Принципы добросовестной информационной практики (FIPP) Федеральной торговой комиссии США представляют собой руководящие принципы, которые представляют собой общепринятые концепции, касающиеся честной информационной практики на электронном рынке. [1]
Вступление
Принципы честной информационной практики FTC являются результатом расследования Комиссией того, как онлайн-организации собирают и используют личную информацию и меры безопасности, чтобы гарантировать, что практика является справедливой и обеспечивает адекватную защиту конфиденциальности информации . [2] FTC изучает вопросы конфиденциальности в Интернете с 1995 года, и в своем отчете за 1998 год [3] Комиссия описала широко принятые принципы честной информационной практики, касающиеся уведомления, выбора, доступа и безопасности . [1] Комиссия также определила принудительное исполнение , использование надежного механизма для обеспечения санкций за несоблюдение, как критический компонент любой правительственной или саморегулируемой программы по защите конфиденциальности в Интернете. [1] [4]
История и развитие
Fair Информация практика была первоначально предложена и назван [5] Побочный Консультативного комитета США секретаря по автоматизированным системам персональных данных в отчете 1973 года, отчеты, Компьютеры и прав граждан , [6] выдается в ответ на растущее использование автоматизированных информационных систем содержащие информацию о физических лицах. Центральным вкладом Консультативного комитета была разработка кодекса честной информационной практики для автоматизированных систем персональных данных. Комиссия по изучению защиты конфиденциальности также, возможно, внесла свой вклад в разработку принципов FIP в своем отчете 1977 года « Конфиденциальность личных данных в информационном обществе» . [7]
По мере того как законы о конфиденциальности распространились на другие страны Европы, международные учреждения занялись конфиденциальностью, сосредоточив внимание на международных последствиях регулирования конфиденциальности. В 1980 году Совет Европы принял Конвенцию о защите частных лиц в отношении автоматической обработки персональных данных . [8] В то же время Организация экономического сотрудничества и развития (ОЭСР) предложила аналогичные руководящие принципы конфиденциальности в Руководящих принципах ОЭСР по защите конфиденциальности и трансграничных потоков личных данных. [9] Руководящие принципы ОЭСР, Конвенция Совета Европы и Директива Европейского Союза о защите данных [10] основывались на принципах FIP в качестве основных принципов. Все три организации пересмотрели и расширили первоначальное заявление США о FIP, причем в последующие годы наиболее часто цитировалась версия OECD Privacy Guidelines. [11]
Принципы
Основными принципами конфиденциальности, рассматриваемыми в этих принципах, являются:
1. Уведомление / осведомленность [12] Потребители должны быть уведомлены об информационных методах организации до получения от них какой-либо личной информации . [12] Это требует, чтобы компании явным образом уведомляли некоторые или все из следующего:
- идентификация лица, собирающего данные;
- идентификация использования данных;
- идентификация потенциальных получателей данных;
- характер собираемых данных и способы их сбора;
- является ли предоставление запрошенных данных добровольным или обязательным;
- шаги, предпринятые сборщиком данных для обеспечения конфиденциальности, целостности и качества данных. [12]
2. Выбор / согласие [13] Выбор и согласие в смысле сбора информации в режиме онлайн означает предоставление потребителям возможности контролировать использование их данных. В частности, выбор относится к вторичному использованию информации помимо непосредственных потребностей сборщика информации для завершения транзакции потребителя. Два типичных типа моделей выбора - это «согласие» или «отказ». Метод «согласия» требует, чтобы потребители утвердительно дали разрешение на использование их информации для других целей. Если потребитель не предпримет этих позитивных шагов в системе «согласия», сборщик информации предполагает, что он не может использовать информацию для каких-либо других целей. Метод «отказа» требует от потребителей утвердительного отказа в разрешении на использование в других целях. Если потребитель не предпринимает этих позитивных шагов в системе отказа, сборщик информации предполагает, что он может использовать информацию потребителя для других целей. Каждая из этих систем может быть спроектирована так, чтобы позволить отдельному потребителю настроить использование информации сборщиком информации в соответствии со своими предпочтениями, установив флажки для предоставления или отказа в разрешении для определенных целей вместо использования простого метода «все или ничего». [13]
3. Доступ / участие [14] Доступ, как это определено в Принципах честной информационной практики, включает не только возможность потребителя просматривать собранные данные, но также проверять и оспаривать их точность. Этот доступ должен быть недорогим и своевременным, чтобы быть полезным для потребителя. [14]
4. Целостность / безопасность [15] Сборщики информации должны гарантировать, что данные, которые они собирают, являются точными и безопасными. Они могут улучшить целостность данных, ссылаясь на них только с авторитетными базами данных и предоставляя потребителю доступ для их проверки. Сборщики информации могут обеспечивать безопасность своих данных, защищая их как от внутренних, так и от внешних угроз безопасности. Они могут ограничить доступ внутри своей компании только для необходимых сотрудников для защиты от внутренних угроз, и они могут использовать шифрование и другие компьютерные системы безопасности для предотвращения внешних угроз. [15]
5. Правоприменение / возмещение [16] Чтобы гарантировать, что компании соблюдают Принципы честной информационной практики, должны быть предусмотрены принудительные меры. FTC определила три типа принудительных мер: саморегулирование сборщиками информации или назначенным регулирующим органом; частные средства правовой защиты, которые дают гражданские основания для иска для лиц, чья информация была неправомерно использована для предъявления иска нарушителям; и государственное правоприменение, которое может включать в себя гражданские и уголовные наказания, налагаемые государством. [16]
Обеспечение соблюдения принципов
В настоящее время версия Принципов честного информирования Федеральной торговой комиссии является только рекомендациями по поддержанию дружественных к конфиденциальности, ориентированных на потребителя методов сбора данных и не подлежит исполнению по закону. Обеспечение соблюдения и соблюдение этих принципов в основном осуществляется посредством саморегулирования. FTC, однако, предприняла усилия по оценке практики саморегулирования отрасли [17], предоставляет рекомендации для отрасли по развитию информационной практики [18] и использует свои полномочия в соответствии с Законом FTC для обеспечения выполнения обещаний, данных корпорациями в их политике конфиденциальности. [19]
Поскольку инициативы саморегулирования не обеспечивают идеальной реализации принципов (например, в отчете Федеральной торговой комиссии за 2000 год отмечалось, что инициативам саморегулирования не хватало значимой политики и практики мониторинга и обеспечения соблюдения), Комиссия рекомендует Конгрессу США принять закон, который: в сочетании с продолжающимися программами саморегулирования обеспечит адекватную защиту конфиденциальности потребителей в Интернете. [20] «Законодательство, рекомендованное Комиссией, установит базовый уровень защиты конфиденциальности для коммерческих веб-сайтов, ориентированных на потребителя» и «установит базовые стандарты практики для сбора информации в Интернете ... коммерческие веб-сайты, ориентированные на потребителя. которые собирают личную идентифицирующую информацию от потребителей или о них в Интернете ... должны будут соответствовать четырем общепринятым принципам честной информации ". [11]
Однако эти принципы составляют основу многих отдельных законов как на федеральном уровне, так и на уровне штатов - так называемый «секторальный подход». Примерами являются Закон о справедливой кредитной отчетности, Закон о праве на конфиденциальность финансовых данных, Закон о конфиденциальности электронных коммуникаций, Закон о защите конфиденциальности видео (VPPA) и Закон о защите и конкуренции кабельного телевидения . [21] Кроме того, эти принципы продолжают служить моделью для защиты конфиденциальности в новых развивающихся областях, например, при разработке программ Smart Grid. [22]
Другие предложения относительно «честной информации»
Организация экономического сотрудничества и развития (ОЭСР) и Европейского союза , в частности, приняли более всеобъемлющие подходы к справедливой информационной практики. Принципы ОЭСР обеспечивают дополнительную защиту посредством принципа индивидуального участия, в котором предъявляются особые требования к доступу и модификации личной информации, собираемой физическим лицом, и принципа подотчетности (контролер данных должен нести ответственность за соблюдение мер, обеспечивающих выполнение принципов, изложенных выше. ). [23] [24]
Европейский Союз Директива о защите данных является еще одной моделью для комплексной защиты конфиденциальности. [25] [26]
Критика принципов FTC
Некоторые ученые критикуют FIPP за то, что они менее всеобъемлющие по своему охвату, чем режимы конфиденциальности в других странах, в частности, в Европейском союзе и других странах ОЭСР. Кроме того, формулировка принципов FTC подверглась критике по сравнению с формулировками, опубликованными другими агентствами. Версия FTC от 2000 года короче и менее полна, чем принципы защиты конфиденциальности, опубликованные Управлением конфиденциальности Министерства внутренней безопасности в 2008 году, которые включают восемь принципов, тесно связанных с принципами ОЭСР. [21]
Некоторые в сообществе конфиденциальности критикуют FIPP за то, что они слишком слабы, допускают слишком много исключений, не требуют агентства по конфиденциальности, не учитывают слабые стороны саморегулирования и не идут в ногу с информационными технологиями. [27] Многие эксперты по конфиденциальности призвали принять в США комплексное законодательство о защите конфиденциальности [28] вместо нынешнего сочетания саморегулирования и выборочной кодификации в определенных секторах. [29]
Критики с точки зрения бизнеса часто предпочитают ограничивать FIP сокращенными элементами уведомления, согласия и подотчетности. Они жалуются, что другие элементы неработоспособны, дороги или несовместимы с принципами открытости или свободы слова. [11]
Некоторые комментаторы утверждают, что потребители не имеют права голоса в процессе получения согласия. Например, клиенты предоставляют информацию о своем здоровье, такую как номер социального страхования или номер карты здоровья, при записи на прием к стоматологу в режиме онлайн. Клиентов обычно просят подписать соглашение, в котором говорится, что «третья сторона может иметь доступ к информации, которую вы предоставляете, при определенных условиях». Определенные условия редко оговариваются в какой-либо части соглашения. Позже третья сторона может поделиться информацией со своими дочерними учреждениями. Таким образом, доступ к личной информации клиентов находится вне их контроля. [30]
Смотрите также
- Федеральная торговая комиссия
- Политика защиты информации
- Информационная безопасность
- Директива о защите данных
Рекомендации
- ^ a b c Федеральная торговая комиссия, Принципы честной информационной практики. Архивировано 31 марта 2009 года в Wayback Machine.
- ^ «Конфиденциальность: от принципов к практике» . Информация для потребителей . 2018-05-11 . Проверено 9 апреля 2021 .
- ^ Федеральная торговая комиссия, Privacy Online: A Report to Congress (июнь 1998).
- ^ «Конфиденциальность в Интернете: добросовестная информационная практика на электронной торговой площадке: отчет Федеральной торговой комиссии для Конгресса» . Федеральная торговая комиссия . 2000-05-01 . Проверено 13 декабря 2020 .
- ^ Консультативный комитет Секретаря США по автоматизированным системам персональных данных, записям, компьютерам и правам граждан , Глава IV: Рекомендуемые меры безопасности для административных систем персональных данных (1973).
- ^ Консультативный комитет секретаря США по автоматизированным системам персональных данных, записям, компьютерам и правам граждан (1973).
- ^ Комиссия по изучению защиты конфиденциальности, Конфиденциальность в информационном обществе (июль 1977 г.).
- ^ Совет Европы, Конвенция о защите частных лиц в отношении автоматической обработки персональных данных (28 января 1981 г.).
- ^ Организация экономического сотрудничества и развития (ОЭСР), Руководящие принципы ОЭСР по защите конфиденциальности и трансграничных потоков личных данных (23 сентября 1980 г.).
- ^ Директива Европейского Союза о защите данных, Директива 95/46 / EC http://docs.cpuc.ca.gov/published/proceedings/R0812009.htm Архивировано 11 марта2010 г. на Wayback Machine
- ^ a b c Роберт Геллман, Справедливая информационная практика: базовая история (10 апреля 2017 г.).
- ^ a b c Федеральная торговая комиссия, Принципы честной информационной практики (FIP), 1. Уведомление / осведомленность. Архивировано 9 марта 2010 года в Wayback Machine.
- ^ a b Федеральная торговая комиссия, Принципы честной информационной практики (FIP), 2. Выбор / согласие. Архивировано 9 марта 2010 года в Wayback Machine.
- ^ a b Федеральная торговая комиссия, Принципы честной информационной практики (FIP), 3. Доступ / участие. Архивировано 9 марта 2010 года в Wayback Machine.
- ^ a b Федеральная торговая комиссия, Принципы честной информационной практики (FIP), 4. Целостность / безопасность. Архивировано 9 марта 2010 года в Wayback Machine.
- ^ a b Федеральная торговая комиссия, Принципы честной информационной практики (FIP), 5. Правоприменение / возмещение. Архивировано 9 марта 2010 года в Wayback Machine.
- ^ Рекомендации отраслевой ассоциации FTC http://www.ftc.gov/reports/privacy3/industry.shtm#Industry%20Association%20Guidelines%20A Архивировано 30 мая 2010 г. на Wayback Machine
- ^ Защита личной информации: руководство для бизнеса http://www.ftc.gov/infosecurity/
- ^ Обеспечение соблюдения обещаний конфиденциальности: раздел 5 Закона FTC http://www.ftc.gov/privacy/privacyinitiatives/promises.html
- ^ Отчет о конфиденциальности FTC 2000 http://www.ftc.gov/reports/privacy2000/privacy2000.pdf
- ^ a b Министерство внутренней безопасности, Меморандум о политике конфиденциальности (2008 г.) (Меморандум № 2008-1), https://www.dhs.gov/xlibrary/assets/privacy/privacy_policyguide_2008-01.pdf
- ^ Electronic Frontier Foundation и Центр демократии и технологий Совместная регистрация с Комиссией по коммунальным предприятиям Калифорнии относительно программы Smart Grid в Калифорнии. http://www.cpuc.ca.gov/EFILE/CM/114696.pdf ; https://www.eff.org/deeplinks/2010/03/new-smart-meters-energy-use-put-privacy-risk
- ^ Организация экономического сотрудничества и развития (ОЭСР), Руководящие принципы ОЭСР по защите конфиденциальности и трансграничных потоков личных данных (23 сентября 1980 г.). http://www.oecd.org/document/18/0,3343,en_2649_34255_1815186_1_1_1_1,00.html
- ^ Пэм Диксон, Краткое введение в справедливую информационную практику World Privacy Forum (5 июня 2006 г.).
- ^ Директива 95/46 / EC http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:HTML
- ^ Спирос Симитис , От рынка к полису: Директива ЕС о защите личных данных, 80 Iowa L. Rev. 445 (1995).
- ^ Аннечарико, Дэвид (2002). «Онлайн-транзакции: сравнение положений Закона Грэмма-Лича-Блайли о конфиденциальности с принципами честной информационной практики Федеральной торговой комиссии» . Банковский институт Северной Каролины . 6 : 637–664.
- ^ Пол М. Шварц, Конфиденциальность и демократия в киберпространстве, 52 Vand. L. Rev.1609 (1999); Джоэл Р. Рейденберг, Восстановление конфиденциальности американцев в электронной торговле, 14 Berkeley Tech. LJ 771 (1999).
- ^ Примерами являются Закон о честной кредитной отчетности, Закон о праве на финансовую конфиденциальность, Закон о конфиденциальности электронных коммуникаций и Закон о защите конфиденциальности видео . Бет Гивенс, Обзор принципов честной информации: Фонд публичной политики конфиденциальности. Архивировано 8 апреля 2009 г. на Wayback Machine (опубликовано в 1997 г., обновлено в 2004 г.).
- ^ Tavani, HT & Bottis M. (2010, июнь). Процесс согласия в медицинских исследованиях с использованием банков данных ДНК: некоторые этические последствия и проблемы. ACM SIGCAS Computers and Society, 40 (2), 11-21. DOI : 10,1145 / 1839994,1839996
Внешние ссылки
- Отчет о конфиденциальности FTC 2000
- Конфиденциальность FTC в Интернете: отчет для Конгресса
- Добросовестная информационная практика ОЭСР
- Руководящие принципы ОЭСР по защите конфиденциальности и трансграничных потоков персональных данных
- Закон о конфиденциальности 1974 г. , 5 USC § 552a .