Данная заметка, подготовленная юридической фирмой Covington & Burling LLP, была опубликована 2 ноября 2018 года на сайте «Национальное правовое обозрение» (National Law Review).
Развивая успех Концепции кибербезопасности NIST (см. https://www.nist.gov/cyberframework, прямая ссылка https://doi.org/10.6028/NIST.CSWP.04162018 ), Концепция защиты неприкосновенности частной жизни должна стать прозрачным инструментом корпоративного уровня, помогающим организациям приоритизировать ресурсы и стратегии с тем, чтобы создавать гибкие, основанные на анализе риска решения для обеспечения неприкосновенности частной жизни.
16 октября 2018 года на семинаре в Остине (Austin), штат Техас (см. https://www.nist.gov/news-events/events/2018/10/kicking-nist-privacy-framework-workshop-1 ), начались соответствующие обсуждения с участием представителей отраслей, групп гражданского общества, академических институтов, федеральных, региональных и местных органов власти, организаций – разработчиков стандартов и другими заинтересованных сторон. Направления дальнейшей работы были определены посредством изучения того, как организации в настоящее время управляют рисками для неприкосновенности частной жизни, выявления проблем, и определения того, чем и как Концепция может помочь организациям решать такие проблемы.
Вскоре после этого, 29 октября 2018 года, старший советник NIST по политике защиты неприкосновенности частной жизни Наоми Лефковиц (Naomi Lefkovitz) обсудила будущее Концепции с группой, сформированной Комитетом по защите неприкосновенности частной жизни в электронной среде (E-Privacy Committee) секции правовых вопросов науки и технологий Американской ассоциации адвокатов (American Bar Association). В ходе дискуссии г-жа Лефковиц отметила необходимость данной Концепции в качестве дополнения к существующим концепциям NIST по обеспечению компьютерной безопасности. Хотя хорошая практика обеспечения кибербезопасности помогает управлять рисками для неприкосновенности частной жизни, защищая персональные данные людей, однако соответствующие риски также могут возникнуть в результате авторизованного сбора, хранения, использования и обмена информацией организациями в интересах достижения их миссии или деловых целей. Риски для неприкосновенности частной жизни, если не обеспечить эффективное управление ими и осведомление о них, могут иметь последствия как для отдельных лиц и организаций, так и для отрасли в целом (например, неспособность добиться признания обществом в целом полезной технологии из-за отсутствия доверия на рынке).
Г-жа Лефковиц подчеркнула ожидаемую отдачу от разработки NIST Концепции защиты неприкосновенности частной жизни, которая в настоящее время видится следующим образом:
- Подход, основанный на анализе рисков и ориентированный на результат. Концепция включает основанную на риске модель, которая поощряет проведение самооценки организациями. В частности, Концепция должна дать возможность организациям определять, какие программы и протоколы для них подходят, исходя из типа, характера и количества собранных данных. Помимо этого, поскольку модель ориентирована на результаты, а не является набором предписаний или упражнением по простановке галочек в контрольном списке, Концепция защиты неприкосновенности частной жизни будет более эффективной, поскольку она будет в большей степени адаптирована к области и масштабам проводимых организацией сбора, хранения, использования и обмена данными
- Избегание ловушек, с которыми столкнулось европейское законодательство GDPR: Г-жа Лефковиц отметила, что Концепция обходит некоторые, по её мнению, серьёзные ловушки и недостатки GDPR. Так, она считает, что GDPR неоправданно разделяет виды деятельности и роли на отдельные категории (а именно, выделяя «операторов» и «обработчиков» персональных данных). Г-жа Лефковиц объяснила, что проведение подобных различий непрактично в эпоху трансформационных технологий, внедрение которых часто стирает грани между ролями, которые различные заинтересованные стороны играют при обработке персональных данных. В отличие от GDPR, Концепция не разделяет действия или роли на категории, а вместо этого просит организации тщательно продумать типы собираемых и используемых ими данных, связанные с данными риски, и способы смягчения этих рисков посредством внедряемых организациями мер контроля и управления.
- Концепция может облегчить бремя исполнения законодательно-нормативных требований: Концепция защиты неприкосновенности частной жизни основное внимание уделяет предсказуемости, управляемости и обезличиванию (disassociability), таким образом, чтобы предприятия всех видов и размеров могли внедрять надлежащие и адекватные меры контроля в свою практику использования данных. Хотя такой подход частично уменьшает бремя масштабирования программы управления рисками для более мелких организаций, г-жа Лефковиц признала, что модель по-прежнему требует наличия в организации базового уровня опыта менеджмента риска для создания и управления программой.
NIST планирует использовать «обратную связь», полученную на семинаре 16 октября, для разработки аннотированного описания Концепции. Планируется также провести 29 ноября 2018 года вебинар «вопросов и ответов» ( https://www.nist.gov/privacy-framework/development-schedule ) по Концепции. Одновременно Национальная администрация по телекоммуникациям и информации (National Telecommunications and Information Administration, NTIA) Министерства торговли США запросила отзывы ( https://www.natlawreview.com/article/ntia-requests-comments-regarding-federal-approach-to-consumer-privacy ) в отношении предложенной федеральной Концепции защиты прав потребителей, которая должна защитить инновации. Замечания и предложения на этот проект следует подавать до 9 ноября 2018 года.
© 2018 Covington & Burling LLP
Источник: сайт «Национальное правовое обозрение» (National Law Review)
https://www.natlawreview.com/article/nist-begins-developing-voluntary-online-privacy-framework
Комментариев нет:
Отправить комментарий