Секретность данных в интернете
Акт о переносимости и ответственности страхования здоровья (HIPAA)
Не следует сразу пропускать этот раздел, если сайт не связан со страхованием здоровья. Законодательный акт США, называемый HIPAA (Health Insurance Portability and Accountability), содержит гораздо больше информации, чем можно предположить по названию. Если сайт даже косвенно связан со здоровьем, медициной или медикаментами, необходимо ознакомиться с HIPAA, чтобы узнать, как относится данный закон к сайту.
Многим акт HIPAA больше известен как акт Кеннеди-Кессбаума, изданный в 1996 г. с целью облегчения страхования здоровья при смене работы. Авторы законодательного акта, сенаторы Кеннеди и Кессбаум, сделали вывод о том, что описанные обстоятельства поднимут стоимость страхования здоровья (например, из-за ограничения страховых компаний в отклонении требований или отказе в предоставлении услуг). Закон призван обеспечить компьютеризацию медицинских записей, особенно в области ведения счетов и платежей. Многочисленные исследования показали, что стандартизация кодов платежей обеспечивает огромные финансовые выгоды страховым компаниям и здравоохранительным организациям, увеличивает скорость и точность осуществления платежей при уменьшении числа младших сотрудников. Ранее подобные предложения не принимались, поэтому в законе HIPAA они вынесены в отдельный раздел под названием "Административное упрощение".
Сайт может попасть под действие закона HIPAA, поскольку в разделе "Административное упрощение" законодатели упомянули потенциальную утерю секретности, связанную с компьютеризацией медицинских данных. Согласно Закону о секретности (изданному в дополнение к Акту HIPAA) организация не имеет права использовать или разглашать информацию о защите здоровья, за исключением конкретных обстоятельств, описанных в законе. Более того, говорится, что "организация должна иметь соответствующие административные, технические и физические средства безопасности для защиты секретности информации о здоровье".
Эти средства безопасности описываются в документе Security Rule (Правило безопасности), который "определяет требования к безопасности, необходимые для защиты конфиденциальности и секретности информации, о которых идет речь в Законе". В Правиле безопасности описываются средства защиты для физического хранения и управления, передачи и доступа к личной информации о состоянии здоровья. Правила относятся не только к транзакциям, попадающим под действие закона HIPAA, но и к любой личной информации о состоянии здоровья, передающейся по электронным каналам. К счастью, Правило безопасности не требует использования каких-либо конкретных технологий. Оно подразумевает применение различных решений в зависимости от требований той или иной организации.
На кого распространяется закон HIPAA?
HIPAA относится ко всем здравоохранительным организациям и связанным с ними объектам, включая клиники, больницы, частные врачебные организации, персонал, страховые компании, расчетные палаты, пункты выписки счетов, поставщиков информационных систем, организации сферы услуг и учебные заведения. Правило секретности предусматривает защиту секретности информации, относящейся к здоровью лиц, лечению или плате за медицинские услуги. Правило секретности дает лицам право на получение письменного уведомления о том, какие действия выполняются с их информацией, а также право на доступ и изменение информации о состоянии здоровья. Клиники и поставщики других услуг, связанных со здоровьем, должны предоставлять клиентам журналы с данными о разглашении информации и получать письменное разрешение клиентов на использование информации в целях, которыми не являются лечение, внесение платежей или операции, связанные со здравоохранением. Организации должны ограничить до необходимого минимума разглашение информации. На сегодняшний день срок действия Правила секретности уже истек (апрель 2003 г.), хотя некоторые его детали прорабатываются до сих пор. Срок действия Правила безопасности еще не установлен, поэтому трудно говорить о том, как "попадающая под действие закона" организация может соответствовать Правилу секретности без применения мер, о которых говорится в Правиле безопасности.
Для веб-сайтов HIPAA применяется аналогично положениям о принципах честного информационного взаимодействия. Каждый раз при предоставлении личной информации через сайт ее владелец должен в обязательном порядке уведомляться об этом. Информация должна шифроваться при передаче (здесь устанавливаемым требованиям вполне отвечает SSL) и быть защищенной при хранении (что означает ее хранение вне самого веб-сервера). Запросы на доступ к личной информации могут поступать через веб-сайт, но в этом случае нужно соблюдать особую осторожность. Если на сайте не реализована аутентификация, то нельзя гарантировать, что доступ к информации получит именно тот, кому эта информация принадлежит. Аутентификация может проводиться в различных формах, вплоть до обычных бумажных анкет, заполняемых владельцем информации.
Совет. Для привлечения внимания руководства к закону HIPAA следует уведомить его о том, что закон предусматривает строгие наказания по гражданской и уголовной ответственности, включая штрафы до $25 000 за неоднократное нарушение закона за календарный год, даже если эти нарушения несущественны. Нецелевое использование информации о здоровье может привести к штрафам до $250 000 и/или тюремному заключению на срок до десяти лет.
Правила секретности стран мира
В последние годы во многих странах изданы новые законы в области секретности. Веб-мастеру не обязательно знать обо всех законах, однако в зависимости от тематики сайта следует обдумать, как он соответствует правилам секретности, имеющимся в других странах. В предыдущих разделах подразумевалось, что веб-сайт расположен в США и, следовательно, подчиняется законам США. В этой книге описаны не все правила секретности, имеющиеся в странах мира. Посетив приведенные ссылки, можно получить информацию о законах других стран. Рассмотрим ситуацию, когда сайт находится в Европе (на территории Европейского Союза), чтобы рассказать о законах целого ряда стран; при этом затронем такой важный аспект секретности как "международные потоки данных".
Европейский Союз представляет собой географически, экономически и политически взаимосвязанную структуру, состоящую из пятнадцати стран: Австрии, Бельгии, Дании, Финляндии, Франции, Германии, Греции, Ирландии, Италии, Люксембурга, Нидерландов, Португалии, Испании, Швеции и Великобритании. Общее население Европейского Союза больше, чем население всей Северной Америки, а в его состав входят десять из пятнадцати богатейших наций мира.
В далеких восьмидесятых годах некоторые члены ЕС начали создание законодательной базы, призванной защитить субъектов данных. Например, в Великобритании в 1984 г. был издан Акт о защите данных, в основу которого заложен принцип принуждения/восстановления, и создан орган, во главе которого стоял Комиссионер защиты данных; в этой структуре проходили регистрацию все контроллеры данных. Под контроллером данных подразумевалось любое лицо, определяющее цели и способ обработки данных; это мог быть любой человек, владеющий базой данных с информацией о других людях. В реестре общего доступа приводились имена и адреса контроллеров данных и общее описание процесса обработки данных, осуществляемого тем или иным контроллером. (Акт о защите данных Великобритании обновлен в 1998 г., однако лежащий в его основе принцип регистрации в базе данных остался неизменным, что иллюстрирует разницу между подходами к защите данных в США и в Европе.)
Несмотря на то, что члены ЕС свободно издают свои собственные законы, они обязаны согласовывать их с соответствующими законами других стран Союза. Так, в 1995 г. издана Директива о защите данных (DPD), призванная согласовать законы о защите информации. Директива DPD вступила в силу в 1998 г.; она не только устанавливала общие стандарты защиты данных, но и определяла "основополагающие права и свободы обычных людей, и, в частности, их право на сохранение секретности при обработке их личной информации". Согласно директиве DPD, личные данные должны:
- обрабатываться честно и с полным соблюдением законов;
- собираться для определенных, конкретных и легальных целей;
- быть адекватными, соответствующими и не избыточными в отношении той цели, с которой они собираются;
- быть точными и, если это необходимо, постоянно обновляемыми;
- содержаться в форме, разрешающей идентификацию субъектов данных в течение промежутка времени, не превышающего срока, необходимого для удовлетворения целей сбора данных и последующей обработки.
По большей части, это несколько иная интерпретация четко устоявшихся принципов, но в директиве DPD говорится о том, что "передача третьей стороне личных данных, которые подвергаются обработке или будут обрабатываться после передачи, может осуществляться только в том случае, если…рассматриваемое государство обеспечит достаточный уровень защиты". Иными словами, директива DPD запрещает передачу личных данных странам, не входящим в ЕС, которые считаются "небезопасными" с точки зрения обеспечения безопасности личных данных. Следует заметить, что США рассматриваются как "небезопасная" зона. Ниже приведено дипломатическое заключение об этом с веб-сайта Министерства торговли США.
Общей целью США и ЕС является повышение уровня защиты данных, но США используют другой подход к защите секретности, чем ЕС. США используют секторальный подход, основывающийся на комбинации законов, регулятивных мер и саморегуляции. В Европейском Союзе используются методы, основанные на всеобъемлющем законе, который требует создания правительственных служб по защите данных, регистрации баз данных в этих службах и, в некоторых случаях, получения предварительного разрешения перед началом обработки данных. В результате основательного различия в этих подходах директива DPD препятствует возможности США участвовать в трансатлантических транзакциях.
Документ "U.S./EU Safe Harbor"
К счастью, Министерством торговли США установлен некий "мост" между столь различными подходами посредством разработки особых положений, с помощью которых организации США могут действовать в рамках директивы DPD. После проведения консультации с Европейской Комиссией в Министерстве торговли США разработан документ "Safe Harbor" ("Залив безопасности"), одобренный Европейским Союзом в июле 2000 г. На сайте Министерства торговли этот документ описывается следующим образом.
"Safe Harbor" представляет собой действенный способ избежать прерывания деловых взаимоотношений компаний США с Европейским Союзом или запрета операций на основе европейских законов о секретности. Сертификация документа "Safe Harbor" обеспечивает тот факт, что организации Европейского Союза будут уверены в обеспечении американскими компаниями "адекватной" защиты секретности, определенной в Директиве.
Совет. Документ "Safe Harbor" не является обязательным в двух случаях: если субъект данных не имеет возражений против передачи данных, или если передающая сторона использует "адекватные средства защиты" данных в принимающей их стране, что подтверждается заключением договора между передающей и принимающей сторонами. Оба эти исключения используются при передаче данных в США из ЕС.
Любая компания в США, меры по защите секретности которой соответствуют положениям документа "Safe Harbor", может получить одобрение европейских организаций, обеспечив "адекватную" защиту секретности, определенную в директиве. Американская компания должна использовать семь принципов документа Safe Harbor. Они представляют собой разновидность основных концепций секретности и находятся в разделе Safe Harbor веб-сайта Министерства торговли США (http://www.export.gov/safeharbor/). На сегодняшний день в список сертифицированных организаций входит более ста компаний.
Совет. Концепция Safe Harbor уже упоминалась ранее в отношении закона COPPA. TRUSTe (одна из организаций, одобренная Федеральной торговой комиссией США в части использования Safe Harbor для COPPA) предлагает программу EU Safe Harbor. Очевидно, что с помощью TRUSTe можно решить множество проблем, однако нельзя просто "приобрести" защиту, оплатив стоимость лицензии. Необходимо предпринимать все меры для соответствия требованиям TRUSTe.