Международное право в области защиты персональных данных и его последствия для Вьетнама.

Вьетнам — одна из стран с самыми высокими в мире темпами развития и распространения интернета, где почти 80% населения пользуется интернетом. При этом личные данные двух третей населения Вьетнама хранятся, загружаются, передаются и собираются в сети в различных формах и с разной степенью детализации.

В 2022 и 2023 годах во Вьетнаме было возбуждено пять уголовных дел, связанных с куплей-продажей тысяч гигабайт данных и миллиардов единиц персональной информации. Это подчеркивает острую необходимость совершенствования законодательства о защите персональных данных на основе исследований и с учетом норм международного права.

Международное право о защите персональных данных

GDPR считается важным шагом вперед в законодательстве, создающим на сегодняшний день самый строгий в мире механизм защиты персональных данных.

Общий регламент Европейского союза по защите данных (GDPR) считается важным шагом вперед в законодательстве, создающим самый строгий в мире механизм защиты персональных данных и применяемым ко всем организациям и предприятиям, обрабатывающим персональные данные граждан ЕС.

GDPR предусматривает единые санкции за нарушения со стороны предприятий по всему блоку. В частности, максимальный штраф составляет 2% от выручки или 10 миллионов евро за незначительные нарушения и 4% от выручки или 20 миллионов евро за серьезные нарушения. Помимо штрафов, предприятия, нарушающие GDPR, могут также столкнуться с другими санкциями, такими как принуждение к прекращению обработки данных или удалению данных, обработанных с нарушением GDPR.

Органом ЕС по защите персональных данных является Надзорный орган ЕС по защите данных (EDPS) – независимый орган, в состав которого входят опытные юристы, ИТ-специалисты и администраторы.

Основная функция этого агентства — надзор за обработкой персональных данных в учреждениях ЕС и консультирование по вопросам, связанным с персональными данными. GDPR также требует создания органа по защите персональных данных в каждом государстве-члене, например, национальной комиссии по защите персональных данных (Франция, Ирландия и др.) или инспекции по защите данных (Финляндия, Латвия и др.).

Наряду с Европейским инспектором по защите данных (EDPS) ЕС также учредил Европейскую комиссию по защите данных (EDPB), в состав которой входят представители национальных органов по защите данных государств-членов и представители ЕС. Ее функция заключается в том, чтобы выступать в качестве основного независимого консультативного органа по вопросам защиты персональных данных, ответственного за последовательное применение GDPR на всей территории Союза.

GDPR предусматривает строгие сдерживающие меры, как материальные, так и нематериальные. Кроме того, агентство ЕС по защите персональных данных работает по модели «комиссия/комиссар», что дает ему значительные полномочия и независимость для наложения санкций на организации, нарушающие правила защиты персональных данных, а также для независимой оценки и принятия решений об обработке персональных данных.

Закон Китая о защите персональных данных (ЗЗПД), принятый в 2021 году, считается первым всеобъемлющим национальным законом о защите персональных данных в Китае. ЗЗПД обеспечивает относительно единое понимание персональных данных/личной информации как информации, предназначенной для идентификации или распознавания конкретного лица, в частности, лиц, находящихся на территории Китая (статья 4, глава 1 ЗЗПД). Одновременно он регулирует конфиденциальные персональные данные, устанавливая правила в отношении прав и обязанностей сторон в отношении более конкретных групп данных.

Наказания за нарушения прав на персональные данные в соответствии с законодательством о защите персональных данных очень суровы и включают обязательное устранение нарушений, конфискацию незаконно полученных средств, приостановление предоставления услуг, отзыв лицензий на ведение деятельности или бизнеса, а также штрафы в размере до 50 миллионов юаней или 5% от годового дохода организации за предыдущий финансовый год. Кроме того, нарушения могут быть зафиксированы в «кредитной истории» обрабатывающей организации в рамках национальной системы социального кредита.

Кроме того, обрабатывающие подразделения будут нести ответственность за ущерб, если они нарушат права и интересы организаций и отдельных лиц. Уголовные наказания за подобные нарушения также специально предусмотрены в Уголовном кодексе Китая, который устанавливает более суровую уголовную ответственность для лиц, обязанных соблюдать конфиденциальность, добавляет форму конфискации имущества и устанавливает пожизненное заключение в качестве высшей меры тюремного заключения.

Закон Сингапура о защите персональных данных (PDPA), принятый в 2012 году (с поправками в 2020 году), признает право на защиту персональных данных и необходимость для организаций собирать, использовать и раскрывать информацию в целях, соответствующих конкретным обстоятельствам.

Закон о защите персональных данных также предусматривает строгие финансовые санкции за утечки данных. Лица, нарушившие закон, будут подвергаться штрафам или тюремному заключению. Размер штрафа зависит от характера и тяжести правонарушения и составляет от 2000 до 100 000 сингапурских долларов (приблизительно 1,6 миллиарда донгов) и/или тюремного заключения на срок до 12 месяцев или до 3 лет в серьезных случаях; для организаций и компаний-нарушителей штраф может составлять до 10% от их годового дохода.

Ключевую роль в обеспечении соблюдения Закона о защите персональных данных играет Комиссия по защите персональных данных (PDPC). Это специализированное агентство обладает широкими полномочиями и возможностями по обеспечению соблюдения закона, включая право запрашивать у физических и юридических лиц информацию и документы, касающиеся обработки персональных данных, налагать финансовые штрафы за нарушения и принимать другие меры по исправлению ситуации.

Создание специализированного агентства, Комиссии по защите персональных данных Сингапура, которое работает независимо и инициативно, выявляя и пресекая нарушения и применяя санкции, является одним из условий эффективной защиты персональных данных в Сингапуре.

Рекомендации по совершенствованию законодательства о защите персональных данных во Вьетнаме

В настоящее время во Вьетнаме существует 69 правовых документов, непосредственно касающихся вопроса защиты персональных данных, регулируемых различными документами, включая Конституцию, Кодекс (4), Закон (39), Постановление (1), Указ (2), Циркуляр/Совместный циркуляр (4), Решение министра (1).

Эти документы, по сути, подходят к вопросу защиты персональных данных, подчеркивая принцип обеспечения неприкосновенности частной жизни физических лиц; однако они содержат различные положения, касающиеся информации, связанной с персональными данными, затрагивающие вопросы прав и обязанностей физических лиц, обработки информации и методов защиты персональных данных. Вьетнамское законодательство, регулирующее защиту персональных данных, достигло ряда заметных результатов, в частности, принятие Постановления № 12/2023/НД-КП о защите персональных данных от 17 апреля 2023 года – уникального документа, регулирующего этот вопрос в нашей стране. Эти правовые документы создали правовую основу для защиты персональных данных. Они определяют права субъектов данных, а также обрабатывающих сторон, устанавливают санкции за нарушения защиты персональных данных и определяют специализированное ведомство по защите персональных данных – Департамент кибербезопасности и предотвращения высокотехнологичных преступлений при Министерстве общественной безопасности …

Вьетнам сталкивается с многочисленными рисками, вызовами и угрозами в киберпространстве, в частности, с утечкой и кражей личной информации и данных, что наносит значительный вред гражданам и обществу.

Однако практическое применение этих документов выявило и множество ограничений, таких как тот факт, что существующие отдельные правовые документы находятся лишь на уровне указов и не отвечают требованиям защиты персональных данных; многие действующие положения являются расплывчатыми и неясными, что приводит к отсутствию конкретных указаний для каждого случая; а наказания по-прежнему слишком мягкие и недостаточно сдерживающие…

В данной ситуации дальнейшее совершенствование правовой базы защиты персональных данных во Вьетнаме было и остается вопросом, требующим внимания и исследований, основанных на опыте других стран. В частности:

Во-первых, необходимо принять закон о защите персональных данных . В контексте Четвертой промышленной революции 80 стран на региональном и национальном уровнях уже приняли собственные правовые документы, защищающие персональные данные. Вьетнаму необходимо срочно провести исследования и принять общий специализированный закон о данных, аналогичный законам о защите персональных данных в ЕС, Китае и Сингапуре, который бы определил основные вопросы и принципы защиты персональных данных. Принятие отдельного закона о персональных данных обеспечило бы важнейшую правовую основу для их защиты, поскольку действующие правовые документы во Вьетнаме не обладают единообразием в терминологии и содержании.

Во-вторых, наказания за нарушения защиты персональных данных следует пересмотреть и дополнить, сделав их более строгими, соизмеримыми с характером и тяжестью нарушений. Хотя в нашей стране наказания за нарушения защиты персональных данных включают административные, гражданские и уголовные санкции, они, как правило, довольно мягкие и не обладают сильным сдерживающим эффектом. В настоящее время основным методом по-прежнему остается применение административных санкций, но они разбросаны по множеству указов с относительно небольшими штрафами, максимальный из которых составляет 100 миллионов донгов для физических лиц и 200 миллионов донгов для организаций.

Хотя ущерб, причиняемый административными нарушениями в отношении персональных данных, не ограничивается материальными потерями, но также затрагивает честь и достоинство, уголовные санкции за нарушения в отношении персональных данных в настоящее время предусмотрены только положениями о защите частной жизни, информационных технологиях и кибербезопасности, а именно статьями 159 и 288 действующего Уголовного кодекса, предусматривающими относительно небольшие сроки тюремного заключения — не более 7 лет — и штрафы, не превышающие 1 миллиард донгов. По сравнению с 20 миллионами евро в ЕС, 1 миллионом сингапурских долларов в Сингапуре или пожизненным заключением в Китае, эти наказания все еще очень малы и несоразмерны многим нарушениям.

В то же время необходимо регулировать больше категорий поведения, которые в настоящее время не упоминаются в законе, таких как крупномасштабная торговля данными, создание систем для совершения утечек данных, нарушения в сфере маркетинговых услуг и т. д.

В-третьих, что касается модели агентства по защите персональных данных во Вьетнаме : в настоящее время специализированным агентством по защите персональных данных является Департамент кибербезопасности и предотвращения высокотехнологичных преступлений при Министерстве общественной безопасности. Опираясь на международные нормы, мы могли бы рассмотреть возможность создания независимого агентства по защите персональных данных, ответственного за обеспечение соблюдения Закона о защите персональных данных, проведение проверок и аудитов, разработку руководящих принципов, выработку рекомендаций и применение санкций за нарушения.

Мы можем перенять опыт ЕС или Сингапура… чтобы обеспечить высокую эффективность правоохранительных мер по защите персональных данных, сбалансировав защиту прав личности и обеспечение кибербезопасности.

Защита персональных данных — непростая задача, особенно в контексте интеграции, где осуществляется масштабный мониторинг и сбор персональных данных, а вьетнамская правовая система, регулирующая этот вопрос, все еще находится в стадии развития и совершенствования.

Изучение международного права по этому вопросу в сочетании с практической ситуацией во Вьетнаме поможет нам быстро разработать всеобъемлющую правовую основу для защиты персональных данных, которая будет соответствовать международному праву и эффективно применяться на практике.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html