通过 Telegram 机器人泄露驾驶执照数据的丑闻轰动了整个乌克兰。 最初的嫌疑落在政府服务应用程序“DIYA”身上,但该应用程序很快就被否认与这起事件有关。 “谁泄露了数据以及如何泄露”系列问题将委托给以乌克兰警察、SBU以及计算机和技术专家为代表的国家,但我们关于保护个人数据的立法是否符合现实的问题该出版物的作者、Icon Partners 律师事务所的顾问维亚切斯拉夫·乌斯蒂缅科 (Vyacheslav Ustimenko) 对数字时代进行了思考。
乌克兰正在努力加入欧盟,这意味着采用欧洲个人数据保护标准。
让我们模拟一个案例,假设欧盟的一个非营利组织泄露了相同数量的驾驶执照数据,并且这一事实是由当地执法机构确定的。
与乌克兰不同,欧盟有一项保护个人数据的法规 - GDPR。
泄漏表明违反了以下原则:
- GDPR 第 25 条 设计和默认的个人数据保护;
- GDPR 第 32 条。 处理安全;
- GDPR 第 5 条第 1.f 款。 诚信和保密原则。
在欧盟,违反GDPR的罚款是单独计算的,实际上会被罚款200,000万欧元以上。
乌克兰应该改变什么
在乌克兰和国外支持IT和在线业务过程中获得的实践已经表明了GDPR的问题和成就。
以下是乌克兰立法中应引入的六项变化。
#使立法框架适应数字时代
自与欧盟签署联系国协议以来,乌克兰一直在制定新的数据保护立法,GDPR已成为指路明灯。
通过保护个人数据的法律并不那么容易。 看似GDPR法规的形式有一个“骨架”,只需要构建“肉”(调整规范)即可,但无论从实践还是法律的角度,都会出现许多有争议的问题。
例如:
- 开放数据将被视为个人数据,
- 该法律是否适用于执法机构,
- 违法的责任是什么,罚款金额是否与欧洲相当,等等。
关键是立法需要进行调整,而不是照搬 GDPR。 乌克兰仍有许多未解决的问题,这些问题在欧盟国家中并不常见。
#统一术语
确定什么是个人数据和机密信息。 乌克兰宪法第 32 条禁止处理机密信息。 至少二十部法律中包含了机密信息的定义。
此处引用乌克兰语原始资料
- 有关国籍、教育、家庭文化、宗教变化、健康状况、地址、出生日期和地点的信息(乌克兰《信息法》第 2 条第 11 部分);
- 有关居住地的信息(乌克兰法律“关于在乌克兰自由迁徙和自由选择居住地”第 8 条第 6 部分);
- 从对社区的残酷对待中获得的关于社区生活特点的信息(乌克兰法律“关于对社区的残酷对待”第 10 条);
- 在进行人口普查的过程中删除的主要数据(乌克兰“关于全乌克兰人口普查”的法律第 16 条);
- 申请人提交的承认难民或特殊保护的声明,这将需要额外的保护(乌克兰法律“关于难民和特殊保护,这将需要额外或及时的保护”第10条第7部分);
- 养老金存款、养老金给付和分配到养老金参加人个人养老金账户的投资收益(盈余)、实物资产养老金存款账户ib、提前退休金保险合同等信息(《中华人民共和国养老保险法》第3条第53款)乌克兰《非政府养老保险法》);
- 有关投保人累积养老金账户中养老金资产投资状况的信息(乌克兰“关于法定国家养老金保险”法第1条第98部分);
- 有关科学研究或研发和技术机器人开发合同主题及其进展和结果的信息(乌克兰民法典第 895 条)
- 可用于识别未成年人犯罪者身份或构成未成年人自杀事实的信息(乌克兰《电视和广播通信法》第 3 条第 62 部分);
- 有关死者的信息(乌克兰《殡葬服务法》第 7 条);
关于劳动报酬的声明(乌克兰“关于劳动报酬”法第 31 条关于劳动报酬的声明仅在立法的情况下发布,但也由工人自行决定); - 颁发专利的申请和材料(乌克兰《产品和型号保护法》第 19 条);
- 可以在法院判决文本中找到并能够识别自然人的信息,包括: 自然人的姓名(名字,根据父亲的昵称); 指定地址、电话号码和其他联系方式、电子邮件地址、身份证号码(代码)的居住地或身体活动地点; 运输车辆的登记号(乌克兰“关于船舶决定的准入”法第 7 条)。
- 有关受到刑事诉讼保护的人的数据(乌克兰法律“关于确保参与刑事诉讼的人员的安全”第 15 条);
- 自然人或法人申请罗斯林品种注册的材料、罗斯林品种审查结果(乌克兰“罗斯林品种权利保护法”第 23 条);
- 向法院或执法机构提供的律师数据受到保护(乌克兰法律“关于法院和执法机构对警察的主权保护”第 10 条);
- 位于登记册中的一组有关遭受暴力的个人的记录(个人数据),以及可共享访问的信息。 (乌克兰《关于预防和防止家庭暴力》法第10部分第16条);
- 有关通过乌克兰军事警戒线的货物保密性的信息(乌克兰军事法典第 1 条第 263 部分);
- 药品国家注册申请及其补充材料中应包含的信息(乌克兰《药品法》第 8 条第 9 部分);
#摆脱评价性概念
GDPR 中有很多评估概念。 在没有先例法的国家(即乌克兰),估值概念更多的是“逃避责任”的空间,而不是对民众和整个国家有用的空间。
#介绍一下DPO的概念
数据保护官 (DPO) 是独立的数据保护专家。 立法必须明确且不带任何评价性概念地规定强制任命专家担任 DPO 职位的必要性。 他们在欧盟是如何做的 .
#确定个人数据领域违规行为的责任级别, 根据公司规模(利润)区分罚款。
- 34千格里夫纳
乌克兰仍然没有个人数据保护文化;现行的《个人数据保护法》规定,“违法行为将承担法律规定的责任”。 根据《行政法》,非法获取个人数据和侵犯主体权利的罚款最高可达 34,000 格里夫纳。
- 20百万欧元
违反 GDPR 的罚款是全球最高的——最高可达 20,000,000 万欧元,即公司上一财年总营业额的 4%。 谷歌因涉及法国公民的数据隐私侵犯行为而收到首笔 50 万欧元的罚款。
- 114百万欧元
GDPR 于 2 月庆祝其颁布两周年,并处以 114 亿欧元的罚款。 监管机构通常针对拥有数百万用户数据的大公司。
连锁酒店万豪国际集团和英国航空公司今年因数据泄露而面临数百万美元的罚款,预计罚款金额将超过谷歌。 英国监管机构警告说,他们计划对他们进行总计约 366 亿美元的处罚。
我们每天使用其服务的跨国公司将被处以六个零的罚款。 然而,这并不意味着规模较小、不熟悉的公司不会受到处罚。
一家奥地利邮政公司因创建和出售 18 万人的个人资料而被罚款 3 万欧元,其中包含有关地址、个人偏好和政治立场的信息。
立陶宛一家支付服务公司在不再需要处理时未删除客户的个人数据,因此被处以 61,000 欧元的罚款。
比利时的一家非营利组织在收件人选择退出并收到 1000 欧元罚款后仍继续发送直接电子邮件营销。
与名誉受损相比,1000欧元根本不算什么。
#幸福不是罚款
不幸的是,“不管有什么法律,任何想知道我信息的人都会找到”——这是乌克兰和独联体国家许多人的说法。
但越来越少的人相信“他们会偷一张护照照片并以我的名义贷款”的误解,因为即使你手里有别人的护照原件,在法律上也是不可能做到这一点。
人们分为2个阵营:
- 相信个人数据宗教的“偏执狂”在勾选复选框并同意数据处理之前会三思而后行。
- “那些不在乎的人”,或者自动将个人数据泄露到网络的人,不会考虑后果。 然后他们的信用卡被盗,他们注册定期付款,他们的通讯帐户被盗,他们的电子邮件被黑客入侵,或者加密货币从他们的钱包中被提取。
自由与民主
个人数据的保护关系到个人的选择自由、社会文化和民主。 有了更多的数据,管理社会就变得更容易;可以预测一个人的选择并推动他采取所需的行动。 如果一个人被注视着,他就很难随心所欲地做,如果他被监视,他就会感到舒服,并因此而受到控制,也就是说,这个人下意识地不做他想做的事,而是做他被说服做的事。
GDPR并不完美,但它实现了欧盟的主要理念和目标——欧洲人已经意识到一个独立的人独立拥有和管理他的个人数据。
乌克兰的旅程才刚刚开始,基础正在准备中。 居民将从国家收到新的法律文本,很可能是一个独立的监管机构,但乌克兰人自己必须接受现代欧洲价值观,并认识到 2020 年的民主也应该存在于数字空间中。
PS 我正在社交媒体上写作。 有关法学和 IT 业务的网络。 如果您订阅我的帐户之一,我会很高兴。 这肯定会增加你发展个人资料和内容工作的动力。
只有注册用户才能参与调查。 拜托
写一下俄罗斯联邦关于个人数据的立法?
-
51,4%是 19
-
48,6%最好选择另一个主题18
37 位用户投票。 19 名用户弃权。
来源: habr.com