Международное право о защите персональных данных и его последствия для Вьетнама

Вьетнам входит в число стран с самой высокой скоростью развития и применения Интернета в мире , где им пользуется почти 80% населения. Персональные данные 2/3 населения хранятся, публикуются, передаются и собираются в киберпространстве в самых разных формах и с разной степенью детализации.

В 2022 и 2023 годах во Вьетнаме было возбуждено пять уголовных дел, связанных с тысячами гигабайт данных и миллиардами персональных данных, которые покупались и продавались. Это показывает, что необходимость совершенствования закона о защите персональных данных на основе исследований и ссылок на международное право является неотложной.

Международное право о защите персональных данных

GDPR считается важным шагом вперед в правовой сфере, создающим самый строгий механизм защиты персональных данных в мире на сегодняшний день.

Общий регламент Европейского союза (ЕС) о защите данных (GDPR) считается важным правовым шагом вперед, создающим самый строгий механизм защиты персональных данных в мире на сегодняшний день и применяемым ко всем организациям и предприятиям, которые обрабатывают персональные данные граждан в ЕС.

GDPR устанавливает единые штрафы для предприятий за нарушения по всему блоку. В частности, штрафы составляют до 2% от оборота или 10 миллионов евро за незначительные нарушения и 4% от оборота или 20 миллионов евро за серьезные нарушения. Помимо штрафов, предприятия, нарушающие GDPR, могут также подвергаться другим санкциям, таким как принуждение к прекращению обработки данных или удаление данных, которые были обработаны с нарушением GDPR.

Органом ЕС по защите персональных данных является Надзорный орган ЕС по защите данных (EDPS) — независимый орган, в состав которого входят опытные юристы, ИТ-эксперты и администраторы.

Основная функция этого органа — надзор за обработкой персональных данных в агентствах и организациях ЕС, а также консультирование по вопросам, связанным с персональными данными. GDPR также требует создания Органа по защите персональных данных в каждом государстве-члене, например Национальной комиссии по защите персональных данных (Франция, Ирландия...) или Инспекции по защите данных (Финляндия, Латвия...).

Наряду с EDPS ЕС также учредил Европейский совет по защите данных (EDPB), который состоит из представителей национальных органов по защите данных государств-членов и представителей ЕС и функционирует как основной независимый консультативный орган по вопросам защиты персональных данных, отвечающий за единообразное применение GDPR на всей территории союза.

GDPR предусматривает весьма сдерживающие санкции, как материальные, так и нематериальные. Кроме того, орган ЕС по защите персональных данных реализуется по модели Комиссия/Комиссар, поэтому он имеет широкие и независимые полномочия по наложению санкций, если организации нарушают правила защиты персональных данных, и может самостоятельно оценивать и принимать решения об обработке персональных данных.

Закон о защите персональных данных Китая (PIPL), принятый в 2021 году, считается первым всеобъемлющим законом о защите персональных данных на национальном уровне в Китае. PIPL принимает относительно унифицированный взгляд на персональные данные/персональную информацию как информацию, которая идентифицирует или идентифицирует конкретное лицо, нацеленную на узкую группу лиц на территории Китая (статья 4 глава 1 PIPL). В то же время он регулирует вопрос конфиденциальных персональных данных, устанавливая положения о правах и обязанностях сторон в отношении более конкретных групп данных.

Санкции за нарушение прав на персональные данные в соответствии с PIPL очень суровы, включая принудительное исправление, конфискацию незаконного дохода, приостановку услуг, отзыв лицензий на ведение бизнеса или эксплуатацию, а также штрафы в размере до 50 миллионов юаней или 5% от годового дохода организации за предыдущий финансовый год. Кроме того, нарушения могут быть также зафиксированы в «кредитном файле» обрабатывающего подразделения в рамках национальной системы социального кредита.

Кроме того, обрабатывающие подразделения будут нести ответственность за возмещение ущерба, если они нарушают права и интересы организаций и лиц. Уголовные санкции за эти виды нарушений также специально предусмотрены в Уголовном кодексе Китая, который предусматривает более строгую уголовную ответственность для лиц, ответственных за конфиденциальность информации, добавляет форму конфискации имущества и устанавливает пожизненное заключение в качестве высшей меры наказания.

Закон Сингапура о защите персональных данных (PDPA), принятый в 2012 году (с поправками 2020 года). Законодательство Сингапура признает право на защиту персональных данных, а также необходимость для организаций собирать, использовать и раскрывать информацию в соответствующих целях при определенных обстоятельствах.

PDPA также предусматривает суровые финансовые санкции за утечку данных. Лица, нарушившие закон, будут подвергаться штрафам или тюремному заключению. Штраф зависит от характера и серьезности нарушения, штрафы составляют от 2000 до 100 000 сингапурских долларов (что эквивалентно 1,6 млрд донгов) и/или тюремное заключение на срок не более 12 месяцев, а в серьезных случаях — до 3 лет1; агентства и компании, нарушающие закон, могут быть оштрафованы на сумму до 10% от годового оборота.

Органом, играющим важную роль в обеспечении реализации PDPA, является Комиссия по защите персональных данных (PDPC). Это специализированный орган с широкими полномочиями и широкими возможностями правоприменения, имеющий право запрашивать у лиц и организаций информацию и документы, связанные с обработкой персональных данных, налагать финансовые санкции за нарушения, а также пресекать их иными мерами.

Создание специализированного агентства — Комиссии по защите персональных данных Сингапура, которая работает независимо и инициативно по выявлению, пресечению нарушений и применению санкций, также является одним из условий эффективного обеспечения защиты персональных данных в Сингапуре.

Рекомендации по совершенствованию законодательства о защите персональных данных во Вьетнаме

В настоящее время во Вьетнаме действует 69 правовых документов, непосредственно связанных с вопросом защиты персональных данных, которые изложены в различных документах, включая Конституцию, Кодекс (4), Закон (39), Постановление (1), Указ (2), Циркуляр/Совместный циркуляр (4), Решение министра (1).

Эти документы в основном подходят к вопросу защиты персональных данных в направлении продвижения принципа обеспечения конфиденциальности субъекта, но имеют различные положения об информации, связанной с персональными данными, ссылаясь на вопросы прав и обязанностей субъектов, обработки информации и методов защиты персональных данных. Закон, регулирующий вопрос защиты персональных данных во Вьетнаме, достиг некоторых замечательных результатов, особенно 17 апреля 2023 года Правительство издало Указ № 12/2023/ND-CP о защите персональных данных - это отдельный документ, регулирующий этот вопрос в нашей стране. Эти правовые документы создали правовой коридор в работе по защите персональных данных; Указывают права субъектов данных, а также сторон обработки, устанавливают санкции за нарушения защиты персональных данных и определяют специализированное агентство по защите персональных данных как Департамент кибербезопасности и предотвращения высокотехнологичных преступлений при Министерстве общественной безопасности ...

Вьетнам сталкивается со многими рисками, вызовами и опасностями в киберпространстве, особенно с утечкой и присвоением личной информации и данных, что приводит к многочисленным пагубным последствиям для граждан и общества.

Однако фактическое внедрение этих документов также выявило множество ограничений, таких как: существующие отдельные правовые документы находятся лишь на уровне указов, не отвечая важности защиты персональных данных; многие положения в настоящее время регулируются в общем и неясном порядке, что приводит к отсутствию конкретных инструкций для каждого конкретного случая; санкции по-прежнему мягкие и недостаточно сдерживающие...

В этой ситуации дальнейшее совершенствование законодательства о защите персональных данных во Вьетнаме было и остается вопросом, который необходимо изучать на основе опыта других стран. А именно:

Во-первых, разработать Закон о защите персональных данных . В контексте промышленной революции 4.0, в региональном и национальном масштабе, 80 стран выпустили отдельные правовые документы для защиты персональных данных. Вьетнаму необходимо в ближайшее время провести исследование и выпустить общий специализированный закон о данных, такой как Закон о конфиденциальности данных, как в ЕС, Китае или Сингапуре, который определяет основные вопросы и принципы защиты персональных данных. Выпуск отдельного закона о персональных данных станет важной правовой основой для защиты персональных данных, когда в настоящее время правовые документы, связанные с этим вопросом в нашей стране, не являются последовательными с точки зрения терминологии и правил содержания.

Во-вторых, изменить и дополнить санкции за нарушения персональных данных более строгим образом, чтобы они соответствовали характеру и серьезности нарушения. Хотя санкции за нарушения персональных данных в нашей стране включают административные, гражданские и уголовные санкции, они, как правило, довольно мягкие и не имеют высокого сдерживающего эффекта. Основным методом в настоящее время по-прежнему является применение санкций за административные нарушения, но положения разбросаны по многим указам с довольно низкими штрафами, самый высокий из которых составляет: 100 миллионов донгов для физических лиц и 200 миллионов донгов для организаций.

В то время как ущерб, который могут нанести административные нарушения персональных данных, — это не только материальный ущерб, но и ущерб чести и достоинству. Помимо административных санкций, уголовные санкции за нарушения персональных данных отражены только в положениях о конфиденциальности и сфере информационных технологий и сетевой безопасности в статье 159 и статье 288 действующего Уголовного кодекса с относительно низкими сроками тюремного заключения — не более 7 лет и штрафами — не более 1 млрд донгов. Этот штраф, если сравнивать с уровнем ЕС в 20 млн евро, сингапурским 1 млн сингапурских долларов или пожизненным заключением в Китае, все еще очень мал, несоизмерим со многими нарушениями.

В то же время необходимо регулировать многие группы поведения, которые в настоящее время не упомянуты в законе, такие как крупномасштабная торговля данными, создание систем для нарушения данных, нарушения в сфере маркетинговых услуг и т. д.

В-третьих, по образцу агентства по защите персональных данных во Вьетнаме . В настоящее время Департамент кибербезопасности и предупреждения высокотехнологичных преступлений при Министерстве общественной безопасности является специализированным агентством по защите персональных данных. Ссылаясь на международные правила, мы можем рассмотреть возможность создания независимого агентства по защите персональных данных, ответственного за обеспечение соблюдения Закона о защите персональных данных, проведение инспекций, проверок, выпуск руководств и рекомендаций, а также применение санкций за нарушения, если таковые имеются.

Мы можем ссылаться на эти модели в ЕС или Сингапуре... для эффективного обеспечения соблюдения законов о защите персональных данных, обеспечивая баланс между защитой личных прав и обеспечением безопасности сети.

Защита персональных данных — непростая задача, особенно в контексте интеграции, когда деятельность по мониторингу и сбору персональных данных осуществляется в больших масштабах, а вьетнамская правовая система, регулирующая этот вопрос, все еще находится в процессе формирования и совершенствования.

Изучение международного права по этому вопросу с учетом практической ситуации во Вьетнаме поможет нам вскоре создать правовую основу для комплексной защиты персональных данных, совместимую с международным правом и обеспечивающую эффективное его исполнение.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html