Компания VPN Inform провела оценку защиты конфиденциальности и состояния наблюдения в 47 странах, чтобы увидеть, где правительства не могут защитить конфиденциальность и / или создают государства наблюдения.

Для этого мы рассмотрели несколько категорий, от использования биометрии и видеонаблюдения до законов о совместном использовании и хранении данных.

Что мы нашли?

Ни одна страна не обеспечивает последовательной защиты частной жизни своих граждан, большинство из них активно следят за своими гражданами, и только пять стран могут считаться имеющими «адекватные гарантии».

Дела улучшаются или ухудшаются?

В ЕС Общий регламент по защите данных (GDPR) помогает улучшить законы о конфиденциальности в целом. Тем не менее, это не мешает некоторым странам заключать соглашения, посягающие на частную жизнь жителей посредством обмена данными с другими странами, например, Прюмский договор. Это также не мешает некоторым странам расширять использование биометрического наблюдения.

За пределами ЕС несколько стран создают то, что можно описать только как государства слежения, при этом права на конфиденциальность, по-видимому, серьезно отошли на второй план. Возможно, неудивительно, что главными виновниками являются Китай и Россия.

Каким странам нравятся тарифы в Великобритании и США?

Узнаем ниже.

Основные выводы

Вот некоторые примечательные результаты исследования:

Правительство Китая не только не защищает частную жизнь граждан, но и активно вторгается в нее
Сбор и хранение биометрических данных – отпечатков пальцев и лиц – растет во всем мире.
Страны ЕС, как правило, делятся большим объемом данных своих граждан с другими государствами-членами.
Правительственный надзор часто оказывает наибольшее влияние на иммигрантов, особенно когда они въезжают в страну или покидают ее.
Согласно нашей системе оценки, только в пяти странах действуют адекватные меры защиты конфиденциальности, и все они находятся в Европе. GDPR играет в этом большую роль, но не учитывает все
Ни одна страна не получила наивысшего или даже почти идеального балла
Правоприменение широко варьируется даже в странах с хорошими законами о конфиденциальности.

Система подсчета очков (по каждой категории и в целом)

4.1-5.0 = Постоянное соблюдение стандартов конфиденциальности

3.6-4.0 = Значительные меры безопасности и защиты

3.1-3.5 = Адекватные гарантии против злоупотреблений

2.6-3.0 = Некоторые гарантии, но ослабленная защита

2.1-2.5 = Системная неспособность поддерживать меры безопасности

1.6-2.0 = Обширное наблюдение

1.1-1.5 = Эндемический надзор

Рейтинг конфиденциальности в ЕС и за пределами ЕС

Остальные 5 стран, не входящих в ЕС

Китай – 1,8 – Широкое наблюдение
Россия – 2.1 – Системное несоблюдение гарантий
Индия – 2,4 – Системное несоблюдение гарантий
Таиланд – 2,6 – Некоторые гарантии, но ослабленная защита
Малайзия – 2,6 – Некоторые гарантии, но ослабленная защита

Китай

Рейтинг Китая не является большим сюрпризом, но откуда взялось его обширное наблюдение?

В законах о конфиденциальности отсутствуют четкие инструкции, что затрудняет их соблюдение.
ID-карты являются обязательными в Китае для лиц старше 16 лет.
Китай сильно зависит от биометрии и искусственного интеллекта (ИИ). Например, камеры распознавания лиц теперь ловят прохожих, отправляют текстовое сообщение и отправляют их изображение на большие экраны, чтобы публично их позорить. Китай также использует эти типы камер для отслеживания и наблюдения за уйгурами, мусульманским меньшинством страны.
Данные часто передаются между агентствами, и у государственной разведки есть зеленый свет для запроса данных у любой организации или гражданина.
Камеры видеонаблюдения с распознаванием лиц теперь являются «нормой» в Китае, и в целом для системы видеонаблюдения существует несколько ограничений.
Спецслужбы и правоохранительные органы могут перехватывать сообщения без постановления суда – и как они осуществляют этот перехват, по большей части неизвестно.
Сотрудники не защищены, когда речь идет об их общении, несмотря на то, что субъект данных должен дать свое согласие на сбор данных. Известно, что суды выносят решения в пользу работодателя (когда сотрудник не давал согласия на мониторинг электронной почты), а мозговые волны сотрудников даже отслеживались, чтобы «повысить продуктивность»
Нет ограничений по времени для хранения данных, но есть особые требования к тому, какие данные необходимо хранить. Например, поставщики услуг текстовых сообщений должны хранить различную информацию не менее пяти месяцев.
Медицинские данные часто используются для исследований или в качестве «записей общественного интереса».
Обо всех финансовых операциях, превышающих определенную сумму, необходимо сообщать в государственный орган.
На границах Китая осуществляется экстремальное наблюдение: на телефоны людей (без согласия) устанавливаются приложения для поиска «неприемлемого контента».
Китай является членом Интерпола, но многие страны опасаются делиться данными с Китаем из-за того, как он может их использовать.
Правительство контролирует большинство СМИ

Сложно извлечь какие-либо положительные результаты из прав Китая на конфиденциальность. Даже если они упоминаются в законе, на практике часто бывает совсем иначе.

Россия

За Китаем следует Россия, с плохими показателями:

Его регулирующий орган, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), невероятно активен, но часто в случаях цензуры, а не конфиденциальности.
Он находится в процессе создания структуры электронного правительства, которая позволит осуществлять межведомственный обмен данными, но также предоставит широкой общественности доступ к информации, находящейся в ведении правительства.
От компаний часто требуется передавать данные правительству, самым последним примером является Tinder. Если они не соблюдают правила, их блокируют.
Начал строить свой собственный «суверенный Интернет», опасаясь, что это устранит потребность во всемирной паутине и создаст жестко защищенный Интернет, который будет использоваться для наблюдения.
Распознавание лиц уже используется в камерах для отслеживания должников
Несмотря на четкие гарантии защиты от перехвата сообщений (т.е. в большинстве случаев требуется постановление суда), в 2012 году было одобрено 540 000 перехватов, что свидетельствует о незначительных ограничениях в отношении того, что разрешено, а что нет.
Провайдеры услуг могут не предлагать возможность перехвата, поскольку Система оперативно-розыскных мероприятий (СОРМ) позволяет Федеральной службе безопасности (ФСБ) подслушивать сообщения по прямой линии от интернет-провайдеров. В большинстве случаев операторы и интернет-провайдеры даже не подозревают об этом.
Поставщики услуг связи должны хранить записи о звонках и сообщениях не менее шести месяцев.
Обо всех сделках на сумму более 600000 рублей необходимо сообщать в соответствующее агентство.
На границах России внедряют технологию искусственного интеллекта для сбора данных
Член Интерпола и различных налоговых соглашений, предполагающих обмен данными
Недавно были приняты законы против «фейковых новостей», но многие считают, что это всего лишь попытка помочь цензуре. Кроме того, независимые СМИ вытесняются или «ставятся под контроль», а телеканалы известны своей пропагандой, что подчеркивает некоторые из причин, по которым Россия занимает 149-е место в мире в Мировом рейтинге свободы прессы.

Опять же, трудно найти что-то конструктивное в «политике конфиденциальности» России. В тот же день, когда Европейский суд по правам человека (ЕСПЧ) вынес решение против России, Россия представила новый закон, который позволяет отменять решения, принятые ЕСПЧ. И хотя Россия оштрафовала Facebook за несоблюдение местного закона о конфиденциальности данных (который требует, чтобы все иностранные и отечественные компании, которые обрабатывают, хранят или накапливают данные российских граждан, хранят эти данные на сервере в России), это сомнительно, насколько это связано с конфиденциальностью и насколько это связано с контролем над данными.

Мы относительно хорошо отметили Россию для мониторинга рабочих мест, потому что существуют меры предосторожности, и Россия теоретически должна применить дело Барбулеску против Румынии (сотрудники всегда должны быть уведомлены о мониторинге), потому что она является членом ЕСПЧ. Однако, как отмечалось выше, нет никаких гарантий, что это произойдет.

Индия

Ряд важных аспектов законов и постановлений Индии угрожает частной жизни граждан, в том числе:

Его законопроект о защите данных еще не вступил в силу, и нет органа по защите данных, что означает, что защита конфиденциальности в настоящее время слабая.
Схема идентификации Aadhaar дает гражданам уникальный идентификационный номер, а также является домом для крупнейшей биометрической базы данных, которая содержит 1,23 миллиарда человек.
Эта база данных также содержит такую информацию, как покупки, банковские счета и страхование.
Попытка заставить WhatsApp отслеживать сообщения, добавляя цифровой отпечаток пальца к каждому отправляемому сообщению
Видеонаблюдение не регулируется, и любые законы о конфиденциальности, относящиеся к нему, очень расплывчаты и открыты для интерпретации.
10 государственных агентств недавно получили разрешение на расшифровку, мониторинг и перехват данных на любом компьютере (но это должно быть одобрено министром внутренних дел).
Если поставщики услуг не смогут предложить возможности перехвата, им грозит тюремное заключение на срок до семи лет.
Хотите установить высокотехнологичное пограничное наблюдение на определенных границах
Часто делится информацией с США и имеет несколько договоров о взаимной правовой помощи с разными странами.
Занимает 140-е место в мире по индексу свободы прессы: в 2018 году было убито как минимум 6 журналистов

Ясно одно: законы и суды Индии начинают защищать конфиденциальность данных. Например, суды изменили закон, поэтому частные компании не имели права запрашивать идентификационные номера, а доступ государственных учреждений к базе данных Aadhaar был недавно закрыт. Скрытое наблюдение также будет запрещено, когда вступит в силу новый закон о защите данных. Однако, учитывая, что тактика слежки и биометрия уже зашли невероятно далеко, сомнительно, насколько закон изменит ситуацию.

Таиланд

Национальная идентификационная карта с отпечатками пальцев
Биометрия широко используется и является требованием для многих повседневных задач. Например, для покупки SIM-карты необходимо пройти биометрическую проверку.
Видеонаблюдение широко используется и принято в Таиланде. Но новый закон требует, чтобы владелец данных был проинформирован о том, что за ним ведется наблюдение.
Хотя Закон о расследовании особых случаев гласит, что главный судья должен дать разрешение на перехват сообщений, военный переворот в 2014 году позволил военным перехватывать любые сообщения в условиях военного положения.
Закон о компьютерных преступлениях позволяет сотрудникам Министерства цифровой экономики и общества (MDES) запрашивать документы и компьютерные данные у поставщиков услуг. Все это делается без ордера. Имея ордер, они могут запросить гораздо больше информации.
У тайской полиции есть технология, которая может получить доступ к сообщениям в чате, электронной почте и текстовым сообщениям, но это должно осуществляться по решению суда.
Отпечатки пальцев собираются при въезде в страну
Часть многочисленных международных соглашений о совместном использовании данных
Новые законы и хунта налагают ограничения на свободу слова в Таиланде, при этом многие полагают, что новый закон о кибербезопасности будет использован правительством, чтобы заставить замолчать критиков.

Таиланд недавно принял Закон о защите персональных данных (PDPA) 28 мая 2019 года. Есть надежда, что это создаст самый первый в Таиланде закон о защите данных, но людям предоставляется годичный льготный период для адаптации к этим новым законам. Следует улучшить политику мониторинга рабочего места и хранения данных. Недавняя разработка (которая произошла после исследования) также означает, что тайские кафе вынуждены создавать журнал данных о просмотре посетителей в течение 90 дней – как минимум. Правительство предложило, чтобы это помогло выявить пользователей, которые нарушают законы Таиланда и создают «фейковые новости».

Малайзия

Призывает принять более подробный закон о конфиденциальности, охватывающий все вопросы. В настоящее время существует только Закон о защите личных данных 2010 г. (PDPA), который защищает личные данные субъекта данных.
Тем не менее, суды довольно активно применяют этот закон, а агентство по защите данных часто проверяет предприятия и предлагает рекомендации по их практике обработки данных.
Национальное удостоверение личности (MyKad) обязательно с 12 лет и содержит биометрические данные (отпечатки пальцев). Он также хранит банковские реквизиты, определенную медицинскую информацию, может использоваться для покупок и хранит данные до 20 лет (однако карта действительна только в течение 10 лет).
Для детей в возрасте до 12 лет MyKid содержит сведения о религии родителей, данные о рождении, информацию о здоровье и образовании.
Технология распознавания лиц также набирает обороты: Grab Malaysia вместе с Министерством транспорта работают над повышением безопасности водителей и защитой от преступлений.
Несколько законов, касающихся использования технологии распознавания лиц
Для обмена данными в большинстве случаев требуется письменное согласие, но у правительства есть платформа (MyGDX), которая облегчает обмен данными между правительственными учреждениями.
Видеонаблюдение широко распространено в Малайзии, и здесь мало гарантий. Однако «Руководство по видеонаблюдению», которое еще не вступило в силу, будет обеспечивать еще несколько мер защиты, например, уведомление людей о мониторинге видеонаблюдения.
Несколько крупных утечек данных связаны с финансовыми и медицинскими деталями
Основатель Договора АСЕАН о взаимной правовой помощи по уголовным делам

Введение закона о защите данных в 2010 году внесло некоторые улучшения в конфиденциальность данных Малайзии, но по мере развития технологий и изменения времени их необходимо обновить, чтобы лучше защитить все типы данных, включая биометрические.

Последние 5 стран ЕС

Италия – 2.7 – Некоторые гарантии / ослабленная защита
Венгрия – 2,7 – Некоторые гарантии / ослабленная защита
Словения – 2,7 – Некоторые гарантии / ослабленная защита
Германия – 2,8 – Некоторые гарантии / Ослабленная защита
Испания – 2,9 – Некоторые гарантии / Ослабленная защита

Италия

Италия не может обеспечить защиту конфиденциальности в ряде областей. Это включает в себя:

ID-карта, содержащая биометрические данные
Широкое использование биометрии, в том числе распознавания лиц в аэропортах, вызывает беспокойство у граждан.
Соглашения о совместном использовании данных в рамках Прюмского договора и Шенгенского соглашения
Широкое использование видеонаблюдения (в том числе с распознаванием лиц)
Длительные периоды хранения данных (шесть лет для данных об интернет-трафике и телефонном трафике)
Отсутствует свобода прессы

Итальянский регулирующий орган, отвечающий за соблюдение GDPR, Garante, не проявлял большой активности. Это может быть связано с отсутствием утечек данных или может указывать на отсутствие реализации. Однако Италия предприняла попытки запретить мониторинг рабочих мест.

Венгрия

Не всегда защищал право своего народа на неприкосновенность частной жизни, даже постановив, что сотрудники полиции не имели права на неприкосновенность частной жизни, потому что их роль как агентов государственной власти перевешивала это
На ID-карте есть отпечаток пальца владельца
Работодателям также разрешено использовать биометрию в определенных ситуациях, например, для предотвращения несанкционированного доступа к информации.
Создание базы данных распознавания лиц на основе идентификационных фотографий граждан и туристов.
Государственные органы могут получать данные от телекоммуникационных компаний без ордера
Часть Прюмского договора и Шенгенского соглашения

GDPR помогает внести некоторые улучшения в Венгрии, например, помогает обеспечить соблюдение прав людей, когда дело доходит до видеозаписей с камер видеонаблюдения, и защищает данные в целом посредством штрафов, наложенных Венгерским национальным органом по защите данных и свободе информации.

Словения

С самым высоким показателем нарушений прав человека на душу населения в Европе, Словения постоянно отслеживается, чтобы узнать, улучшает ли она защиту своих граждан, и как. Мы нашли:

Хотя Словения является частью ЕС и применяется закон GDPR, она не реализовала его через свое собственное законодательство, что оставляет большие вопросы по поводу политики защиты данных.
Это также частично снижает целостность и силу его регулирующего органа, Комиссара по информации (IC).
Он полагается на биометрические данные в своих паспортах.
Это часть Прюмского договора и Шенгенского соглашения.

Хотя GDPR теоретически должен улучшить ситуацию в Словении, есть сообщения, которые предполагают, что он не применяется должным образом во многих странах ЕС. И это, вероятно, так при отсутствии законов в Словении. Точно так же законопроект, предложенный Словенией, был подвергнут критике многими как «выходящий за рамки», установленные GDPR.

Германия

Несмотря на обеспечение конфиденциальности в ряде областей (конфиденциальные данные и выполнение закона о защите данных, Bundesdatenschutzgesetz) и активную роль своей Конференции по защите данных, Германия терпит неудачу своих граждан в ряде областей. К ним относятся:

Широкое использование биометрических данных, в том числе в национальных удостоверениях личности.
Являясь одним из основателей Прюмского договора и Шенгенского соглашения
Наличие камер видеонаблюдения с распознаванием лиц.
Спорные директивы о хранении данных
Отсутствие защиты конфиденциальности для журналистов
Жесткая цензура сообщений в социальных сетях посредством законов о «разжигании ненависти»

Испания

Опять же, испанский орган по защите данных, Agencia Española de Protección de Datos (AEPD), эффективно реализовал законы GDPR, оштрафовав Ла Лигу на 250 000 евро за нарушение конфиденциальности. Однако права граждан на неприкосновенность частной жизни значительно ограничены из-за:

Растущее использование биометрии (и всеобщее признание этого)
ID-карта, содержащая биометрические данные
Он является одним из основателей Прюмского договора, Шенгенского соглашения и соглашений об обмене налоговыми данными.
Его политика хранения коммуникационных данных была встречена большим количеством критики (через 12 месяцев после сообщения, но этот срок может быть продлен до 2 лет).
Закон о кляпах в отношении журналистов

Топ 5 неамериканских стран

Норвегия – 3.1 – Адекватные гарантии
Южная Африка – 3,0 – Некоторые меры защиты / ослабленная защита
Швейцария – 3,0 – Некоторые гарантии / ослабленная защита
Аргентина – 3,0 – Некоторые гарантии / ослабленная защита
Канада – 3,0 – Некоторые гарантии / ослабленная защита

Норвегия

Как единственная страна, не входящая в ЕС, имеющая «адекватные гарантии», Норвегия преуспевает в:

Применение законов GDPR
Штрафовать компании, не защищающие данные (муниципалитет Бергена был оштрафован на 170 000 евро за нарушение законов GDPR, оставив в открытом доступе 35 тысяч имен пользователей и паролей учащихся начальной школы и сотрудников)
Защита свободы слова (занимает первое место в мировом рейтинге свободы прессы последние три года)
Предлагает дополнительную защиту конфиденциальности для определенных должностей, например, для юристов и практикующих врачей.

Биометрия подвела Норвегию. Он планирует ввести их в удостоверения личности в 2020 году, и правоохранительные органы имеют доступ к биометрическим данным. Норвегия также является участником Шенгенского соглашения и части Прюмского договора.

Южная Африка

Права на неприкосновенность частной жизни охраняются конституционным судом.
Знаменательное дело, в котором Высокий суд объявил массовый перехват информации Национальным центром связи незаконным (Центр amaBhungane против министра юстиции)
Ограничения на обмен данными даже между агентствами в одном секторе
Не участвует в каких-либо агрессивных международных договорах (но участвует в соглашениях о разделе налогов)

Южная Африка находится в процессе введения регулятора информации и Закона о защите личной информации (POPIA), который будет способствовать дальнейшему обеспечению соблюдения прав на неприкосновенность частной жизни. Но поскольку они еще не полностью на месте, появляются серые зоны. Биометрические данные также находятся на подъеме, и недавно представленные южноафриканские удостоверения личности содержат отпечатки пальцев.

Швейцария

Активное соблюдение прав на неприкосновенность частной жизни с помощью Федерального закона о защите данных (который будет обновлен в 2020 г.)
Его агентство по защите данных, Федеральный комиссар по защите данных и информации (FDPIC), по слухам, является регулятором, который Facebook хочет управлять своей криптовалютой, Libra.
Нет обязательного удостоверения личности с биометрическими данными
Свобода слова и СМИ

Несмотря на то, что Швейцария долгие годы была «налоговой гаванью», теперь она ограничивает это, делясь налоговой информацией с другими странами. Он также является частью Шенгенского соглашения и подписал соглашение со странами-членами Prüm Decision, чтобы они могли обмениваться данными. В Швейцарии также разрешен мониторинг рабочего места без разрешения, если сотрудник проинформирован.

Аргентина

Активно пытается улучшить конфиденциальность данных и идти в ногу с другими законами (например, GDPR) и технологическими достижениями
Адекватные меры безопасности для зон наблюдения и мониторинга рабочего места
Требуются ордера на перехват сообщений

Обязательная идентификационная карта Аргентины действительно содержит биометрические данные. Биометрия широко применяется и в целом принята. Закон о защите данных нуждается в обновлении, особенно когда речь идет о законах о хранении данных (нет четких руководящих принципов как таковых, что оставляет его очень открытым для интерпретации). Аргентина также активно делится личной информацией с другими странами.

Канада

28 различных законодательных актов о защите конфиденциальности данных в частном и государственном секторах, а также в сфере здравоохранения
Адекватные меры безопасности для зон наблюдения и мониторинга рабочего места
Законы о хранении данных очень похожи на GDPR

Регулирующий орган Канады, Управление Комиссара по вопросам конфиденциальности Канады, подвергается критике за недостаточные полномочия, но ведутся переговоры об усилении его полномочий, чтобы он мог налагать штрафы. Биометрические данные становятся все более популярными, и теперь отпечатки пальцев являются обязательным требованием для людей, обращающихся за определенными видами виз. Обмен данными также является проблемой из-за соглашений, которые у Канады есть с другими странами (примерно 17). А недавно Канада вынесла решение против журналиста, потребовав от него раскрыть источник.

Топ-5 стран ЕС

Из-за недавнего введения в действие законов GDPR разница в рейтингах стран ЕС невелика. Что их отличает, так это их соглашения об обмене данными с другими странами, их свобода слова, использование ими биометрических данных и другие правила и положения, специфичные для страны.

Ирландия – 3.2 – Адекватные гарантии
Франция – 3.1 – Адекватные гарантии
Португалия – 3.1 – Адекватные гарантии
Дания – 3.1 – Адекватные гарантии
Мальта – 3,0 – Некоторые меры защиты / ослабленная защита

Ирландия

Ирландия возглавляет список, когда речь идет о защите конфиденциальности и видеонаблюдения, благодаря:

Активная роль Комиссии по защите данных Ирландии в защите конфиденциальности (например, 18 текущих расследований в отношении технологических компаний США)
Его сопротивление биометрии на идентификационных картах, несмотря на то, что это постановление ЕС
Он не является частью агрессивных соглашений о совместном использовании данных, например Прюмского договора или Шенгенского соглашения.
Активная роль в отмене директивы ЕС о хранении данных из-за нарушения конфиденциальности и прав человека.
Его пункт об отказе от участия в законах ЕС

Категории, которые подвели Ирландию, – это ослабление защиты конфиденциальных данных (например, несколько утечек данных в медицинской отрасли), субсидирование систем видеонаблюдения и угроза свободе прессы из-за концентрированного владения СМИ.

Франция

Сразу за Ирландией идет Франция, которая набрала достаточно высокие баллы по следующим причинам:

Его регулятор данных, Национальная комиссия по информатике и свободе (CNIL), успешно обеспечивает соблюдение законов GDPR, оштрафовав Google на 50 миллионов евро, потому что он не получил надлежащего согласия от пользователей на персонализацию своей рекламы (он использовал предварительно отмеченные поля)
CNIL проявляет инициативу до внедрения GDPR, оштрафовав Uber на 400000 евро за утечку данных
Для обязательного французского удостоверения личности биометрия не требуется
CNIL активно обсуждает и предотвращает использование биометрии в других областях, например, на рабочем месте.
Требование проведения оценки воздействия на защиту данных (DIPA) перед установкой наблюдения для крупномасштабного общественного мониторинга

Однако Франция является участником Прюмского договора и Шенгенского соглашения. Во Франции также идет активный обмен данными. Например, о подозрительных транзакциях необходимо сообщать в соответствии с законодательством о борьбе с отмыванием денег. Данные связи хранятся в течение одного года.

Португалия

Португалия также входит в тройку лидеров благодаря:

Его регулятор, Национальная комиссия по защите данных (CNPD), активно обеспечивает соблюдение GDPR.
Недавний штраф в размере 400000 евро на больницу за различные нарушения данных – один из крупнейших на сегодняшний день штрафов GDPR.
Биометрические базы данных запрещены
Его ограничение и регулирование использования видеонаблюдения
Имеет опыт защиты конфиденциальности сотрудников в соответствии с национальным законодательством.

Португалия была одной из последних европейских стран, которая ввела в действие закон GDPR (через год и три месяца после его вступления в силу). Он также является участником Прюмского договора, но из-за отсутствия базы данных ДНК (в ней участвуют менее 0,1% его граждан) не обменивается большой информацией и делится данными только с избранными странами. Тем не менее, он также является участником Шенгенского соглашения, и данные также регулярно передаются внутри, то есть для законов о борьбе с отмыванием денег.

Дания

Дания получает оценку «адекватных гарантий» по следующим причинам:

Активная роль датского агентства по защите данных Datatilsynet (DPA) с момента внедрения GDPR
Общий успех в реализации GDPR в различных категориях
Датское удостоверение личности без биометрических данных
Соглашение об отказе в соответствии с законами ЕС
Защита свободы выражения мнения

Тем не менее, в Дании наблюдается тревожное признание как биометрических данных, так и камер видеонаблюдения, что может позволить отказаться от контроля конфиденциальности. Обмен данными как внутри Дании, так и с другими странами (часть Шенгенского соглашения) также снижает оценку, как и запросы о сохранении данных (данные о местоположении с мобильных телефонов).

Мальта

Хотя Мальта и входит в пятерку лучших, она также попадает в более низкую категорию, чем другие четыре страны ЕС. Он получил оценку «некоторые гарантии, но ослабленная защита» из-за:

Суды вынесли решение в пользу конфиденциальности, когда дело дошло до коротких сроков хранения данных (дело Maltapost PLC против комиссара по информации и защите данных)
Его орган по защите данных, Уполномоченный по защите информации и данных (IDPC), активно работает над обеспечением соблюдения GDPR и штрафов.
Мальтийская идентификационная карта не содержит биометрических данных.
IDPC требует уведомления перед установкой системы видеонаблюдения

Однако Мальта является участником Прюмского договора и Шенгенского соглашения и имеет ослабленную защиту, когда дело доходит до перехвата сообщений и конфиденциальных данных. У него также есть системная неспособность поддерживать гарантии, когда дело доходит до демократических вопросов, таких как свобода прессы (большинство средств массовой информации принадлежит политикам).

Какое место занимают США и Великобритания?

Соединенные Штаты

США занимают седьмое место в рейтинге стран, не входящих в ЕС. Это связано с:

Использование биометрических данных в рамках программы Biometric Exit Program будет расти в течение четырех лет и обрабатывать 97% людей, покидающих США.
Когда дело доходит до биометрии, суды выносят решения по-разному. Существует несколько споров по поводу того, может ли полиция попросить вас разблокировать телефон с помощью отпечатка пальца.
Создание базы данных биометрической информации, содержащей цифровые изображения лиц и 10 отпечатков пальцев более 200 миллионов человек, которые пытались въехать, въехали или покинули США.
Частные компании могут устанавливать свои собственные принципы обработки персональных данных.
Нет никаких федеральных законов, касающихся использования видеонаблюдения, а это означает, что использование резко варьируется от штата к штату. Например, в некоторых штатах предусмотрена мера безопасности, запрещающая использование видеонаблюдения в местах, где люди ожидают конфиденциальности, например, в раздевалках, но некоторые этого не делают.
Только два штата требуют от компаний информировать своих сотрудников о мониторинге рабочих мест.
Многочисленные утечки данных во всех секторах
Часть многочисленных международных соглашений о совместном использовании данных
Недавно был принят Закон о разъяснении законного использования данных за рубежом (CLOUD), который позволяет правоохранительным органам сотрудничающих стран запрашивать данные напрямую у поставщиков услуг, а не через правительство.

Защита данных в США регулируется несколькими отраслевыми законами, и законы также различаются в зависимости от штата. Это может вызвать некоторую путаницу и непоследовательность, а также может оставить огромные пробелы в определенных областях / состояниях. Тем не менее, некоторые руководящие органы активно добиваются конфиденциальности данных. Например, Федеральная торговая комиссия (FTC) недавно оштрафовала Facebook на 5 миллиардов долларов за нарушение конфиденциальности.

объединенное Королевство

В настоящее время Великобритания регулируется законами GDPR, но также ввела в действие собственный Закон о защите данных, который останется в силе после Brexit.

Управляющий орган, Управление Комиссара по информации (ICO), уже наложило ряд штрафов, в том числе один штраф в размере 183 миллионов фунтов стерлингов для British Airways за нарушение данных о клиентах и один в размере 99 миллионов фунтов стерлингов для сети отелей Marriott за разоблачение 399 миллионов записей о гостях.
Великобритания не участвует в решении Prüm (но просила принять участие и участвует в его части – см. Ниже) или в Шенгенском соглашении.
Существуют определенные меры безопасности для использования видеонаблюдения (т. Е. Предприятия должны информировать ICO, почему они используют видеонаблюдение, и должны сообщать людям, что их записывают), перехват сообщений (требуются ордера) и правительственный доступ к данным (опять же, часто требуются ордера. )
Есть соглашения об отказе от участия в соответствии с законами ЕС

Несмотря на некоторые из этих мер безопасности, Великобритания движется в сторону большего количества биометрии, большего количества систем видеонаблюдения и может участвовать в дальнейших международных договорах после Брексита. Недавно он присоединился к структуре Prüm DNA, которая позволяет правоохранительным органам обмениваться профилями ДНК и отпечатками пальцев, предоставляя государствам-членам доступ к базе данных Великобритании, содержащей более 5 миллионов человек. Также допускается мониторинг рабочего места (если работодатели могут обосновать свои причины), и были случаи, когда сотрудников увольняли за то, что они говорили в социальных сетях.

Как все выглядит в целом

Если мы объединим рейтинги как стран ЕС, так и стран, не входящих в ЕС, таблица лидеров не будет сильно отличаться от рейтинга ЕС. Все, что изменится, – это Норвегия, занявшая второе место, вытеснив Мальту из первой пятерки.

Что интересно в этой пятерке (единственные, получившие «адекватную» оценку), так это то, что все они регулируются законами GDPR. Таким образом, хотя во всех странах еще есть большие возможности для улучшения, законы GDPR, похоже, поощряют их двигаться в правильном направлении.

Конституционная защита	Законодательная защита	Обеспечение конфиденциальности	Удостоверения личности и биометрия	Обмен данными	Визуальное наблюдение	Перехват сообщений	Мониторинг рабочего места	Государственный доступ к данным	Сохранение коммуникационных данных	Медицинский, финансовый надзор и надзор за движением	Пограничные и трансграничные вопросы	Лидерство	Демократические гарантии
Словения, Австралия, Китай, Швеция, Сингапур, Нидерланды, Люксембург, Венгрия, Италия, Малайзия	Китай, Греция, Словения, Финляндия, Малайзия, Эстония, Индия, Венгрия, Португалия, Россия	Индия, Таиланд, Бразилия, Словения, Россия, Словакия, Китай, Исландия, Япония, Финляндия	Китай, Индия, Япония, Кипр, Венгрия, Германия, Малайзия, Эстония, Италия, Таиланд	Россия, Китай, Венгрия, Индия, Люксембург, Малайзия, Бельгия, Испания, Словения, Канада	Китай, Россия, Филиппины, Бразилия, Индия, Малайзия, Германия, Таиланд, Италия, Венгрия	Китай, Россия, Индия, Таиланд, Сингапур, Австралия, Венгрия, Финляндия, Германия, Люксембург	Китай, Индия, Тайвань, Таиланд, Сингапур, Австралия, США, Филиппины, Россия, Венгрия	Россия, Китай, Финляндия, Таиланд, Польша, Индия, Люксембург, Сингапур, Румыния, Австралия	Китай, Россия, Италия, Эстония, США, Германия, Тайвань, Словения, Польша, Индия	США, Швеция, Малайзия, Греция, Китай, Россия, Сингапур, Нидерланды, Ирландия, Индия	Китай, Россия, Германия, Словения, Малайзия, Испания, Новая Зеландия, Таиланд, Канада, Израиль	Китай, Россия, Словения, Румыния, Австрия, Швеция, Италия, Индия, Новая Зеландия, США	Китай, Россия, Таиланд, Бразилия, Австрия, Индия, Словакия, Болгария, Мальта, Израиль

Методология

Каждой стране была присвоена оценка по каждой категории на основании ряда критериев (перечисленных ниже). Затем, чтобы получить общий балл, мы суммировали эти баллы перед делением на 14 (общее количество категорий).

Конституционная защита

Существует ли конституция и защищает ли она конфиденциальность?
Есть ли у конституционного суда решение о защите частной жизни? Если да, то есть ли у него история обеспечения такой защиты?
Является ли страна членом ЕС (GDPR играет ключевую роль)?

Законодательная защита

Существуют ли законы, защищающие конфиденциальность людей от компаний и правительств?
Есть ли отраслевые законы? Например, законы о борьбе с отмыванием денег или медицинские законы.
Успешно ли эти законы защищают конфиденциальность?

Обеспечение конфиденциальности

Существует ли регулирующий орган, например, орган по защите данных, который имеет право расследовать дела о конфиденциальности?
Активны ли они в этом? Были ли какие-либо дела, которые были рассмотрены в судах / правовых системах?

Удостоверения личности и биометрия

Есть ли в стране национальное удостоверение личности? У этого есть биометрия?
Биометрия распространена? Используются ли они для обеспечения конфиденциальности или для наблюдения?
Есть ли в стране дебаты о конфиденциальности по поводу такого использования биометрии? Или больше всего довольны технологией?

Обмен данными

Существуют ли законы, предотвращающие вторичное использование данных?
Обменивается ли правительство личными данными между своими агентствами?
Должны ли компании передавать государственные данные?

Визуальное наблюдение

Насколько распространено видеонаблюдение в государственном и частном секторе?
Регулируются ли камеры видеонаблюдения?
Есть ли какие-либо споры вокруг использования видеонаблюдения?

Перехват сообщений

Существуют ли законы, предотвращающие злоупотребления?
Когда правоохранительные органы могут перехватывать сообщения, т. Е. При наличии ордера, если у них есть обоснованные сомнения и т.д. ?
Какие виды расследований могут привести к перехвату сообщений?
Кто разрешает им доступ, если есть?
Ожидается ли, что поставщики телекоммуникационных услуг будут предоставлять возможности перехвата?

Мониторинг рабочего места

Существуют ли законы, предотвращающие злоупотребления?
Есть ли правовые возможности / дела?
Даются ли компаниям адекватные инструкции, которым нужно следовать?

Государственный доступ к данным

Какие существуют режимы ордеров? Например, могут ли они войти в собственность без ордера?
Как правоохранительные органы получают доступ к базам данных частного сектора?
Какими полномочиями обладают различные агентства для доступа к данным?

Сохранение коммуникационных данных

Должны ли операторы связи хранить данные в течение определенного периода времени? Если да, то как долго?
Есть ли какие-либо особенности для разных типов данных и чем могут отличаться сроки хранения?

Наблюдение за перемещением, финансами и медицинскими данными

Хотя эти данные конфиденциальны, насколько они защищены?
Существуют ли законы, разрешающие мониторинг этих типов данных? Например, законы о борьбе с отмыванием денег.
Были ли утечки данных, связанные с этим типом данных?

Пограничные вопросы

Есть ли на границах страны биометрические данные?
Сотрудничает ли страна с другими странами, когда дело доходит до правоохранительных органов и наблюдения?

Лидерство

Участвует ли правительство в каких-либо договорах о неприкосновенности частной жизни? Например, Five Eyes или Прюмский договор?
Какими данными правительство делится с другими странами?

Демократические гарантии

Есть ли в стране свобода слова?
Есть ли защита для журналистов?

Источники

Отчет, источники и оценки каждой страны можно найти в этой таблице: https://docs.google.com/spreadsheets/d/1uPCfyzwT2b47oX0kcYg3kn3V4H6IWUikp4jMOVUWmJA/edit?usp=sharing