Федеральные правительственные учреждения должны будут получить согласие, прежде чем предоставлять личную информацию другим правительствам и частному сектору, если это возможно сделать в соответствии с предлагаемыми законами об обмене данными в государственном секторе.
Проект Закона о доступности и прозрачности данных, опубликованный на этой неделе, раскрывает изменение политической позиции Управления национального комиссара по данным (ONDC), которое включает согласие в один из пяти принципов обмена данными.
ONDC, который относится к Департаменту премьер-министра и Кабинета министров, ранее заявил, что согласие должно только поощряться, поскольку основанная на согласии модель обмена данными “может создать предвзятость в данных”.
Вместо этого она предложила возложить бремя ответственности на агентства и аккредитованных пользователей данных, предложив, что “согласие может быть встроено в применение принципов обмена данными … если это практично и осуществимо”.
Но после дальнейших консультаций в течение последних 10 месяцев ONDC заявил, что «требование о согласии было повышено в законопроекте», а не «только в руководстве по применению принципов обмена данными».
“В соответствии с принципом проекта любой обмен личной информацией осуществляется с согласия отдельных лиц, если только не является неразумным или нецелесообразным запрашивать их согласие”, — говорится в утешительном документе законопроекта [pdf].
Там, где невозможно получить согласие — как это определено Законом о конфиденциальности, — агентства смогут включить другие меры по повышению конфиденциальности в принципы обмена данными.
Это может включать “использование деидентифицированных данных там, где это возможно, и проведение оценки воздействия на конфиденциальность” (PIA).
Схема контролируемого доступа к данным
Помимо дополнительного контроля за согласием, предлагаемые реформы обмена данными в значительной степени совпадают с тем, что было представлено ONDC в дискуссионном документе в ноябре прошлого года.
Законопроект устанавливает схему контролируемого доступа, которая позволит агентствам более свободно обмениваться данными с аккредитованными организациями на всех уровнях государственного управления, а также с промышленностью, исследованиями и другими частными секторами.
Эта схема, которая также будет состоять из кодексов данных и правил, разработанных ONDC, включает в себя многочисленные гарантии, такие как пять принципов обмена данными для “управления рисками и оптимизации процессов”.
“Законопроект использует основанный на принципах подход к обмену данными, предоставляя сторонам гибкость в адаптации механизмов обмена и гарантируя, что схема может реагировать на развивающиеся технологии и ожидания сообщества”,-говорится в пояснительной записке к законопроекту [pdf].
“Модернизация подхода к обмену данными государственного сектора позволит правительству предоставлять эффективные услуги и более обоснованную политику, а также поддерживать исследования и разработки.”
Однако данные будут публиковаться только в том случае, если они связаны с тремя целями: предоставление услуг, информирование о политике и программах, а также исследования и разработки.
Правительство уже исключило использование предлагаемых законов для целей соблюдения и обеспечения безопасности, чтобы избежать еще одного рободебта, который оно теперь встроило в законодательство.
“Законопроект запрещает обмен данными государственного сектора для определенных целей, таких как комплаенс и контрольная деятельность, а также для других целей, связанных с правоприменением”,-говорится в нем.
Законодательство также не разрешает обмен данными национальной безопасности, данными Моей медицинской карты или любыми “особо конфиденциальными данными, обрабатываемыми в соответствии с другим законодательством или данными, нарушающими права интеллектуальной собственности».
Законопроект создаст “альтернативный путь” для агентств по обмену правительственными данными, который отменяет около 500 положений о секретности и конфиденциальности данных в 175 действующих законодательных актах, позволяя при этом этим путям и механизмам оставаться незатронутыми.
Государственные учреждения (хранители данных) будут обмениваться данными государственного сектора только с аккредитованными пользователями и аккредитованными поставщиками услуг передачи данных (ADSP), которые — как следует из их названий — будут аккредитованы национальным уполномоченным по данным.
ADSP будет выполнять такие услуги передачи данных, как интеграция от имени государственных учреждений и аккредитованных пользователей, чтобы позволить им “безопасно обмениваться и использовать данные”.
В рамках аккредитации национальный уполномоченный по данным будет оценивать “потенциальных получателей данных и их способность сохранять [данные] в безопасности”, а также отменять или изменять аккредитацию.
Однако этот процесс “не гарантирует, что данные будут переданы пользователю для конкретного проекта”, поскольку законопроект не “обязывает” агентства обмениваться данными.
“Хранители данных несут ответственность за оценку каждого запроса на обмен данными и принятие решения о том, следует ли делиться своими данными, если они удовлетворены, то риски могут быть управляемы”, — говорится в пояснительной записке.
Государственные учреждения также должны будут заключать “соглашения об обмене данными” с аккредитованными пользователями и ADSP, которые будут общедоступны в онлайн-реестре.
“Эти регистры дадут представление о том, какие данные передаются и почему, кто получает доступ к данным и как они безопасно передаются”, — говорится в пояснительной записке.
Хранителям данных или пользователям могут грозить штрафы или тюремное заключение за несоблюдение требований к обмену данными, таких как аккредитация.
Оценка конфиденциальности
Наряду с законопроектом ONDC выпустила второй независимый PIA, который, хотя и сделал несколько рекомендаций, в значительной степени удовлетворен “направлениями высокого уровня”.
PIA, проведенное компанией Information Integrity Solutions (IIS), оценило риски конфиденциальности в предлагаемой схеме обмена данными как “потенциально высокие”, при этом большие наборы данных должны быть широко распространены.
“Обмен данными такого рода, который будет разрешен проектом, когда речь идет о личной информации, несет в себе высокие неотъемлемые риски конфиденциальности”, — говорится в PIA.
“Это может включать в себя большие объемы данных, используемых в новом контексте, удаленные из настроек, в которых первоначально собиралась информация.
Но IIS пришел к выводу, что “проект… рамки сильны”, признавая “значительную работу, которая была проделана в разработке конфиденциальности в рамках проекта [законопроекта]”.
“Его уровни защиты имеют потенциал для совместной работы по выявлению и тщательному управлению рисками конфиденциальности, связанными с любым проектом обмена данными”, — говорится в PIA.
ИИС отметила ряд проблем, связанных с “подходом, основанным на принципах высокого уровня”, который, по ее словам, “обеспечивает четкие ориентиры, но ни в коем случае не является дорожными картами”.
“Тот факт, что многие из его ключевых терминов и понятий не определены или не детализированы в Законопроекте, вызвал беспокойство у заинтересованных сторон, с которыми ИИС консультировалась для ПИА”, — говорится в сообщении, добавив, что она “разделяет многие из этих опасений”.
“Однако он также удовлетворен тем, что при условии, что указания высокого уровня в проекте будут подкреплены четкими, подробными и последовательными правилами, стандартами и руководящими указаниями, влияние проекта на конфиденциальность будет обеспечено … должно быть разумным и соразмерным.”
ONDC согласился или согласился в принципе выполнить 10 рекомендаций, вытекающих из PIA, в том числе разработать руководство, в котором четко сформулированы разрешенные цели обмена данными.
Консультации по проекту экспозиции продлятся до 6 ноября.
