СМИ довольно много внимания уделяют отечественным инициативам о защите персональных данных, в частности требованию хранения данных российских граждан на территории России. Это и неудивительно: претензий по части выполнения подобных требований, да и к формулировкам самих законов - хоть отбавляй. Но мало говорится о том, что аналогичные меры, подчас не в такой ультимативной форме, требуют защиты персональных данных и за рубежом.
Для защиты данных американцев от правительств иностранных государств, которые представляют угрозу для национальной безопасности, навязывая требования к безопасности данных и усиливая обзор иностранных инвестиций, а также для других целей.
Источник Это, если что, представленный сенатором США Джошем Хоули «Закон о национальной безопасности и защите персональных данных 2019». И направлен он против стран, которые «вызывают озабоченность». В число этих стран входят:
(i) Китайская Народная Республика;
(ii) Российская Федерация;
и (iii) любая другая страна, указанная госсекретарем как вызывающая озабоченность в отношении защиты конфиденциальности и безопасности данных.
Направлен закон против следующих рисков:
(I) ... если правительство такой страны получит доступ к пользовательским данным граждан и жителей Соединенных Штатов; а также
(II) ... что правительство такой страны не сможет обеспечить такое же уважение гражданских свобод и неприкосновенности частной жизни, как Конституция и законы Соединенных Штатов, получит пользовательские данные от компаний, которые собирают пользовательские данные…
Честно говоря, непонятно, почему неуважение к свободе и неприкосновенности выказывают только две страны.
Закон направлен не только против стран в целом, но и против технологических компаний:
Термин «покрываемая технологическая компания» означает организацию, которая предоставляет онлайновую службу на основе данных, такую как веб-сайт или интернет-приложение, или влияет на межгосударственную или внешнюю торговлю
(A) организовано в соответствии с законодательством страны, вызывающей опасения;
(B) в котором иностранные лица, являющиеся гражданами или компаниями, которые организованы в соответствии с законодательством стран, вызывающих опасения, имеют значительный или контрольный пакет акций;
(C) является дочерней компанией юридического лица, описанного в подпунктах (A) или (B); или
(D) иным образом подпадает под юрисдикцию страны, вызывающей озабоченность, таким образом, который позволяет стране, в которой совершается беспокойство, получать пользовательские данные граждан и жителей Соединенных Штатов...
Что требует закон:
Компания не должна хранить какие-либо пользовательские данные, собранные у граждан или жителей Соединенных Штатов, или информацию, необходимую для расшифровки этих данных, например ключи шифрования, на сервере или другом устройстве хранения данных, которое находится за пределами Соединенных Штатов или страны, в которой они находятся.
То есть это - полный аналог требований по хранению ПДн российских граждан в России.
А если нарушить?
Любое лицо, нарушившее пункт (1), должно быть лишено свободы на срок не более 5 лет, оштрафовано на основании раздела 18, кодекса Соединенных Штатов или того и другого.
До 5 лет!
https://www.drweb.ru/pravda/issue/?number=901