О влиянии обновленного регулирования к Калифорнийскому закону о приватности потребителей на ИТ-компании в эксклюзивном интервью агентству "Интерфакс-Украина" рассказала юрист, эксперт по правовому регулированию технологий и безопасности персональных данных в США Галина Василевская.

- CCPA был принят в 2018 году, однако лишь недавно он получил окончательное регулирование. Что это изменило?

- California Consumer Privacy Act (CCPA), 2018 стал первым в США актом, регулирующим вопросы приватности потребителей и вступил в силу 1 января 2020 года. 1 июня 2020 года вышла финальная версия регулирования (подзаконного акта), который определяет порядок применения этого закона. С 1 июля 2020 по данному акту начинают применять санкции. Несмотря на то, что акт принят на уровне штата Калифорния, его эффект имеет куда большую географию по нескольким причинам: во-первых, большинство технологических компаний имеют офисы, а зачастую и штаб-квартиры в Калифорнии, а значит, их политики приватности, процессы обработки данных и права пользователей теперь должны соответствовать ССРА. Во-вторых, сила действия данного закона устанавливает, что если компания удовлетворяет один из этих критериев - имеет более $25 млн дохода в год, взаимодействует (прямо или опосредованно) с данными более 50 тыс. резидентов штата Калифорния или зарабатывает 50% своих годовых доходов от операций с данными резидентов штата Калифорния, - она обязана соответствовать требованиям закона. Таким образом, действие закона становится экстерриториальным.

- Чем CCPA отличается от GDPR?

- У актов довольно много различий и специфических требований каждого отдельно. Поэтому большинству компаний, которые ведут глобальный бизнес, соответствовать необходимо обоим.

Среди ключевых отличий то, что ССРА устанавливает режим, по которому пользователь имеет право отказаться от продажи его персональных данных и компании обязаны обеспечить наличие такой ссылки и исполнение такого запроса (“Do not sell my personal information), помимо других прав. А также обязует компании удалять пользовательскую информацию по любому валидному запросу на это действие.

- Как введение в действие CCPA повлияет на Украину? Какие компании окажутся в "зоне риска", что будет им грозить?

- Акт напрямую затронет компании, которые работают на аутсорсе, деятельность которых подпадает под CCPA. Соответственно, большинству аутсорсинговых компаний с разработкой в Украине и клиентами в США, локальным офисам американских компаний в Украине и компаниям, предоставляющим услуги организациям, которые подчинены CCPA, стоит быть готовым к изменениям.

На практике стоит ожидать следующего: обновления и изменения политики приватности сервисов, которыми мы пользуемся; прохождения процедуры оценки рисков безопасности данных (Data Privacy Impact Assessments) перед началом работы с американскими клиентами, а также необходимости соблюдения требований статуса поставщика услуг, а значит - выполнения ряда организационных мер внутри компании.

Несоблюдение CCPA грозит репутационными рисками, штрафами от регуляторов и потерей потенциальных и существующих клиентов.

- О каких размерах штрафов идет речь?

- В этом основная особенность CCPA. Сумма штрафа составляет от $2500 до $7500 за умышленные и неумышленные нарушения соответственно. Однако ССРА привносит право частного лица требовать санкций за нарушение его прав в судебном порядке (right of private action). И именно такая опция является куда большим риском, чем сумма штрафов, которую потенциально могут наложить регуляторы. Так как США имеет длинную и развитую историю коллективных исков, суммы, потраченные на урегулирование споров, могут превышать миллиарды долларов.

- И еще одно уточнение по экстерриториальности. Если наш стартап формально числится в США (не обязательно в Калифорнии), но работает не на рынке США (к примеру, в ЕС), подпадает ли он под действие CCPA?

- Очень зависит от типа бизнеса, который ведет ваша компания. Чтобы определить, подпадает или нет, наиболее рационально пройти Privacy Impact Assessment – процедуру, позволяющую определить риски для безопасности данных в той или иной сфере или юрисдикции. Несколько факторов, которые стоит принять во внимание: (1) обрабатывает ли ваш стартап данные резидентов штата Калифорния, (2) какую роль такая обработка играет в бизнесе компании, (3) кому и как эти данные передаются, (4) где находятся вендоры вашего бизнеса и какие у вас с ними отношения, (5) какие сервисы ваша компания использует для целей обработки данных.

- Как это новшество коснется сферы BigData?

- Требования к обработке персональной информации у CCPA и GDPR похожи по сути, но теперь они станут обязательными для значительно большего количества компаний. Важно понимать, что большие данные и производные от них продукты это действия по обработке таких данных с юридической точки зрения. А значит, обработка может быть ограничена только целью сбора данных. За счет установки более жестких ограничений, далеко не все операции с большими данными будут соответствовать легальным требованиям. Также важно помнить о требовании о недискриминации, которое запрещает компаниям ограничивать права пользователя на основе информации, которая есть у компании. Соответственно, цели и порядок использования больших данных радикально изменятся.

- Затронет ли это рекламный рынок?

- Это уже затронуло рекламный рынок и существенно. Среди ключевых изменений: компания Google анонсировала, что в течении двух лет Google Chrome полностью отключит использование файлов cookie от третьих сторон, что существенно скажется на трафике веб-сайтов. Так как "кукис" третьих сторон это один из основных механизмов таргетированной рекламы, без их использования сайтам будет куда сложнее выдать релевантную рекламу, а значит упадет и общая посещаемость веб-ресурсов.

Кроме того, требование о запрете продажи персональных данных обязывает технологические компании предоставить опцию ограничения таких действий. А значит, куда большое количество пользователей будут иметь возможность отказаться от рекламы и не потерять в качестве контента.

- И здесь возникает вопрос, что же делать армии рекламных специалистов, заточенных на ремаркетинг?

- Уже сейчас разрабатывать стратегии и анализировать технологии, которые позволяют сайтам зарабатывать. Chrome анонсировал постепенное внедрение этих изменений в течение двух лет, однако чем раньше веб-ресурс будет адаптирован к новым требованиям, тем проще будет выиграть конкуренцию в будущем.

- Упростит ли это судебные иски правоохранительных органов к Google или Facebook по доступу к пользовательской информации?

- Нет, CCРА действительно дает регулятору прямые полномочия налагать санкции в случае несоблюдения требований акта. Однако это санкции за нарушение требований пользовательской приватности (использование данных в противоречии с законом), а не упрощение доступа к данным пользователя. Соответственно, правоохранительные органы смогут получить доступ к данным, как и ранее, только по решению суда и в объеме, необходимом для дела.

- А как обстоят дела с законодательством о защите персональных данных в Украине?

- Плохо. И на это есть несколько причин: например, закон "О защите персональных данных" не соответствует современным технологическим реалиям. Очень многие его требования заточены под физический сбор данных и не покрывают вопросы облачных технологий и актуальных методов хранения данных. Кроме того, вопросы кросс-граничного передвижения данных, согласия на обработку данных активными действиями или требования относительно доступа к данными не покрыты в законе в объеме, диктуемом современными технологическими реалиями.

Кроме того, чтобы закон хорошо работал, необходим орган, который будет заниматься его применением и наложением корректных санкций. В Украине такой орган пока не создан.

- А как насчет КСЗИ в Украине? Это пережиток прошлого или достаточный формат защиты данных?

- Это пережиток прошлого, который не способен поддерживать развитые системы и большие нагрузки. Плюс ко всему, он значительно лимитирует возможности легального использования данных для улучшения работы сервисов и разработки новых продуктов. Кроме того, КСЗИ не выставляет необходимых организационных требований, как это делают, например, ISO и SOC 2 сертификации, а значит делает даже систему с такой сертификацией чувствительной к человеческому фактору.

- Вспоминая недавнюю шумиху с обнародованием пользовательских данных, хотелось бы узнать, насколько, по вашему мнению, защищены украинские госреестры данных, и как сделать лучше?

- Вопрос обширный и очень зависит от того, в распоряжении какого ведомства находится реестр и какой режим доступа имеет. Улучшить можно базовые технические меры предосторожности - режимы доступов, архитектуру хранения данных, создать несколько разведенных точек отказа. Я бы уделила отдельное внимание подготовке кадров, работающих в сфере, так как человеческий фактор - основной фактор риска на сегодняшний день.

- А как вы смотрите на инициативу по переводу госорганов на облачную инфраструктуру? Это должен быть частный или государственный дата-центр?

- Очень зависит от типа оказываемого сервиса и его критической значимости. Концентрация всех данных в одном дата-центре делает его и всю систему очень уязвимой. В то же время частные дата-центры уже имеют имплементированные высокие стандарты безопасности, а также продукты, специально ориентированные под госсектор. Так что я думаю, что наиболее надежным будет компромиссный вариант с распределенной архитектурой.