Что такое защита личной информации: Защита персональных данных | это… Что такое Защита персональных данных?
Содержание
Защита персональных данных в интернете | Защита персональных данных в сети Интернет
Скандалы с утечкой персональных данных следуют один за другим. Сразу после появления в Сети фотографий интимного содержания американских звезд появилось сообщение об открытом доступе к паролям от электронной почты «Яндекса» и Mail.ru. В комментариях обе компании переложили ответственность на пользователей аккаунтов, посетовав на их легкомысленность.
Многие уверены, что злоумышленники в сети Интернет «охотятся» исключительно за данными богатых и знаменитых. Но это не так. Персональные данные обычных пользователей, попадая в руки мошенников, позволяют им извлекать неправомерную выгоду.
Персональная информация: что это?
ФЗ «О персональных данных» называет так сведения, позволяющие идентифицировать человека (пользователя Интернета). Это фамилия, имя, отчество, полная дата рождения, место жительства, серия и номер паспорта, место работы. А вот пароль от Интернет-аккаунта к персональным данным не относится, поскольку личность пользователя не идентифицирует.
На обнародование данных (телефона, адреса электронной почты) требуется согласие пользователя. Аналогично по запросу гражданина информация удаляется из общего доступа.
Где и как хранится информация?
Серверы большинства Интернет-компаний расположены в США. Mail.Ru Group – собственник пяти дата-центров на территории РФ и арендатор иностранных серверов. «Яндекс» организовал дата-центр в Рязани, выкупив девять цехов завода «Саста». К 2020 году компания планирует установить на территории данного центра 100 000 серверов. Также «Яндекс» арендует серверы в Америке, Финляндии и Нидерландах.
Изменения, внесенные в ФЗ «О персональных данных», обязали компании обеспечить хранение данных российских пользователей Интернета в пределах страны. Поэтому ожидается увеличение количества российских дата-центров. Остается неясным отношение иностранных Интернет-корпораций к данному требованию. В средствах массовой информации периодически появляются сведения о переговорах властей по данному вопросу с Twitter, Facebook и Google.
Пути передачи личной информации
Личными данными граждане расплачиваются за бесплатное пользование Интернетом. Корпорации «Яндекс» и «Гугл» на основе анализа данных из разных источников определяют нужды пользователей. Их заработок зависит от рекламы. Поэтому от изучения запросов пользователя Сети зависит выбор транслируемых объявлений. Facebook отображает рекламную информацию, исходя из данных профиля пользователя и страниц, отмеченных пометкой «нравится».
Использование кнопок шейринга (репост, Pluso) позволяет компаниям получать больше данных пользователей, продажа которых рекламным компаниям приносит дополнительную прибыль.
При работе с сервисом пользователь соглашается с предложенными условиями использования его персональных данных. Сервисы получают доступ к данным, когда пользователь авторизуется или демонстрирует интерес, переходя по ссылкам и отмечая понравившиеся публикации.
Защиту персональной информации пользователей в Сети каждая Интернет-компания обеспечивает по-разному.
«Яндекс» шифрует содержание электронных писем, персональные данные корреспондента и используемый логин и распределяет их по трем точкам, безопасность которых обеспечивается тремя группами системных администраторов. Для получения доступа к данным требуется согласованное участие сразу трех групп, что невозможно без проведения внутренних процедур. Попытка открытия несанкционированного доступа к данным пользователя автоматически логируется и передается в службу безопасности «Яндекса».
Кому и зачем нужна личная информация?
Пользуются персональными данными не только для установления личности, но и для мошенничества. Отсутствие защиты персональных данных провоцирует утечку и попадание информации в руки мошенников. Чаще всего встречаются:
- подмена данных для выполнения определенных действий. Благодаря известным персональным данным, можно завести фейковый аккаунт в соцсети или провести мошенническую операцию;
- получение финансовых данных пользователя: номеров кредиток, электронных кошельков, аккаунтов платных онлайн-игр.
Для открытия доступа к денежным средствам требуется знание личных данных; - удаление персональных данных. Уничтожение личной информации пользователей блокирует работу сервиса, а полученная информация используется в преступных целях.
Для открытия доступа к денежным средствам требуется знание личных данных;
Пользуются персональными данными не только злоумышленники. Личными данными пользователей активно интересуются специалисты по таргетинговой рекламе. Главный источник получения сведений для данного вида рекламы – файлы cookie, которые передаются браузером пользователя на сервер таргетингового агентства.
Защита личной информации
Проконсультироваться относительно организации индивидуальной защиты личных данных стоит с сотрудниками компаний, специализирующихся на оказании услуг в данной отрасли. Также существует список общих рекомендаций, позволяющих защитить личные сведения самостоятельно.
Двойная аутентификация
Непонятное название, но работает этот механизм просто. Логин и пароль обеспечиваются двойной защитой:
- стандартной комбинацией букв и цифр, которая охраняется на сервере;
- специальным кодом, передаваемым на устройство, которым владеет только пользователь.
Например, после введения пароля в Интернет-банкинге на телефон приходит СМС с одноразовым кодом. Данный код вводится на сайте для входа в персональный кабинет.
Безопасная связь
Перед оплатой покупки в Интернете или выполнением других финансовых операций стоит отслеживать значок, появляющийся слева от строки адреса. Данный значок должен информировать пользователя о работе с зашифрованным соединением.
При отсутствии защиты соединения рекомендуется пользоваться дополнительными сервисами, которые перенаправят пользователя на HTTPS-версию сайта.
Генерация паролей
Создать сложный пароль – распространенный совет экспертов по безопасности персональных данных. Однако самостоятельно созданный пароль уступает сгенерированному специализированным сервисом. К тому же запомнить его непросто, а записывать в ежедневник – ненадежно.
Специализированные сервисы, называемые «менеджерами паролей», автоматически создают сложные пароли и сохраняют их на защищенных серверах.
Поэтому не требуется запоминать данную комбинацию, сервис автоматически впишет ее в нужном месте. Данную услугу предоставляют приложения Enpass, 1Password, LastPass.
Контроль доступа сервисов к личной информации
Для пользователей мобильных устройств iOS и Android включена функция разрешения или запрета получения приложением персональных данных. Важно только не лениться и периодически проверять, к каким сведениям получает доступ скачанное приложение или игра. При появлении подозрительных запросов рекомендуется отказаться от установки и использования такого приложения.
Использование VPN при работе с общедоступными точками Wi-Fi
Пользуясь Интернетом в гостинице, на вокзале или в кафе через Wi-Fi соединение, рекомендуется включать VPN сервис, перенаправляющий трафик на собственный ресурс, выдавая «чистый» доступ, недоступный для незаконных манипуляций. Поскольку использование пароля не обеспечит полноценную защиту.
Установка лицензионного программного обеспечения
Защиту от вирусов и хакерских атак на домашних и рабочих ПК может обеспечить только лицензионная антивирусная программа, которую нужно своевременно обновлять.
Перед установкой программ из Интернета или регистрацией на сервисах с введением персональных данных следует внимательно прочитать пользовательское соглашение, поскольку одним из его условий может быть обработка и использование личной информации.
Правильно доверять организацию защиты личной информации компаниям, предоставляющим такие услуги. Они владеют специальными методами защиты информации и помогут подобрать индивидуальную систему безопасности в зависимости от специфики работы компании-заказчика, типовых угроз. Такие компании организуют защиту сведений в облачном хранилище или на физическом сервере.
Защита персональных данных — SearchInform
Решения для защиты персональных данных в российских компаниях и учреждениях формируются на базе мер организационно-технического характера. Они должны соответствовать нормам правовых актов: Конституции Российской Федерации (статья 24), Федерального закона №152-ФЗ «О персональных данных» и специальным требованиям регуляторов.
Функции регуляторов выполняют:
-
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор; -
Федеральная служба по техническому и экспортному контролю – ФСТЭК; -
Федеральная служба безопасности – ФСБ.
Роскомнадзор следит за исполнением законодательства, касающегося персональных данных в целом, ФСТЭК и ФСБ формируют требования к методологическим, техническим и организационным условиям защищенности информационных систем обработки персональных данных.
Что входит в понятие «персональные данные»?
Определение персональных данных (ПДн) содержится в законе 152-ФЗ.
Ключевой особенностью трактовки является словосочетание «любая информация», то есть закон позволяет буквально все организации записать в «операторы персональных данных». Логика понятна. Устраиваясь, например, на работу человек передает работодателю всю информацию о себе, а заключая, скажем, договор с физическим лицом – получает и обрабатывает ПДн.
Госструктуры, банки, интернет-магазины, социальные сети – это всего лишь несколько примеров из обширного списка операторов ПДн.
Санкции за нарушение норм закона в области обработки и защиты персональных данных варьируются от штрафов (с 1 июля 2017 года размеры штрафов выросли) до административной ответственности, не исключено и уголовное преследование.
Нарушение процедуры обращения с персональными данными угрожает также потерей деловой репутации. Выявление подобных фактов в компания нередко становится поводом для оттока клиентов. Значит, исполнять требования 152-ФЗ и соблюдать предписания регулирующих и контролирующих сферу ПДн структур – жизненная необходимость для каждой компании, которая прямо или опосредованно оперирует персональными данными.
Универсального подхода к исполнению требований всеми организациями, которые подпадают под контроль регуляторов, нет. Согласно законодательству, персональные данные разбиты на четыре категории.
Компании формируют систему защиты ПДн в зависимости от категории, соответственно, различаются и требования к оператору.
Наиболее сложный и затратный процесс – внедрение полноценного комплекса обеспечения защищенности информационной системы персональных данных (ИСПДн), в которой обрабатываются сведения о расе и нации субъекта, вере, здоровье, интимной жизни, политических и философских взглядах. Все перечисленные данные входят в группу специальных ПДн. Защищу сведений из этой категории закон требует обеспечивать особенно тщательно.
Высоки требования закона к обеспечению защищенности и биометрических ПДн: биологических и физиологических характеристик, которые позволяют идентифицировать субъекта данных.
Компания, которая получила письменное согласие клиента на обработку ФИО, даты и места рождения, домашнего адреса, данных о профессии, контактных сведений, становится оператором общедоступных ПДн.
Подобные сведения используют, например, для составления телефонных справочников. К защите общедоступных персональных данных законодательство предъявляет минимальные в сравнении с другими категориями требования.
К четвертой категории – иных ПДн – причисляют все сведения, которые нельзя отнести к специальным, биометрическими или специальным, но по которым возможно идентифицировать субъекта данных. Защищать иные ПДн проще, чем биометрические или специальные. Однако требования к безопасности выше, чем в случае систем обработки данных из общедоступной категории.
Согласно постановлению правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», операторы при создании механизмов защиты должны учитывать численность субъектов ПДн. Законодательство делит ИСПДн на такие, в которых обрабатывают данные менее 100 тыс. и более 100 тыс. субъектов.
Обеспечение сохранности персональных данных, обрабатываемых в системе, начинается с определения наиболее вероятных угроз.
Независимо от категории, целей обработки и численности субъектов ПДн, система должна гарантировать защиту от неправомерных операций, включая:
|
копирование и распространение |
уничтожение и блокировку |
несанкционированное изменение |
В инфраструктуре комплексной защиты ИСПДн необходимо учитывать возможность присутствия внутреннего нарушителя. Ущерб персональным данным способен причинить любой сотрудник, намеренно или по неосторожности.
Модули «СёрчИнформ КИБ» перехватывают информацию, переданную на внешние устройства, по почте и через облачные сервисы, а также следят за операциями с файлами – копированием, удалением, изменением имени и содержания.
Меры, которые помогают предотвратить несанкционированный доступ, усилить надежность и отказоустойчивость ИСПДн, сохранить целостность и доступность информации внутри системы, перечислены в 152-ФЗ.
Закон предписывает:
1. Определить масштаб информационной системы и категорию ПДн, смоделировать угрозы безопасности.
2. Внедрить организационно-технические механизмы безопасности в соответствии с четырьмя уровнями защищенности. Определение уровней содержится в постановлении правительства №1119.
3. Использовать средства информационной защиты, возможности которых подтверждены сертификатами соответствия ФСТЭК и/или ФСБ.
4. Провести до начала обработки ПДн комплексный аудит безопасности, включая аудит информационной системы, компонентов защиты, исполнения требований внутренних организационных и методических распоряжений.
5. Внедрить систему учета всех видов носителей информации ограниченного использования, в том числе ПДн.
6. Заложить в информационной системе функции резервирования и восстановления ПДн в случае несанкционированных изменений или уничтожения.
7. Установить регламент доступа сотрудников оператора к персональным данным в ИС. Уровни доступа должны сегментироваться в зависимости от должностных обязанностей.
8. Внедрить инструменты аудита и журналирования действий сотрудников с персональными данными.
9. Контролировать исполнение правил безопасности эксплуатации персональных данных и непрерывность работы защитных аппаратно-программных сервисов ИСПДн.
Федеральный закон обозначает общее «защитное поле» персональных данных. Конкретные нормы содержатся в приказе ФСТЭК от 18.02.2013 № 21. Например:
1. В системе обработки ПДн должна применяться идентификация и аутентификация пользователей, компонентов системы и персональной информации – объектов доступа, защиту которых нужно обеспечивать. Реализация требования предполагает сопоставление уникальных идентификаторов, которые присваиваются объектам и субъектам в ИСПДн.
Это значит, необходимо задействовать механизмы авторизации и разграничения прав.
2. Программная среда должна быть ограниченной, что подразумевает наличие фиксированного перечня системного и прикладного ПО. У пользователя должны быть заблокированы полномочия изменять набор системных компонентов и разрешенного ПО. Пользователь вправе запускать и использовать ПО в рамках своей роли. Это обеспечит защиту от случайных действий сотрудников, способных нанести ущерб ИСПДн.
3. Хранение и обработка ПДн на съемных носителях возможна только при отлаженном учете устройстве.
4. Оператор должен обеспечить непрерывный мониторинг безопасности: вести журнал аудита событий, чтобы отследить, что произошло и какие меры были предприняты. Одновременно следует надежно защитить сам журнал аудита от модификации и удаления.
5. Система защиты ПДн должна включать антивирусные программные комплексы. Вредоносное ПО нередко становится причиной утечек конфиденциальной информации и частичного (реже – полного) выхода из строя информационной инфраструктуры.
6. Наряду с антивирусом рекомендуется применять системы обнаружения и предотвращения вторжений. Это позволяет анализировать и выявлять факты неавторизованного доступа на уровне сети или компьютерной системы, попытки превышения полномочий или внедрения вредоносного ПО и предпринимать меры по устранению угроз: информирование офицера безопасности, сброс соединения, блокирование трафика и т.д.
7. Несанкционированное изменение, повреждение информационной системы и ПДн фиксируют также системы обеспечения целостности, которые при использовании в ИСПДн должны иметь функции восстановления поврежденных компонентов и информации.
8. Уровень защищенности ИСПДн подлежит регулярному контролю. Развернутые программные компоненты, аппаратный инструментарий и установленные настройки должны обеспечивать непрерывную и полную защиту процедур обработки и хранения информации, исходя из экспертного класса информационной системы.
Перечень мер, устанавливаемых ФСТЭК для реализации системы безопасности ИСПДн, не исчерпывается несколькими пунктами.
В приказе № 21 приводятся требования к инструментам виртуализации, каналам связи, конфигурации ИСПДн, классы средств вычислительной техники, антивирусных систем и другие параметры защиты. Кроме приказа ФСТЭК, при внедрении комплекса защиты ПДн организация – обработчик данных должна руководствоваться приказом ФСБ России от 10.07.2014 № 378.
«СёрчИнформ КИБ» сертифицирована ФСТЭК России. Система соответствует четвертому уровня контроля недекларированных возможностей, которые могут навредить обрабатываемой информации. Это значит, что данные в системе защищены не только от утечек, но и от нарушения целостности, доступности и конфиденциальности.
Разработать и внедрить полный комплекс мероприятий по защите ПДн невозможно без освоения нормативной базы, навыков настройки технических средств и знаний принципов ПО, обеспечивающего информационную безопасность. Это значит, защищать персональные данным силами одного сотрудника, по меньшей мере недальновидно.
Единственная ошибка на любом уровне рискует обернуться штрафами от регуляторов и потерей лояльности клиентов.
Сотруднику без ИБ-компетенций под силу разобраться в законодательстве и определить категорию ПДн. Пошаговые инструкции, доступные в Сети, помогут разработать регламент информирования субъектов ПДн о сборе информации и составить уведомление в Роскомнадзор о деятельности компании в качестве оператора ПДн – это стандартные документы. Определить роли, разграничить доступ и зафиксировать, какие сотрудники имеют доступ и какие операции вправе совершать с ПДн – несложная задача для специализированного ПО.
Без привлечения специалиста с профильными знаниями не обойтись на этапе при составлении политики безопасности и определении актуальных угроз. Цикл внедрения программно-технических комплексов от подбора до «боевого» использования ПО и оборудования требует понимания документации ФСТЭК и ФСБ. Специалист должен не только ориентироваться в классах СВТ, антивирусах и межсетевых экранах, но и знать, как гарантировать конфиденциальность и обеспечить безотказность связи для сегментов ИСПДн.
Проблема заключается в том, что даже обладающий нужной квалификацией ИТ- или ИБ-специалист не сможет внедрить и поддерживать в ИСПДн подсистему информационной безопасности без соблюдения ряда условий. Работа со средствами технической защиты – деятельность, лицензируемая ФСТЭК. Значит, перед оператором ПДн встанет задача получить лицензию регулятора.
Крупным организациям целесообразно нанять штат специалистов по информационной безопасности, выполнить условия, чтобы получить лицензию ФСТЭК, а затем самостоятельно создать и поддерживать систему обеспечения защиты персональных данных.
Небольшим организациям – обработчикам ПДн содержать ИБ-штат экономически невыгодно. Менее затратным, более разумным и быстрым будет вариант привлечь лицензиатов ФСТЭК. Это организации, которые профессионально занимаются защитой информации. Специалисты лицензиатов уже обладают всеми знаниями нормативной и технической базы, имеют опыт создания комплексных систем безопасности, в том числе информационной.
Еще одна возможность защитить ПДн для небольших компаний – отдать ИБ-задачи на аутсорсинг внештатным специалистам по безопасности «СёрчИнформ».
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Тестировать 30 дней бесплатно
Руководство по защите информации, позволяющей установить личность
Информация, позволяющая установить личность (PII), определяется как:
Любое представление информации, позволяющее установить личность человека, к которому относится эта информация, с помощью прямых или косвенных средств. Кроме того, PII определяется как информация: (i) которая непосредственно идентифицирует физическое лицо (например, имя, адрес, номер социального страхования или другой идентификационный номер или код, номер телефона, адрес электронной почты и т. д.) или (ii) с помощью которой агентство предназначен для идентификации конкретных лиц в сочетании с другими элементами данных, т.
е. косвенной идентификации. (Эти элементы данных могут включать комбинацию пола, расы, даты рождения, географического показателя и других дескрипторов). Кроме того, информация, позволяющая установить физический или онлайн-контакт с конкретным лицом, приравнивается к информации, позволяющей установить личность. Эта информация может храниться на бумажном, электронном или другом носителе.Подрядчикам Департамента труда (DOL) напоминают, что защита конфиденциальной информации является критически важной обязанностью, к которой следует относиться серьезно во все времена. Внутренняя политика DOL определяет следующие политики безопасности для защиты PII и других конфиденциальных данных:
- Каждый пользователь несет ответственность за защиту данных, к которым у него есть доступ. Пользователи должны соблюдать правила поведения, определенные в применимых планах безопасности систем, DOL и руководствах агентств.
- Подрядчики DOL, имеющие доступ к личной информации, должны соблюдать конфиденциальность такой информации и воздерживаться от любого поведения, которое указывало бы на небрежное или небрежное отношение к такой информации. Сотрудники, работающие по контракту, также должны избегать сплетен в офисе и не должны разрешать несанкционированный просмотр записей, содержащихся в системе записей DOL. Доступ к таким системам записей имеют только лица, у которых есть «необходимость знать» в их официальном качестве.
Сотрудники, работающие по контракту, также должны избегать сплетен в офисе и не должны разрешать несанкционированный просмотр записей, содержащихся в системе записей DOL. Доступ к таким системам записей имеют только лица, у которых есть «необходимость знать» в их официальном качестве.Потеря PII может привести к существенному ущербу для отдельных лиц, включая кражу личных данных или другое мошенническое использование информации. Поскольку сотрудники и подрядчики DOL могут иметь доступ к личной идентифицируемой информации о физических лицах и другим конфиденциальным данным, мы несем особую ответственность за защиту этой информации от потери и неправомерного использования.
Выполняя эти обязанности, подрядчики должны обеспечить, чтобы их сотрудники:
- Сохраняли информацию DOL, к которой их сотрудники имеют доступ в любое время.
- Получите письменное разрешение руководства DOL , прежде чем забрать любую конфиденциальную информацию DOL из офиса. Утверждение менеджера DOL должно определять деловую необходимость удаления такой информации из средства DOL.
- Когда выдается разрешение на вынос конфиденциальной информации из офиса, сотрудник должен придерживаться описанных выше политик безопасности.
Утверждение менеджера DOL должно определять деловую необходимость удаления такой информации из средства DOL.Подрядчики должны убедиться, что их сотрудники, работающие по контракту, осведомлены об их обязанностях в отношении защиты персональных данных в Министерстве труда. В дополнение к вышеизложенному, если контрактным работникам становится известно о краже или потере PII, они обязаны немедленно проинформируйте своего менеджера по контрактам DOL. Если их менеджер по контрактам DOL недоступен, они должны немедленно сообщить о краже или утере в группу реагирования на инциденты компьютерной безопасности DOL (CSIRC) по адресу [email protected].
личная информация | Векс | Закон США
право на неприкосновенность частной жизни: доступ к личной информации
Право на неприкосновенность частной жизни было разработано для защиты возможности людей определять, какая информация о них собирается и как эта информация используется.
Большинство коммерческих веб-сайтов используют файлы cookie, а также формы для сбора информации от посетителей, такой как имя, адрес, адрес электронной почты, демографические данные, номер социального страхования, IP-адрес и финансовая информация. Во многих случаях эта информация затем предоставляется третьим лицам в маркетинговых целях. Другие организации, такие как федеральное правительство и финансовые учреждения, также собирают личную информацию. Угрозы мошенничества и кражи личных данных, создаваемые этим потоком личной информации, послужили стимулом для принятия законодательства о праве на неприкосновенность частной жизни, требующего раскрытия методов сбора информации, возможностей отказа, а также внутренней защиты собранной информации. Однако такие требования еще не охватили все сегменты рынка.
15 U.S.C. § 45 возлагает на Федеральную торговую комиссию (FTC) ответственность за предотвращение «недобросовестных методов конкуренции в торговле или влияющих на нее, а также в недобросовестных или вводящих в заблуждение действий или практик в торговле или влияющих на нее».
В вопросах конфиденциальности роль FTC заключается в обеспечении соблюдения обещаний конфиденциальности, данных на рынке. Несколько дополнительных законов составляют основу, на которой FTC выполняет эту задачу: Закон о конфиденциальности 1974 г. (5 USC § 552a), Закон Грэмма-Лича-Блайли (15 U.S.C. §§ 6801-6809), Закон о достоверной кредитной отчетности ( 15 U.S.C., §§ 1681 и последующие), и Закон о защите конфиденциальности детей в Интернете (15 U.S.C., §§ 6501-6506).
Закон о конфиденциальности от 1974 г. (5 USC § 552a) защищает личную информацию, находящуюся в распоряжении федерального правительства, путем предотвращения несанкционированного раскрытия такой информации. Физические лица также имеют право просматривать такую информацию, запрашивать исправления и получать информацию о любом раскрытии информации. Закон о свободе информации облегчает эти процессы.
Закон Грэмма-Лича-Блайли (также известный как Закон о финансовой модернизации 1999 г.) устанавливает правила защиты личной финансовой информации.
Финансовые учреждения обязаны по закону (15 U.S.C. § 6803) предоставлять клиентам политику конфиденциальности, в которой объясняется, какие виды информации собираются и как эта информация используется. Такие учреждения также должны разработать меры безопасности для защиты информации, которую они собирают от клиентов.
Закон о добросовестной кредитной отчетности (15 U.S.C. § 1681 и последующие) защищает личную финансовую информацию, собираемую агентствами потребительской отчетности. Закон ограничивает круг лиц, которые могут получить доступ к такой информации, а последующие поправки упростили процесс, с помощью которого потребители могут получать и исправлять информацию, собранную о себе. FTC также активно следит за соблюдением запрета на мошенническое получение личной финансовой информации, преступление, известное как «предлог».
Закон о защите конфиденциальности детей в Интернете (15 U.S.C. §§ 6501-6506) позволяет родителям контролировать, какая информация собирается в Интернете об их ребенке (младше 13 лет).
Операторы веб-сайтов, которые либо нацелены на детей, либо намеренно собирают личную информацию от детей, должны публиковать политики конфиденциальности, получать согласие родителей перед сбором информации от детей, позволять родителям определять, как такая информация используется, и предоставлять родителям возможность отказаться. будущей коллекции от их ребенка.
Однако, несмотря на описанные выше права, другие участники рынка не обязаны по закону разрабатывать аналогичные методы защиты и раскрытия информации. Скорее, в остальной части рынка FTC поощряет добровольный режим защиты конфиденциальности потребителей. Тем не менее, в двух отчетах Конгрессу (1998, 2000) Федеральная торговая комиссия обнаружила, что большинство сайтов, не подпадающих под юрисдикцию установленных законов о праве на неприкосновенность частной жизни, не информируют потребителей должным образом о методах сбора данных, а также большинство сайтов не защищают должным образом конфиденциальность информации. персональные данные посетителей.
Представляется, что добровольный режим недостаточен, и перспектива дальнейшего принятия законодательства о праве на неприкосновенность частной жизни в сфере доступа к личной информации вполне реальна.
- См. также:
- Право на неприкосновенность частной жизни
- Право на неприкосновенность частной жизни: личная автономия
- Право на публичное использование
Список источников
Федеральный материал
Федеральные судебные решения
- Поиск Решения Верховного суда США
- Search LII Предварительный просмотр/анализ дел Верховного суда
- Поиск решений окружных апелляционных судов США
- дел о конфиденциальности, возбужденных FTC
- Найдите Аннотированную Конституцию США
Законодательство
- 15 U.S.C. § 45 — Миссия конфиденциальности FTC
- 5 США § 552a — Закон о конфиденциальности от 1974 г.
- 15 U.S.
