Правовые акты США о защите права на неприкосновенность частной жизни
Хотя правительство США не предлагает сколько-нибудь серьезной помощи по защите данных гражданских лиц в киберпространстве, им выпущено несколько правовых актов о праве на неприкосновенность частной жизни — уже упоминавшийся Акт о защите права детей на неприкосновенность частной жизни в Интернете (the Children’s Online Privacy Protection Act — COPPA) в 1998 году и Акт Грэмма-Лича-Блайяи (Gramm-Leach-Bliley Act-GLBA) в 1999 году.
Акт о защите права детей на неприкосновенность частной жизни в Интернете
В марте 1998 года Федеральная торговая комиссия США представила Конгрессу отчет о доступности в Интернете данных о детях. Отчет явился побудительным толчком, приведшим к законопроекту 105 H.R. 4328 об ассигнованиях, внесенному Министерством транспорта США, одобренному Конгрессом и подписанному президентом Клинтоном 21 октября 1998 года. Акт о защите права детей на неприкосновенность частной жизни в Интернете вступил в силу 21 апреля 2000 года.
Акт делает попытку создания общего курса для операторов web-сайтов, предназначенных для детей, предписывая рамки определенных правил в отношении сбора данных на тех лиц, кому не исполнилось 13 лет. Акт ограничивает сбор такой персональной информации как имя и фамилия ребенка, его домашний адрес, адреса электронной почты, номера телефонов, номера социального страхования и любых других данных, персонально идентифицирующих детей или их родителей, таких как IP-адреса или имена пользователей в cookies. Акт гласит, что операторы web-сайтов должны поступать следующим образом:
- Публиковать «Порядок работы сайта с конфиденциальной информацией» (privacy policy), который бы ясно утверждал, кто является оператором, какую информацию они собирают о детях и что они будут делать с этой информацией (будет ли она продаваться третьим лицам?). Ссылка на этот «Порядок работы сайта с конфиденциальной информацией» должна быть ясно различимой на сайте.
- Получать поддающееся проверке согласие родителей перед тем, как собирать персональные данные о детях до 13 лет.
- Давать родителям возможность просматривать любую информацию, собранную об их детях. Родителям также должно быть позволено удалять (но не изменять) любую информацию об их детях, которая уже собрана.
- Воздерживаться от принятия на себя полномочий по сбору не являющихся необходимыми для работы данных о детях для их личных целей принятия участия в играх или соревнованиях.
- Защищать данные, собранные о детях через Интернет.
В 2002 году Федеральная торговая комиссия США (Federal Trade Commission — FTC) провела неформальное исследование по исполнению Акта о защите права детей на неприкосновенность частной жизни в Интернете.
Согласно опубликованному ими релизу, примерно четверть посещенных ими «детских» сайтов предлагала широкий спектр материалов для детей без сбора какой-либо персональной информации. Тем не менее оказалось, что из тех сайтов, которые собирали персональную информацию о детях, идентифицирующую их, примерно половина имела большие упущения по исполнению Акта. Эти сайты получили электронное письмо, фрагмент которого приводится ниже:
Хотя закон требует, чтобы вы предприняли определенные шаги для защиты права на неприкосновенность частной жизни детей в Сети, ваш сайт, оказывается, по-прежнему собирает персонально идентифицирующую информацию от детей до 13 лет, причем вы не имеете «Порядка работы сайта с конфиденциальной информацией», не даете знать об этом родителям и (или) не получаете согласия родителей. Мы рекомендуем вам посмотреть на ваш сайт критическим взглядом, с уважением к сбору информации от детей в свете рекомендаций Закона. Знайте, что FTC проводит мониторинг web-сайтов для определения, соблюдается ли законность их действий.
Затем, в феврале 2003 года FTC объявила, что два сайта были принуждены к уплате больших штрафов за нарушения Акта по защите права детей на неприкосновенность частной жизни в Интернете: «Миссис Филдз Кукиз» (Mrs. Fields Cookies) и «Херши Фудз Корпорэйшн» (Hershey Foods Corporation).
- «Миссис Филдз Кукиз». Некоторые из web-сайтов Mrs. Fields — MrsFields.com, Pretzeltime.com и Pretzelmaker.com — предназначены для детей. Клубы дней рождения для детей до 12 лет уполномочивают их ввести полное имя, домашний адрес, адрес электронной почты и дату рождения. Хотя этот web-сайт не продает и не меняет эти данные третьим лицам, ему приписали наличие данных, полученных от более 84000 детей без согласия родителей. Компания заплатила 100000 долларов штрафов за это нарушение.
- «Херши Фудз Корпорэйшн». «Херши» имеет более чем 30 web-сайтов, и все о сладостях, многие из них предназначены для детей. Согласно FTC, некоторые из этих сайтов получали согласие родителей способом, не встречавшим возражений от Акта. FTC обвиняет «Херши» в том, что та собирала данные от детей до 13 лет, используя на сайте форму для согласия родителей, которая не предусматривала мер для подтверждения, что опекун видел или заполнил форму согласия, если нет родителей. FTC далее утверждает, что, даже если один из предполагаемых родителей или опекунов не ввел информацию в форму согласия, компания все равно продолжала собирать персональные данные детей, — включая полное имя, домашние адреса, адреса электронной почты и возраст. «Херши» заплатила 85000 долларов штрафов.
Если отвлечься от очевидных случаев тех компаний, которые продают информацию о детях неизвестным третьим лицам, одна из самых больших проблем со сбором данных от детей — это размывание черты, разделяющей обмен информацией от ее утечки. Родители имеют право выбирать средства заботы о детях в Интрнете. Мы говорим нашим детям, чтобы они никогда никому в Интернете не сообщали, где они живут или в какую школу они ходят, но потом, если они захотят принять участие в соревновании и выиграть бесплатную упаковку M&M’s, они все равно должны будут сообщить свои данные о себе (иначе, как они получат свой приз?). Это-то и сбивает с толку, и исключительно по этой причине данные, получаемые от детей, являются тем, к чему компании должны подходить очень серьезно.
Акт Грэмма-Лича-Блайли
Центр информации о защите права на неприкосновенность частной жизни в электронном мире (Electronic Privacy Information Center — EPIC) — это группа, отслеживающая соблюдение компаниями и лицами законов о защите частной жизни, которая «навешивает ярлыки» на правительство, корпорации и индивидуальных пользователей при нарушении ими этих законов. Epic.org (http://www.epic.org/) — это невероятный кладезь информации о проблемах защиты права на неприкосновенность частной жизни в электронном мире и источник следующих трех историй, которые акцентируют внимание на том, почему законы, защищающие частную информацию, так жизненно важны:
- В ноябре 1997 года банк «Чартер Пасифик Бэнк ов Агура Хиллз» (Charter Pacific Bank of Agoura Hills), штат Калифорния, продал миллионы номеров кредитных карт компании-оператору web-сайта для взрослых, которая затем принялась рассылать счета потребителям за доступ на порносайты в Интернете и за получение других услуг, о которых они не просили. Некоторые из потребителей, получивших счет, даже не имели компьютера. Компания-оператор web-сайта запустила многочисленные мерчент-эккаунты (merchant account — счет продавца — специальный web-сайт для расчетов в Интернете) под разными именами, чтобы избежать обнаружения. В сентябре 2000 года FTC объявила, что она выиграла 37,5 миллиона долларов в судебном деле против компании-оператора. Хотя банк стоит на позиции, что он не сделал ничего плохого, он с тех пор прекратил практику продажи номеров кредитных карт продавцам.
- В 1998 году банк «Нэйшз-бэнк» (NationsBank, позднее вошедший в «Бэнк ов Америка») заплатил миллионные штрафы за нарушения законов о безопасности, потому что он делился информацией о потребителях со своей аффилированной дочерней компанией Nations Securities. Дочерняя компания затем убеждала надежных потребителей покупать инвестиции, имеющие высокий риск. Многие потребители NationsBank потеряли большие деньги, а многие престарелые граждане потеряли большие суммы своих пенсионных накоплений. В июне 1999 года главный прокурор штата Миннесота начал преследование по закону против компании U.S. Bancorp за разглашение информации о потребителях третьим лицам в нарушение собственных порядков без ведома потребителей и без их согласия. Третьи лица, занимающиеся телемаркетингом, затем незаконно предъявляли счета этим потребителям. U.S. Bancorp, фактически, ответила за это дело вместе с теми, кто был привлечен к ответственности 39 главными прокурорами других штатов. В апреле 2000 года штат Миннесота привлек к ответственности третье лицо — компанию телемаркетинга Member-works, которую использовала U.S. Bancorp. Согласно данным службы безопасности и комиссионных сборов Memberworks, — 19 из 25 крупнейших банков в США имели контракты с ними. Другие известные банки, включая «Чейз Ман-хэттен» (Chase Manhattan) и «Ситибэнк» (Citybank), были вовлечены в схемы, в которых персональная информация о счетах продавалась телемаркетерам.
В ответ на инциденты, подобные этим, был принят Акт Грэмма-Лича-Блайли, который известен как Акт о модернизации финансовых служб 1999 года (Financial Services Modernization Act). Его цель — защитить ваши финансовые данные от незаконного использования, и он содержит следующие условия:
- Банки, брокерские фирмы и страховые компании должны предпринимать адекватные меры для обеспечения безопасности ваших персональных данных.
- Эти финансовые учреждения должны сообщать вам, как и с кем они делятся или кому продают ваши персональные данные.
Вам должна быть предоставлена возможность аннулировать свое участие в их практике обмена информацией.
Аннулирование участия в обмене информацией представляет собой несколько различных путей. Например, если вы получили закладную на дом, вы должны получить письмо от вашего заимодавца с предложением возможности аннулировать обмен данными. Служба потребителей вашего банка тоже должна быть в состоянии помочь вам с заявлением об аннулировании обмена данными по телефону, и есть также централизованный номер телефона, по которому вы можете аннулировать все предложения предварительно одобренных кредитных карт (о чем говорится в разделе «Кража персональных данных»), что является результатом торговли персональными данными между финансовыми организациями.