Международное право о защите персональных данных и его последствия для Вьетнама

Вьетнам входит в число стран с самой высокой скоростью развития и применения Интернета в мире, где им пользуется почти 80% населения. Персональные данные 2/3 населения хранятся, публикуются, передаются и собираются в киберпространстве в самых разных формах и с разной степенью детализации.

В 2022 и 2023 годах во Вьетнаме было возбуждено пять уголовных дел, связанных с куплей-продажей тысяч ГБ данных и миллиардов единиц личной информации. Это свидетельствует о необходимости срочного совершенствования законодательства о защите персональных данных на основе исследований и ссылок на международное право.

Международное право о защите персональных данных

GDPR считается важным шагом вперед в правовой сфере, создающим самый строгий механизм защиты персональных данных в мире на сегодняшний день.

Общий регламент по защите данных (GDPR) Европейского Союза (ЕС) . GDPR считается важным правовым шагом вперед, создающим самый строгий механизм защиты персональных данных в мире на сегодняшний день и применяемым ко всем организациям и предприятиям, которые обрабатывают персональные данные граждан в ЕС.

GDPR применяет единые корпоративные санкции ко всем сферам. В частности, штраф составляет до 2% от оборота или 10 миллионов евро за незначительные нарушения и 4% от оборота или 20 миллионов евро за серьезные нарушения. Помимо штрафов, к предприятиям, нарушающим GDPR, могут быть применены и другие санкции, например, принудительное прекращение обработки данных или удаление данных, обработанных с нарушением GDPR.

Органом ЕС по защите персональных данных является Надзорный орган ЕС по защите данных (EDPS) — независимый орган, в состав которого входят опытные юристы, ИТ-эксперты и администраторы.

Его основная функция — надзор за обработкой персональных данных в органах и учреждениях ЕС, а также консультирование по вопросам, связанным с персональными данными. GDPR также требует создания в каждом государстве-члене органа по защите персональных данных, например, Национальной комиссии по защите персональных данных (Франция, Ирландия и т. д.) или Инспекции по защите данных (Финляндия, Латвия и т. д.).

Наряду с EDPS ЕС также учредил Европейский совет по защите данных (EDPB), который состоит из представителей национальных органов по защите данных государств-членов и представителей ЕС и функционирует как основной независимый консультативный орган по вопросам защиты персональных данных, отвечающий за единообразное применение GDPR на всей территории союза.

GDPR предусматривает весьма сдерживающие санкции, как материальные, так и нематериальные. Кроме того, орган ЕС по защите персональных данных реализован по модели Комиссия/Комиссар, поэтому он имеет широкие и независимые полномочия по наложению санкций в случае нарушения организациями правил защиты персональных данных, а также может самостоятельно оценивать и принимать решения об обработке персональных данных.

Закон Китая о защите персональных данных (PIPL), принятый в 2021 году, считается первым всеобъемлющим законом о защите персональных данных на национальном уровне в Китае. PIPL придерживается относительно единого взгляда на персональные данные/персональную информацию как на информацию, которая идентифицирует или идентифицирует конкретное лицо и нацелена на узкую целевую группу лиц на территории Китая (статья 4 главы 1 PIPL). В то же время правила по вопросам конфиденциальных персональных данных устанавливаются с целью установления положений о правах и обязанностях сторон в отношении более конкретных групп данных.

Санкции за нарушение прав на персональные данные в соответствии с PIPL очень суровы и включают принудительное устранение нарушений, конфискацию незаконного дохода, приостановку предоставления услуг, отзыв лицензий на осуществление деятельности или ведение бизнеса, а также штрафы в размере до 50 миллионов юаней или 5% от годового дохода организации за предыдущий финансовый год. Кроме того, нарушения могут быть зафиксированы в «кредитном досье» обрабатывающего подразделения в рамках национальной системы социального кредитования.

Кроме того, на обрабатывающие субъекты будет возложена обязанность возмещения ущерба в случае нарушения ими прав и интересов организаций и граждан. Уголовные санкции за подобные нарушения также специально регламентированы Уголовным кодексом Китая, который предусматривает более строгую уголовную ответственность для лиц, ответственных за конфиденциальность информации, добавляет такую ​​форму наказания, как конфискация имущества, а также устанавливает пожизненное заключение в качестве высшей меры наказания.

Закон Сингапура о защите персональных данных (PDPA), принятый в 2012 году (с поправками 2020 года). Законодательство Сингапура признает право на защиту персональных данных, а также необходимость для организаций собирать, использовать и раскрывать информацию в соответствующих целях при определенных обстоятельствах.

Закон PDPA также предусматривает серьезные финансовые санкции за утечку данных. Отдельные нарушители будут подвергаться штрафам или тюремному заключению. Штраф зависит от характера и тяжести деяния, включая штраф в размере от 2 000 до 100 000 сингапурских долларов (что эквивалентно 1,6 млрд донгов) и/или тюремное заключение на срок не более 12 месяцев, а в случае серьезного деяния — до 3 лет1; К агентствам и компаниям, нарушающим закон, могут применяться штрафы в размере до 10% от годового оборота.

Органом, играющим ключевую роль в обеспечении реализации PDPA, является Комиссия по защите персональных данных (PDPC). Это специализированное учреждение, обладающее большими полномочиями и широкими возможностями правоприменения, которое имеет право запрашивать у физических и юридических лиц информацию и документы, связанные с обработкой персональных данных, налагать финансовые санкции за нарушения, а также пресекать их иными мерами.

Создание специализированного агентства — Комиссии по защите персональных данных Сингапура, которая работает независимо и инициативно по выявлению, пресечению нарушений и применению санкций, также является одним из условий эффективного обеспечения защиты персональных данных в Сингапуре.

Рекомендации по совершенствованию законодательства о защите персональных данных во Вьетнаме

В настоящее время во Вьетнаме действует 69 правовых документов, непосредственно связанных с вопросом защиты персональных данных, которые изложены в различных документах, включая Конституцию, Кодекс (4), Закон (39), Постановление (1), Указ (2), Циркуляр/Совместный циркуляр (4), Решение министра (1).

В данных документах в основном рассматривается вопрос защиты персональных данных в направлении продвижения принципа обеспечения конфиденциальности субъекта, однако существуют различные положения об информации, относящейся к персональным данным, затрагивающие вопросы прав и обязанностей субъектов, обработки информации, а также способов защиты персональных данных. Законы Вьетнама, регулирующие защиту персональных данных, достигли замечательных результатов, в частности, 17 апреля 2023 года правительство издало Указ № 12/2023/ND-CP о защите персональных данных — это отдельный документ, регулирующий этот вопрос в нашей стране. Эти правовые документы создали правовой коридор для защиты персональных данных; Определить права субъектов данных, а также лиц, осуществляющих обработку данных, установить санкции за нарушение защиты персональных данных, а также определить специализированный орган по защите персональных данных в качестве Департамента кибербезопасности и профилактики преступлений в сфере высоких технологий при Министерстве общественной безопасности...

Вьетнам сталкивается со многими рисками, вызовами и опасностями в киберпространстве, особенно с утечкой и присвоением личной информации и данных, что приводит к многочисленным пагубным последствиям для граждан и общества.

Однако фактическое внедрение этих документов также выявило множество ограничений, таких как: существующие отдельные правовые документы находятся лишь на уровне указов, не отвечая важности защиты персональных данных; многие положения в настоящее время регулируются в общем и неясном порядке, что приводит к отсутствию конкретных инструкций для каждого конкретного случая; санкции по-прежнему мягкие и недостаточно сдерживающие...

В сложившейся ситуации дальнейшее совершенствование законодательства о защите персональных данных во Вьетнаме было и остается вопросом, который необходимо исследовать на основе опыта других стран. Конкретно:

Во-первых, разработать Закон о защите персональных данных . В контексте промышленной революции 4.0 на региональном и национальном уровне 80 стран выпустили отдельные правовые документы по защите персональных данных. Вьетнаму необходимо в ближайшее время провести исследование и принять общий специализированный закон о данных, аналогичный Закону о конфиденциальности данных, принятому в ЕС, Китае или Сингапуре, в котором будут определены основные вопросы и принципы защиты персональных данных. Принятие отдельного закона о персональных данных станет важной правовой основой для защиты персональных данных, поскольку в настоящее время правовые документы по этому вопросу в нашей стране не являются последовательными как в плане использования терминологии, так и в плане содержания правил.

Во-вторых, изменить и дополнить санкции за нарушения в сфере персональных данных, ужесточив их с учетом характера и серьезности нарушения. Хотя санкции за нарушения в сфере персональных данных в нашей стране включают административные, гражданские и уголовные санкции, они, как правило, достаточно мягкие и не обладают высоким сдерживающим эффектом. Основным методом в настоящее время по-прежнему остается применение санкций за административные правонарушения, однако соответствующие положения разбросаны по множеству указов с довольно низкими штрафами, самый высокий из которых составляет 100 миллионов донгов для физических лиц и 200 миллионов донгов для организаций.

При этом ущерб, который могут нанести административные правонарушения в сфере персональных данных, — это не только материальный ущерб, но и ущерб чести и достоинству. Помимо административных санкций, уголовные санкции за нарушения в отношении персональных данных отражены только в положениях о конфиденциальности, а также в области информационных технологий и сетевой безопасности в статьях 159 и 288 действующего Уголовного кодекса с относительно небольшими сроками тюремного заключения — не более 7 лет и штрафами в размере не более 1 млрд донгов. По сравнению с 20 миллионами евро в ЕС, 1 миллионом сингапурских долларов в Сингапуре или пожизненным заключением в Китае этот штраф все еще очень мал и несоизмерим со многими нарушениями.

В то же время необходимо регулировать многие группы поведения, которые в настоящее время не упомянуты в законе, такие как крупномасштабная торговля данными, создание систем для нарушения данных, нарушения в сфере маркетинговых услуг и т. д.

В-третьих, по образцу агентства по защите персональных данных во Вьетнаме . В настоящее время специализированным агентством по защите персональных данных является Департамент кибербезопасности и предотвращения преступлений в сфере высоких технологий при Министерстве общественной безопасности. Ссылаясь на международные правила, мы можем рассмотреть возможность создания независимого органа по защите персональных данных, ответственного за обеспечение соблюдения Закона о защите персональных данных, проведение инспекций, проверок, выпуск руководств и рекомендаций, а также наложение санкций за нарушения, если таковые имеются.

Мы можем ссылаться на эти модели в ЕС или Сингапуре... для эффективного обеспечения соблюдения законов о защите персональных данных, обеспечивая баланс между защитой личных прав и обеспечением безопасности сети.

Защита персональных данных — непростая задача, особенно в контексте интеграции, когда деятельность по мониторингу и сбору персональных данных осуществляется в больших масштабах, а вьетнамская правовая система, регулирующая этот вопрос, все еще находится в процессе формирования и совершенствования.

Изучение международного права по этому вопросу с учетом практической ситуации во Вьетнаме поможет нам вскоре создать правовую основу для комплексной защиты персональных данных, совместимую с международным правом и обеспечивающую эффективное его исполнение.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html