Частный характер и защита данных – важные элементы правовой среды электронной торговли, поскольку они могут создавать рамки для передачи данных между сторонами. Этот раздел предназначен для выявления законов, касающихся частного характера и защиты данных, с уделением особого внимания тем из них, которые имеют отношение к безбумажной торговле.
I.C.1 Существует ли закон о частном характере и защите данных? Если да, каковы его элементы? Основывается ли он на международных стандартах?
Частный характер и защита данных - это понятия, которые могут отличаться в зависимости от региона и контекста. Для целей настоящего контрольного перечня закон о частном характере и защите данных - это закон, устанавливающий условия сбора данных, доступа к ним, их использования, обмена и хранения. Часто в таком законе прописывается специальный орган, ответственный за его исполнение.
Содержание законов о частном характере и защите данных может существенно различаться. Они также могут основываться на международных стандартах. На глобальном уровне, например, существуют «Руководящие принципы Организации экономического сотрудничества и развития (ОЭСР) по защите частной жизни и трансграничному обмену персональными данными 2013 года». На региональном уровне – «Рамочное соглашение Азиатско-Тихоокеанского экономического сотрудничества (АТЭС) о защите конфиденциальности персональных данных 2015 года», содержащее соответствующие принципы, которые могут быть реализованы через систему трансграничных правил конфиденциальности АТЭС.
Законы о частном характере и защите данных часто направлены на защиту определенного вида данных - персональных данных, персональной информации или персональной идентифицирующей информации. Такой набор данных может включать данные, относящиеся к безбумажной торговле.
I.C.2 Рассматривает ли внутреннее законодательство вопросы передачи данных за рубеж?
Законодательство о частном характере данных может касаться передачи данных (включая данные, используемые в безбумажной торговле) за границу. Часто экспорт данных разрешается только при условии, что страна назначения обеспечивает их равную защиту.
Например, статья 26 «Закона Сингапура о защите персональных данных 2012 года» поясняет данное правило:
26. Передача персональных данных за пределы Сингапура
1. Организация не должна передавать какие-либо персональные данные в страну или территорию за пределами Сингапура, за исключением случаев, предусмотренных настоящим Законом, для обеспечения того, чтобы организация гарантировала стандарт защиты передаваемых таким образом персональных данных, сопоставимый с защитой, предусмотренной настоящим законом.
Хотя указанный выше закон является базовым актом в сфере регулирования и обеспечения частного характера данных, в Сингапуре существуют и иные нормативно-правовые акты, касающиеся защиты персональных данных, например, закон «О банковской деятельности 2008 года».
«Закон Сингапура о защите персональных данных 2012 года», «Положение о защите персональных данных 2014 года» и Устав Комиссии по защите персональных данных совместно обеспечивают широкий спектр правовых основ и механизмов передачи персональных данных в страну или территорию за пределами Сингапура. Данные меры, среди прочего, включают использование договорных соглашений для обеспечения того, чтобы получатель электронных данных за рубежом был юридически обязан обеспечить сопоставимый уровень их защиты. Использование договора (на двусторонней или многосторонней основе) согласуется со статьей 7 «Протокола Ассоциации государств Юго-Восточной Азии о создании и внедрении «единого окна» 2015 года», участником которого является Сингапур.
В Частях III и VI «Положения о защите персональных данных 2014 года» Сингапура изложены требования к передаче персональных данных за пределы страны, а также введено понятие «юридически закрепленного обязательства», которое обеспечивает уровень защиты данных, сопоставимый с уровнем защиты, предусмотренным «Законом Сингапура о защите персональных данных 2012 года».
Частный характер и защита данных при трансграничном обмене данными также могут регулироваться отраслевыми соглашениями. Например, частный характер данных в финансовом секторе может быть обеспечен посредством так называемых «делегированных полномочий», которые регулируют деятельность финансовых учреждений и обеспечивают соблюдение обязательств в соответствии с нормативно-правовыми актами в сфере осуществления финансовых операций.
В некоторых случаях принимаются законы, регламентирующие потоки данных от коммерчески значимых партнеров. Регламент Европейского Союза 2016/679 о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, известный как «Общий регламент защиты данных», устанавливает систему передачи данных за пределы Европейского Союза.
I.C.3 Содержат ли международные соглашения положения, касающиеся частного характера и защиты данных?
Трансграничные положения о частном характере и защите данных могут также содержаться в международных соглашениях, таких как соглашения о свободной торговле. Нормы права, закрепленные в таких соглашениях, направлены на обеспечение уровня правового единообразия и требуют от государств-членов разработки соответствующего законодательства в данной области.
Например, статья 14.8 «Всеобъемлющего и прогрессивного соглашения о Транстихоокеанском партнерстве»:
14.8. Защита персональных данных
1. ... каждая сторона принимает или поддерживает правовые рамки, которые обеспечивают защиту личной информации пользователей электронной торговли. При разработке своей правовой базы для защиты личной информации каждая сторона должна учитывать принципы и руководящие положения соответствующих международных организаций.
[…]
5. Признавая, что стороны могут применять различные правовые подходы к защите личной информации, каждая сторона должна поощрять разработку механизмов, способствующих совместимости между этими различными режимами. Эти механизмы могут включать признание результатов нормотворческой детальности, независимо или по взаимной договоренности, или более широкие международные рамки. С этой целью стороны стремятся обмениваться информацией о любых таких механизмах, применяемых в их юрисдикциях, и изучать пути расширения данных механизмов для содействия совместимости между ними.
Международные соглашения могут быть двусторонними или многосторонними, общего применения или секторальными.
I.C.4 Требует ли закон обеспечивать локализацию данных? Если да, применяется ли это к безбумажной торговле?
Закон может предписывать так называемую «локализацию данных», то есть сбор, обработку и хранение данных или определенных типов данных в определенной юрисдикции. Это может быть сделано в целях повышения безопасности данных или по иным причинам. Требования к «локализации данных» также могут быть прописаны в договорах. «Локализация данных» может существенно повлиять на проектирование и функционирование информационной системы: на практике она может препятствовать использованию определенных технологий, например, облачных вычислений.
Положения о «локализации данных» можно найти также в соглашениях о свободной торговле. Однако в данном случае такие положения обычно направлены на ограничение правомочий государств требовать «локализации данных», поскольку это рассматривается как препятствие для трансграничного обмена данными.
Например, статья 14.13 «Всеобъемлющего и прогрессивного соглашения о Транстихоокеанском партнерстве»:
14.13. Расположение вычислительных средств
1. Стороны признают, что каждая сторона может иметь свои собственные нормативные требования в отношении использования вычислительных средств, включая требования, направленные на обеспечение безопасности и конфиденциальности сообщений.
2. Ни одна сторона не обязывает застрахованное лицо использовать или размещать вычислительные средства на территории этой стороны в качестве условия для ведения бизнеса на этой территории.
3. Ничто в настоящей статье не препятствует принятия и поддержания стороной мер, несовместимых с положениями пункта 2 для достижения законных целей государственной политики, при условии, что данные меры: (a) не применяется в порядке, который будет представлять собой средства произвольной или неоправданной дискриминации или скрытого ограничения торговли; и (б) не накладывает ограничений на использование или местонахождение вычислительной техники больше, чем это необходимо для достижения цели.
I.C.5 Существуют ли какие-либо специальные правила о частном характере и защите данных в безбумажной торговле?
Понятия целостности и защиты данных обычно используются в разных контекстах. Целостность данных тесно связана с отдельными записями: имеется ли у меня действительный сертификат ИОК, подтверждающий то, что эта запись не была подделана? Защита данных связана с защитой базы данных: имеется ли у меня многофакторная аутентификация для доступа к электронной почте в офисе? Частный характер - это ограничения на передачу данных. Как отмечалось выше (I. C. 1), общий закон о частном характере и защите данных может регулировать все аспекты защиты личной информации, в том числе в безбумажной торговле. Однако отраслевые законы о частном характере данных (например, о банковской деятельности или таможне) могут иметь приоритет над общими законами. В этом отношении особенно актуальными являются также договорные соглашения, например, с оператором «единого окна».
I.C.6 Защищает ли закон конфиденциальность коммерческой информации в электронном виде?
Коммерческие и связанные с торговлей документы могут содержать конфиденциальную информацию, такую как ноу-хау и коммерческая тайна. Такая информация может быть полезна, например, для целей маркетинга, управления цепочками поставок или производства.
Конфиденциальность защищает информацию от несанкционированного доступа, использования или раскрытия, которые могут нанести ущерб интересам бизнеса. Общие законы о коммерческой конфиденциальности могут применяться к информации в любой форме, включая электронную. Могут также существовать специальные законы о конфиденциальности электронной информации.
Так, статья 28 «Закона Сингапура об электронных сделках 2010 года» устанавливает обязательства по обеспечению конфиденциальности в тех случаях, когда информация получена при выполнении обязанностей или осуществлении полномочий в соответствии с законом.
28. Обязательство об обеспечении конфиденциальности
1. Ни одно лицо не должно разглашать информацию, полученную им при исполнении своих обязанностей или осуществлении своих полномочий в соответствии с настоящим Законом, если такое разглашение не производится:
a. с разрешения лица, от которого была получена информация, или, если информация является конфиденциальной информацией третьего лица, с разрешения третьего лица;
b. в целях осуществления или обеспечения исполнения настоящего Закона;
c. с целью оказания помощи любому государственному должностному лицу или должностному лицу любого другого законодательного органа в расследовании или уголовном преследовании любого преступления в соответствии с любым письменным законом;
d. или в соответствии с требованиями любого суда или положениями любого письменного закона.
2. Для целей настоящего раздела ссылка на лицо, раскрывающее любую информацию, включает в себя его разрешение любому другому лицу иметь доступ к любой электронной записи, книге, реестру, переписке, информации, документу или другому материалу, который был получен им при исполнении своих обязанностей или осуществлении своих полномочий в соответствии с настоящим Законом.
3. Любое лицо, нарушившее Часть 1 настоящей статьи, признается виновным в совершении преступления и подлежит наказанию в виде штрафа в размере не более 10 000 долларов США или тюремного заключения на срок не более 12 месяцев или и того, и другого.
Кроме того, конкретные положения могут применяться к определенным случаям, например, к раскрытию информации, представленной в рамках электронного «единого окна». Австралия приняла положение о защите конфиденциальной информации, представленной в соответствии с «Таможенным законом 1901 года», от несанкционированного раскрытия, включая информацию, раскрытие которой может нанести ущерб конкурентным позициям лица, предоставляющего эту информацию.
233. Использование информации, имеющейся в распоряжении Содружества:
1. Лицо совершает преступление, если:
a. лицо получает информацию; и
b. информация является информацией ограниченного доступа;
c. лицо использует информацию для совершения преступления против закона Содружества, государства или территории.
Наказание: лишение свободы на срок до 2 лет или штраф в размере до 30 000 австралийский долларов, либо и то и другое.
4. В данном разделе:
ограниченная информация означает информацию, которая:
a) хранится в компьютере, принадлежащем, арендованном или эксплуатируемом Содружеством для использования в целях «Таможенного закона»; и
b) к которому имеется ограниченный доступ, введенный системой контроля доступа.
Ответственность за разглашение конфиденциальной информации может вытекать из законодательных или договорных положений. Возможна либо гражданская, либо уголовная ответственность, либо и то и другое.
I.C.7 Существуют ли специальные положения о киберпреступности, которые применяются к безбумажной торговле?
Многие страны установили общие меры наказания за неправомерное использование информации, хранящейся, передаваемой или обрабатываемой компьютерными системами или сетями. Общий закон о киберпреступности может также регулировать доступ к информации, хранящейся в электронных торговых системах.
В некоторых случаях могут существовать специальные положения. Статьи 30-33 «Закона Республики Корея об упрощении процедур электронной торговли 2015 года» предусматривают уголовные санкции за различные злоупотребления информацией внутри информационной системы, которая «посредничает, хранит и удостоверяет электронные торговые документы путем систематической связи продавцов с торговыми учреждениями через информационно-коммуникационные сети»:
30. (Положения о штрафах)
Любое из следующих лиц наказывается лишением свободы на срок до десяти лет или штрафом в размере до 100 миллионов вон:
1. Лицо, которое подделывает или изменяет любую электронную торговую документацию, записанную в компьютерных файлах электронной торговой инфраструктуры субъекта предпринимательства, лицо, которое отправляет или принимает электронную торговую документацию, трейдер или связанное с торговлей агентство если они используют фальшивые или поддельные электронные торговые документы или какую-либо другую торговую информацию в нарушение статьи 20 (1);
2. лицо, имеющее свидетельство в соответствии с пунктом 1 статьи 17, который осуществляет ввод ложных сведений или ненадлежащих распоряжений в компьютер или любое другое устройство обработки информации электронной торговой инфраструктуры субъекта предпринимательства в нарушение пункта 2 статьи 20.
31. (Положения о штрафах)
Любое из следующих лиц наказывается лишением свободы на срок до пяти лет или штрафом в размере до 50 миллионов вон:
1. лицо, осуществляющее предпринимательскую деятельность, предусмотренную пунктами 1-3 статьи 6 (2), не будучи назначенным в качестве субъекта предпринимательской деятельности электронной торговой инфраструктуры, в нарушение пункта 3 статьи 6);
2. лицо, которое повреждает любой электронный документ, записанный в компьютерных файлах субъекта электронной торговой инфраструктуры, лица, отправляющего или получающего электронный торговый документ, трейдера или связанного с торговлей агентства, или любую торговую информацию, внесенную в их базу данных, или нарушает их деловую тайну, в нарушение пункта 3 статьи 20);
3. лицо, разглашающее или злоупотребляющее любой конфиденциальной информацией, относящейся к электронным торговым документам или торговой информации, ставшей ему известной при ведении предпринимательской деятельности, в нарушение пункта 4 статьи 20);
4. хозяйствующий субъект инфраструктуры электронной торговли, который не ведет электронные документы или базы данных в течение трех лет в нарушение пункта 5 статьи 20.
32. (Положения о штрафах)
Лицо, осуществляющее предпринимательскую деятельность, подпадающую под действие подпункта 1 статьи 12, посредством электронных документов без использования электронной торговой инфраструктуры в нарушение положения пункта 1 статьи 12, наказывается штрафом в размере до 20 млн. вон.