Защита данных в электронной коммерции

Каждый день в мире электронной коммерции происходит такое невероятное разнообразие сделок, многие из которых требуют от поставщиков доступа к данным потребителей. Однако многие пользователи опасаются передавать свои личные данные, и на то есть веские причины. Слишком часто конфиденциальные данные используются не по назначению, незаконно применяются в рекламных целях или даже передаются третьим лицам. Чтобы избежать недовольных клиентов, а также возможных юридических последствий, компаниям настоятельно рекомендуется постоянно следить за темой защиты данных. Тот, кто упускает из виду сложные вопросы безопасности данных, очень быстро рискует нарушить законы и понести очень дорогостоящие штрафы.

Термин «защита данных» первоначально возник в Европе и относится к законодательству о защите частной жизни. В Соединенных Штатах, с другой стороны, этот термин чаще называют конфиденциальностью данных. Защита данных в США может различаться в зависимости от того, в каком штате вы находитесь. В этой статье описывается как национальное законодательство, так и законы и рекомендации для конкретной страны/штата, которым вы должны следовать как оператор онлайн-бизнеса.

Цель защиты данных

Законы о защите данных призваны помочь обеспечить безопасность и сохранность вашей личной информации в Интернете. В настоящее время в США нет общенациональных законов или законодательных актов, охватывающих именно эту тему. Однако следует отметить, что определенная степень защиты данных обеспечивается такими законами, как Закон о конфиденциальности США, Закон о безопасной гавани, а также Закон о переносимости и подотчетности медицинского страхования (HIPAA). Тем не менее, ни один из этих законов не имеет особого отношения к защите данных потребителей.

Соединенные Штаты очень высоко ценят первую поправку к своей конституции, то есть право на свободу слова. На практике это означает, что правила защиты данных могут быть затруднены или полностью заблокированы. Именно поэтому в Европе действует так называемое «право на забвение», когда человек может попросить поисковые системы, например, Google, удалить новостные статьи о нем. Это не может быть легко применено за Атлантикой, где конституция защищает свободу выражения мнений, что означает, что люди не могут так просто потребовать удалить негативную информацию о них из сети. Другими словами, не существует конституционной основы для всеобъемлющего закона о конфиденциальности данных. Проще говоря, если человек или компания приложили усилия для ввода данных, считается, что они имеют право хранить и использовать их, даже если, с технической точки зрения, данные были собраны без разрешения.

Однако с мая 2018 года в ЕС действует новый регламент, который в определенной степени затрагивает и рынок США. Общее положение о защите данных распространяется на все страны ЕС, но более конкретно — на веб-пользователей на территории ЕС. Это означает, что ваш сайт в США, если его посещает пользователь Интернета, находящийся в ЕС, также должен соответствовать этим правилам защиты данных. В связи с этим важно, чтобы вы не только были в курсе местных правил (в разных штатах могут быть разные правила), но и помнили о правилах ЕС и приняли необходимые меры на случай, если к вам придет посетитель из страны ЕС.

Персональные данные и чувствительные персональные данные

Федеральная торговая комиссия (FTC) определяет персональные данные как информацию, которая может быть использована для идентификации человека и даже для установления с ним контакта. К такой информации относятся IP-адреса и идентификаторы устройств; отличительный номер телефона, связанный со смартфоном или другими портативными устройствами. Чувствительные персональные данные — это такие данные, как данные о здоровье, финансовые данные, данные о кредитном рейтинге, данные о студентах и любые другие данные, которые могут быть использованы для мошенничества или кражи личности. Любая информация, собранная в Интернете от детей младше 13 лет, также считается чувствительными персональными данными.

Как правило, уведомления о нарушении безопасности данных и законы о безопасности данных отдельных штатов обязательно распространяются на имена людей, а также на номер государственного удостоверения личности, номер платежной карты и данные медицинского страхования. Особенно актуальным для владельцев онлайн-бизнеса является тот факт, что законы некоторых штатов распространяются на имя пользователя и пароли для онлайн-аккаунтов физических лиц. 

FTC обладает юрисдикцией над многими предприятиями коммерческого сектора и, когда дело доходит до некоторых вопросов, имеет полномочия издавать и внедрять регулирование конфиденциальности в определенных областях промышленности, включая коммерческую электронную почту, конфиденциальность детей и телемаркетинг. В этих областях FTC стремится предотвратить недобросовестные или обманчивые методы ведения бизнеса. Громкие случаи нарушения безопасности данных рассматриваются генеральными прокурорами в каждом штате. Как уже стало ясно, учитывая связанные с этим судебные драмы, все это — децентрализованные регулирующие органы или департаменты; официального национального органа по защите данных в США не существует.

Защита данных в Калифорнии

Это привело к тому, что США в этой области стали реактивными, а не превентивными, введя некоторые из вышеупомянутых законов. Калифорния является исключением из этого правила, поскольку это штат, который имеет передовое и специализированное законодательство, когда речь идет о конфиденциальности, включая конфиденциальность данных. Раздел 1 статьи 1 конституции Калифорнии описывает неотъемлемое право граждан на неприкосновенность частной жизни. Примером этого может служить Закон о защите конфиденциальности в Интернете (2004); этот закон требует, чтобы оператор веб-сайта размещал легко идентифицируемую ссылку на политику конфиденциальности сайта (часто озаглавленную «Ваши права на конфиденциальность в Калифорнии»). В ней должны быть указаны типы информации, собираемой веб-сайтом, и то, как эта информация будет или может быть передана другим лицам. В ней также должен быть подробно описан способ, с помощью которого пользователь может просматривать и даже вносить изменения в данные, которые хранятся о нем.

Несоблюдение этих правил может дорого обойтись предприятию. Если в течение 30 дней после обращения на сайт не будет размещена политика конфиденциальности или будет установлено, что сайт нарушает закон каким-либо другим образом, то в отношении оператора сайта может быть возбуждено судебное дело. В этом случае они могут быть обвинены в халатности, сознательной или бессознательной, и даже могут быть подвергнуты штрафу. Стоит также отметить, что этот закон распространяется не только на компании, расположенные в пределах штата; как только веб-сайт становится доступным для жителей Калифорнии, закон вступает в силу для компании, которая сохраняет/хранит информацию в Интернете.

Следование по следам куки

Когда речь заходит о файлах cookie и других подобных устройствах слежения, калифорнийский закон требует, чтобы компании включали в политику конфиденциальности любую информацию о персональных данных, которые собираются и отслеживаются на нескольких веб-сайтах в течение длительного периода времени. Если они используют такие методы, то им также необходимо включить подробную информацию о том, соблюдают ли они какую-либо программу «Do-Not-Track», предоставляя посетителям возможность отказаться от использования таких систем отслеживания. Однако калифорнийское законодательство не требует от сайтов предоставления опции «Do-Not-Track».

Закон Калифорнии гласит, что операторы веб-сайтов обязаны четко указать в своей политике конфиденциальности, есть ли третьи лица, которые имеют доступ к личным данным потребителей, относящимся к данному веб-сайту. Эта информация может быть получена с сайта или с веб-страницы третьей стороны. Реклама определенных товаров и услуг также не разрешена в Калифорнии. В этот список входят татуировки, огнестрельное оружие, алкоголь, некоторые пищевые добавки и ультрафиолетовый загар.

Несовершеннолетние в Калифорнии пользуются особым отношением со стороны закона — в данном случае под несовершеннолетним понимается любой человек в возрасте до 18 лет. Несовершеннолетние, которые являются зарегистрированными пользователями сайта, имеют право удалить с сайта или веб-сервиса любой контент, который они могли разместить и загрузить. Этот законодательный акт применяется к веб-сайтам и онлайн-сервисам, которые в основном ориентированы на вышеупомянутых несовершеннолетних или которые сознательно собирают и подают личную идентифицируемую информацию несовершеннолетних.

Конфиденциальность данных в штате Массачусетс

В штате Массачусетс действует закон, обязывающий любую организацию назначить одного или нескольких своих сотрудников ответственными за программу информационной безопасности. Как и вышеупомянутые законы, относящиеся к Калифорнии, этот закон распространяется на все организации, владеющие или лицензирующие персональные данные (конфиденциальные или иные) на территории Массачусетса, то есть он выходит за границы штата. Существует аналогичный общенациональный закон, который распространяется на все компании и организации, подпадающие под действие HIPAA (см. выше), и все они обязаны назначить ответственного за защиту данных и ответственного за ИТ-безопасность. Одной из основных причин этого является то, что требования к безопасности данных, предъявляемые к этим организациям, регулируемым HIPAA, более обширны, а в некоторых штатах существуют еще более детальные требования к безопасности таких вещей, как данные платежных карт и номера социального страхования.

Программа безопасности, требуемая законом штата Массачусетс, требует, чтобы любая организация, фирма и т.д. имела письменную программу информационной безопасности. Эта программа должна быть комплексной, и существуют определенные минимальные требования, которыми она должна обладать. Необходимо убедиться, что все поставщики услуг, которые имеют доступ к этим чувствительным личным данным, обязаны соблюдать эти правила. Существуют также требования к шифрованию при передаче конфиденциальной личной информации через беспроводные сети и за пределы физической/логистической территории организации. То же самое относится к любым ноутбукам и портативным устройствам, которые могут быть у организации. Стоит отметить, что этот закон действует не только в штате Массачусетс, но и в штате Невада.

Безопасность данных в Канаде

К северу от границы существует аналогичный свод правил, введенный в действие в соответствии с Законом о защите личной информации и электронных документов 2000 года (PIPEDA). Этот закон устанавливает, что организации в Канаде должны:

  • Получать согласие при сборе, использовании или раскрытии личной информации своих клиентов.
  • Собирать и подавать информацию, используя законные и справедливые методы.
  • Четко излагать свою политику в отношении личной информации.
  • Никогда не отказывать клиентам в поставке продукции/услуг, если они решили отказаться от сбора, использования и раскрытия их данных. 

Нарушения безопасности

В сфере электронной коммерции обрабатывается большое количество очень личных, конфиденциальных и важных данных. Это означает, что независимо от того, насколько тщательно обеспечивается безопасность, всегда существует угроза существенного нарушения и потери таких данных. В настоящее время 47 штатов требуют, чтобы жители штата были уведомлены о нарушении безопасности, связанном с использованием одной или нескольких из следующих частей информации: имя, номер кредитной карты, номер банковского счета, номер государственного удостоверения личности, номер социального страхования и т.д.

Стоит отметить, что все больше и больше штатов начинают признавать налоговые идентификаторы и данные для входа в систему (имя пользователя и пароль) в качестве конфиденциальных данных. В результате на них также начинают распространяться законы, касающиеся утечек. Согласно федеральному законодательству, о случаях утечки информации из финансовых учреждений необходимо сообщать потребителям. Есть также штаты, где о некоторых нарушениях необходимо сообщать официальным лицам штата, в некоторых случаях это может доходить до генерального прокурора конкретного штата.

Что произойдет, если эти правила будут нарушены?

Неизбежно эти правила и рекомендации также иногда нарушаются. Гражданские штрафы налагаются ФТК, генеральными прокурорами штатов или даже регулирующим органом соответствующей отрасли. Кроме того, такие нарушения могут привести к судебным искам и обращениям в суд. Само собой разумеется, что таких случаев следует избегать, поскольку расходы на компенсацию гонораров адвокатов и т.д. могут увеличиться и стать очень дорогостоящими. Неспособность обеспечить достаточную защиту персональных данных, например, данных кредитной карты, может легко привести к тому, что на предприятия электронной коммерции подадут в суд.

Маркетинг электронной почты

В Соединенных Штатах Америки маркетинговые коммуникации регулируются в значительной степени. Существует федеральный закон, так называемый CAN-SPAM Act, который распространяется не только на электронную почту, но и на все коммерческие сообщения, определяемые законом как «любое электронное почтовое сообщение, основной целью которого является коммерческая реклама или продвижение коммерческого продукта или услуги». Закон не делает различий между электронной почтой, адресованной клиенту, и электронной почтой, адресованной бизнесу. Как и в случае с судебным процессом, несоблюдение правил в этой области может обойтись очень дорого; каждое отдельное почтовое сообщение, признанное нарушающим Закон CAN-SPAM, может быть оштрафовано на сумму до 40 654 долларов США. Эта информация очень важна для любого бизнеса, использующего такого рода коммуникации, включая информационные бюллетени, обновления, блог и т.д.

Закон CAN-SPAM является достаточно полным по кругу вопросов, которые он охватывает. Ниже приведен обзор его основных требований:

  1. Никакой вводящей в заблуждение/ ложной информации в заголовке — получатели должны легко идентифицировать человека или организацию, написавшую и отправившую сообщение.
     
  2. Никаких вводящих в заблуждение тематических строк — это правило должно быть достаточно понятным.
     
  3. Указывать, что сообщение является рекламой — хотя закон предоставляет довольно большую свободу действий в отношении этого правила.
     
  4. Указывать адрес — каждое электронное письмо должно содержать физический почтовый адрес.
     
  5. Включите информацию об отказе от рассылки — она должна быть легко идентифицируемой и простой в исполнении. Рекомендуется использовать для этого шрифт другого размера и цвета. В этом отношении достаточно указать обратный адрес электронной почты или ссылку в Интернете. При желании можно представить получателю меню, в котором он может выбрать отказ от определенных категорий электронных писем, однако необходимо также предусмотреть возможность прекращения всех коммуникаций. Наконец, вы должны убедиться, что такие ответы от клиентов не попадают в папку спама — при необходимости измените настройки.
     
  6. Своевременный отказ от подписки — 30-дневный период после отправки коммерческого письма имеет решающее значение, поскольку вы обязаны обработать любой запрос на отказ от подписки, сделанный в течение этого периода. Этот процесс не должен быть каким-либо образом усложнен; вы не можете требовать от них выполнения каких-либо действий, кроме отправки простого ответа или посещения более чем одной веб-страницы. Незаконно требовать от человека идентификации или даже платы. После отправки запроса на отказ от рассылки у вас есть 10 рабочих дней на его обработку и исполнение. Следует отметить, что такой запрос запрещает не только вам или вашей организации отправлять электронные письма, но и запрещает продавать или передавать адреса электронной почты другим компаниям — исключение составляют случаи, когда компания, которой вы их передаете, на самом деле нанята для оказания вам помощи в соблюдении закона CAN-SPAM.
     
  7. Не уклоняйтесь от ответственности — привлечение третьей стороны к маркетингу электронной почты не освобождает вас от юридической ответственности за то, что отправляется получателям. И вы, и третья сторона можете быть привлечены к юридической ответственности за любые предпринятые или непринятые действия, в зависимости от обстоятельств.

Преднамеренное изменение происхождения или маршрутизации электронного письма с целью введения пользователей в заблуждение преследуется по федеральному закону.

Замечание о Google Analytics и аналогичных системах

Операторы веб-сайтов, использующие Google Analytics, теперь должны также получать явное согласие посетителей сайта на отслеживание, чтобы действовать в соответствии с законодательством ЕС — положение, которое сопровождается правовой неопределенностью и риском предупреждения для тех, кого это касается. Однако существуют и альтернативные Google Analytics системы защиты данных, такие как Piwik или Chartbeat, которые вы можете использовать для веб-анализа.

Совет

Загляните на официальный портал EU GDPR, чтобы узнать о ключевых изменениях в защите данных и политике использования файлов cookie в ЕС. Конечно, это не так сильно касается рынка США, но все равно может повлиять на ваши отношения с клиентами из ЕС.

За исключением Калифорнии (см. выше), в США не существует специального закона, регулирующего использование файлов cookie или других подобных устройств отслеживания онлайн-активности. Один из законодательных актов, который очень важен, — это Закон о конфиденциальности детей в Интернете (COPPA). Этот закон относится к информации, которая автоматически собирается с веб-сайтов, предназначенных для детей, а также к другим веб-сайтам, сетям и даже плагинам, которые сознательно собирают информацию у детей младше 13 лет, пользующихся Интернетом. Поведенческая реклама для детей младше 13 лет также подпадает под действие COPPA.

Крайне важно, чтобы клиент или посетитель вашего сайта знал, что на нем используются файлы cookie или другие подобные устройства слежения. Неспособность проинформировать посетителей об этом может повлечь за собой риск судебных исков, штрафов и т.д. Существует также кодекс поведения Digital Advertising Alliance. Среди прочего, он рекомендует включать значок, который позволяет пользователям легко принять решение против отслеживания в целях поведенческой рекламы.

Кроме того, в связи с новыми правилами, действующими в Европе после вступления в силу GDPR, вы должны знать, что ваша политика использования файлов cookie должна выходить за рамки американских правил — если только вы не хотите ориентироваться только на американский рынок, что поставит вас в невыгодное положение, поскольку вы потеряете большое количество потенциальных посетителей сайта. В связи с новыми правилами вам следует знать, что европейские принципы, такие как право на забвение, которые обычно не применяются к американским сайтам, теперь могут стать предметом вашего рассмотрения.

Как и следовало ожидать, в наши дни многие виды электронной коммерции осуществляются через приложения для смартфонов. Рост числа покупок на ходу привел к расширению дебатов о конфиденциальности данных, связанных с данными о местоположении. Именно здесь в дело вступают телекоммуникационные компании. Федеральная комиссия по связи (FCC) регулирует сбор и раскрытие информации о местоположении телекоммуникационными компаниями.

Как показано в этой статье, конфиденциальность и безопасность данных не всегда просты, когда речь идет о мире электронной коммерции. Существует несколько сложных вопросов и препятствий, которые необходимо преодолеть, чтобы убедиться, что вы соблюдаете все соответствующие правовые нормы. Стоит также следить за законодательством вашего штата. Как мы видели на примере изменений в европейском законодательстве, эта отрасль постоянно меняется и развивается, что может повлиять на интернет-активность по всему миру, а вместе с этим и на защиту и безопасность данных.

Нажмите здесь для ознакомления с важными юридическими оговорками.

Оцените статью
cdelat.ru
Добавить комментарий