Честная информационная практика FTC - FTC fair information practice

Соединенные Штаты Федеральная торговая комиссия принципы честной информационной практики (FIPP) - это руководящие принципы, которые представляют широко принятые концепции, касающиеся добросовестной информационной практики на электронном рынке.[1]

Вступление

Принципы честной информационной практики FTC являются результатом расследования Комиссией того, как онлайн-организации собирают и используют личную информацию и меры безопасности, чтобы гарантировать, что практика является справедливой и обеспечивает адекватную конфиденциальность информации защита. FTC изучает вопросы конфиденциальности в Интернете с loda 1995 г., и в своем отчете за 1998 г.[2] Комиссия описала общепринятые Принципы справедливой информационной практики Уведомление, выбор, доступ и безопасность.[1] Комиссия также определила Исполнение, использование надежного механизма для обеспечения санкций за несоблюдение в качестве важного компонента любой правительственной или саморегулируемой программы по защите конфиденциальности в Интернете.[1]

История и развитие

Изначально была предложена и названа практика честного информирования[3] посредством Консультативный комитет секретаря США по автоматизированным системам персональных данных в отчете 1973 г., Записи, компьютеры и права граждан,[4] выпущен в ответ на растущее использование автоматизированных систем данных, содержащих информацию о физических лицах. Центральным вкладом Консультативного комитета была разработка кодекса честной информационной практики для автоматизированных систем персональных данных. Комиссия по изучению защиты конфиденциальности также могла внести свой вклад в разработку принципов FIP в своем отчете за 1977 год. Личная конфиденциальность в информационном обществе.[5]

По мере того как законы о конфиденциальности распространились на другие страны Европы, международные учреждения занялись конфиденциальностью, сосредоточив внимание на международных последствиях регулирования конфиденциальности. В 1980 г. Совет Европы принял Конвенция о защите физических лиц при автоматической обработке персональных данных.[6] В то же время Организация экономического сотрудничества и развития (ОЭСР) предложили аналогичные руководящие принципы конфиденциальности в Руководстве ОЭСР по защите конфиденциальности и трансграничных потоков персональных данных.[7] Руководящие принципы ОЭСР, Совет Европы Конвенция и Евросоюз Директива о защите данных[8] полагались на ФИП как на основные принципы. Все три организации пересмотрели и расширили первоначальное заявление США о FIP, причем в последующие годы наиболее часто цитировалась версия Руководства ОЭСР по конфиденциальности.[9]

Принципы

Эти принципы включают следующие основные принципы конфиденциальности:

1. Уведомление / осведомленность[10] Потребители должны быть уведомлены об информационных методах организации до получения от них какой-либо личной информации.[10] Это требует, чтобы компании явным образом уведомляли некоторые или все из следующего:

  • идентификация лица, собирающего данные;
  • идентификация использования данных;
  • идентификация потенциальных получателей данных;
  • характер собираемых данных и способы их сбора;
  • является ли предоставление запрошенных данных добровольным или обязательным;
  • шаги, предпринятые сборщиком данных для обеспечения конфиденциальности, целостности и качества данных.[10]

2. Выбор / согласие[11]Выбор и согласие в смысле сбора информации в режиме онлайн означает предоставление потребителям возможности контролировать использование их данных. В частности, выбор относится к вторичному использованию информации помимо непосредственных потребностей сборщика информации для завершения транзакции потребителя. Два типичных типа моделей выбора - это «согласие» или «отказ». Метод «согласия» требует, чтобы потребители дали согласие на использование их информации в других целях. Без того, чтобы потребитель предпринял эти позитивные шаги в системе «согласия», сборщик информации предполагает, что он не может использовать информацию для каких-либо других целей. Метод отказа требует, чтобы потребители утвердительно отказывались от разрешения на другое использование. Если потребитель не предпринимает этих позитивных шагов в системе отказа, сборщик информации предполагает, что он может использовать информацию потребителя для других целей. Каждая из этих систем может быть спроектирована так, чтобы позволить отдельному потребителю настроить использование информации сборщиком информации в соответствии со своими предпочтениями, установив флажки для предоставления или отказа в разрешении для определенных целей, вместо использования простого метода «все или ничего».[11]

3. Доступ / участие[12]Доступ, как определено в Принципах честной информационной практики, включает не только возможность потребителя просматривать собранные данные, но также проверять и оспаривать их точность. Этот доступ должен быть недорогим и своевременным, чтобы быть полезным для потребителя.[12]

4. Целостность / безопасность[13]Сборщики информации должны гарантировать, что данные, которые они собирают, являются точными и безопасными. Они могут улучшить целостность данных, ссылаясь на них только с авторитетными базами данных и предоставляя потребителю доступ для их проверки. Сборщики информации могут обеспечивать безопасность своих данных, защищая их как от внутренних, так и от внешних угроз безопасности. Они могут ограничить доступ внутри своей компании только сотрудникам, которые необходимы для защиты от внутренних угроз, и они могут использовать шифрование и другие компьютерные системы безопасности для предотвращения внешних угроз.[13]

5. Правоприменение / возмещение[14]Чтобы гарантировать, что компании соблюдают Принципы честной информационной практики, должны быть приняты меры принуждения. FTC определила три типа принудительных мер: саморегулирование сборщиками информации или назначенным регулирующим органом; частные средства правовой защиты, которые дают гражданские основания для иска лиц, чья информация была неправомерно использована для возбуждения иска против нарушителей; и государственное правоприменение, которое может включать в себя гражданские и уголовные санкции, налагаемые государством.[14]

Обеспечение соблюдения принципов

В настоящее время версия Принципов честной информации, представленная Федеральной торговой комиссией (Федеральной торговой комиссией), представляет собой только рекомендации по поддержанию дружественных к конфиденциальности, ориентированных на потребителя методов сбора данных и не подлежит исполнению по закону. Обеспечение соблюдения и соблюдение этих принципов в основном осуществляется посредством саморегулирования. Однако FTC предприняла усилия по оценке практики саморегулирования отрасли,[15] предоставляет руководство для отрасли по развитию информационных практик,[16] и использует свои полномочия в соответствии с Законом о Федеральной торговой комиссии для обеспечения выполнения обещаний, данных корпорациями в их политике конфиденциальности.[17]

Поскольку инициативы саморегулирования не обеспечивают идеальной реализации принципов (например, в отчете Федеральной торговой комиссии за 2000 год отмечалось, что инициативам саморегулирования не хватало значимых политик и методов мониторинга и обеспечения соблюдения), Комиссия рекомендует, чтобы Конгресс США принять законодательство, которое в сочетании с продолжающимися программами саморегулирования обеспечит адекватную защиту конфиденциальности потребителей в Интернете.[18] «Законодательство, рекомендованное Комиссией, установит базовый уровень защиты частной жизни для коммерческих веб-сайтов, ориентированных на потребителя» и «установит базовые стандарты практики для сбора информации в Интернете ... коммерческие веб-сайты, ориентированные на потребителя, которые собирают личные идентификация информации от потребителей или о них в Интернете ... потребуется для соблюдения четырех общепринятых правил честного информирования ".[9]

Однако эти принципы составляют основу многих отдельных законов как на федеральном уровне, так и на уровне штатов - так называемый «секторальный подход». Примерами являются Закон о справедливой кредитной отчетности, то Закон о праве на финансовую конфиденциальность, то Закон о конфиденциальности электронных коммуникаций, то Закон о защите конфиденциальности видео (VPPA), а Закон о защите и конкуренции кабельного телевидения.[19] Кроме того, эти принципы продолжают служить моделью для защиты конфиденциальности в новых развивающихся областях, например, при разработке программ Smart Grid.[20]

Другие предложения относительно «честной информации»

В Организация экономического сотрудничества и развития (ОЭСР) и Евросоюз, среди прочего, приняли более комплексные подходы к справедливой информационной практике. Принципы ОЭСР обеспечивают дополнительную защиту через Принцип индивидуального участия где предъявляются особые требования к доступу и изменению личной информации, собранной отдельным лицом и Принцип подотчетности (Контроллер данных должен нести ответственность за соблюдение мер, обеспечивающих реализацию принципов, изложенных выше).[21][22]

В Евросоюз Директива о защите данных - еще одна модель комплексной защиты конфиденциальности.[23][24]

Критика принципов FTC

Некоторые ученые критикуют FIPP за то, что они менее всеобъемлющие по своему охвату, чем режимы конфиденциальности в других странах, в частности в Европейском союзе и других странах ОЭСР. Кроме того, формулировка принципов FTC подверглась критике по сравнению с формулировками, опубликованными другими агентствами. В Версия FTC 2000 г. короче и менее полна, чем принципы защиты конфиденциальности, опубликованные Управлением конфиденциальности Департамент внутренней безопасности в 2008 году, которые включают восемь принципов, тесно связанных с принципами ОЭСР.[19]

Некоторые в сообществе конфиденциальности критикуют FIPP за то, что они слишком слабые, допускают слишком много исключений, не требуют агентства по конфиденциальности, не учитывают слабые стороны саморегулирования и не идут в ногу с информационными технологиями.[25] Многие эксперты по конфиденциальности призвали к принятию комплексного законодательства о защите конфиденциальности в США.[26] вместо нынешнего сочетания саморегулирования и выборочной кодификации в определенных секторах.[27]

Критики с точки зрения бизнеса часто предпочитают ограничивать FIP сокращенными элементами уведомления, согласия и подотчетности. Они жалуются, что другие элементы неработоспособны, дороги или несовместимы с принципами открытости или свободы слова.[9]

Некоторые комментаторы утверждают, что потребители не имеют права голоса в процессе получения согласия. Например, клиенты предоставляют информацию о своем здоровье, такую ​​как номер социального страхования или номер карты здоровья, при записи на прием к стоматологу онлайн. Обычно клиентов просят подписать соглашение, в котором говорится, что «третья сторона может иметь доступ к информации, которую вы предоставляете, при определенных условиях». Определенные условия редко указываются в какой-либо части соглашения. Позже третья сторона может поделиться информацией со своими дочерними учреждениями. Таким образом, доступ к личной информации клиентов находится вне их контроля.[28]

Смотрите также

Рекомендации

  1. ^ а б c Федеральная торговая комиссия, Принципы честной информационной практики. В архиве 31 марта 2009 г. Wayback Machine
  2. ^ Федеральная торговая комиссия, Конфиденциальность в Интернете: отчет для Конгресса (Июнь 1998 г.).
  3. ^ Консультативный комитет Секретаря США по автоматизированным системам персональных данных, Записи, компьютеры и права граждан, Глава IV: Рекомендуемые меры безопасности для административных систем персональных данных (1973).
  4. ^ Консультативный комитет Секретаря США по автоматизированным системам персональных данных, Записи, компьютеры и права граждан (1973).
  5. ^ Комиссия по изучению защиты конфиденциальности, Личная конфиденциальность в информационном обществе (Июль 1977 г.).
  6. ^ Совет Европы,Конвенция о защите физических лиц при автоматической обработке персональных данных (28 января 1981 г.).
  7. ^ Организация экономического сотрудничества и развития (ОЭСР), Руководящие принципы ОЭСР по защите конфиденциальности и трансграничных потоков персональных данных (23 сентября 1980 г.).
  8. ^ Директива Европейского Союза о защите данных, Директива 95/46 / EC http://docs.cpuc.ca.gov/published/proceedings/R0812009.htm В архиве 2010-03-11 на Wayback Machine
  9. ^ а б c Роберт Геллман, Добросовестная информационная практика: базовая история (10 апреля 2017 г.).
  10. ^ а б c Федеральная торговая комиссия, Принципы честной информационной практики (FIP), 1. Уведомление / осведомленность. В архиве 9 марта 2010 г. Wayback Machine
  11. ^ а б Федеральная торговая комиссия, Принципы честной информационной практики (FIP), 2. Выбор / согласие. В архиве 9 марта 2010 г. Wayback Machine
  12. ^ а б Федеральная торговая комиссия, Принципы честной информационной практики (FIP), 3. Доступ / участие. В архиве 9 марта 2010 г. Wayback Machine
  13. ^ а б Федеральная торговая комиссия, Принципы честной информационной практики (FIP), 4. Целостность / безопасность. В архиве 9 марта 2010 г. Wayback Machine
  14. ^ а б Федеральная торговая комиссия, Принципы справедливой информационной практики (FIP), 5. Правоприменение / возмещение. В архиве 9 марта 2010 г. Wayback Machine
  15. ^ Рекомендации FTC Industry Association http://www.ftc.gov/reports/privacy3/industry.shtm#Industry%20Association%20Guidelines%20A В архиве 30.05.2010 в Wayback Machine
  16. ^ Защита личной информации: руководство для бизнеса http://www.ftc.gov/infosecurity/
  17. ^ Обеспечение соблюдения обещаний конфиденциальности: раздел 5 Закона о Федеральной торговой комиссии http://www.ftc.gov/privacy/privacyinitiatives/promises.html
  18. ^ Отчет о конфиденциальности FTC 2000 http://www.ftc.gov/reports/privacy2000/privacy2000.pdf
  19. ^ а б Министерство внутренней безопасности, Меморандум о политике конфиденциальности (2008 г.) (Меморандум № 2008-1), https://www.dhs.gov/xlibrary/assets/privacy/privacy_policyguide_2008-01.pdf
  20. ^ Фонд Electronic Frontier и Центр демократии и технологий подали совместную регистрацию с Комиссией по коммунальным предприятиям Калифорнии в отношении программы Smart Grid в Калифорнии. http://www.cpuc.ca.gov/EFILE/CM/114696.pdf; https://www.eff.org/deeplinks/2010/03/new-smart-meters-energy-use-put-privacy-risk
  21. ^ Организация экономического сотрудничества и развития (ОЭСР), Руководящие принципы ОЭСР по защите конфиденциальности и трансграничным потокам персональных данных (23 сентября 1980 г.).http://www.oecd.org/document/18/0,3343,en_2649_34255_1815186_1_1_1_1,00.html
  22. ^ Пэм Диксон, Краткое введение в добросовестную информационную практику Всемирный форум конфиденциальности (5 июня 2006 г.).
  23. ^ Директива 95/46 / EC http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:HTML
  24. ^ Спирос Симитис, От рынка к полису: Директива ЕС о защите личных данных, 80 Iowa L. Rev. 445 (1995).
  25. ^ Аннечарико, Дэвид (2002). «Онлайн-транзакции: сравнение положений Закона Грэмма-Лича-Блайли о конфиденциальности с принципами честной информационной практики Федеральной торговой комиссии». Банковский институт Северной Каролины. 6: 637–664.
  26. ^ Пол М. Шварц, Конфиденциальность и демократия в киберпространстве, 52 Vand. L. Rev.1609 (1999); Джоэл Р. Рейденберг, Восстановление конфиденциальности американцев в электронной торговле, 14 Berkeley Tech. L. J. 771 (1999).
  27. ^ Примерами являются Закон о справедливой кредитной отчетности, то Закон о праве на финансовую конфиденциальность, то Закон о конфиденциальности электронных коммуникаций, а Закон о защите конфиденциальности видео. Бет Гивенс, Обзор принципов честной информации: основа публичной политики конфиденциальности В архиве 2009-04-08 на Wayback Machine (опубликовано в 1997 г., обновлено в 2004 г.).
  28. ^ Тавани, Х. И Боттис М. (2010, июнь). Процесс согласия в медицинских исследованиях с использованием банков данных ДНК: некоторые этические последствия и проблемы. ACM SIGCAS Computers and Society, 40 (2), 11-21. Дои:10.1145/1839994.1839996

внешняя ссылка