Практика добросовестной информации FTC
США Комиссии Принципы добросовестной информационной практики (FIPPs) представляют собой руководящие принципы, которые представляют собой широко принятые концепции, касающиеся добросовестной информационной практики на электронном рынке. [1]
Введение
[ редактировать ]Принципы добросовестной практики FTC в отношении информации являются результатом расследования комиссией того, как онлайн-субъекты собирают и используют личную информацию, а также мер безопасности, гарантирующих, что практика является справедливой и обеспечивает адекватную защиту конфиденциальности информации . [2] Федеральная торговая комиссия изучает вопросы конфиденциальности в Интернете с 1995 года и в своем отчете за 1998 год: [3] Комиссия описала широко признанные принципы добросовестной практики уведомления, выбора, доступа и безопасности . [1] Комиссия также определила правоприменение , использование надежного механизма для введения санкций за несоблюдение требований, как важнейший компонент любой правительственной или саморегулируемой программы по защите конфиденциальности в Интернете. [1] [4]
История и развитие
[ редактировать ]Практика добросовестной информации изначально была предложена и названа [5] Консультативным комитетом министра США по автоматизированным системам персональных данных в отчете 1973 года «Записи, компьютеры и права граждан » [6] выпущен в ответ на растущее использование автоматизированных систем данных, содержащих информацию о физических лицах. Центральным вкладом Консультативного комитета стала разработка кодекса добросовестной информационной практики для автоматизированных систем персональных данных. Комиссия по исследованию защиты конфиденциальности также, возможно, внесла свой вклад в разработку принципов FIP в своем отчете 1977 года « Личная конфиденциальность в информационном обществе» . [7]
По мере того как законы о конфиденциальности распространялись на другие страны Европы, международные учреждения занялись конфиденциальностью, уделяя особое внимание международным последствиям регулирования конфиденциальности. В 1980 году Совет Европы принял Конвенцию о защите физических лиц при автоматической обработке персональных данных . [8] В то же время Организация экономического сотрудничества и развития (ОЭСР) предложила аналогичные рекомендации по конфиденциальности в Руководстве ОЭСР по защите конфиденциальности и трансграничных потоков персональных данных. [9] Руководящие принципы ОЭСР, Конвенция Совета Европы и Директива Европейского Союза о защите данных. [10] полагались на FIP как на основные принципы. Все три организации пересмотрели и расширили первоначальное заявление о FIP в США, при этом в последующие годы чаще всего цитировались Рекомендации ОЭСР по конфиденциальности. [11]
Принципы
[ редактировать ]Основными принципами конфиденциальности, отраженными в этих принципах, являются:
1. Уведомление/Информация [12] Потребители должны быть уведомлены о информационной практике организации до того, как какая-либо личная информация . от них будет получена [12] Это требует, чтобы компании явно уведомляли некоторые или все из следующего:
- идентификация субъекта, собирающего данные;
- определение целей использования данных;
- идентификация любых потенциальных получателей данных;
- характер собираемых данных и способы их сбора;
- является ли предоставление запрошенных данных добровольным или обязательным;
- шаги, предпринятые сборщиком данных для обеспечения конфиденциальности, целостности и качества данных. [12]
2. Выбор/Согласие [13] Выбор и согласие в смысле сбора информации в режиме онлайн означают предоставление потребителям возможности контролировать использование их данных. В частности, выбор относится к вторичному использованию информации помимо непосредственных потребностей сборщика информации для завершения транзакции потребителя. Двумя типичными типами моделей выбора являются «согласие» и «отказ от участия». Метод «согласия» требует, чтобы потребители дали согласие на использование их информации для других целей. Если потребитель не предпримет этих позитивных шагов в системе «согласия», сборщик информации предполагает, что он не может использовать информацию для каких-либо других целей. Метод «отказа» требует от потребителей решительно отклонить разрешение на другие виды использования. Если потребитель не предпринимает этих позитивных шагов в системе «отказа», сборщик информации предполагает, что он может использовать информацию потребителя для других целей. Каждая из этих систем может быть разработана так, чтобы позволить отдельному потребителю адаптировать использование информации сборщиком информации в соответствии со своими предпочтениями, устанавливая флажки для предоставления или отказа в разрешении для конкретных целей, а не используя простой метод «все или ничего». [13]
3. Доступ/участие [14] Доступ, как это определено в Принципах добросовестной информационной практики, включает в себя не только возможность потребителя просматривать собранные данные, но также проверять и оспаривать их точность. Чтобы быть полезным для потребителя, этот доступ должен быть недорогим и своевременным. [14]
4. Честность/безопасность [15] Сборщики информации должны гарантировать, что собираемые ими данные являются точными и безопасными. Они могут улучшить целостность данных, сопоставляя их только с авторитетными базами данных и предоставляя потребителю доступ для их проверки. Сборщики информации могут обеспечить безопасность своих данных, защищая их как от внутренних, так и от внешних угроз безопасности. Они могут ограничить доступ внутри своей компании только необходимыми сотрудниками для защиты от внутренних угроз, а также могут использовать шифрование и другие компьютерные системы безопасности для предотвращения внешних угроз. [15]
5. Правоприменение/возмещение ущерба [16] Чтобы гарантировать соблюдение компаниями Принципов добросовестной информационной практики, должны быть приняты меры по обеспечению соблюдения. Федеральная торговая комиссия определила три типа мер правоприменения: саморегулирование со стороны сборщиков информации или назначенного регулирующего органа; частные средства правовой защиты, которые дают гражданские основания для иска для лиц, чья информация была неправомерно использована для привлечения к ответственности нарушителей; и государственное правоприменение, которое может включать гражданские и уголовные наказания, налагаемые правительством. [16]
Обеспечение соблюдения принципов
[ редактировать ]В настоящее время версия Принципов добросовестной информации, разработанная Федеральной торговой комиссией, представляет собой всего лишь рекомендации по поддержанию практики сбора данных, ориентированной на конфиденциальность и ориентированную на потребителя, и не подлежит принудительному исполнению по закону. Обеспечение соблюдения этих принципов и их соблюдение в основном осуществляется посредством саморегулирования. Однако Федеральная торговая комиссия предприняла усилия по оценке саморегулирования отрасли . практики [17] обеспечивает руководство для промышленности в разработке информационных практик, [18] и использует свои полномочия в соответствии с Законом о Федеральной торговой комиссии для обеспечения выполнения обещаний, данных корпорациями в их политике конфиденциальности. [19]
Поскольку инициативы саморегулирования не обеспечивают идеальной реализации принципов (например, в отчете Федеральной торговой комиссии за 2000 год отмечалось, что инициативам саморегулирования не хватает значимой политики и практики мониторинга и обеспечения соблюдения), Комиссия рекомендует Конгрессу Соединенных Штатов принять закон, который: в сочетании с продолжающимися программами саморегулирования обеспечит адекватную защиту конфиденциальности потребителей в Интернете. [20] «Законодательство, рекомендованное Комиссией, установит базовый уровень защиты конфиденциальности для коммерческих веб-сайтов, ориентированных на потребителя» и «установит базовые стандарты практики сбора информации в Интернете... ориентированные на потребителя коммерческие веб-сайты, которые собирают личные данные». идентификация информации от потребителей или о них в Интернете... должна будет соответствовать четырем широко распространенным практикам добросовестной информации». [11]
Однако эти принципы составляют основу многих отдельных законов как на федеральном уровне, так и на уровне штатов и называются «отраслевым подходом». Примерами являются Закон о добросовестной кредитной отчетности , Закон о праве на финансовую конфиденциальность , Закон о конфиденциальности электронных коммуникаций , Закон о защите конфиденциальности видео (VPPA) и Закон о защите и конкуренции кабельного телевидения . [21] Кроме того, эти принципы продолжают служить моделью защиты конфиденциальности в новых развивающихся областях, например, при разработке программ Smart Grid. [22]
Другие предложения относительно «достоверной информации»
[ редактировать ]Организация экономического сотрудничества и развития (ОЭСР) и Европейский Союз , среди прочих, приняли более комплексные подходы к справедливой информационной практике. Принципы ОЭСР обеспечивают дополнительную защиту посредством принципа индивидуального участия , где предъявляются особые требования к доступу и изменению лично собранной информации лицом, а также принципа подотчетности (контролер данных должен нести ответственность за соблюдение мер, которые реализуют принципы, изложенные выше). ). [23] [24]
Директива Европейского Союза о защите данных — еще одна модель комплексной защиты конфиденциальности. [25] [26]
Критика принципов FTC
[ редактировать ]Некоторые ученые критикуют FIPP за то, что они менее всеобъемлющи по своему охвату, чем режимы конфиденциальности в других странах, в частности в Европейском Союзе и других странах ОЭСР. Кроме того, формулировка принципов Федеральной торговой комиссии подверглась критике по сравнению с формулировками других агентств. Версия FIP 2000 года, разработанная Федеральной торговой комиссией, короче и менее полна, чем принципы защиты конфиденциальности, изданные Управлением конфиденциальности Министерства внутренней безопасности в 2008 году, которые включают восемь принципов, тесно связанных с принципами ОЭСР. [21]
Некоторые представители сообщества конфиденциальности критикуют FIPP за то, что они слишком слабы, допускают слишком много исключений, не требуют создания агентства по конфиденциальности, не учитывают слабости саморегулирования и не идут в ногу с информационными технологиями. [27] Многие эксперты по конфиденциальности призвали принять в США комплексное законодательство о защите конфиденциальности. [28] вместо нынешней смеси саморегулирования и выборочной кодификации в определенных секторах. [29]
Критики с точки зрения бизнеса часто предпочитают ограничивать FIP уменьшенными элементами уведомления, согласия и ответственности. Они жалуются, что другие элементы неработоспособны, дороги или несовместимы с принципами открытости и свободы слова. [11]
Некоторые комментаторы утверждают, что потребители не имеют права голоса в процессе получения согласия. Например, клиенты предоставляют информацию о своем здоровье, такую как номер социального страхования или номер медицинской карты, при записи онлайн на прием к стоматологу. Клиентов обычно просят подписать соглашение, в котором говорится, что «третья сторона может иметь доступ к предоставленной вами информации при определенных условиях». Определенные условия редко указываются в какой-либо части соглашения. Позже третья сторона может поделиться информацией со своими дочерними учреждениями. Таким образом, доступ к личной информации клиентов находится вне их контроля. [30]
См. также
[ редактировать ]- Федеральная торговая комиссия
- Политика защиты информации
- Информационная безопасность
- Директива о защите данных
Ссылки
[ редактировать ]- ^ Jump up to: а б с Федеральная торговая комиссия, Принципы добросовестной информационной практики. Архивировано 31 марта 2009 г. в Wayback Machine.
- ^ «Конфиденциальность: от принципов к практике» . Информация для потребителей . 11 мая 2018 г. Проверено 9 апреля 2021 г.
- ^ Федеральная торговая комиссия, Конфиденциальность в Интернете: отчет Конгрессу (июнь 1998 г.).
- ^ «Конфиденциальность в Интернете: справедливая информационная практика на электронном рынке: отчет Федеральной торговой комиссии Конгрессу» . Федеральная торговая комиссия . 01.05.2000 . Проверено 13 декабря 2020 г.
- ^ Консультативный комитет секретаря США по автоматизированным системам персональных данных, записям, компьютерам и правам граждан , Глава IV: Рекомендуемые меры безопасности для административных систем персональных данных (1973).
- ^ Консультативный комитет секретаря США по автоматизированным системам персональных данных, записям, компьютерам и правам граждан (1973).
- ^ Комиссия по исследованию защиты конфиденциальности, Личная конфиденциальность в информационном обществе. Архивировано 27 ноября 2008 г. в Wayback Machine (июль 1977 г.).
- ^ Совет Европы, Конвенция о защите частных лиц в отношении автоматической обработки персональных данных (28 января 1981 г.).
- ^ Организация экономического сотрудничества и развития (ОЭСР), Рекомендации ОЭСР по защите конфиденциальности и трансграничных потоков персональных данных (23 сентября 1980 г.).
- ^ Директива Европейского Союза о защите данных, Директива 95/46/EC http://docs.cpuc.ca.gov/published/proceedings/R0812009.htm. Архивировано 11 марта 2010 г. на Wayback Machine.
- ^ Jump up to: а б с Роберт Геллман, Практика честного информирования: базовая история (10 апреля 2017 г.).
- ^ Jump up to: а б с Федеральная торговая комиссия, Принципы добросовестной информационной практики (FIP), 1. Уведомление/Информация. Архивировано 9 марта 2010 года в Wayback Machine.
- ^ Jump up to: а б Федеральная торговая комиссия, Принципы добросовестной информационной практики (FIP), 2. Выбор/согласие. Архивировано 9 марта 2010 года в Wayback Machine.
- ^ Jump up to: а б Федеральная торговая комиссия, Принципы добросовестной информационной практики (FIP), 3. Доступ/участие. Архивировано 9 марта 2010 года в Wayback Machine.
- ^ Jump up to: а б Федеральная торговая комиссия, Принципы добросовестной информационной практики (FIP), 4. Целостность/безопасность. Архивировано 9 марта 2010 года в Wayback Machine.
- ^ Jump up to: а б Федеральная торговая комиссия, Принципы добросовестной информационной практики (FIP), 5. Правоприменение/возмещение ущерба. Архивировано 9 марта 2010 года в Wayback Machine.
- ^ Рекомендации отраслевой ассоциации FTC http://www.ftc.gov/reports/privacy3/industry.shtm#Industry%20Association%20Guidelines%20A . Архивировано 30 мая 2010 г. на Wayback Machine.
- ^ Защита личной информации: руководство для бизнеса http://www.ftc.gov/infosecurity/
- ^ Обеспечение соблюдения обещаний конфиденциальности: раздел 5 Закона о Федеральной торговой комиссии http://www.ftc.gov/privacy/privacyinitiatives/promises.html
- ^ Отчет FTC о конфиденциальности 2000 г. http://www.ftc.gov/reports/privacy2000/privacy2000.pdf.
- ^ Jump up to: а б Министерство внутренней безопасности, Меморандум о руководящих принципах политики конфиденциальности (2008 г.) (номер меморандума 2008-1), https://www.dhs.gov/xlibrary/assets/privacy/privacy_policyguide_2008-01.pdf
- ^ Фонд Electronic Frontier и Центр демократии и технологий подали совместную заявку в Комиссию по коммунальным предприятиям Калифорнии относительно программы интеллектуальных сетей Калифорнии. http://www.cpuc.ca.gov/EFILE/CM/114696.pdf ; https://www.eff.org/deeplinks/2010/03/new-smart-meters-energy-use-put-privacy-risk
- ^ Организация экономического сотрудничества и развития (ОЭСР), Рекомендации ОЭСР по защите конфиденциальности и трансграничных потоков персональных данных (23 сентября 1980 г.). http://www.oecd.org/document/18/0,3343,en_2649_34255_1815186_1_1_1_1,00.html
- ^ Пэм Диксон, Краткое введение в практику добросовестной информационной практики, Всемирный форум по вопросам конфиденциальности (5 июня 2006 г.).
- ^ Директива 95/46/EC Европейского парламента и Совета от 24 октября 1995 г. о защите частных лиц в отношении обработки персональных данных и о свободном перемещении таких данных.
- ^ Спирос Симитис , От рынка к полису: Директива ЕС о защите персональных данных, 80 Iowa L. Rev. 445 (1995).
- ^ Аннечарико, Дэвид (2002). «Онлайн-транзакции: соответствие положений Закона Грэмма-Лича-Блайли о конфиденциальности принципам справедливой информационной практики Федеральной торговой комиссии» . Банковский институт Северной Каролины . 6 : 637–664.
- ^ Пол М. Шварц, Конфиденциальность и демократия в киберпространстве, 52 Ванд. Л. Рев. 1609 (1999); Джоэл Р. Рейденберг, Восстановление конфиденциальности американцев в электронной коммерции, 14 Berkeley Tech. ЖЖ 771 (1999).
- ^ Примерами являются Закон о добросовестной кредитной отчетности , Закон о праве на финансовую конфиденциальность , Закон о конфиденциальности электронных коммуникаций и Закон о защите конфиденциальности видео . Бет Гивенс, Обзор принципов честной информации: Основы государственной политики конфиденциальности. Архивировано 8 апреля 2009 г. в Wayback Machine (опубликовано в 1997 г., обновлено в 2004 г.).
- ^ Тавани, HT и Боттис М. (2010, июнь). Процесс согласия в медицинских исследованиях с использованием банков данных ДНК: некоторые этические последствия и проблемы. ACM SIGCAS Компьютеры и общество, 40(2), 11-21. дои : 10.1145/1839994.1839996