Міжнародне право щодо захисту персональних даних та його наслідки для В'єтнаму

В'єтнам є однією з країн з найвищим рівнем розвитку Інтернету та швидкістю застосунків у світі, де майже 80% населення користується Інтернетом. Персональні дані 2/3 населення зберігаються, публікуються, поширюються та збираються в кіберпросторі в багатьох різних формах та з різними рівнями деталізації.

У 2022 та 2023 роках у В'єтнамі було порушено 5 кримінальних справ, що стосуються тисяч гігабайтів даних та мільярдів персональних даних, що купувалися та продавалися. Це свідчить про нагальну потребу вдосконалення законодавства про захист персональних даних на основі досліджень та посилання на міжнародне право.

Міжнародне право про захист персональних даних

GDPR вважається важливим правовим кроком вперед, створюючи найсуворіший механізм захисту персональних даних у світі сьогодні.

Загальний регламент Європейського Союзу (ЄС) про захист даних (GDPR) вважається важливим правовим кроком уперед, створюючи найсуворіший механізм захисту персональних даних у світі сьогодні та застосовується до всіх організацій та підприємств, які обробляють персональні дані громадян ЄС.

GDPR передбачає однакові штрафи для бізнесу по всьому блоку. Зокрема, штрафи становлять до 2% від обороту або 10 мільйонів євро за незначні порушення та 4% від обороту або 20 мільйонів євро за серйозні порушення. Окрім штрафів, до бізнесу, який порушує GDPR, можуть бути застосовані й інші санкції, такі як примусове припинення обробки даних або видалення даних, оброблених з порушенням GDPR.

Органом захисту персональних даних ЄС є Наглядач ЄС із захисту даних (ЄІЗД) – незалежний орган, до складу якого входять досвідчені юристи, ІТ-експерти та адміністратори.

Цей орган має основну функцію нагляду за обробкою персональних даних в агентствах та організаціях ЄС, а також консультування з питань, пов’язаних з персональними даними. GDPR також вимагає створення Органу захисту персональних даних у кожній державі-члені, такого як Національна комісія із захисту персональних даних (Франція, Ірландія...) або Інспекція із захисту даних (Фінляндія, Латвія...).

Поряд з Європейським директором з захисту даних (EDPB), ЄС також створив Європейську раду із захисту даних (EDPB), яка складається з представників національних органів захисту даних держав-членів та представників ЄС і функціонує як головний незалежний консультативний орган з питань захисту персональних даних, відповідальний за послідовне застосування GDPR по всьому союзу.

GDPR передбачає санкції з високим стримуючим ефектом, як матеріальні, так і нематеріальні. Крім того, орган ЄС із захисту персональних даних, який реалізується за моделлю Комісії/Уповноваженого, має широкі та незалежні повноваження щодо накладення санкцій, якщо організації порушують правила захисту персональних даних, і здатний самостійно оцінювати та приймати рішення щодо обробки персональних даних.

Закон Китаю про захист персональної інформації (ЗПІ), прийнятий у 2021 році, вважається першим комплексним законом про захист персональної інформації на національному рівні в Китаї. ЗПІ забезпечує відносно уніфіковане розуміння персональних даних/Персональної інформації як інформації, що ідентифікує або визначає конкретну особу, орієнтуючись на вузьку групу осіб на території Китаю (стаття 4, розділ 1 ЗПІ). Водночас він регулює питання конфіденційних персональних даних, встановлюючи правила щодо прав та обов'язків сторін щодо більш конкретних груп даних.

Санкції за порушення прав щодо персональних даних згідно із Законом про захист персональних даних (PIPL) є дуже суворими, включаючи примусове відновлення, конфіскацію незаконного доходу, призупинення послуг, анулювання ліцензій на діяльність або підприємницьку діяльність, а також штрафи у розмірі до 50 мільйонів юанів або 5% від річного доходу організації за попередній фінансовий рік. Крім того, порушення також можуть бути зафіксовані у «кредитному файлі» підрозділу обробки даних відповідно до національної системи соціального кредитування.

Крім того, підрозділи обробки даних будуть відповідальні за відшкодування збитків, якщо вони порушують права та інтереси організацій та окремих осіб. Кримінальні санкції за ці види порушень також спеціально регулюються Кримінальним законодавством Китаю, яке передбачає суворішу кримінальну відповідальність для тих, хто зобов'язаний зберігати конфіденційність інформації, додає форму конфіскації майна та передбачає довічне ув'язнення як найвищу міру покарання.

Закон Сінгапуру про захист персональних даних (PDPA), прийнятий у 2012 році (з поправками, внесеними у 2020 році). Законодавство Сінгапуру визнає право на захист персональних даних, а також необхідність організації збору, використання та розкриття інформації для відповідних цілей за певних обставин.

Закон про захист даних (PDPA) також передбачає суворі фінансові покарання за порушення безпеки даних. Окремі порушники підлягатимуть штрафам або позбавленню волі. Розмір штрафів залежить від характеру та тяжкості порушення та коливається від 2000 до 100 000 сингапурських доларів (еквівалентно 1,6 млрд донгів) та/або позбавлення волі на строк не більше 12 місяців або до 3 років у серйозних випадках1; для агентств та компаній, які порушують, може бути накладено штраф у розмірі до 10% від їхнього річного обороту.

Органом, який відіграє важливу роль у забезпеченні виконання Закону про захист персональних даних (PDPA), є Комісія із захисту персональних даних (PDPC). Це спеціалізований орган із широкими повноваженнями та широкими можливостями правозастосування, який має право вимагати від осіб та організацій надання інформації та документів, пов’язаних з обробкою персональних даних, накладати фінансові штрафи за порушення, а також вживати інших заходів.

Створення спеціалізованого агентства, Сінгапурської комісії із захисту персональних даних, яка працює незалежно та проактивно у виявленні, розгляді порушень та застосуванні санкцій, також є однією з умов ефективного забезпечення захисту персональних даних у Сінгапурі.

Рекомендації щодо вдосконалення законів про захист персональних даних у В'єтнамі

Наразі у В'єтнамі існує 69 правових документів, що безпосередньо стосуються питання захисту персональних даних, що викладено в різних документах, включаючи Конституцію, Кодекс (4), Закон (39), Указ (1), Декрет (2), Циркуляр/Спільний циркуляр (4), Рішення Міністра (1).

Ці документи в основному підходять до питання захисту персональних даних у напрямку просування принципу забезпечення конфіденційності суб'єкта, але мають різні положення щодо інформації, пов'язаної з персональними даними, стосуються питань прав та обов'язків суб'єктів, обробки інформації та методів захисту персональних даних. Закон, що регулює питання захисту персональних даних у В'єтнамі, досяг деяких визначних результатів, зокрема, 17 квітня 2023 року уряд видав Постанову № 12/2023/ND-CP про захист персональних даних - це окремий документ, що регулює це питання в нашій країні. Ці правові документи створили правовий коридор у роботі щодо захисту персональних даних; визначають права суб'єктів даних, а також сторін обробки, встановлюють санкції за порушення захисту персональних даних та визначають спеціалізований орган із захисту персональних даних як Департамент кібербезпеки та запобігання високотехнологічним злочинам при Міністерстві громадської безпеки ...

В'єтнам стикається з багатьма ризиками, викликами та небезпеками в кіберпросторі, особливо з витоком та привласненням особистої інформації та даних, що спричиняє багато шкідливих наслідків для громадян та суспільства.

Однак, фактичне впровадження цих документів також виявило багато обмежень, таких як чинні окремі правові документи лише на рівні Указів, що не відповідає важливості захисту персональних даних, багато змістів наразі регулюються загалом та нечітко, що призводить до відсутності конкретних вказівок для кожного конкретного випадку, а санкції все ще є легкими та недостатньо стримуючими...

У цій ситуації подальше вдосконалення законодавства про захист персональних даних у В'єтнамі було і є питанням, яке потребує вивчення на основі досвіду інших країн. Зокрема:

По-перше, розробити Закон про захист персональних даних . У контексті промислової революції 4.0, на регіональному та національному рівнях, 80 країн видали окремі правові документи для захисту персональних даних. В'єтнаму необхідно найближчим часом дослідити та видати загальний спеціалізований закон про дані, такий як Закон про конфіденційність даних, як це роблять ЄС, Китай чи Сінгапур, який визначає основні питання та принципи захисту персональних даних. Видання окремого закону про персональні дані стане важливою правовою основою для захисту персональних даних, враховуючи, що наразі правові документи, пов'язані з цим питанням у нашій країні, не є уніфікованими з точки зору термінології та змісту.

По-друге, змінити та доповнити санкції за порушення захисту персональних даних більш суворим чином, щоб вони відповідали характеру та тяжкості порушення. Хоча санкції за порушення захисту персональних даних у нашій країні включають адміністративні, цивільні та кримінальні санкції, вони загалом досить м’які та не мають високого стримуючого ефекту. Основним методом наразі залишається застосування санкцій за адміністративні порушення, але положення розпорошені в багатьох Указах з досить низькими штрафами, найвищий з яких становить: 100 мільйонів донгів для фізичних осіб та 200 мільйонів донгів для організацій.

Хоча шкода, яку можуть завдати адміністративні порушення захисту персональних даних, полягає не лише в матеріальній шкоді, а й у шкоді честі та гідності. Окрім адміністративних санкцій, кримінальні санкції за порушення захисту персональних даних відображені лише в положеннях про конфіденційність та сферу інформаційних технологій та мережевої безпеки у статтях 159 та 288 чинного Кримінального кодексу з відносно низьким покаранням у вигляді позбавлення волі не більше 7 років та штрафу не більше 1 мільярда донгів. Цей штраф, порівняно з рівнем ЄС у 20 мільйонів євро, 1 мільйоном сінгапурських донгів у Сінгапурі або довічним ув'язненням у Китаї, все ще є дуже низьким і не відповідає багатьом порушенням.

Водночас необхідно врегулювати багато груп поведінки, які наразі не згадані в законі, такі як масштабна торгівля даними, створення систем для порушення даних, порушення в бізнесі маркетингових послуг тощо.

По-третє, за зразком агентства із захисту персональних даних у В'єтнамі . Наразі Департамент кібербезпеки та запобігання високотехнологічним злочинам при Міністерстві громадської безпеки є спеціалізованим агентством із захисту персональних даних. Посилаючись на міжнародні норми, можна розглянути можливість створення незалежного агентства із захисту персональних даних, відповідального за забезпечення дотримання Закону про захист персональних даних, проведення перевірок, експертиз, видачу інструкцій та рекомендацій, а також застосування санкцій за порушення, якщо такі є.

Ми можемо посилатися на ці моделі ЄС чи Сінгапуру... для ефективного забезпечення виконання законів про захист персональних даних, балансуючи між захистом особистих прав та забезпеченням безпеки мережі.

Захист персональних даних – непросте питання, особливо якщо розглядати його в контексті інтеграції, коли моніторинг та збір персональних даних здійснюється у великих масштабах, а в'єтнамська правова система, що регулює це питання, все ще перебуває в процесі створення та вдосконалення.

Дослідження міжнародного права з цього питання з урахуванням практичної ситуації у В'єтнамі допоможе нам незабаром створити правову базу для комплексного захисту персональних даних, сумісну з міжнародним правом та ефективно забезпечену його правозастосування.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html