Кратко — по ключевым направлениям различий и тому, как они влияют на уровень защиты и доверие граждан.
1) Законодательная база
- ЕС: единый общий акт — GDPR (Регламент (EU) $2016/679$) с экстерриториальным действием: применим к обработке персональных данных лиц в ЕС независимо от места провайдера. Основные принципы — минимизация, назначение основания обработки, права субъектов, «privacy by design». Штрафы до $€20,000,000$ или $4\%$ мирового годового оборота, что стимулирует строгую комплаенс‑политику.
- США: фрагментарно — отраслевые (HIPAA, GLBA, FERPA), штатовое право (например, CCPA/CPRA в Калифорнии) и регулирование через агентства (FTC). Нет всеобъемлющего федерального закона; подход «по секторам» и риск‑ориентированная регуляция. Штрафы и механизмы разнообразны, часто меньше централизованного устрашающего эффекта, чем у GDPR.
2) Права субъектов и требования к обработке
- ЕС: развитый набор прав — доступ, исправление, удаление (право на забвение), переносимость, возражение, ограничение, запрет автоматизированного принятия решений; обязательные DPIA и назначение DPO в ряде случаев.
- США: права менее унифицированы — CCPA/CPRA дают доступ, удаление и право на отказ от «продажи» данных, но остальные штаты и отрасли различаются; часто доминирует уведомление и согласие/отказ (notice & choice) либо возможность судебных исков/штатных штрафов.
3) Перенос данных и трансграничность
- ЕС: строгие правила трансфера (адекватность, SCC, BCR); решение Schrems II ($2020$) аннулировало Privacy Shield, создав напряжение с США.
- США: Cloud Act позволяет US‑властям требовать данные от компаний, включая данные, хранящиеся за рубежом — это источник правового конфликта с европейскими стандартами.
4) Государственный доступ и надзор
- ЕС: более жёсткие гарантии судебного контроля и ограничений для разведслужб (судебные проверки, пропорциональность).
- США: сильная роль национальной безопасности (FISA, Patriot Act, прецеденты PRISM), широкие полномочия правоохранительных и разведорганов, что снижает гражданское доверие в Европе.
5) Практика комплаенса и культура компаний
- ЕС: «privacy as fundamental right» → компании чаще внедряют privacy by design, псевдонимизацию, регистрационные журналы, назначают DPO; регуляторы сильны в административной практике.
- США: культура «privacy as product/market issue» — компании балансируют между инновацией и риском; активна саморегуляция, стандарты индустрии, судебные иски и класс‑экшены стимулируют ответственность, но нет единого подхода.
6) Оперативные требования на инциденты
- ЕС: уведомление о нарушении данных — в течение $72$ часов контролирующему органу; прозрачность в отношении субъектов данных.
- США: множество штатов требуют уведомления при утечках, сроки и пороги различаются; федерально унифицированного срока нет.
7) Влияние на уровень защиты и доверие
- Защита: GDPR обеспечивает более предсказуемое и технически строгие обязательства (больше обязательств по шифрованию, DPIA, минимизации). В США защита сильно зависит от отрасли и компании: в одних сферах (медицина, финансы) высокая защита, в других — слабее.
- Доверие граждан: в ЕС формальные права и видимая общественная защита повышают доверие, но эффективность зависит от исполнения национальными регуляторами. В США корпоративная прозрачность и рыночные механизмы частично компенсируют отсутствие единого закона, но фрагментация и государственный надзор снижают общее доверие.
Вывод (суть): ЕС делает ставку на унифицированные права, строгие обязанности и высокий административный контроль, что формально повышает защиту и доверие; США полагается на секторное регулирование, рынок и судебную практику — это даёт гибкость и инновации, но приводит к неравномерной защите и менее однозначному доверию граждан.