволяющий сбор данных, если это происходит в «интересах общества»».
«Мы полагаем, что это положение как раз и определяет законность сбора IP адресов, в том числе в соответствии с европейскими правилами защиты конфиденциальности персональных данных». Правила гласят: «Обработка данных должна быть необходима для выполнения задачи в интересах общества».
Салливан рассказала, что специализированный комитет ЕС Article 29 Working Party, который выпускает неофициальные трактовки законодательства и рекомендации по спорным вопросам, сейчас рассматривает проблему неопределённость статуса IP адреса применимо к кибербезопасности. Результаты работы комитета смогут пролить свет на правила поведения IT-компаний, в частности из области кибербезопасности, а также позволит им разработать политики и процедуры для своевременного и эффективного обмена данными о киберугрозах в полном соответствии с законодательством.