Федеральная комиссия по связи США 27 октября 2016 года (Federal Communication Commission, FCC) утвердила новые правила по защите конфиденциальности потребителей услуг широкополосной связи и других телекоммуникационных услуг.
Правила реализуют требование статьи 222 закона «О связи» в части защиты конфиденциальности потребителей, предоставляя потребителям инструменты для принятия решения по дальнейшему использованию своей личной информации. Правила устанавливают структуру потребительского соглашения, которое дает поставщикам интернет-услуг (провайдерам) право использовать и передавать третьим лицам личную информацию пользователей с учетом степени ее чувствительности. Такой подход согласуется с другими механизмами обеспечения конфиденциальности, в том числе «Биллем о праве потребителей на неприкосновенность частной жизни» Федеральной торговой комиссии и Администрации.
Новые правила обязуют провайдеров получать неавтоматическое разрешение клиента на передачу третьей стороне его личной информации, а также оперативно уведомлять клиентов о серьезных нарушениях данных. Правила лишают крупные коммуникационные компании прибылей от продажи персональной информации, которой они до настоящего времени активно обменивались со сторонними компаниями, такими как рекламные сети и аналитика.
Согласно новым правилам, провайдеры, как широкополосной мобильной связи, так и фиксированного широкополосного доступа обязаны уведомлять клиентов о том, какие типы информации о них собираются, и указывать, каким образом и для каких целей провайдер использует эту информацию, а также кому намеревается передать ее в дальнейшем.
В Правилах определены три категории процедур использования и обмена информацией провайдером:
«Opt-in» (согласие): провайдер обязан получить согласие потребителя на использование и обмен его конфиденциальной информации, к которой в том числе относятся геолокация, финансовые данные, информация о здоровье и детях, номера социального страхования, история браузеров, история использования приложения и содержание сообщений.
«Opt-out» (отказ): провайдеру будет разрешено использовать и делиться неконфиденциальной информацией клиента, если клиент не выберет опцию Opt-out (отказ). Использование неконфиденциальной информации пользователей, например, адрес электронной почты, будет зависеть от решения самого потребителя в соответствии с его ожиданиями.
Согласие не требуется: согласие пользователя не требуется для ряда целей, указанных в законе, в том числе для использования неконфиденциальной информации для реализации услуг и оборудования, которыми пользуется клиент; для предоставления услуг широкополосной связи и выставления счетов; для защиты провайдера и его клиентов от мошенничества и проч.
Кроме того, правила включают в себя требования к прозрачности, которые обязывают провайдеров предоставлять потребителям четкие, хорошо заметные уведомление о своих намерениях по использованию информации, которую они собирают, а также о том, как клиенты могут изменить свои настройки конфиденциальности.
Если провайдер намеревается использовать обезличенную информацию, чтобы не заключать соглашение на использование личной информации, для него остаются обязательными три требования, сформулированные Федеральной торговой комиссией в 2012 году. Он обязан изменить информацию о клиенте так, чтобы она не могла быть привязана к конкретному лицу или устройству; сохранять и использовать информацию в неидентифицируемом формате и не пытаться повторно реидентифицировать клиента.
Правила запрещают бескомпромиссное («не нравится — не бери») навязывание условий получения услуг. То есть провайдер не может отказаться обслуживать клиентов, которые не соглашаются с использованием и обменом их личной информации в коммерческих целях.
Провайдеры должны немедленно и постоянно уведомлять клиентов о любых изменениях своей политики конфиденциальности и размещать данную информацию на веб-сайте провайдера или мобильного приложения.
Правила запрещают провайдерам предлагать скидки или другие льготы клиентам в обмен на их согласие предоставлять свою личную информацию для ее последующего использования и обмена. Комиссия будет определять легитимность таких предложений отдельно для каждого случая. Потребители не должны быть вынуждены выбирать между оплатой более высокой цены и сохранением конфиденциальности своих данных.
Потребители имеют право знать о случаях, когда их данные были скомпрометированы. Поэтому правила включают в себя требования по уведомлению о несанкционированном раскрытии личной информации клиента (в рамках здравого смысла).
В частности, в случае инцидента провайдеры обязаны, как можно быстрее, но не позднее 30 дней, уведомить клиента о факте компрометации данных. При несанкционированном раскрытии данных 5000 и более клиентов провайдер обязан известить об этом не позднее 7 рабочих дней ФКС, ФБР и Секретную службу США. Для инцидентов менее 5000 человек, следует, кроме самих пострадавших, уведомить также FCC.
Член Федеральной комиссии по связи Аджит Пай высказался против принятия правил: «Правила не будут делать ничего, чтобы остановить веб-компании, такие как Google, Facebook, Yahoo, Twitter от сбора и обмена личными данными своих пользователей. Это не управление данными. Это корпоративный фаворитизм».
Более жесткие правила конфиденциальности для интернет-провайдеров приведут к путанице среди потребителей, считает Пай. Потребители «не должны быть сетевыми инженерами, чтобы понять, кто именно собирает их данные, и они не должны иметь степень в области права, чтобы определить, должны ли быть защищены их данные».
