В рамках XV Международного IT-форума в Ханты-Мансийске страны БРИКС выступили с инициативой создания единого стандарта обмена конфиденциальной информацией (в т. ч. персональными данными). Никита Козин, консультант по информационной безопасности AKTIV.CONSULTING, рассмотрел, как сегодня регулируется защита персональных данных в странах БРИКС на примере государств, которые первыми вошли в объединение.
Вопросы унификации требований в области информационной безопасности звучат почти с самого момента основания БРИКС. При этом в странах содружества на разном уровне реализовано законодательное регулирование защиты персональных данных. Как именно?
Бразилия
В Бразилии с 2020 года действует General Personal Data Protection Law (LGPD, «Общий закон о защите персональных данных»), целью принятия которого являлась унификация и гармонизация 40 различных нормативных правовых актов, регулирующих обработку персональных данных. Первый проект закона появился в 2012 году. В стране имеется соответствующий контролирующий орган – National Data Protection Authority (Национальный орган по защите данных).
Индия
В Индии в прошлом году был принят Digital Personal Data Protection Act (DPDPA, «Закон о защите цифровых персональных данных»), регулирующий лишь цифровую обработку персональных данных. Контролирующий орган Data Protection Board of India (Совет по защите данных Индии) находится в процессе создания. Он станет судебным и будет отвечать за рассмотрение споров между субъектами персональных данных и цифровыми платформами, нарушившими положения DPDPA.
Китай
В Китае к действовавшему с 2017 года Chinese Cybersecurity Law («Закон Китая о кибербезопасности») два года назад прибавились Data Security Law («Закон о безопасности данных») и Personal Information Protection Law (PIPL, «Закон о защите личной информации»). За реализацию положений указанных законов отвечает Cyberspace Administration of China (Администрация киберпространства Китая).
ЮАР
С 2020 года в ЮАР вступил в силу опубликованный в 2013 году Protection of Personal Information Act (POPIA, «Закон о защите личной информации»). Профильным органом является Information Regulator (Информационный регулятор).
Что важно предусмотреть при разработке стандарта?
При создании единого стандарта обмена персональной информацией странам БРИКС необходимо будет учитывать как технические, так и организационные моменты разработки документа. Возможно, участникам объединения придется детализировать законодательство по защите персональных данных в части регулирования трансграничной передачи данных. Также отметим, что правовое регулирование privacy в государствах объединения достаточно молодо, что создает благоприятную основу для его адаптации в рамках новых задач.