Попытки остановить распространение COVID-19 посредством сбора персональных данных затрагивают давнюю проблему: у нас недостаточно надлежащих законов для защиты конфиденциальности данных. Для решения этой проблемы в рамках борьбы с COVID-19 на рассмотрении Конгресса США находятся два законопроекта. Один из них является хорошим начинанием, нуждающимся в небольших улучшениях. Другой – это шаг в ложном направлении, и EFF выступает против него.

Закон о здравоохранении в экстренных ситуациях (Public Health Emergency Privacy Act, PHEPA) внесён на рассмотрение американскими сенаторами Ричардом Блументалем и Марком Уорнером, а также членами Палаты представителей Анной Эшу, Яном Шаковски и Сюзан Дельбенэй. Законопроект содержит основные элементы, за которые выступают защитники приватности. В частности, он предусматривает добровольное согласие и минимизацию данных, а также ограничивает раскрытие данных правительству. Он предполагает право частных лиц на подачу исков и не предусматривает приоритета над законами штатов. Законопроект запрещает отказывать в избирательном праве лицам, не желающим участвовать в программах по отслеживанию контактов. Но он не защищает их от дискриминации в трудовых отношениях, при доступе к общественным местам или государственным привилегиям. Также его положения не распространяются на традиционный способ отслеживания контактов, научные исследования, работу органов здравоохранения и структур, деятельность которых регулируется федеральным Законом о мобильности и подотчётности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA).

Закон о защите данных потребителей во время COVID-19 (COVID-19 Consumer Data Protection Act, CCDPA) внесён на рассмотрение сенаторами Роджером Уикером, Джимом Туном, Джерри Мораном и Маршой Блэкбарн. Законопроект предполагает приоритет над законами штатов, не предусматривает права частных лиц на подачу исков и оправдывает ряд возможностей слежения для работодателей. С точки зрения защиты конфиденциальности данных он бесполезен.

Инструменты борьбы с COVID-19 ущемляют наше право на приватность

Методы, используемые компаниями и правительствами для борьбы с кризисом COVID-19, демонстрируют недостаток законов о приватности данных. Правительства сотрудничают с бизнесом для создания вебсайтов, которым мы предоставляем информацию о нашем здоровье в целях проверки необходимости проведения тестирования на COVID-19 и получения рекомендаций. Государства проводят традиционное отслеживание контактов, заключая договора с компаниями на создание новых систем управления данными. Органы здравоохранения призывают нас устанавливать приложения по отслеживанию контактов. Некоторые из этих приложений отслеживают наше местонахождение, чему пытается противостоять EFF.

Существует много способов злоупотребления нашими данными, собираемыми в целях борьбы с COVID. Некоторые рестораны собирают контактную информацию клиентов в целях их уведомления в случае распространения инфекции. Вызывает тревогу, но не удивление случай, когда сотрудник ресторана использовал контактную информацию одного из клиентов, чтобы отправлять ему множество оскорбительных сообщений. Компании могут использовать наши данные для рекламы. Органы здравоохранения могут предоставлять наши данные полиции или другим структурам. Все эти данные могут быть украдены специализирующимися на личных данных хакерами, сталкерами и иностранными правительствами.

Нам необходим комплексный закон о конфиденциальности данных …

Существующие в США законы недостаточно защищают от злоупотребления нашими данными, собираемыми для борьбы к COVID. Например, предусмотренная HIPAA защита данных о состоянии здоровья применима только к узкому кругу поставщиков медицинских услуг и их бизнес-ассоциациям. Самые эффективные законы штатов в области конфиденциальности данных касаются только некоторых видов данных (Закон о защите биометрических данных штата Иллинойс), обработчиков данных (Закон штата Вермонт о регистрации брокеров данных) или видов защиты данных (Закон штата Калифорния, предоставляющий пользователям право доступа, уничтожения и отказа от продажи их данных).

Следовательно, нам необходим комплексный федеральный закон о защите личных данных пользователей. EFF выделяет три основных требования к федеральному закону о конфиденциальности данных: (1) отсутствие федерального приоритета над существующими в штатах законами о приватности данных; (2) соблюдение закона путём предоставления пользователям права подачи судебных исков на компании, нарушающие правила конфиденциальности; и (3) запрет дискриминации пользователей, применяющих своё право на приватность. Подобное законодательство должно предусматривать добровольное согласие на обработку данных и минимизацию обработки данных до уровня, позволяющего бизнесу предоставить клиенту ожидаемую услугу.

Эти требования во многом совпадают с положениями Законопроекта о праве пользователей на онлайн-конфиденциальность, внесённого в прошлом году на рассмотрение сенаторами Марией Кантвелл, Брайаном Шатц, Эми Клобешар и Эдвардом Марки. Хотя законопроект нуждается в некоторых изменениях, он мог бы внести существенный вклад в защиту данных, собираемых для борьбы с COVID.

… или хотя бы закон о приватности данных, собираемых для борьбы с COVID-19

Если на данный момент в нашей стране отсутствует политическая воля для принятия комплексного закона о конфиденциальности данных пользователей, то по крайней мере нам необходимо законодательство, должным образом регулирующее сбор и хранение данных во время COVID. По перечисленным выше причинам оно должно предусматривать предоставление добровольного согласия, право частных лиц на судебную защиту, отсутствие приоритета федерального права и гарантии защиты от дискриминации в отношении лиц, не соглашающихся на предоставление своих данных.

Недискриминация является на данный момент одним из самых острых вопросов. Дело не только в том, что правительство или компании могут обрабатывать данные людей или заставить их использовать приложения по слежению за контактами без их согласия. Речь идёт также о том, что лицам, уклоняющимся от предоставления своих данных или использования приложений, может быть отказано в преимуществах и доступе. Например, если человек не желает установить приложение по отслеживанию контактов, работодатель может отказать ему в доступе к рабочему месту, ресторан может отказать в обслуживании столика, а государственный орган – в определённых льготах. Тем не менее любое использование подобных приложений должно осуществляться на добровольных началах.

Важно также сдерживать поток личных данных, предоставляемых правительству. Вспышка вируса усилила требования, выдвигаемые учреждениям и технологиям к сбору о нас новых видов данных. История показывает, что правительства обычно не складывают полномочия, полученные во время чрезвычайных ситуаций.

Инициатива PHEPA – хорошее начало …

Закон о здравоохранении в экстренных ситуациях (PHEPA) широко применим к данным, ведущим к лицу или устройству и имеющим отношение к COVID-19. Сюда относятся данные о состоянии здоровья (например, результаты медицинских анализов) и данные для отслеживания эпидемии (в частности,  местоположение, контакты или другие данные, собираемые личными устройствами). Действие законопроекта распространяется на государственные и частные структуры, которые электронным образом обрабатывают упомянутые виды данных либо разрабатывают вебсайты или приложения в целях борьбы с COVID-19.

Законопроект предусматривает важные положения по защите приватности. В частности, подпадающая под действие закона структура:

  • не может обрабатывать соответствующие данные без добровольного согласия субъекта данных (за некоторыми исключениями);
  • должна придерживаться принципа минимизации данных, обрабатывая данные «необходимым образом и соразмерно целям охраны здоровья нации»;
  • не должна раскрывать данные правительству, за исключением органов здравоохранения и только в целях охраны здоровья нации;
  • не должна использовать данные для коммерческой рекламы;
  • должна позволять людям исправлять свои неверные данные;
  • должна публиковать политику конфиденциальности и (для больших структур) ежеквартальные отчёты;
  • должна предпринимать необходимые меры для безопасности данных.

Законопроект запрещает отказывать в праве голоса на основании полученных от лица данных, руководствуясь его состоянием здоровья или фактом неучастия в программе по сбору данных. Таким образом предоставляется некая защита для лиц, отказывающихся устанавливать приложения по отслеживанию контактов. Также законопроект предусматривает право частных лиц на подачу исков, обеспечиваемое Федеральной торговой комиссией и Генеральными прокурорами штатов. Чётко оговаривается приоритет законов штатов.

В целом в законопроекте можно выделить несколько положительных моментов: добровольное согласие, минимизация данных, право частных лиц на подачу исков, отсутствие приоритета федеральных законов, недискриминация в предоставлении права голоса и др. Мы признаём вклад сенаторов Блументаля и Уорненра, а также членов Палаты представителей Эшу, Шаковски и Дельбенэй.

… но требуются доработки

При всём уважении к предложенной инициативе мы предлагаем некоторые изменения в законопроект PHEPA.

Во-первых, закон должен запрещать любую дискриминацию (будь то отказ в трудоустройстве, образовании, доступе к сферам общественной жизни или политическим преимуществам) лиц, отказывающихся использовать приложения по отслеживанию контактов. Подобная дискриминация, как и оказываемое в связи с этим давление для установки приложения по отслеживанию контактов, является существенной угрозой приватности. В принципе законопроект запрещает отказывать в осуществлении права голоса лицам, не желающим участвовать в программах по отслеживанию COVID-19. Тем не менее здесь необходимы дополнительные гарантии.

Во-вторых, законопроект предусматривает ряд исключений, которые необходимо пересмотреть:

  • Неприменение к традиционному методу отслеживания контактов. Однако этот метод позволяет накапливать огромные запасы персональных данных, которые будут находиться в руках частных корпораций, заключивших с государствами договора на проведение мер по отслеживанию контактов.
  • Неприменение к научным исследованиям, проводимыми для борьбы с COVID-19. Но люди должны иметь возможность использовать разработанные для борьбы с COVID ресурсы (в частности, приложения по отслеживанию контактов и вебсайты для проведения проверки своего здоровья на предмет риска заражения), не становясь при этом субъектами исследований.
  • Неприменение к органам здравоохранения. Но эти структуры должны соблюдать предъявляемые требования о получении согласия, минимизации данных, конфиденциальности и нераскрытии данных другим государственным структурам.
  • Нераспространение на структуры, деятельность которых регулируется федеральным Законом о мобильности и подотчётности медицинского страхования (HIPAA), в частности на бизнес-ассоциации и поставщиков медицинских услуг. Но эти структурам должно быть предписано следовать новым важным правилам соблюдения приватности, если эти правила не противоречат HIPAA.

В-третьих, законопроект гласит, что, если лицо отзывает согласие на обработку данных, соответствующая структура должна остановить обработку данных «в реально осуществимые сроки, но не позднее 15 дней», а также уничтожить или деиндентифицировать собранные данные. Однако если кто-то отзывает своё согласие, это должно быть принято во внимание незамедлительно. Структура, обрабатывающая собираемые данные, должна быть готова остановить их обработку, как только лицо отзывает своё на то согласие. Также, собранные данные должны быть уничтожены без возможности их хранения в неопознаваемой форме. Потому что существует риск повторной идентификации ранее деидентифицированных данных.

И в-четвёртых, законопроект предусматривает, что соответствующая структура должна уничтожить или деидентифицировать данные в течение 60 дней после окончания вспышки (в соответствии с требованиями федеральных властей и властей штатов). Но на взятие под контроль вспышки COVID-19 могут потребоваться годы, в то время как большинство данных, имеющих отношение к COVID, станут нерелевантными в течение нескольких недель. Например, период инкубации вируса COVID-19 составляет 14 дней, поэтому нет никакого смысла для более продолжительного хранения данных, собираемых приложениями по отслеживанию контактов. Также, как объяснялось выше, нерелевантные данные должны быть уничтожены, а не просто деидентифицированы. Мы призываем авторов инициативы предпринять шаги для придания законопроекту большей эффективности.

Инициатива CCDPA не отвечает требованиям по защите данных

EFF считает, что законопроект о защите данных потребителей во время COVID-19 (CCDPA) бесполезен для защиты конфиденциальности данных.

Во-первых, эта законодательная инициатива приостановит действие законов штатов, регулирующих обработку данных (местоположение, контакты, постоянные идентификаторы и медицинские показатели), собираемых для определённых целей (отслеживание распространения COVID-19, измерение социальной дистанции и отслеживание контактов). В частности, это лишит жителей штата Калифорния имеющихся у них прав на доступ к данным, удаление данных или отказ от продажи данных, собранных в целях борьбы с COVID, а жителей штата Иллинойс - свободы от несогласованной слежки за их биометрическими данными. В случаях, имеющих отношение к COVID-19, CCDPA отменит положения действующих законов штатов в сфере конфиденциальности медицинских данных, информационной безопасности, уведомления о нарушении безопасности данных и недобросовестных торговых практик. Таким образом CCDPA уничтожит силу законодательных органов штатов, выступающих в качестве «лабораторий демократии» в целях создания новых путей защиты приватности во время COVID. А предусмотренный законопроектом приоритет федерального права станет постоянным – даже после окончания вспышки заболевания.

Во-вторых, в CCDPA не предусматривает право частных лиц на судебную защиту и позволяет подачу исков только Федеральной торговой комиссией и Генеральными прокурорами штатов. Но задача по соблюдению законодательства за конфиденциальностью данных является слишком объёмной для этих органов, имеющих ограниченные бюджеты и выполняющих множество конкурирующих обязательств. Также многие государственные органы испытывают давление корпоративного лобби. А это означает, что регулируемые сферы бизнеса имеют неоправданно высокое влияние на решения, принимаемые государственным органом.

В-третьих, CCDPA упускает вопросы применения собираемых в рамках борьбы с COVID данных, которые работодатели используют для просмотра входа в рабочее пространство. Это позволяет компаниям увольнять сотрудников, не соглашающихся со слежкой за их передвижениями, участием в собраниях и состоянии здоровья. При этом компании прикрываются оправданиями о попытках предотвращения вспышек вируса на рабочих местах.

Заключение

В рамках борьбы с COVID правительства и компании собирают огромное количество персональных данных: медицинские показатели, местоположение, контакты с другими лицами и многое другое. Это свидетельствует о том, что комплексный закон о приватности данных уже давно должен быть принят. Как минимум нам необходим закон, регулирующий конфиденциальность данных, собираемых для борьбы с COVID-19. Законопроект PHEPA является хорошим началом. Мы надеемся, что Конгресс возьмёт его за основу при вынесении своих решений.

Примечание: в предыдущей версии этой статьи непреднамеренно было упущено имя члена Палаты представителей Анны Эшу из числа лиц, внесших вклад в разработку Закона о здравоохранении в экстренных ситуациях. В настоящую версию внесены соответствующие правки.

Related Issues

COVID-19 and Digital Rights
Privacy

Related Updates

covid passport image with eye in background
Deeplinks Blog by Alexis Hancock, Adam Schwartz, Jon Callas | August 31, 2021

Vaccine Passport Missteps We Should Not Repeat

Vaccine mandates are becoming increasingly urgent from public health officials and various governments. As they roll out, we must protect users of vaccine passports and those who do not want to use—or cannot use—a digitally scannable means to prove vaccination. We cannot let the tools used to fight for public...