В апреле год назад Apple официально запустила политику ATT, которая представляет собой новую меру защиты конфиденциальности — прозрачность отслеживания приложений (сокращенно ATT).
ATT требует, чтобы приложение получило разрешение пользователя на сбор информации.После того, как пользователь обновит эту версию системы, он может проверить, какую информацию приложение может получить в App Store.
Роль политики ATT заключается в том, чтобы изменить процесс "цифровой маркировки" с реализации по умолчанию на всплывающее напоминание. Многие друзья могли видеть подобные всплывающие окна. Пользователь сам решает, разрешать или нет.
Поэтому сотни тысяч приложений по всему миру сняты с полок из-за того, что они не соответствуют ограничениям, и многие из них разработаны китайскими компаниями, шаг Apple, несомненно, знаменует собой начало «глобальной революции в области безопасности данных». искать изменения в эпоху жесткого глобального регулирования данных.В то же время Google также реагирует на эту тенденцию и изначально реализует «стену соблюдения конфиденциальности», установленную крупными поставщиками облачных услуг.
Действия интернет-гигантов в отношении конфиденциальности следуют тенденции, которая отражает сильный сигнал глобального управления данными и игры в суверенитет данных между странами, а личная информация и конфиденциальность стали ключевыми факторами.
«Война» за конфиденциальность между США и ЕС — изменения в соглашениях о конфиденциальности данных
Действия американских гигантов облачных сервисов, таких как Apple и Google, несомненно, являются положительным ответом на нынешний настойчивый призыв к «защите конфиденциальности пользователей». 16 июля 2020 г. Суд Европейского Союза вынес решение по делу Шремса II, постановив, что «Щит конфиденциальности», к которому ЕС и США применили трансатлантическую передачу персональных данных, был основан на основании что программа разведывательного наблюдения США не способствует защите данных. «Соглашение недействительно из-за нарушения Общего регламента ЕС по защите данных (GDPR). До сих пор, с 12 июля 2016 года, соглашение «Щит конфиденциальности», прошедшее сертификацию адекватности ЕС, официально прекратило свое действие через четыре года.Оценка безопасности данных «Получение персональных данных при необходимых условиях» стала долгосрочным впечатлением. С тех пор, несмотря на то, что американские компании применяли Стандартные договорные положения (SCC, Стандартные договорные положения) в качестве основы для трансграничной передачи данных, после того, как некоммерческая организация по защите конфиденциальности данных NOYB (Non Of Your Business) постоянно инициировала жалобы на данные. передачи в Соединенных Штатах, SCC Эффективность неоднократно исследовалась и подвергалась сомнению европейскими органами данных. Более чем через год, 25 марта 2022 года, председатель Европейской комиссии фон дер Ляйен и президент США Байден заявили на пресс-конференции, что ЕС и США достигли принципиального соглашения о новой структуре трансатлантической передачи данных, пообещав Создать новую трансатлантическую структуру конфиденциальности данных. Это также означает, что после дела Шремса II Суд Европейского союза постановил, что «в условиях, когда оспариваются стандартные договорные положения («SCC»), обычно принятые китайскими компаниями, Соединенные Штаты и Европа ломают острые углы». конфронтация в области данных и привержены формированию новой схемы сотрудничества для передачи данных.
Соединенные Штаты ввели более высокие стандарты защиты передачи данных, в том числе:
(1) С положительной стороны, мы усилим защиту частной жизни и свободы данных граждан, участвующих в управлении разведывательной деятельностью США, осуществим всесторонние реформы, усилим строгое управление и многоуровневый надзор за деятельностью разведки, а также обеспечим, чтобы разведывательная деятельность и преследуемые цели безопасности соизмеримы;
(2) С отрицательной стороны, соблюдать ряд ограничений на разведывательную деятельность, предоставить ЕС каналы помощи разведывательной деятельности США, нарушающей права на неприкосновенность частной жизни, и сформировать механизм исправления положения. Такие обязательства отражают взгляды Соединенных Штатов на создание двусторонней системы защиты частной жизни. Европейский союз также заявил, что это соглашение позволит передавать данные для достижения предсказуемых и заслуживающих доверия результатов.
Этот шаг предлагает многообещающее решение существующей проблемы передачи данных между компаниями-партнерами по обе стороны Атлантики. Буквально в феврале этого года французское национальное агентство по защите данных CNIL опубликовало официальное уведомление для местного веб-сайта о том, что использование им Google Analytics нарушает GDPR ЕС, поскольку оно использовало это программное обеспечение для отслеживания эффективности контента и посещений страниц. CNIL заявила, что этот инструмент не соответствует европейским нормам при использовании персональных данных и их передаче в США.Спецслужбы США по-прежнему имеют возможность доступа к большому количеству частных данных, а в США нет эквивалентной защиты конфиденциальности. меры. По совпадению, в феврале этого года социальная сеть Meta Platform (ранее Facebook US) также публично заявила, что из-за отсутствия действующего соглашения о передаче данных, если оно не может быть основано на существующих или новых соглашениях о передаче данных, компания может поэтому остановить свою социальную сеть Facebook.Операции с Instagram в Европе. Аналогичные проблемы с соблюдением требований в процессе передачи корпоративных данных указывают на наличие обширных пробелов в законодательстве после признания недействительным соглашения «Щит конфиденциальности» в предыдущей практике.Спустя месяц после «освобождения» и после юридического «периода окна», который преследовал облачный сервис. поставщиков, в конце этого месяца Соединенные Штаты и Европа еще раз достигли предварительного стратегического соглашения, основанного на вопросе защиты конфиденциальности при передаче данных, но текущее соглашение все еще находится на стадии политического объявления.Текст для анализа еще не опубликован. будет подготовлен через несколько месяцев, и результат этого соглашения пока неизвестен. Неопределенность, вызванная нетекстовым характером политического обязательства США, также заставила европейскую сторону выразить обеспокоенность по поводу этого сотрудничества. Предварительное заявление NOYB по поводу этой структуры заключается в том, что Закон США о наблюдении за внешней разведкой по-прежнему представляет угрозу конфиденциальности для трансграничной передачи данных между Европой и Соединенными Штатами. NOYB надеется, что США смогут «представить любое новое соглашение, которое не соответствует правовым требованиям ЕС, в Европейский суд через гражданские иски и предварительные судебные запреты в течение нескольких месяцев. Если соглашение явно нарушает предыдущие решения, Европейский суд может даже принять предварительные действия.
Система законодательства ЕС о данных — Пирамида защиты конфиденциальности
В рамках защиты конфиденциальности GDPR Европейский Союз в декабре 2020 года объявил о двух законодательных предложениях для рынка цифровых услуг — Законе о цифровых услугах (Закон о цифровых услугах, DSA) и Законе о цифровом рынке (Закон о цифровом рынке, DMA), который используется для обеспечения более надежной защиты потребителей и их прав на данные, а также создает механизм строгого контроля за стеной защиты для онлайн-сетевых платформ. Глава II DSA четко определяет условия освобождения от строгой ответственности поставщиков услуг посредников данных, за исключением предоставления «чистых услуг передачи (статья 3)», «кэширования (статья 4)» и «услуг условного депонирования (статья 5)». Кроме того, провайдер не может быть освобожден от ответственности за передачу и хранение им информации третьих лиц; Глава III Закона предусматривает, что все поставщики цифровых услуг должны поддерживать прозрачную и безопасную онлайн-среду, обязательства по должной осмотрительности, включая контент, который нарушает законы ЕС и Закон «обязательство ограничить ответственность и принять меры по обеспечению соблюдения ограничения (статья 12)», «обязательство удалить и отключить (статья 13)»; кроме того, в разделе 4 главы III оговаривается система управления сверхкрупной онлайн-сетью. Платформы Такие платформы должны проводить регулярную оценку системных рисков, которые они вызывают, назначать ответственных за комплаенс для проведения самопроверки и предоставлять правдивые отчеты.В то же время они должны допускать внешний надзор и независимые аудиты. Предложение этого законопроекта заставило упомянутых выше американских гигантов интернет-технологий вкладывать больше сил в области соблюдения данных и борьбы с нелегальным контентом, иначе им грозит огромный штраф, эквивалентный 6% от мирового оборота.
В отличие от DSA, DMA нацелен на более конкретных американских гигантов облачных услуг, таких как Google, Amazon, Apple, Meta и Microsoft. В законопроекте подчеркивается, что многие крупные платформы предоставляют посреднические услуги для большинства транзакций конечных пользователей и бизнес-пользователей и постепенно превращаются из каналов в важные каналы или даже «привратники». Существенный контроль доступа оказал значительное и глубоко укоренившееся влияние». - Как только отрасль полагается на этих «привратников», они обязаны вести себя несправедливо по отношению к пользователям, и DMA мотивируется необходимостью поддерживать стабильный и хорошо функционирующий рынок. Учтите, строгое регулирование определенных цифровых услуг (услуги базовой платформы) . В частности, в Главе III Закона перечислены методы «привратников» по ограничению конкуренции и недобросовестности. На основании этого в нем далее оговариваются соответствующие обязательства и исключения, которые должны соблюдать привратники, и устанавливается, что «привратники» назначаются и Рамочный механизм для своевременный диалог с Комитетом по регулированию прямого доступа к памяти. Глава IV законопроекта устанавливает процедурные требования и правила проведения рыночных исследований, гарантируя, что назначение контролеров и расследование несоответствующей практики основаны на единой стандартной структуре, что облегчает реализацию законопроекта после его официального обнародования. . В главе V представлены конкретные правила реализации и направления на уровне реализации.
Transatlantic Data Privacy Framework — это институциональный ответ на два строго обновленных законодательства ЕС. В своем заявлении сторона ЕС подчеркнула, что продолжит активное сотрудничество с правительством США по этому соглашению с целью превращения этой договоренности в юридический документ, который может быть принят обеими сторонами как можно скорее. В соответствии с общей основой законодательства ЕС о данных, обязательство Соединенных Штатов должно полностью соблюдать существующие правовые документы ЕС в отношении данных, а их мониторинг защиты конфиденциальности данных должен соответствовать DSA и DMA ЕС для субъектов передачи данных, особенно крупных поставщиков услуг. , Требовать.
Каковы последствия для нашей страны?
Внутренние и зарубежные требования соответствия для поставщиков облачных услуг данных являются важным предложением, которое нельзя игнорировать в нынешнюю эпоху, когда конфиденциальность данных высоко ценится. Опыт сотрудничества США и Европы показывает, что создание системы комплаенса для трансграничного потока данных является краеугольным камнем долгосрочного и стабильного сотрудничества между странами и регионами в эпоху цифровой экономики. «Закон о защите личной информации», «Закон о безопасности данных», «Закон о кибербезопасности» и «Меры проверки сетевой безопасности» моей страны оказывают сильное влияние на мониторинг сетевой безопасности и другой контент, обещанный Соединенными Штатами в «Трансатлантическом Соглашение о конфиденциальности данных», и о безопасности данных в Законе ЕС. Такие требования, как регулярная оценка рисков, имеют разную степень соответствия. Однако мы также должны знать, что в тот момент, когда требования к защите конфиденциальности платформ наблюдения за службами данных становятся все более строгими, необходимо реализовать достаточную и высококачественную самопроверку соответствия данных и сформировать полную нормативную систему самопроверки. чтобы удовлетворить фактические потребности трансграничной передачи данных компаний данных и, таким образом, способствовать достаточному обмену и сотрудничеству в контексте цифровой экономики, что является первоначальным сигналом, отправленным Трансатлантическим соглашением о конфиденциальности данных. (Автор этой статьи: Че Сяосюань)