Закон о конфиденциальности информации

о конфиденциальности информации, конфиденциальности данных или Законы защите данных обеспечивают правовую основу для получения, использования и хранения данных физических лиц. Различные законы по всему миру описывают права физических лиц контролировать, кто использует их данные. Обычно это включает в себя право получить подробную информацию о том, какие данные хранятся и с какой целью, а также запросить удаление, если цель больше не указана.

Более 80 стран и независимых территорий, в том числе почти все страны Европы и многие страны Латинской Америки и Карибского бассейна , Азии и Африки , приняли всеобъемлющие законы о защите данных. ^{[ 1 ]} В Европейском Союзе действует Общий регламент по защите данных (GDPR) . ^{[ 2 ]} вступил в силу с 25 мая 2018 года. Соединенные Штаты примечательны тем, что не приняли всеобъемлющего закона о конфиденциальности информации , а скорее приняли ограниченные отраслевые законы в некоторых областях, такие как Калифорнийский закон о конфиденциальности потребителей (CCPA). ^{[ 3 ]}

Немецкая земля Гессия приняла первый в мире закон о конфиденциальности данных 30 сентября 1970 года . ^{[ 4 ]} В Германии термин «информационное самоопределение» впервые был использован в контексте конституционного постановления Германии, касающегося личной информации, собранной во время переписи 1983 года .

В августе 2023 года Индия приняла Закон о защите цифровых персональных данных 2023 года .

Китай принял Закон о защите личной информации (PIPL) в середине 2021 года, который вступил в силу 1 ноября 2021 года. В нем основное внимание уделяется согласию , правам человека и прозрачности обработки данных. PIPL сравнивают с GDPR ЕС, поскольку он имеет аналогичную сферу применения и множество схожих положений. ^{[ 5 ]}

На Филиппинах Закон о конфиденциальности данных 2012 года предписал создать Национальную комиссию по конфиденциальности , которая будет контролировать и поддерживать политику, предусматривающую конфиденциальность информации и защиту личных данных в стране. Созданный по образцу Директивы ЕС о защите данных и Рамочной программы конфиденциальности Азиатско-Тихоокеанского экономического сотрудничества (АТЭС), независимый орган будет обеспечивать соблюдение страной международных стандартов, установленных для защиты данных. ^{[ 6 ]} Закон требует, чтобы государственные и частные организации, состоящие как минимум из 250 сотрудников или те, которые имеют доступ к личной и идентифицируемой информации как минимум 1000 человек, назначили сотрудника по защите данных, который будет помогать в регулировании управления личной информацией в таких организациях. ^{[ 7 ]}

Таким образом, закон определяет важные моменты, касающиеся обработки личной информации, следующим образом:

1. Личная информация должна собираться по конкретным, законным и разумным причинам.
2. С личной информацией необходимо обращаться должным образом. Информация должна быть точной и актуальной, использоваться только для заявленных целей и храниться только до тех пор, пока это разумно необходимо. Закон требовал, чтобы организации принимали активное участие в обеспечении того, чтобы посторонние лица не имели доступа к информации своих клиентов.
3. Личная информация должна быть удалена таким образом, чтобы несанкционированные третьи лица не могли получить доступ к удаленным данным.

В начале 2022 года Шри-Ланка стала первой страной в Южной Азии, принявшей всеобъемлющее законодательство о конфиденциальности данных. Закон о защите персональных данных № 9 от 2022 г., вступающий в силу 19 марта 2022 г., применяется к обработке на территории Шри-Ланки и экстерриториально распространяется на контролеров или обработчиков, предлагающих товары и услуги физическим лицам в Шри-Ланке и/или контролирующих их поведение в стране. ^{[ 8 ]}

Право на конфиденциальность данных относительно жестко регулируется и активно соблюдается в Европе. Статья 8 Европейской конвенции по правам человека (ЕКПЧ) предусматривает право на уважение «частной и семейной жизни, жилища и корреспонденции» с учетом определенных ограничений. Европейский суд по правам человека дал этой статье очень широкое толкование в своей судебной практике . Согласно прецедентному праву Суда, сбор информации должностными лицами государства о человеке без его согласия всегда подпадает под действие статьи 8. Таким образом, сбор информации для официальной переписи населения , регистрация отпечатков пальцев и фотографий в полицейском журнале, сбор медицинских данных данные или подробности о личных расходах, а внедрение системы личной идентификации было сочтено поднимающим вопросы конфиденциальности данных. В соответствии с GDPR под «данными, чувствительными к конфиденциальности» также подразумевается такая информация, как расовое или этническое происхождение , политические взгляды, религиозные или философские убеждения, а также информация о сексуальной жизни человека или сексуальная ориентация . ^{[ 9 ]}

Любое государственное вмешательство в частную жизнь человека приемлемо для Суда только при соблюдении трех условий:

1. Вмешательство соответствует закону
2. Вмешательство преследует законную цель
3. Вмешательство необходимо в демократическом обществе

Правительство — не единственная организация, которая может представлять угрозу конфиденциальности данных. Другие граждане, и, прежде всего, частные компании, также могут участвовать в угрожающих действиях, тем более что автоматизированная обработка данных получила широкое распространение. Конвенция о защите физических лиц в отношении автоматической обработки персональных данных была заключена в Совете Европы в 1981 году. Эта конвенция обязывает подписавших ее участников принять законодательство, касающееся автоматической обработки персональных данных, что многие из них должным образом сделали.

Поскольку все государства-члены Европейского Союза также подписали Европейскую конвенцию по правам человека и Конвенцию о защите физических лиц в отношении автоматической обработки персональных данных , Европейская комиссия была обеспокоена тем, что могут возникнуть расходящиеся законы о защите данных, которые будут препятствовать свободный поток данных в зоне ЕС. Поэтому Европейская комиссия решила предложить гармонизировать закон о защите данных в ЕС. Итоговая Директива о защите данных была принята Европейским парламентом и министрами национальных правительств в 1995 году и должна была быть перенесена в национальное законодательство к концу 1998 года.

Директива содержит ряд ключевых принципов, которые должны соблюдать государства-члены. Любой, кто обрабатывает персональные данные, должен соблюдать восемь обязательных принципов добросовестной практики. ^{[ 10 ]} Они заявляют, что данные должны быть:

1. Справедливо и законно обработано.
2. Обрабатывается для ограниченных целей.
3. Адекватный, актуальный и не чрезмерный.
4. Точный.
5. Хранится не дольше, чем необходимо.
6. Обрабатывается в соответствии с правами субъекта данных.
7. Безопасный.
8. Передаются только в страны с адекватной защитой.

Персональные данные охватывают как факты, так и мнения о человеке. ^{[ 10 ]} Он также включает информацию о намерениях контролера данных по отношению к физическому лицу, хотя в некоторых ограниченных обстоятельствах могут применяться исключения. При обработке определение становится гораздо шире, чем раньше. Например, оно включает понятия «получение», «хранение» и «раскрытие». ^{[ 11 ]}

Все государства-члены ЕС приняли законодательство в соответствии с этой директивой или адаптировали существующие законы. В каждой стране также есть свой надзорный орган, контролирующий уровень защиты. ^{[ 12 ]}

По этой причине теоретически передача личной информации из ЕС в США запрещена, если в США не существует эквивалентной защиты конфиденциальности. Американские компании, которые будут работать с данными ЕС, должны соблюдать рамки Safe Harbor . Основными принципами защиты данных являются ограниченный сбор, согласие субъекта, точность, целостность, безопасность, право субъекта на просмотр и удаление. В результате клиенты международных организаций, таких как Amazon и eBay в ЕС, имеют возможность просматривать и удалять информацию, а американцы — нет. В Соединенных Штатах эквивалентной руководящей философией является Кодекс добросовестной информационной практики (FIP).

Здесь важна разница в формулировках: в Соединенных Штатах дебаты ведутся о конфиденциальности, тогда как в Европейском сообществе дебаты ведутся о защите данных. Перемещение дебатов от конфиденциальности к защите данных рассматривается некоторыми философами как механизм продвижения вперед в практической сфере, не требующий при этом согласия по фундаментальным вопросам о природе конфиденциальности.

Франция адаптировала свой существующий закон « № 78-17 от 6 января 1978 года об информационных технологиях, файлах и гражданских свободах» . ^{[ 13 ]}

В Германии законы принимались как федеральным правительством, так и землями. ^{[ 14 ]}

Хотя Швейцария не является членом Европейского Союза (ЕС) или Европейской экономической зоны (ЕЭЗ), она частично выполнила Директиву ЕС о защите персональных данных в 2006 году, присоединившись к соглашению STE 108 Совета Европы. и соответствующая поправка к федеральному закону о защите данных. Однако швейцарское законодательство в нескольких отношениях налагает меньшие ограничения на обработку данных, чем Директива. ^{[ 15 ]}

В Швейцарии право на неприкосновенность частной жизни гарантировано статьей 13 Федеральной конституции Швейцарии . Федеральный закон Швейцарии о защите данных (DPA) ^{[ 16 ]} а Швейцарский федеральный указ о защите данных (DPO) вступил в силу 1 июля 1993 г. Последние поправки к DPA и DPO вступили в силу 1 января 2008 г.

DPA распространяется на обработку персональных данных частными лицами и федеральными государственными органами. В отличие от законодательства многих других стран о защите данных, DPA защищает как персональные данные физических, так и юридических лиц. ^{[ 17 ]}

Швейцарский федеральный комиссар по защите данных и информации, в частности, контролирует соблюдение федеральными правительственными учреждениями требований DPA, консультирует частных лиц по вопросам защиты данных, проводит расследования и дает рекомендации относительно методов защиты данных.

Некоторые файлы данных должны быть зарегистрированы у Федерального комиссара Швейцарии по защите данных и информации перед их созданием. В случае передачи персональных данных за пределы Швейцарии необходимо соблюдать особые требования и, в зависимости от обстоятельств, перед передачей необходимо проинформировать Федерального комиссара Швейцарии по защите данных и информации. ^{[ 17 ]}

Большинство швейцарских кантонов приняли собственные законы о защите данных, регулирующие обработку персональных данных кантональными и муниципальными органами.

В Соединенном Королевстве Закон о защите данных 1998 года (c 29) ( Комиссар по информации ) реализовал Директиву ЕС о защите персональных данных . ^{[ 18 ]} Он заменил Закон о защите данных 1984 года (c 35). 2016 года Общий регламент защиты данных заменяет собой предыдущие законы о защите данных. Закон о защите данных 2018 года (c 12) обновляет законы о защите данных в Великобритании. ЕС Это национальный закон, дополняющий Общий регламент по защите данных (GDPR).

В Канаде Закон о защите личной информации и электронных документах (PIPEDA) вступил в силу 1 января 2001 года и применим к частным организациям, деятельность которых регулируется на федеральном уровне. Все остальные организации были включены 1 января 2004 года. ^{[ 19 ] [ 20 ]} PIPEDA привела Канаду в соответствие с законом ЕС о защите данных ^{[ 21 ]} , хотя гражданское общество, регулирующие органы и ученые утверждают, что он не решает современные проблемы закона о конфиденциальности так, как это делает GDPR, и призывают к реформе. ^{[ 22 ]}

PIPEDA определяет правила, регулирующие сбор, использование или раскрытие личной информации в рамках признания права частных лиц на неприкосновенность частной жизни в отношении их личной информации. Он также определяет правила сбора, использования и раскрытия личной информации организациями.

PIPEDA применяется к:

1. Организации собирают, используют или раскрывают информацию в случае коммерческого использования.
2. Организации и сотрудники организации собирают, используют или раскрывают в ходе выполнения федеральной работы, предприятия или бизнеса.

PIPEDA не распространяется на:

1. Государственные учреждения, к которым применяется Закон о конфиденциальности.
2. Лица, которые собирают, используют или раскрывают личную информацию для личных целей и использования.
3. Организации, которые собирают, используют или раскрывают личную информацию только в журналистских, художественных или литературных целях.

Как указано в PIPEDA:

« Личная информация » означает информацию об идентифицируемом физическом лице, но не включает имя, должность, рабочий адрес или номер телефона сотрудника организации.

« Организация » означает ассоциацию, товарищество, человека и профсоюз.

«Федеральная работа, предприятие или бизнес» означает любую работу, предприятие или бизнес, находящиеся в пределах законодательной власти Парламента, включая:

1. работа, предприятие или бизнес, который осуществляется или осуществляется для или в связи с судоходством и судоходством, как внутренним, так и морским, включая эксплуатацию судов и морские перевозки в любой точке Канады;
2. железная дорога, канал, телеграф или другое сооружение или предприятие, которое соединяет провинцию с другой провинцией или выходит за пределы провинции;
3. линия кораблей, соединяющая провинцию с другой провинцией или выходящая за пределы провинции;
4. паром между провинцией и другой провинцией или между провинцией и страной, отличной от Канады;
5. аэродромы, самолеты или линии воздушного транспорта;
6. радиовещательная станция;
7. банк;
8. произведение, которое, хотя и полностью расположено в пределах провинции, до или после его выполнения объявлено парламентом предназначенным для общего блага Канады или для блага двух или более провинций;
9. работа, предприятие или бизнес, выходящие за рамки исключительной законодательной власти законодательных собраний провинций; и
10. работа, предприятие или бизнес, к которым применяются федеральные законы в значении раздела 2 Закона об океанах согласно разделу 20 этого Закона и любым нормам, принятым в соответствии с пунктом 26(1)(k) этого Закона.

PIPEDA дает людям право:

1. понять причины, по которым организации собирают, используют или раскрывают личную информацию.
2. ожидать, что организации будут собирать, использовать или раскрывать личную информацию разумным и надлежащим образом.
3. понять, кто в организациях несет ответственность за защиту личной информации отдельных лиц.
4. ожидать, что организации будут защищать личную информацию разумным и безопасным способом.
5. ожидать, что личная информация, хранящаяся в организациях, будет точной, полной и актуальной.
6. иметь доступ к своей личной информации и требовать внесения каких-либо исправлений или иметь право подавать жалобы организациям.

PIPEDA требует от организаций:

1. получить согласие, прежде чем собирать, использовать и раскрывать любую личную информацию.
2. собирать личную информацию разумными, надлежащими и законными способами.
3. установить политику в отношении личной информации, которая является ясной, разумной и готовой защитить личную информацию отдельных лиц.

этом разделе не цитируются источники В . Пожалуйста, помогите улучшить этот раздел , добавив цитаты на надежные источники . Неиспользованный материал может быть оспорен и удален . ( Ноябрь 2009 г. ) ( Узнайте, как и когда удалить это сообщение )

Конфиденциальность данных не строго законодательно или регулируется в США . ^{[ 23 ]} В Соединенных Штатах доступ к личным данным, содержащимся, например, в кредитных отчетах третьих лиц, может быть запрошен при поиске работы или медицинской помощи, а также при покупке автомобиля, жилья или других покупок на условиях кредита. Хотя существуют частичные правила, не существует всеобъемлющего закона, регулирующего сбор, хранение или использование персональных данных в США. хранить и использовать их, даже если данные были собраны без разрешения, за исключением случаев, когда это регулируется законами и правилами, такими как положения Федерального закона о связи, а также имплементационные правила Федеральной комиссии по связи, регулирующие использование частной сетевой информации клиентов (CPNI). ). Например, Закон о переносимости и подотчетности медицинского страхования 1996 года (HIPAA), Закон о защите конфиденциальности детей в Интернете 1998 года (COPPA) и Закон о справедливых и точных кредитных операциях 2003 года (FACTA) — все это примеры федеральных законов США, в которых положения, которые способствуют повышению эффективности информационных потоков.

Верховный суд истолковал Конституцию так, чтобы предоставить право на неприкосновенность частной жизни лицам в деле Грисволд против Коннектикута . ^{[ 24 ]} Однако очень немногие штаты признают право человека на неприкосновенность частной жизни, заметным исключением является Калифорния . Неотчуждаемое право на неприкосновенность частной жизни закреплено в разделе 1 статьи 1 Конституции Калифорнии , и законодательный орган Калифорнии принял несколько законодательных актов, направленных на защиту этого права. Закон штата Калифорния о защите конфиденциальности в Интернете (OPPA) 2003 года требует от операторов коммерческих веб-сайтов или онлайн-сервисов, которые собирают личную информацию о жителях Калифорнии через веб-сайт, публично размещать на сайте политику конфиденциальности и соблюдать ее.

Первой попыткой создать правила использования информации в США были руководящие принципы справедливой практики использования информации, разработанные Министерством здравоохранения, образования и социального обеспечения (HEW) (позже переименованное в Министерство здравоохранения и социальных служб (HHS)), Специальным комитетом. Консультативный комитет по автоматизированным системам персональных данных под председательством пионера компьютеров и пионера конфиденциальности Уиллиса Х. Уэра . Отчет, представленный председателем секретарю HHS, под названием «Записи, компьютеры и права граждан (01.07.1973)», ^{[ 25 ] [ 26 ]} предлагает универсальные принципы конфиденциальности и защиты данных потребителей и граждан:

• Для всех собираемых данных должна быть указана цель.
• Информация, полученная от физического лица, не может быть раскрыта другим организациям или частным лицам, если это специально не разрешено законом или с согласия физического лица.
• Записи, хранящиеся о человеке, должны быть точными и актуальными.
• Должны быть механизмы, позволяющие отдельным лицам проверять данные о них, чтобы обеспечить точность. Это может включать периодическую отчетность.
• Данные должны быть удалены, когда они больше не нужны для заявленной цели.
• Передача личной информации в места, где не может быть обеспечена «эквивалентная» защита персональных данных, запрещена.
• Некоторые данные слишком конфиденциальны, чтобы их можно было собирать, за исключением случаев чрезвычайных обстоятельств (например, сексуальной ориентации, религии).

Соглашение о «безопасной гавани» было разработано Министерством торговли США с целью предоставить американским компаниям возможность продемонстрировать соблюдение директив Европейской комиссии и, таким образом, упростить отношения между ними и европейским бизнесом. ^{[ 27 ]}

Закон о переносимости и подотчетности медицинского страхования (HIPAA) был принят Конгрессом США в 1996 году. HIPAA также известен как Закон Кеннеди-Кассебаума о переносимости и подотчетности медицинского страхования (HIPAA-Public Law 104-191), вступивший в силу 21 августа 1996 года. Основная идея HIPAA заключается в том, что лицо, являющееся субъектом индивидуально идентифицируемой медицинской информации, должно иметь:

• Установлены процедуры реализации прав на конфиденциальность индивидуальной медицинской информации.
• Использование и раскрытие индивидуальной медицинской информации должно быть разрешено или обязательно.

Одна из трудностей HIPAA заключается в том, что должен быть механизм аутентификации пациента, который требует доступа к своим данным. В результате медицинские учреждения начали запрашивать у пациентов номера социального страхования, тем самым, возможно, уменьшая конфиденциальность за счет упрощения процесса сопоставления медицинских записей с другими записями. ^{[ 28 ]} Вопрос согласия является проблематичным в соответствии с HIPAA, поскольку поставщики медицинских услуг просто ставят оказание медицинской помощи в зависимость от согласия со стандартами конфиденциальности на практике.

Закон о добросовестной кредитной отчетности применяет принципы Кодекса практики добросовестной информации к агентствам кредитной отчетности. FCRA позволяет физическим лицам отказаться от нежелательных кредитных предложений:

• Equifax (888) 567-8688 Опции Equifax, почтовый ящик 740123 Атланта, Джорджия, 30374-0123.
• Experian (800) 353-0809 или (888) 5OPTOUT PO Box 919, Allen, TX 75013
• TransUnion (800) 680-7293 или (888) 5OPTOUT, почтовый ящик 97328, Джексон, MS 39238.

Благодаря Закону о честных и точных кредитных операциях каждый человек может получить бесплатный годовой кредитный отчет . ^{[ 29 ]}

Закон о справедливой кредитной отчетности эффективно предотвратил распространение ложных так называемых частных кредитных справочников. До 1970 года ^{[ когда? ] [ 30 ]} частные кредитные справочники предлагали подробную, хотя и ненадежную, информацию о легко идентифицируемых лицах. ^{[ 31 ] [ 32 ]} До принятия Закона о честной кредитной отчетности в кредитные отчеты можно было включать непристойные и необоснованные материалы – и на самом деле сплетни широко включались в кредитные отчеты. ^{[ 33 ]} У EPIC есть страница FCRA . Ассоциация индустрии потребительских данных, представляющая индустрию потребительской отчетности, также имеет веб-сайт с информацией FCRA .

Закон о справедливой кредитной отчетности предоставляет потребителям возможность просматривать, исправлять, оспаривать и ограничивать использование кредитных отчетов. FCRA также защищает кредитное агентство от обвинений в халатном освобождении в случае введения в заблуждение запрашивающей стороной. Кредитные агентства должны узнать у запрашивающего цель предоставления запрошенной информации, но не должны прилагать никаких усилий для проверки правдивости утверждений запрашивающего лица. Фактически суды постановили, что «Закон явно не обеспечивает средства правовой защиты от незаконного или злоупотребления информацией о потребителях» (Генри против Форбса, 1976 г.). Широко распространено мнение, что во избежание FCRA компания Equifax создала ChoicePoint, после чего материнская компания скопировала все свои записи в свою недавно созданную дочернюю компанию. ChoicePoint не является агентством кредитной отчетности, поэтому закон FCRA не применяется. ^{[ 34 ]}

Закон о добросовестной практике взыскания долгов аналогичным образом ограничивает распространение информации о финансовых операциях потребителей. Он не позволяет кредиторам или их агентам раскрыть тот факт, что физическое лицо имеет долг перед третьей стороной, хотя позволяет кредиторам и их агентам попытаться получить информацию о местонахождении должника. Это ограничивает действия тех, кто добивается выплаты долга. Например, агентствам по взысканию долгов запрещено притеснять или связываться с людьми на работе. Закон о предотвращении злоупотреблений при банкротстве и защите потребителей 2005 года (который фактически ослабил защиту потребителей, например, в случае банкротства, вызванного медицинскими расходами) ограничил некоторые из этих мер контроля над должниками.

Закон о конфиденциальности электронных коммуникаций (ECPA) устанавливает уголовные санкции за перехват электронных сообщений. Однако закон подвергся критике за отсутствие эффекта из-за лазеек. ^{[ 35 ]}

Ниже кратко изложены некоторые законы, постановления и директивы, касающиеся защиты информационных систем:

• 1970 г. Закон США о справедливой кредитной отчетности
• 1970 г. Закон США об организациях, находящихся под влиянием рэкетиров и коррумпированных лиц (RICO),
• 1974 года Закон о правах семьи на образование и конфиденциальности (FERPA)
• 1974 г. Закон США о конфиденциальности
• 1980 г. Руководящие принципы Организации экономического сотрудничества и развития (ОЭСР)
• 1984 г. Закон США о медицинских компьютерных преступлениях
• 1984 г. Федеральный закон США о компьютерных преступлениях (усиленный в 1986 и 1994 гг.)
• 1986 года Закон США о компьютерном мошенничестве и злоупотреблениях (с поправками, внесенными в 1986, 1994, 1996 и 2001 годах)
• Закон США о конфиденциальности в области электронных коммуникаций 1986 г. (ECPA)
• 1987 г. Закон США о компьютерной безопасности (отменен Федеральным законом об управлении информационной безопасностью 2002 г. )
• 1988 г. Закон США о защите конфиденциальности видео
• 1990 г. Закон Соединенного Королевства о неправомерном использовании компьютеров
• 1991 г. Федеральные руководящие принципы вынесения приговоров США
• Рекомендации ОЭСР 1992 года , призванные служить основой всеобщей безопасности
• 1994 г. Закон о коммуникационной помощи правоохранительным органам
• Директива Совета 1995 года о защите данных Европейского Союза (ЕС)
• 1996 г. Закон США об экономике и защите служебной информации
• 1996 г. Закон о переносимости и подотчетности медицинского страхования (HIPAA) (требование добавлено в декабре 2000 г.)
• 1998 г. Закон США об авторском праве в цифровую эпоху (DMCA)
• 1999 г. Единый закон США о транзакциях с компьютерной информацией (UCITA)
• 2000 года об электронных подписях в глобальной национальной торговле («ESIGN»). Закон Конгресса США
• Закон 2001 года «Объединяем и укрепляем Америку путем предоставления соответствующих инструментов для ограничения, пресечения и препятствования терроризму» (ПАТРИОТ США)
• Закон о внутренней безопасности 2002 г. (HSA)
• г. Федеральный закон об управлении информационной безопасностью 2002

Несколько федеральных агентств США имеют законы о конфиденциальности, регулирующие сбор и использование частной информации. К ним относятся Бюро переписи населения, Налоговая служба и Национальный центр статистики образования (в соответствии с Законом о реформе образовательных наук). Кроме того, статут CIPSEA защищает конфиденциальность данных, собираемых федеральными статистическими агентствами.

Законодатели в нескольких штатах предложили законопроект, изменяющий способ обработки информации пользователей онлайн-бизнесом. Среди тех, которые привлекли значительное внимание, — несколько законов о запрете отслеживания и Закон о праве на информацию (Калифорнийский законопроект AB 1291). Калифорнийский закон о праве на информацию, если он будет принят, потребует от каждого предприятия, которое хранит пользовательскую информацию, предоставлять своему пользователю копию хранимой информации по запросу. ^{[ 36 ]} Законопроект столкнулся с сильным сопротивлением со стороны торговых групп, представляющих такие компании, как Google, Microsoft и Facebook, и не был принят. ^{[ 37 ]}

В Арканзасе действует закон о конфиденциальности биометрических данных. ^{[ 38 ]}

28 июня 2018 года законодательный орган Калифорнии принял AB 375, Закон штата Калифорния о конфиденциальности потребителей 2018 года, который вступает в силу с 1 января 2020 года. ^{[ 39 ]} В ноябре 2020 года Предложение 24 , также известное как Закон Калифорнии о правах на конфиденциальность , внесло поправки и расширило CCPA. ^{[ 40 ]} Закон особо защищает данные сотрудников. ^{[ 41 ]}

6 июня 2023 года Флорида приняла законопроект 262 Сената Флориды , вступающий в силу с 1 июля 2024 года. Он дает потребителям право подтвердить, собирают ли компании с валовым годовым доходом более 1 миллиарда долларов США, которые получают более половины своего дохода от онлайн-рекламы, данные о их и контроль над данными, включая исправление и удаление. Закон также запрещает государственным органам просить компании социальных сетей подвергать цензуре контент или удалять пользователей с их платформы. ^{[ 42 ]}

3 октября 2008 года штат Иллинойс принял Закон о конфиденциальности биометрической информации . Закон был первым в стране, регулирующим биометрические данные. ^{[ 43 ]} Закон требует от частного бизнеса получения согласия на сбор или раскрытие биометрических идентификаторов потребителей. Закон также требует, чтобы данные надежно хранились и своевременно уничтожались. ^{[ 44 ]} Закон особо защищает данные сотрудников. ^{[ 41 ]}

В 2021 году в Нью-Йорке был принят закон о конфиденциальности коммерческих биометрических данных, который требует от предприятий заметно уведомлять потребителей о сборе данных. Закон запрещает работодателям собирать биометрические данные о сотрудниках. ^{[ 38 ]}

В 2009 году в Техасе был принят закон о защите прав потребителей, требующий согласия на сдачу в аренду, продажу или раскрытие биометрических данных для коммерческого использования. Закон также требует, чтобы данные были уничтожены в течение одного года с момента сбора. ^{[ 43 ] [ 38 ]}

В 2017 году Вашингтон принял специальный закон о конфиденциальности потребительских биометрических данных, регулирующий коммерческое использование. ^{[ 43 ] [ 38 ]}

27 апреля 2023 года Вашингтон принял Закон «Мое здоровье, мои данные» , вступающий в силу 31 марта 2024 года. ^{[ 45 ]} Этот закон был первым в стране, регулирующим данные о здоровье потребителей, не защищенные HIPAA. ^{[ 46 ]} Закон требует, чтобы компании получали предварительное разрешение на получение, обмен или продажу данных о здоровье, включая данные, которые могут быть использованы для вывода о состоянии здоровья или связаны с ним, например, покупка лекарств или отслеживание пищеварения. Закон гарантирует право отозвать согласие и потребовать удаления. Закон также запрещает установку геозон вокруг медицинских учреждений. ^{[ 46 ] [ 47 ]}

Бразилии Общий закон о защите персональных данных (LGPD) вступил в силу 18 сентября 2020 года. Основная цель закона — унифицировать 40 различных бразильских законов, регулирующих обработку персональных данных . Законопроект состоит из 65 статей и во многом схож с GDPR. ^{[ 48 ]}

В отличие от подхода США к защите конфиденциальности , который опирается на отраслевое законодательство, регулирование и саморегулирование, Европейский Союз опирается на комплексное законодательство о конфиденциальности. Европейская директива о защите данных , вступившая в силу в октябре 1998 года, включает, например, требование о создании государственных агентств по защите данных, регистрации баз данных в этих агентствах и, в некоторых случаях, предварительном одобрении перед началом обработки персональных данных. Чтобы соединить эти различные подходы к конфиденциальности и предоставить организациям США оптимизированные средства для соблюдения Директивы, Министерство торговли США в консультации с Европейской комиссией разработало структуру «безопасной гавани». Для обеспечения соблюдения этой структуры компании должны публично публиковать политику конфиденциальности. ^{[ 49 ]}

• Канадский закон о конфиденциальности
• Центр демократии и технологий
• Дата, которая
• Локализация данных
• Суверенитет данных
• Не отслеживать законодательство
• Комиссар по конфиденциальности Канады
• Конфиденциальность Интернешнл
• Законы о конфиденциальности США
• Право быть забытым

• Уоррен С. и Брандейс Л., 1890 г., «Право на неприкосновенность частной жизни», Harvard Law Review, Vol. 4, 193–220.
• Грэм Гринлиф, Глобальные законы о конфиденциальности данных: 89 стран и темпы роста http://ssrn.com/abstract=2000034