Международное право о защите персональных данных и его последствия для Вьетнама

Вьетнам входит в число стран с самой высокой скоростью развития и применения Интернета в мире (почти 80% населения пользуется Интернетом), а персональные данные 2/3 населения хранятся, публикуются, передаются и собираются в киберпространстве в самых разных формах и с разной степенью детализации.

В 2022 и 2023 годах во Вьетнаме было возбуждено 5 уголовных дел, связанных с куплей-продажей тысяч гигабайт данных и миллиардов единиц персональной информации. Это свидетельствует о настоятельной необходимости совершенствования законодательства о защите персональных данных на основе исследований и с учётом норм международного права.

Международное право о защите персональных данных

GDPR считается важным шагом вперед в правовой сфере, создающим самый строгий механизм защиты персональных данных в мире на сегодняшний день.

Общий регламент Европейского союза (ЕС) по защите данных (GDPR) считается важным правовым шагом вперед, создающим самый строгий механизм защиты персональных данных в мире на сегодняшний день и применяемым ко всем организациям и предприятиям, которые обрабатывают персональные данные граждан ЕС.

GDPR устанавливает единые санкции для предприятий по всему ЕС. В частности, штрафы составляют до 2% от оборота или 10 миллионов евро за незначительные нарушения и до 4% от оборота или 20 миллионов евро за серьезные нарушения. Помимо штрафов, к предприятиям, нарушающим GDPR, могут быть применены и другие санкции, например, принудительное прекращение обработки данных или удаление данных, обработанных с нарушением GDPR.

Органом ЕС по защите персональных данных является Инспектор по защите данных ЕС (EDPS) — независимый орган, в состав которого входят опытные юристы, специалисты по информационным технологиям и администраторы.

Основная функция этого органа — надзор за обработкой персональных данных в агентствах и организациях ЕС, а также консультирование по вопросам, связанным с персональными данными. GDPR также требует создания в каждом государстве-члене органа по защите персональных данных, например, Национальной комиссии по защите персональных данных (Франция, Ирландия и т.д.) или Инспекции по защите данных (Финляндия, Латвия и т.д.).

Наряду с EDPS ЕС также учредил Европейский совет по защите данных (EDPB), который состоит из представителей национальных органов по защите данных государств-членов и представителей ЕС и функционирует как основной независимый консультативный орган по вопросам защиты персональных данных, отвечающий за единообразное применение GDPR на всей территории союза.

GDPR предусматривает весьма сдерживающие санкции, как материальные, так и нематериальные. Кроме того, орган ЕС по защите персональных данных, созданный по модели «Комиссия/Комиссар», обладает широкими и независимыми полномочиями по применению санкций в случае нарушения организациями правил защиты персональных данных и способен самостоятельно оценивать и принимать решения об обработке персональных данных.

Закон КНР о защите персональных данных (PIPL), принятый в 2021 году, считается первым всеобъемлющим законом о защите персональных данных на национальном уровне в Китае. PIPL обеспечивает относительно единообразное понимание персональных данных/персональной информации как информации, позволяющей идентифицировать или идентифицировать конкретное лицо, охватывая узкую группу лиц на территории Китая (статья 4 главы 1 PIPL). В то же время он регулирует вопросы конфиденциальных персональных данных, устанавливая правила, регулирующие права и обязанности сторон в отношении более конкретных групп данных.

Санкции за нарушение прав на персональные данные, предусмотренные PIPL, весьма суровы и включают принудительное устранение нарушений, конфискацию незаконно полученных доходов, приостановку предоставления услуг, отзыв лицензий на ведение деятельности или ведение бизнеса, а также штрафы в размере до 50 миллионов юаней или 5% от годового дохода организации за предыдущий финансовый год. Кроме того, нарушения могут быть зафиксированы в «кредитном досье» обрабатывающего подразделения в рамках национальной системы социального кредита.

Кроме того, обрабатывающие подразделения будут нести ответственность за возмещение ущерба в случае нарушения прав и интересов организаций и граждан. Уголовные санкции за подобные нарушения также специально регламентированы Уголовным кодексом Китая, который предусматривает более строгую уголовную ответственность для лиц, обязанных хранить конфиденциальную информацию, добавляет конфискацию имущества и устанавливает пожизненное заключение в качестве высшей меры наказания.

Закон Сингапура о защите персональных данных (PDPA), принятый в 2012 году (с поправками 2020 года). Законодательство Сингапура признает право на защиту персональных данных, а также необходимость организации сбора, использования и раскрытия информации в соответствующих целях при определенных обстоятельствах.

Закон о защите персональных данных (PDPA) также предусматривает строгие финансовые санкции за утечку данных. Нарушители будут подвергаться штрафам или тюремному заключению. Штрафы зависят от характера и серьезности нарушения и составляют от 2000 до 100 000 сингапурских долларов (что эквивалентно 1,6 млрд донгов) и/или тюремному заключению на срок до 12 месяцев или до 3 лет в случае серьезных нарушений1. Агентства и компании, нарушившие правила, могут быть оштрафованы на сумму до 10% от своего годового оборота.

Важную роль в обеспечении реализации Закона о персональных данных играет Комиссия по защите персональных данных (КЗПД). Это специализированный орган, обладающий широкими полномочиями и широкими возможностями правоприменения, имеющий право запрашивать у физических и юридических лиц информацию и документы, связанные с обработкой персональных данных, налагать финансовые штрафы за нарушения, а также применять иные меры воздействия.

Создание специализированного агентства — Комиссии по защите персональных данных Сингапура, которая независимо и инициативно занимается выявлением, пресечением нарушений и применением санкций, также является одним из условий эффективного обеспечения защиты персональных данных в Сингапуре.

Рекомендации по совершенствованию законодательства о защите персональных данных во Вьетнаме

В настоящее время во Вьетнаме действует 69 правовых документов, непосредственно связанных с вопросом защиты персональных данных, которые закреплены в различных документах, включая Конституцию, Кодекс (4), Закон (39), Постановление (1), Указ (2), Циркуляр/Совместный циркуляр (4), Решение Министра (1).

Эти документы в основном подходят к вопросу защиты персональных данных в направлении продвижения принципа обеспечения конфиденциальности субъекта, но имеют различные положения об информации, связанной с персональными данными, ссылаясь на вопросы прав и обязанностей субъектов, обработки информации и методов защиты персональных данных. Законодательство, регулирующее вопрос защиты персональных данных во Вьетнаме, достигло некоторых замечательных результатов, особенно 17 апреля 2023 года Правительство издало Указ № 12/2023/ND-CP о защите персональных данных - это отдельный документ, регулирующий этот вопрос в нашей стране. Эти правовые документы создали правовой коридор в работе по защите персональных данных; определяют права субъектов данных, а также сторон обработки, устанавливают санкции за нарушения защиты персональных данных и определяют специализированное агентство по защите персональных данных как Департамент кибербезопасности и предотвращения высокотехнологичных преступлений при Министерстве общественной безопасности ...

Вьетнам сталкивается со многими рисками, вызовами и опасностями в киберпространстве, особенно с утечкой и присвоением личной информации и данных, что приводит к многочисленным пагубным последствиям для граждан и общества.

Однако фактическое применение этих документов также выявило множество ограничений, таких как: существующие отдельные правовые документы существуют лишь на уровне указов и не отвечают требованиям защиты персональных данных; многие положения в настоящее время регулируются обобщенно и неясно, что приводит к отсутствию конкретных указаний для каждого конкретного случая; санкции по-прежнему мягкие и не обладают достаточной сдерживающей силой...

В этой ситуации дальнейшее совершенствование законодательства о защите персональных данных во Вьетнаме было и остаётся вопросом, требующим изучения с учётом опыта других стран. В частности:

Во-первых, необходимо разработать Закон о защите персональных данных . В контексте промышленной революции 4.0, на региональном и национальном уровнях, 80 стран приняли отдельные правовые документы по защите персональных данных. Вьетнаму необходимо в ближайшее время провести исследование и принять общий специализированный закон о данных, подобный Закону о конфиденциальности данных, принятому в ЕС, Китае или Сингапуре, который определит основные вопросы и принципы защиты персональных данных. Принятие отдельного закона о персональных данных станет важной правовой основой для защиты персональных данных, поскольку в настоящее время правовые документы, касающиеся этого вопроса, в нашей стране не унифицированы с точки зрения терминологии и содержания.

Во-вторых, необходимо изменить и дополнить санкции за нарушения в сфере персональных данных, сделав их более строгими, соответствуя характеру и тяжести нарушения. Хотя санкции за нарушения в сфере персональных данных в нашей стране включают административные, гражданские и уголовные санкции, они, как правило, довольно мягкие и не обладают высоким сдерживающим эффектом. В настоящее время основным методом наказания за административные нарушения по-прежнему является применение санкций, но соответствующие положения разбросаны по множеству указов с довольно низкими штрафами, самый высокий из которых составляет 100 миллионов донгов для физических лиц и 200 миллионов донгов для организаций.

При этом ущерб, причиняемый административными нарушениями в отношении персональных данных, представляет собой не только материальный ущерб, но и ущерб чести и достоинству. Помимо административных санкций, уголовные санкции за нарушения в отношении персональных данных отражены только в положениях о конфиденциальности, информационных технологиях и сетевой безопасности (статьи 159 и 288 действующего Уголовного кодекса), предусматривающих относительно невысокий срок тюремного заключения – не более 7 лет, и штраф – не более 1 миллиарда донгов. Этот штраф, по сравнению с уровнем ЕС в 20 миллионов евро, сингапурским 1 миллионом сингапурских долларов или пожизненным заключением в Китае, всё ещё очень мал и несоизмерим со многими нарушениями.

В то же время необходимо регулировать многие группы поведения, которые в настоящее время не упомянуты в законе, такие как крупномасштабная торговля данными, создание систем для нарушения данных, нарушения в сфере маркетинговых услуг и т. д.

В-третьих, по образцу агентства по защите персональных данных во Вьетнаме . В настоящее время Департамент кибербезопасности и предотвращения преступлений в сфере высоких технологий при Министерстве общественной безопасности является специализированным агентством по защите персональных данных. Ссылаясь на международные нормы, можно рассмотреть возможность создания независимого агентства по защите персональных данных, ответственного за обеспечение соблюдения Закона о защите персональных данных, проведение проверок, экспертиз, разработку руководств и рекомендаций, а также применение санкций за нарушения.

Мы можем ссылаться на эти модели в ЕС или Сингапуре... для эффективного обеспечения соблюдения законов о защите персональных данных, обеспечивая баланс между защитой личных прав и обеспечением безопасности сети.

Защита персональных данных — непростая задача, особенно в контексте интеграции, когда деятельность по мониторингу и сбору персональных данных осуществляется в больших масштабах, а вьетнамская правовая система, регулирующая этот вопрос, все еще находится в процессе формирования и совершенствования.

Изучение международного права по этому вопросу с учетом практической ситуации во Вьетнаме поможет нам вскоре создать правовую базу для всеобъемлющей защиты персональных данных, совместимую с международным правом и обеспечивающую эффективное его соблюдение.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html