Регулятивный акцент на обмане и несправедливости
Законы США защищают от недобросовестных и обманных действий. Опираясь на свои полномочия по регулированию недобросовестной и вводящей в заблуждение торговой практики, FTC имеют право преследовать в судебном порядке незаконную деятельность против всех компаний, кроме тех, которые перечислены в качестве исключений в законе (например, банки и операторы связи). FTC может возбудить судебный иск за нарушение конфиденциальности в США против компаний, предположительно занимающихся «нечестной» практикой.
Недобросовестная деловая практика: неадекватные меры информационной безопасности
В соответствии с принципом «несправедливости» FTC может принимать меры против компаний, например, за то, что они не защищают надлежащим образом информацию о потребителях.
Руководство FTC подчеркивает, что предприятия должны:
- собирать только необходимую им личную информацию;
- хранить личную информацию только до тех пор, пока в ней есть законная деловая потребность;
- ограничить доступ к конфиденциальной личной информации и ограничить административный доступ;
- требовать надежных паролей и процедур аутентификации;
- защитить личную информацию во время передачи и хранения;
- надежно распоряжаться конфиденциальной личной информацией;
- провести сегментирование и мониторинг сетей;
- проверять и тестировать функции конфиденциальности и безопасности в новых продуктах;
- принять соответствующие меры безопасности и проверить их соответствие.
Соглашения об урегулировании информационной безопасности FTC требуют внедрения комплексных программ безопасности в США, включающие ключевые элементы, требуемые в соответствии с правилом гарантий GLBA.
Государственные законы
Многие штаты в США приняли законы о конфиденциальности. В этих штатах часто есть конституции, закрепляющие широкие права на неприкосновенность частной жизни, в дополнение к конкретным законам, в которых основное внимание уделяется регулированию конфиденциальной информации в определенных секторах, злоупотреблению информацией и искажению сведений.
Калифорнийский закон о защите прав потребителей
«Закон о защите прав потребителей» в Калифорнии (CCPA), который должен вступить в силу в 2020 году, устанавливает ряд мер защиты для жителей Калифорнии. CCPA устанавливает пять ключевых прав для жителей Калифорнии, чья информация была собрана защищенным бизнесом:
- право знать, какая личная информация была собрана, и право на доступ к «конкретным частям личной информации», собранным за последние 12 месяцев;
- право предприятия на удаление личной информации, с учетом ограничений, включая свободу слова, соблюдение повестки в суд, исследования в общественных интересах и внутреннего использования;
- право отказаться от продажи личной информации третьим лицам (с дополнительной защитой для информации о детях);
- право быть свободным от ценовой и сервисной дискриминации, несмотря на реализацию этих прав;
- право предъявить иск за нарушение конфиденциальности в США, если предприятия не способны поддерживать разумную безопасность личной информации.
CCPA также уполномочивает генерального прокурора штата Калифорния возбуждать принудительные действия против предприятий, на которые распространяется страховка, с гражданскими штрафами в размере 2500 долларов США за непреднамеренные нарушения и 7500 долларов США за преднамеренные нарушения.
Новая поправка Невады
Поправка, которая вступила в силу в октябре 2019 года, добавляет требование, согласно которому предприятия отвечают на запросы потребителей не продавать закрытые личные данные. Поправка не действует на финансовые учреждения, на которые распространяется действие GLBA, и учреждения здравоохранения, на которые распространяется действие HIPAA.
- Финансовая информация
Положения GLBA о конфиденциальности не препятствуют законам штатов, которые обеспечивают более надежную защиту потребителей, и ряд штатов приняли свои собственные законы о финансовой конфиденциальности. Например, Калифорнийский «Закон о конфиденциальности финансовой информации» запрещает финансовым учреждениям разглашать непубличную личную информацию, касающуюся потребителей, третьим сторонам без получения от потребителей «согласия». В противном случае имеются основания, чтобы начать претензионную работу в США против финансового учреждения, которое не соблюдает правила конфиденциальности.
- Информация о состоянии здоровья
В некоторых штатах действуют законы о неприкосновенности частной жизни, касающиеся статуса ВИЧ/СПИДа, записей о психическом здоровье и злоупотребления психоактивными веществами. Некоторые штаты также ограничивают генетическое тестирование сотрудников и раскрытие результатов генетических тестов.
- Биометрическая информация
В нескольких штатах были введены меры защиты биометрической информации, начиная с «Закона о конфиденциальности биометрической информации» (BIPA) Иллинойса. BIPA охватывает отпечатки пальцев, голосовые отпечатки и геометрию лица, а также сканирование сетчатки глаза, радужной оболочки и рук, но не биологические образцы, используемые для научных исследований, донорские органы или ткани, информацию, используемую для лечения в здравоохранении. Закон требует, чтобы частные лица получали информированное согласие до сбора и до раскрытия биометрических данных, запрещает им продавать или получать прибыль от биометрических данных, обязывает их надежно хранить, передавать, уничтожать биометрические данные не позднее, чем через три года после последнего взаимодействия с соответствующим лицом.
- Уведомление о нарушении безопасности
Право на нераспространение личной информации в США подтверждено законами штатов. Все 50 штатов США приняли требования об уведомлении о нарушениях безопасности. Эти законы требуют, чтобы организации незамедлительно уведомляли отдельных лиц о том, когда незашифрованная или доступная компьютеризированная личная информация была получена от постороннего лица. Некоторые из этих законов применяются к случаям, затрагивающим личную информацию, включая бумажные записи. Личная информация включает имя человека в сочетании с одним или несколькими из следующих:
- национальный или выданный правительством номер безопасности общества (SSN), индивидуальный идентификационный номер налогоплательщика, номер водительского удостоверения или номер паспорта;
- номер финансового счета в сочетании с кодом безопасности, кодом доступа, паролем или PIN-кодом, который необходим для доступа к учетной записи;
- здоровье или медицинская информация;
- номер полиса медицинского страхования или идентификационный номер абонента;
- сетевые учетные данные, такие как имя пользователя и пароль для сетевой учетной записи.
Мониторинг
Предприятия, которые намерены заниматься надзором за коммуникациями, также должны знать соответствующие законы штата. Федеральный закон не запрещает законодательные акты о прослушивании телефонных разговоров, которые обеспечивают защиту конфиденциальности. Например, 15 штатов США требуют согласия обеих сторон для прослушки разговора. Некоторые штаты запрещают видеонаблюдение в определенных местах. Два штата, Коннектикут и Делавэр, имеют законы, обязывающие частных работодателей уведомлять сотрудников, если их электронная почта контролируются. Колорадо и Теннесси, требуют, чтобы государственные работодатели приняли письменные правила по мониторингу электронной почты своих сотрудников.
Юристы нашей компании проводят персональные консультации по регулированию конфиденциальности в Интернете.
Все штаты США приняли законы, которые регулируют недобросовестные или вводящие в заблуждение действия и практики (UDAP).
Помощь юриста
Если вы заинтересованы в регистрации бизнеса в США, обратитесь к профильным юристам компании IncFine. Наши эксперты помогут не только учредить американскую компанию, но и проведут консультации по регулированию конфиденциальности в США.