ON THE PROTECTION OF PERSONAL DATA OF CONSUMERS OF GOODS AND SERVICES ON DIGITAL PLATFORMS IN THE U.S.

Обеспечение свободы слова и неприкосновенность частной жизни приобретают особое значение в контексте стремительной цифровизации экономики. Одним из ключевых инструментов предпринимательской деятельности последнего десятилетия стали цифровые платформы, их характерной особенностью является не только порождаемые перекрестные сетевые эффекты и существенное снижение трансакционных издержек, но и оперирование огромными массивами данных, среди которых существенную часть составляют пользовательская информация, т.е. данные, которые относятся к потребителям товаров и услуг на платформе. Сюда включаются и данные о местоположении лица, сведения о его поле, возрасте. Вся эта и многая другая информация непрерывно собирается и анализируется информационными системами цифровых платформ в автоматическом режиме. Личные данные пользователей являются средством укрепления экономического положения цифровых платформ на рынке за счет детального анализа предпочтений потребителей и осуществления полного контроля за их действиями, особенно на стадии выбора товара или услуги и осуществления трансакции. Агрегирование и манипулирование внушительными объемами личных данных пользователей стало одним из решающих преимуществ цифровых платформ перед другими участниками рынка

В результате, на первый план выходят вопросы регламентации работы цифровых платформ и одновременной защиты прав пользователей платформы

Исторически сложилось так, что в США не принято единого закона о защите персональных данных, который бы в полной мере соответствовал новым цифровыми реалиям (когда мы говорим о персональных данных, то имеем в виду именно личные (или конфиденциальные) данные, так как именно последний термин используется в законодательстве США). Вместо этого на федеральном уровне и на уровне штатов разработан и действует целый конгломерат различных правовых актов, которые защищают персональные данные потребителей. Компетенцией по защите прав потребителей товаров и услуг обладают, в разной степени, Федеральная торговая комиссия (FTC), Федеральная комиссия по связи (FCC), Бюро финансовой защиты потребителей (CFPB), а также множество иных органов

Так, на федеральном уровне в США действует закон о защите конфиденциальности водителей (DPPA)

Персональные данные детей защищены на федеральном уровне в соответствии с законом США о защите конфиденциальности детей в сети «Интернет» (COPPA). COPPA запрещает сбор любой личной информации от ребенка, не достигшего возраста 13 лет (ребенок, не достигший возраста 13 лет, не вправе самостоятельно давать согласие на обработку его персональных данных). COPPA обязывает оператора направлять уведомление и получать согласие родителя или иного законного представителя ребенка на сбор и обработку персональной информации о ребенке

Кроме того, на федеральном уровне в США действует также отраслевое законодательство в области защиты персональных данных. В сфере финансовых услуг – закон о добросовестной кредитной отчетности (FCRA)

В дополнение к федеральному законодательству, штаты вправе налагать дополнительные обязанности на операторов персональных данных.

Знаковыми в этом смысле стали новые законы нескольких штатов США, адаптированные к защите персональных данных потребителей товаров и услуг с учетом активного развития цифровых платформ. В 2018 году такие новые законы приняли город Чикаго штата Иллинойс

При анализе текста указанных нормативных актов становится понятно, что у них прослеживаются определенные сходства, касающиеся действия закона по кругу лиц, определения перечня прав и обязанностей, установления мер ответственности и др. Далее мы приведем наиболее общие положения указанных нормативных актов.

В нормах всех указанных новых законов штатов различаются контролер и оператор персональных данных. Контролером персональных данных является лицо, которое определяет цели и средства обработки персональных данных. Контролер это лицо, которое осуществляет, как правило, коммерческую деятельность на территории штата, а жители (резиденты) штата являются потребителями товаров и услуг такого лица. Но не всякий контролер будет считаться таковым, и подпадать под действие закона. Для этого он должен удовлетворять определенным критериям, например, согласно закону штата Калифорния:

· иметь годовой доход, превышающий 25 000 000 долларов США;

· ежегодно собирать, обрабатывать, продавать, обменивать персональные данные 100 000 (или более) потребителей и/или получать 50% или более годового дохода от продажи или обмена персональных данных потребителей.

Согласно законам штатов Колорадо, Вирджиния, Коннектикут и Юта (для штата Юта контролер должен иметь также годовой доход не менее 25 000 000 долларов США):

· обрабатывать персональные данные не менее 100 000 потребителей в год;

· или обрабатывать персональные данные не менее 25 000 потребителей и более 50% дохода получать от продажи персональных данных.

Оператором персональных данных является лицо, которое непосредственно осуществляет сбор, обработку, хранение, изменение, удаление или иные действия с персональными данными. Контролер может быть одновременно и оператором персональных данных, либо между указанными лицами могут быть договорные отношения.

Потребителем товаров и услуг по смыслу норм указанных законов является физическое лицо, которое является резидентом штата, приобретающее товары и услуги в личных целях, не связанных с коммерческой деятельностью. Согласие на обработку персональных данных может быть совершено потребителем как письменно, так и с использованием информационных технологий и технических средств цифровой платформы или иным образом (если иные способы предусмотрены платформой).

Потребителям товаров и услуг закон предоставляет определенный перечень прав в отношении персональных данных, в частности:

· право на доступ;

· право удаление;

· право изменение;

· право на отказ (в т.ч. ограничение) в предоставлении персональных данных третьим лицам (в т.ч. продажу персональных данных).

Указанный список может изменяться в зависимости от конкретных норм закона того или иного штата.

Основные обязанности оператора следующие:

· обеспечивать безопасность персональных данных;

· принимать обращения или жалобы потребителей и своевременно (в течение 45 дней) отвечать на них;

· установить процедуру обжалования отказа контролера в принятии обращения или жалобы. Операторы несут также и иные обязанности.

В соответствии с новыми законами штатов оператор обязан направить потребителю уведомление о конфиденциальности, в котором указать, в том числе, следующую информацию:

· категорию персональных данных, которую оператор собирает с использованием цифровой платформы, а также указать третьих лиц, кому эти данные могут быть переданы;

· есть оператором платформы предусмотрена возможность внесения изменений в персональные данные по просьбе потребителя, то, в таком случае, оператор обязан раскрыть порядок внесения таких изменений;

· адрес, по которому потребители могут направить уведомление о запрете на передачу персональных данных;

· порядок оповещения потребителей об изменениях в уведомлении о конфиденциальности;

· дату вступления в силу уведомления о конфиденциальности персональных данных.

Некоторыми новыми законами штатов, в частности, в Колорадо, Вирджинии, Коннектикуте прямо предусмотрена обязанность оператора получить предварительное согласие потребителя (opt-in) перед началом обработки его персональных данных. При этом, если потребителем является ребенок в возрасте до 13 лет, то в соответствии с COPPA, оператор обязан получить согласие на сбор и обработку персональных данных ребенка от родителя или иного законного представителя ребенка.

В случае нарушения установленных норм предусмотрена юридическая ответственность: наложение штрафа или судебного запрета, а также возмещение убытков, причиненных лицу в результате неправомерных действий оператора. Размер штрафа в указанных новых законах штатов, как правило, варьируется от 2500 до 7500 долларов США (в Колорадо не предусмотрено штрафа). Если правонарушение касается персональных данных ребенка, то, чаще всего, налагается штраф в размере до 7500 тысяч долларов США. Право обращаться с исковым заявлением о нарушенных правах принадлежит генеральному прокурору штата (которому потерпевший потребитель направляет жалобу). Право частного иска (т.е. искового заявления от самого потребителя) предусмотрено не всеми новыми законами штатов. Новые законы предусматривают также срок для устранения нарушений (обычно он равен 30 или 60 дням).

С учетом изложенного можно сформулировать следующие основные выводы:

1. Система защиты персональных данных потребителей в США построена по двухзвенной структуре, аналогично системе американского законодательства. Федеральное законодательство США, включая отдельные федеральные отраслевые законы (в области финансов, образования, медицины, телекоммуникаций), а также законодательство штатов. Единый закон о защите персональных данных в США до настоящего времени не принят, что многими американскими учеными-исследователями признается как негативный фактор.

2. С 2018 года в США прослеживается общая тенденция, при которой отдельные штаты начинают активно разрабатывать собственное законодательство для защиты персональных данных потребителей-резидентов штата, в том числе, применительно к осуществлению деятельности на цифровых платформах в сети «Интернет». Прототипом указанных законов послужил европейский GDPR

3. В связи с тем, что новые законы штатов содержат довольно высокие критерии, при которых лицо (в том числе организация, и, соответственно, цифровая платформа, в рамках которой функционирует система обработки данных) считается контролером персональных данных, многие цифровые платформы так и остаются не охваченными новым регулированием, что, безусловно, негативным образом влияет на общий уровень защиты персональных данных потребителей товаров и услуг с учетом активного развития платформ и их широким охватом в общей структуре экономики США. В этом смысле новые законы штатов схожи с европейским DMA