АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Законы об уведомлении о нарушении безопасности данных

Экспертиза РАН

Logo-ran-black.png
Проведена экспертиза
Российской академией наук
Подробнее
Aprove.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проведена экспертиза
Российской академией наук
Подробнее

Законы об уведомлении о нарушении безопасности данных (англ. Security breach notification laws или англ. data breach notification laws) — это законы, которые обязывают организации или частных лиц, ставших жертвами утечки данных или несанкционированного доступа к данным[1], уведомлять клиентов и другие заинтересованные стороны о факте нарушения, а также предпринимать определённые меры для устранения последствий в зависимости от законодательства штата или страны. Главные задачи таких законов — предоставить гражданам возможность минимизировать риски последствий утечки данных и стимулировать компании к усилению информационной безопасности[2]. Эти меры направлены на снижение ущерба для потребителей вследствие инцидентов с утечкой данных, таких как мошенничество, подмена личности и злоупотребления персональной информацией[3].

Такие законы были нерегулярно приняты во всех 50 штатах США, начиная с 2002 года. К настоящему времени все 50 штатов утвердили собственные форматы законов об уведомлении о нарушении безопасности данных[4]. При этом федерального закона в США до сих пор не существует, хотя неоднократно предпринимались попытки его принятия[5]. Законы возникли в ответ на увеличение числа утечек из баз данных с персональными данными потребителе. Аналогичные нормы были введены и в других странах — например, в Европейском союзе (Общий регламент по защите данных, GDPR), Австралии (поправка к закону о приватности 2017) и ряде других государств[6].

Количество случаев утечек данных, совершённых государственными структурами и частными лицами, неуклонно растёт: по данным англ. Identity Theft Resource Center, число инцидентов увеличилось с 421 в 2011 году до 1 091 в 2016 и 1 579 в 2017 году[7][8]. Последствия подобных инцидентов затрагивают миллионы людей и широко освещаются в СМИ — ярким примером служит взлом англ. Equifax в октябре 2017 года, в результате которого были скомпрометированы личные данные почти 146 миллионов человек[9].

Австралия

В 2018 году в Австралии вступила в силу поправка к закону о приватности — англ. Privacy Amendment (Notifiable Data Breaches) Act 2017[10]. Она внесла изменения в англ. Privacy Act 1988, установив обязательное уведомление об инцидентах утечки персональных данных, которые могут привести к тяжёлым последствиям. Теперь организации, подпадающие под действие закона, обязаны информировать как англ. Office of Australian Information Commissioner (OAIC), так и затронутых лиц о всех «значимых инцидентах нарушения данных»[11]. Принятие закона было реакцией на крупные утечки, в том числе взлом Yahoo! в 2013 году, когда пострадали тысячи правительственных служащих, и инцидент с некоммерческой организацией Австралийский Красный Крест, опубликовавший данные о 550 тысячах доноров крови.

Критика закона связана с существованием необоснованных исключений для некоторых субъектов (например, малого бизнеса), а также с тем, что комиссар по приватности не обязан публиковать сведения о нарушениях данных в общем публичном реестре для последующих исследований. Кроме того, обязательства по уведомлению не унифицированы на уровне отдельных штатов[12].

Китай

В середине 2017 года в Китае был принят новый закон о кибербезопасности (англ. Cyber security Law), который предусмотрел требования по уведомлению о нарушениях безопасности данных[12].

Европейский союз

В 1995 году Европейский союз принял англ. Data Protection Directive, который впоследствии был заменён в 2016 году на Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR) — комплексный наднациональный закон о защите и уведомлении при утечке персональных данных. GDPR ввёл более строгие требования к защите и уведомлению об инцидентах, а также новые права, например, на переносимость данных. В ряде случаев нормы о нарушениях дополняются иными законами о безопасности данных[12].

Пример — внедрение с 2009 года в Евросоюзе закона о специальных уведомлениях об утечках персональных данных у телекоммуникационных компаний и интернет-провайдеров (англ. Directive on Privacy and Electronic Communications)[13]. Закон определяет ряд обязательств по информированию, в том числе обязанность удалить трафиковые данные после их использования или сразу после окончания срока необходимости хранения (для целей биллинга согласно Закону Европейского союза, статья 6, пункты 1-6[14]). Для использования данных в маркетинговых целях требуется отдельное согласие абонента; также оператор обязан информировать о типах обрабатываемых данных и сроках хранения. Все операции должны быть ограничены необходимой целью, а доступ разрешён только уполномоченным лицам.

Обязательства по уведомлению включены и в Директиву о безопасности сетевых и информационных систем (NIS Directive), что распространяется на поставщиков цифровых услуг и важнейших инфраструктур. В случае серьёзных нарушений они обязаны немедленно информировать компетентные органы или команды реагирования на инциденты кибербезопасности (CSIRTS).

Как и в США, множественные и несовпадающие требования на уровне законодательства разных стран и отраслей создают сложности для компаний при реализации уведомительных процедур[12].

Япония

В 2015 году Япония внесла поправки в закон о защите персональной информации (англ. Act on the Protection of Personal Information, APPI) в связи с масштабными утечками данных, в частности после скандала с компанией Benesse Corporation в 2014 году (утечка данных почти 29 миллионов клиентов). Новые нормы предусматривают уголовную ответственность за незаконную передачу данных, однако в самом APPI нет прямого требования об обязательном уведомлении о нарушениях. Вместо этого политика защиты персональных данных рекомендует добровольное раскрытие информации об утечках бизнес-операторами[15].

Исследователи Каори Исии и Таро Комукаи объясняют это особенностями японской культуры: серьёзное порицание со стороны общества и СМИ ведёт к быстрой потере доверия, снижения стоимости бренда и даже к убыткам. Например, после утечки данных у компании Softbank в 2004 году потери составили 107 миллиардов иен, а Benesse Corporation потеряла 940 тысяч клиентов, после чего компании вынуждены добровольно раскрывать информацию об утечках[15].

Хотя прямой связи между отсутствием формального закона и поведением компаний не доказано, наблюдается, что инциденты утечек данных в Японии ведут к серьёзному ущербу как репутации, так и финансам[16][17].

Новая Зеландия

Новый закон о приватности в Новой Зеландии (англ. Privacy Act 2020) вступил в силу 1 декабря 2020 года, заменив акт 1993 года. Новый закон сделал обязательными уведомления о нарушениях приватности[18]. Организации, которые получают и хранят персональные данные, теперь должны сообщать о любых утечках, которые, по их мнению, могли или могут привести к серьёзному ущербу.

Соединённые Штаты

Законы об уведомлении о нарушении безопасности данных действуют во всех 50 штатах США, а также в Округе Колумбия, Гуаме, Пуэрто-Рико и на Виргинских островах США. По состоянию на август 2021 года ни одна попытка принять федеральный закон успеха не имела[19].

50 штатов

Первый такой закон, подписанный в Калифорнии (англ. California Senate Bill 1386), был введён в 2002 году и вступил в силу 1 июля 2003 года[20]. Закон появился в ответ на угрозу кражи личности и мошенничества[7][21]. Согласно тексту закона, его требования распространяются на госорганы и бизнесы, работающие в Калифорнии и владеющие/использующие компьютерные базы данных с персональной информацией. При факте (или обоснованном подозрении) несанкционированного доступа к нешифрованной информации резидента Калифорнии необходимо уведомить его специальным образом. Закон также предусматривает отсрочку уведомления по требованию органов правопорядка, если это нужно для расследования преступления.

Большинство других законов штатов следуют базовой модели Калифорнии: компании должны незамедлительно (как правило, письменно) уведомлять клиентов об утечке[22]. Далее законодательство было расширено для учёта медицинских и страховых данных. Отличия законов состоят прежде всего в порогах масштабности инцидента (например, уведомления Генерального прокурора штат требуется при затрагивании 500 или 1000 человек и более), требованиях по раскрытию информации, определении чувствительных данных и санкциях. Некоторые штаты (например, Калифорния) публикуют уведомления о нарушениях на официальных сайтах правительства. Если «чувствительная персональная информация» считается похищенной, компании обязаны уведомлять субъектов данных, если предполагается возможность значительного вреда[23]. Уведомление об утечке зашифрованных данных или случаев без потенциального вреда обычно не требуется.

англ. National Conference of State Legislatures ведёт перечень принятых и предлагаемых законов. Законы в Алабаме и Южной Дакоте были приняты последними — в 2018 году.

Основные различия между штатами проявляются в порогах значимости нарушения, необходимости оповещения определённых органов, расширенности определения персональных данных и наказаниях[12].

История федерального законодательства США

По состоянию на август 2021 года федеральный закон об уведомлении об утечке данных в США отсутствует. Первый соответствующий закон был предложен конгрессу в 2003 году, но не дошёл до обсуждения[5]. Последующие попытки также не привели к результату[5]. В 2015 году президент США Барак Обама предложил проект закона о 30-дневном сроке уведомления после обнаружения инцидента[24], однако и он не вышел из комитета[5].

Исследователи Хлотиа Гаррисон и Кловия Хэмилтон полагают, что одной из главных причин отсутствия федерального закона могут быть вопросы прав штатов: все 50 штатов имеют собственные, не совпадающие по содержанию законы. Существуют частные законы, обязывающие уведомлять об утечках в определённых ситуациях, например, Акт о Федеральной торговой комиссии, Закон Грэмма—Лича—Блайли и Закон о переносимости и отчетности медицинского страхования (HIPAA)[12].

Дискуссия о федеральных и штатных законах

Большинство экспертов (например, Анджела Дэйли) считают, что разнородность законодательства штатов затрудняет соблюдение и повышает расходы на выполнение требований[12].

Сторонники локальных (штатных) законов считают, что они обеспечивают большую гибкость и позволяют быстрее реагировать на изменения в области киберугроз, а также эффективнее тратить ограниченные ресурсы[9]. В 2018 году большинство генеральных прокуроров американских штатов выступали против принятия единого федерального закона, который отменил бы положение их собственных[25].

Влияние

Причины возникновения утечек данных могут быть как техническими (например, ошибки в программном коде), так и экономическими (недостаточная кооперация между компаниями в вопросах безопасности)[26]. Законы об уведомлении о нарушениях разрабатываются для предотвращения и минимизации ущерба компаниям и обществу.

Преступные последствия

Одной из самых опасных форм последствий утечек данных является кража личности. В этом случае злоумышленники используют полученные сведения для финансового мошенничества, незаконного получения медицинских услуг и даже для совершения преступлений под чужим именем[27]. Согласно данным Федеральной торговой комиссии США, введение уведомлений об утечке данных позволило снизить случаи кражи идентичности на 6,1 % с 2002 по 2009 год[28].

Экономическое влияние

В целом, извещение об утечках данных приводит к снижению рыночной стоимости компаний: публичные компании теряют капитализацию после публикации сведений об инциденте[29][30]. Прочие последствия — потеря доверия клиентов, снижение бизнеса, перерасход ресурсов и вероятность привлечения к юридической ответственности[30]. Особую роль играет тип утёкших данных: компрометация чувствительной информации влечёт за собой серьёзные экономические санкции[31].

Реакция жертв

Иски по поводу утечек данных в США обычно подают пострадавшие, требуя компенсации за кражу личности, эмоциональный ущерб и риск повторных убытков. Обычно это коллективные иски против крупных корпораций с использованием различных юридических оснований, а большинство дел заканчивается мировым соглашением или закрывается в суде[32].

Примечания

  1. Sen, Ravi; Borle, Sharad (3 апреля 2015). “Estimating the Contextual Risk of Data Breach: An Empirical Approach”. Journal of Management Information Systems [англ.]. 32 (2): 314—341. DOI:10.1080/07421222.2015.1063315. ISSN 0742-1222. S2CID 2311182.
  2. Bisogni, Fabio (2016). “Proving Limits of State Data Breach Notification Laws: Is a Federal Law the Most Adequate Solution?”. Journal of Information Policy [англ.]. 6: 154—205. DOI:10.5325/jinfopoli.6.2016.0154. ISSN 2158-3897. JSTOR 10.5325/jinfopoli.6.2016.0154.
  3. Acquisti, Alessandro; Friedman, Allan; Telang, Rahul (2006). “Is there a cost to privacy breaches? An event study”. ICIS 2006 Proceeding [англ.].
  4. Murciano-Goroff, Raviv (2019). “Do Data Breach Disclosure Laws Increase Firms; Investment in Securing their Digital Infrastructure?”. Workshop on the Economics of Information Security: 1—39.
  5. 1 2 3 4 Garrison, Chlotia; Hamilton, Clovia (2 января 2019). “A comparative analysis of the EU GDPR to the US's breach notifications” (PDF). Information & Communications Technology Law [англ.]. 28 (1): 99—114. DOI:10.1080/13600834.2019.1571473. ISSN 1360-0834. S2CID 86668452.
  6. What is GDPR, the EU's new data protection law? (англ.). GDPR.eu (7 ноября 2018). Дата обращения: 25 октября 2021. Архивировано 16 декабря 2025 года.
  7. 1 2 Bisogni, Fabio; Asghari, Hadi (2020). “More Than a Suspect: An Investigation into the Connection Between Data Breaches, Identity Theft, and Data Breach Notification Laws”. Journal of Information Policy [англ.]. 10: 45—82. DOI:10.5325/jinfopoli.10.2020.0045. ISSN 2381-5892. JSTOR 10.5325/jinfopoli.10.2020.0045.
  8. Romanosky, Sasha; Boudreaux, Benjamin (26 августа 2020). “Private-Sector Attribution of Cyber Incidents: Benefits and Risks to the U.S. Government”. International Journal of Intelligence and CounterIntelligence [англ.]. 34 (3): 463—493. DOI:10.1080/08850607.2020.1783877. ISSN 0885-0607. S2CID 235636491.
  9. 1 2 Ronaldson, Nicholas (1 мая 2019). “Hacking: The naked age cybercrime, clapper & standing, and the debate between state and federal data breach notification laws”. Northwestern Journal of Technology and Intellectual Property [англ.]. 16 (4): 305. ISSN 1549-8271.
  10. AG Privacy Amendment (Notifiable Data Breaches) Act 2017 (англ.). www.legislation.gov.au. Дата обращения: 29 октября 2023. Архивировано 8 ноября 2023 года.
  11. Australia's mandatory Data Breach Notification laws: Are You Ready? (англ.), Business Aspect. Архивировано 22 февраля 2018 года. Дата обращения: 30 ноября 2020.
  12. 1 2 3 4 5 6 7 Daly, Angela (2018). “The introduction of data breach notification legislation in Australia: A comparative view”. Computer Law & Security Review [англ.]. 34 (3): 477—495. DOI:10.1016/j.clsr.2018.01.005. ISSN 0267-3649. S2CID 67358435.
  13. New specific rules for consumers when telecoms personal data is lost or stolen in EU (англ.). Digital Single Market (5 ноября 2016). Дата обращения: 11 мая 2016. Архивировано 27 июня 2013 года.
  14. Consolidated text: Directive 2002/58/EC (англ.). Дата обращения: 20 апреля 2024. Архивировано 11 октября 2025 года.
  15. 1 2 Ishii, Kaori. Сравнительный правовой анализ утечек данных в Японии, США и Великобритании // Technology and Intimacy: Choice or Coercion : [англ.] / Kaori Ishii, Taro Komukai. — 7 сентября 2016. — Vol. AICT-474. — P. 86–105. — ISBN 978-3-319-44804-6. — doi:10.1007/978-3-319-44805-3_8.
  16. Honeywill, Sean (1 марта 2006). “Data Security and Data Breach Notification for Financial Institutions”. North Carolina Banking Institute [англ.]. 10 (1): 269.
  17. Lending, Claire; Minnick, Kristina; Schorno, Patrick J. (2 апреля 2018). “Corporate Governance, Social Responsibility, and Data Breaches”. Financial Review [англ.]. 53 (2): 413—455. DOI:10.1111/fire.12160. ISSN 0732-8516.
  18. Transitioning from Privacy Act 1993 to Privacy Act 2020 (англ.). Дата обращения: 29 ноября 2020. Архивировано 24 февраля 2025 года.
  19. Voss, W. Gregory; Houser, Kimberly A. (20 мая 2019). “Personal Data and the GDPR: Providing a Competitive Advantage for U.S. Companies”. American Business Law Journal [англ.]. 56 (2): 287—344. DOI:10.1111/ablj.12139. ISSN 0002-7766. S2CID 182271514.
  20. SB 1386 Senate Bill (англ.). Дата обращения: 13 июня 2007. Архивировано 13 июня 2007 года.
  21. Burdon, Mark; Lane, Bill; von Nessen, Paul (2010). “The mandatory notification of data breaches: Issues arising for Australian and EU legal developments”. Computer Law & Security Review [англ.]. 26 (2): 115—129. DOI:10.1016/j.clsr.2010.01.006. ISSN 0267-3649.
  22. Scott Berinato. CSO Disclosure Series - Data Breach Notification Laws, State By State (англ.). CSO Online (12 февраля 2008). Дата обращения: 11 мая 2016. Архивировано 27 июня 2008 года.
  23. State data breach statute form (англ.). Дата обращения: 1 марта 2022. Архивировано 7 февраля 2014 года.
  24. The Personal Data Notification & Protection Act (англ.). Obamawhitehouse.archives.gov. Дата обращения: 4 мая 2018. Архивировано 13 июля 2025 года.
  25. Soroka, Saranna Coalition of 32 State AGs Outline Opposition to Federal Preemption of State Data Breach Notification Laws (англ.). JOLT Digest (8 апреля 2018). Дата обращения: 26 августа 2021. Архивировано 12 февраля 2025 года.
  26. Sen, Ravi (2018). “Challenges to Cybersecurity: Current State of Affairs”. Communications of the Association for Information Systems [англ.]: 22—44. DOI:10.17705/1cais.04302. ISSN 1529-3181.
  27. White, Michael D.; Fisher, Christopher (2008). “Assessing Our Knowledge of Identity Theft”. Criminal Justice Policy Review [англ.]. 19 (1): 3—24. DOI:10.1177/0887403407306297. ISSN 0887-4034. S2CID 144958696.
  28. Romanosky, Sasha; Telang, Rahul; Acquisti, Alessandro (2011). “Do data breach disclosure laws reduce identity theft?”. Journal of Policy Analysis and Management [англ.]. 30 (2): 256—286. DOI:10.1002/pam.20567. ISSN 0276-8739.
  29. Gatzlaff, Kevin M.; McCullough, Kathleen A. (2010). “The Effect of Data Breaches on Shareholder Wealth”. Risk Management and Insurance Review [англ.]. 13 (1): 61—83. DOI:10.1111/j.1540-6296.2010.01178.x. ISSN 1098-1616. S2CID 153592982.
  30. 1 2 Cavusoglu, Huseyin; Mishra, Birendra; Raghunathan, Srinivasan (2004). “The Effect of Internet Security Breach Announcements on Market Value: Capital Market Reactions for Breached Firms and Internet Security Developers”. International Journal of Electronic Commerce [англ.]. 9 (1): 70—104. DOI:10.1080/10864415.2004.11044320. ISSN 1086-4415. S2CID 10753015.
  31. Campbell, Katherine; Gordon, Lawrence A.; Loeb, Martin P.; Zhou, Lei (2003). “The economic cost of publicly announced information security breaches: empirical evidence from the stock market” (PDF). Journal of Computer Security [англ.]. 11 (3): 431—448. DOI:10.3233/JCS-2003-11308.
  32. Romanosky, Sasha; Hoffman, David; Acquisti, Alessandro (17 января 2014). “Empirical Analysis of Data Breach Litigation”. Journal of Empirical Legal Studies [англ.]. 11 (1): 74—104. DOI:10.1111/jels.12035. ISSN 1740-1453. S2CID 155714280.

Литература

  • Solove, Daniel J. Breached!: Why Data Security Law Fails and How to Improve it : [англ.] / Daniel J. Solove, Woodrow Hartzog. — Oxford University Press, 2022. — ISBN 978-0-19-094057-7.

Ссылки

Категории