DOI: 10.21045/2071-5021-2025-71-6-9

Сидоров К.В., Голубев Н.А., Евдокимов А.О., Швырёв С.Л.
ФГБУ «Центральный научно-исследовательский институт организации и информатизации здравоохранения» Министерства здравоохранения Российской Федерации, Москва, Россия

Резюме

Актуальность. В условиях глобальной цифровой трансформации работа с персональными данными, особенно в такой чувствительной сфере, как здравоохранение, сталкивается со значительными нормативно-правовыми барьерами. Ключевым вызовом является неоднозначность регулирования, связанная с правами субъектов данных и правовыми основаниями их обработки. Различные юрисдикции демонстрируют расходящиеся подходы к решению этой проблемы, от строгих европейских стандартов до моделей с акцентом на государственный контроль или корпоративную ответственность, что создает сложности для международного взаимодействия и препятствует внедрению инноваций в сфере управления данными.

Цель. Сравнительный анализ зарубежных правовых режимов защиты персональных данных, направленный на выявление общих нормативных барьеров и определение пределов ограничений прав субъектов в общественно-значимых сферах.

Материалы и методы. В основе работы лежит сравнительно-правовой анализ нормативных документов, регулирующих защиту персональных данных в ключевых юрисдикциях: Европейский союз (GDPR), Азия (PDPA Сингапура, PDPO Гонконга, DPDP Act Индии, PIPL Китая) и Северная Америка (CCPA/HIPAA США, PIPEDA Канады). Методология включает правовой анализ статей регламентов и законов, синтез принципов обработки данных и выявление общих и специфических правовых барьеров.

Результаты. Установлено, что универсальные нормативные барьеры формируются вокруг трех компонентов: 1) объем прав субъектов данных и их ограничения для публичных интересов; 2) строгие требования к операторам по защите, минимизации и ограничению целей обработки; 3) дифференциация регулирования для государственного и частного секторов. Выявлено, что даже в строгих режимах, как GDPR законодательство предусматривает гибкие механизмы обработки данных без прямого согласия для научно-исследовательских целей.

Заключение. Проведенный анализ демонстрирует, что современное регулирование работы с персональными данными балансирует между защитой прав личности и публичными интересами. Выявленные универсальные контуры нормативных барьеров и заложенные в законодательстве исключения для научных и медицинских целей могут быть учтены в российской юрисдикции для формирования сбалансированной правовой модели, отвечающей задачам цифровой трансформации здравоохранения.

Ключевые слова: персональные данные; нормативно-правовое регулирование; сравнительно-правовой анализ; GDPR; цифровая трансформация здравоохранения.

Контактная информация: Сидоров Кирилл Владимирович, email: Этот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script
Финансирование. Исследование не имело спонсорской поддержки.
Конфликт интересов. Авторы декларируют отсутствие явных и потенциальных конфликтов интересов в связи с публикацией данной статьи.
Соблюдение этических стандартов. Данный вид исследования не требует прохождения экспертизы локальным этическим комитетом.
Для цитирования: Сидоров К.В., Голубев Н.А., Евдокимов А.О., Швырёв С.Л. Нормативные барьеры работы с персональными данными. Аналитический обзор зарубежных правовых режимов. Социальные аспекты здоровья населения [сетевое издание] 2025;

REGULATORY BARRIERS TO PERSONAL DATA MANAGEMENT. AN ANALYTICAL REVIEW OF INTERNATIONAL LEGAL REGIMES
Sidorov K.V., Golubev N.A., Evdokimov A.O., Shvyrev S.L.
Russian Research Institute of Health, Ministry of Health of the Russian Federation, Moscow, Russia

Abstract

Significance. In the context of global digital transformation, personal data management, especially in such a sensitive area as healthcare, faces significant regulatory and legal barriers. The key challenge is the ambiguity of regulation related to the rights of data subjects, and the legal basis for data processing. Different jurisdictions demonstrate a range of approaches to solving this issue, from strict European standards to models with an emphasis on state control or corporate responsibility, complicating international cooperation and preventing innovation in data management.

Purpose. To undertake a comparative analysis of international legal regimes for personal data management, aimed at identifying common regulatory barriers and determining the scope of restrictions on the rights of subjects in socially significant areas.

Material and methods. The work is based on a comparative legal analysis of documents regulating personal data protection in key jurisdictions: the European Union (GDPR), Asia (PDPA of Singapore, PDPO of Hong Kong, DPDP Act of India, PIPL of China) and North America (CCPA/HIPAA of the USA, PIPEDA of Canada). The methodology includes a legal analysis of articles of regulations and laws, a synthesis of data processing principles, and identification of general and specific legal barriers.

Results. It has been established that there are three main components that form universal regulatory barriers: 1) the scope of rights of data subjects and their limitations for the public interest; 2) strict requirements for operators to protect, minimize and limit processing purposes; 3) differentiation of regulation for the public and private sectors. It has been revealed that even in strict regimes like GDPR, legislation provides for flexible data processing mechanisms without direct consent for research purposes.

Conclusion. The analysis demonstrates that modern regulation of personal data management strikes a balance between protecting individual rights and promoting the public interest. The identified universal contours of regulatory barriers and the exceptions stipulated by legislation for scientific and medical purposes can be taken into account within the Russian jurisdiction to develop a well-balanced legal model that meets the challenges of digital transformation in healthcare.

Keywords: personal data; legal regulation; comparative legal analysis; GDPR; digital transformation in healthcare; public interest; scientific research.

Corresponding author: Kirill V. Sidorov, email: Этот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script
Acknowledgements. The study had no sponsorship.
Competing interests. The authors declare the absence of any conflicts of interest regarding the publication of this paper.
Compliance with ethical standards. This study does not require a conclusion from the Local Ethics Committee.
For citation: Sidorov K.V., Golubev N.A., Evdokimov A.O., Shvyrev S.L. Regulatory barriers to personal data management. An analytical review of international legal regimes. Social'nye aspekty zdorov'a naselenia [serial online] 2025; (In Rus).

Введение

Современный этап технологического развития характеризуется интенсивной цифровой трансформацией ключевых отраслей экономики и социальной сферы, среди которых особое место занимает здравоохранение. Переход к персонализированной медицине, основанной на данных, создание комплексных систем электронного здоровья и внедрение предиктивных аналитических моделей требуют масштабной обработки массивов персональных данных, включая особые категории информации о здоровье [1,2]. Данный процесс происходит в условиях глобализации цифровых услуг и трансграничного движения данных, что актуализирует вопросы их правовой защиты и соответствия международным стандартам [3].

В различных юрисдикциях мира сформировались отличительные подходы к регулированию обработки персональных данных — от жестких императивных норм Европейского союза до гибких отраслевых моделей США и сингапурской системы корпоративной ответственности. При этом прослеживается устойчивая тенденция к экстерриториальному действию национального законодательства и усилению санкций за нарушения [4]. Российская Федерация, реализуя собственные стратегические инициативы в области цифрового здравоохранения и научно-технологического развития, сталкивается с необходимостью гармонизации внутренних нормативных требований с лучшими международными практиками и преодоления избыточных административных барьеров [5].

Термин «таргет/таргетирование (от англ. target/targeting) - цель/нацеливание)» несмотря на постоянно расширяющееся пространство его применения, не имеет в современном русском языке однозначного устоявшегося определения. При этом вне зависимости от контекста, основная смысловая нагрузка термина связана с повышением избирательности реализуемого воздействия, а также селективности методов и средств для достижения целей за счет снижения издержек и повышения эффективности.

Первоначальное значение «таргет», связанное с профессиональным маркетингом и рекламой как обозначение «целевой аудитории», получило распространение: - на финансовую сферу применительно к целевым макроэкономическим показателям; - на сферу работы с данными и программными продуктами для обозначения изменения конкретных элементов; - на медицину - при описании процессов направленного воздействия лекарственных препаратов на конкретные биологические мишени, и даже как термин в сетевых компьютерных играх.

С учетом активной экспансии термина можно говорить об универсальности подхода, который базируется на постоянном развитии информационных и вычислительных технологий, позволяющих, с одной стороны, формировать специфичные (целевые) запросы к массивам данных, а с другой стороны, проводить прицельный отбор и анализ необходимых данных в адекватные сроки.

Однако в настоящее время работа с данными, включая реализацию таргетированных запросов к пространству данных сферы здравоохранения, сталкивается с различными барьерами, одним из которых и наиболее значимым является нормативный барьер, который связан с существенными различиями в требованиях в сфере нормативно-правового регулирования, включая вопросы, связанные с правами субъекта персональных данных и правовыми основаниями обработки данных и их использования.

Нормативный барьер в работе с персональными данными представляет собой совокупность требований законодательства, которые должны соблюдаться участниками информационного взаимодействия сферы здравоохранения, включая: субъектов, операторов, получателей и пользователей персональных данных и результатов их обработки [6].

Вызовы, связанные с нормативными барьерами, характерны для всего современного мирового пространства, отличаясь, по сути, «жесткостью» в части регуляторных требований и уровнем рестрикций, применяемых при их нарушении в различных юрисдикциях.

Настоящее исследование фокусируется на комплексном анализе многолетнего зарубежного опыта правового регулирования обработки персональных данных. Особое внимание уделяется выявлению универсальных правовых конструкций, обеспечивающих баланс между защитой прав субъектов персональных данных и потребностями общества в использовании данных для публично-значимых целей, включая научные исследования, разработку искусственного интеллекта и совершенствование системы здравоохранения.

Целью исследования является сравнительный анализ зарубежных правовых режимов защиты персональных данных, направленный на выявление общих нормативных барьеров и определение пределов ограничений прав субъектов в общественно-значимых сферах.

Материалы и методы

Для достижения цели исследования был выполнен всесторонний обзор и сравнительно-правовой анализ нормативных документов, являющихся основой правовых режимов защиты персональных данных в странах с наиболее развитым и влиятельным регулированием. В качестве материалов исследования выступили тексты следующих нормативно-правовых актов: Общий регламент по защите данных (GDPR) Европейского союза [7-9]; Personal Data Protection Act (PDPA, Сингапур) [10]; Personal Data (Privacy) Ordinance (PDPO, Гонконг) [11]; Digital Personal Data Protection Act (DPDP Act, Индия) [12]; Personal Information Protection Law (PIPL, Китай) [13,14]; California Consumer Privacy Act (CCPA, США) [15]; Health Insurance Portability and Accountability Act (HIPAA, США) [16,17]; Personal Information Protection and Electronic Documents Act (PIPEDA, Канада) [18].

Для описания универсальных контуров нормативных барьеров, были проанализированы тематические регуляторные акты, принятые в ряде стран мира, имеющих значительный охват и сопоставимую правовую конфигурацию для работы с персональными данными [19].

Методология исследования включала правовой анализ текстов статей указанных регламентов и законов, синтез основных принципов обработки персональных данных, прав субъектов и обязанностей операторов, а также сравнительный метод для выявления общих (универсальных) контуров нормативных барьеров и национально-специфических особенностей их реализации.

Результаты

Условная «стратификация» зарубежных правовых режимов по работе с данными, позволяет выделить наиболее важные правовые пространства, которые формируют ландшафт защиты персональных данных:

• Европейский Союз – Общий Регламент Защиты Персональных Данных (General Data Protection Regulation / GDPR), создающий единый правовой режим во всех государствах-членах ЕС.
• Азиатские юрисдикции — Сингапур (Personal Data Protection Act / PDPA), Гонконг (Personal Data (Privacy) Ordinance / PDPO), Индия (Digital Personal Data Protection Act / DPDP Act) и Китай (Personal Information Protection Law / PIPL).
• Североамериканские юрисдикции – США (California Consumer Privacy Act / CCPA, Health Insurance Portability and Accountability Act / HIPAA) и Канада (Personal Information Protection and Electronic Documents Act / PIPEDA).

Европейский союз, General Data Protection Regulation / GDPR– один из наиболее «строгих» правовых режимов в мире по работе с данными, установленный на сегодняшний день [7]. Он был принят 27 апреля 2016 года для замены устаревших директив по «защите приватности», действовавших в Европе, начиная с середины 90-х годов прошлого столетия, и вступил в силу 25 мая 2018 года.

Приоритетом GDPR является строгая и четко сформулированная защита прав субъектов персональных данных (далее – субъект ПД), которые, в связи с развитием информационных технологий, могут утрачивать «право на личную жизнь». К наиболее важным аспектам регулирования можно отнести следующие:

• Право субъекта ПД получать доступ к своим данным (статья 15 GDPR), вне зависимости от того предоставил ли он их самостоятельно или они были собраны компанией-оператором из других источников, получать информацию: о целях использования, направлениях передачи и источниках данных, времени хранения, а также о правах субъекта ПД [8], включая:
  • Право на уточнение (статья 16 GDPR) – внесение изменений в состав и содержание данных при наличии оснований.
  • Право на удаление данных (статья 17 GDPR*), в том числе в связи с отзывом согласия на обработку.
   * - При этом данная норма не применяется: 
  (c) ввиду публичного интереса в области здравоохранения; 
  (d) в целях архивирования в публичном интересе, в целях научных или исторических исследований или в статистических целях.
  • Право на ограничение обработки (статья 18 GDPR), при котором, при наличии оснований, приостанавливается использование данных без прерывания их хранения.
  • Право не быть объектом автоматизированного принятия решений (статья 22 GDPR), при котором субъект ПД может возражать против решений, принимаемых без участия человека (например, на основе алгоритмов, реализованных в информационных системах).
• Принципы обработки персональных данных (статья 5 GDPR), включая:
• Принцип законности, справедливости и прозрачности - данные должны обрабатываться законно <согласно статье 6 GDPR*>, справедливо и прозрачно для субъекта данных.
  * - Обработка является законной только в тех случаях, когда — и в той степени, в которой — выполнено по меньшей мере одно из следующих условий:
  (а) имеется согласие субъекта ПД для одной или нескольких конкретных целей;
  (b) для исполнения договора, в котором субъект данных является стороной;
  (с) для выполнения правового обязательства (требований закона);
  (d) для защиты жизненно важных интересов субъекта ПД или другого лица;
  (e) для выполнения задачи в публичном интересе или в рамках осуществления государственной власти;
  (f) для целей, вытекающих из легитимных интересов, за исключением случаев, когда преимущество над такими интересами имеют интересы или фундаментальные права и свободы субъекта данных.
• (b) Принцип ограничения целью – данные должны собираться для конкретных, отчетливых и законных целей и не обрабатываться в последующем несовместимым с этими целями образом. Дальнейшая обработка для архивных целей в публичном интересе, в целях исторических или научных исследований или для статистических целей <подлежит соответствующим гарантиям**> и не считается несовместимой с начальными целями.
  **- гарантии должны обеспечивать … соблюдение принципа минимизации данных <и могут включать> псевдонимизацию … В случае, когда обозначенные цели могут достигаться путем дальнейшей обработки, которая не позволяет или больше не позволяет идентификацию субъектов данных, эти цели должны осуществляться этим способом.
• (c) Принцип минимизация данных – данные должны быть адекватны и релевантны целям, для достижения которых они обрабатываются, а также ограничены этим целями.
• (d) Принцип точности данных – данные должны быть точными и при необходимости поддерживаться в актуальном состоянии; необходимо принять все разумные меры, чтобы персональные данные, которые являются неточными в свете целей, для которых они обрабатываются, были немедленно удалены или уточнены.
• (e) Принцип ограничения хранения данных – данные хранятся в форме, которая позволяет идентифицировать субъектов данных не дольше, чем это необходимо для целей, для которых эти данные обрабатываются.
• (f) Принцип целостности и конфиденциальности данных – данные должны обрабатываться способом, обеспечивающим соответствующую безопасность, включая защиту от несанкционированной или незаконной обработки, от случайной потери, уничтожения или повреждения.

Подводя краткий итог обзора европейского нормативного регулирования в сфере работы с данными можно сказать, что GDPR значительно расширил и конкретизировал права субъектов ПД, совместив это с усилением ответственности компаний - участников информационного рынка, сделав приватность и безопасность данных не просто рекомендацией, а жестким юридическим требованием [9].

При этом, что особенно важно в контексте разговора о преодолении существующих нормативных барьеров, GDPR устанавливает явную зависимость между ограничениями на обработку данных и целями, для достижения которых это делается. Так, согласно принципу законности, справедливости и прозрачности – помимо «согласия субъекта ПД», имеется еще 5 легитимных оснований для обработки данных, в том числе: «для выполнения задачи в публичном интересе», «для целей, вытекающих из легитимных интересов». Более того, в формулировках принципа ограничения целью (статья 5(b) GDPR) специально оговорено, что обработка данных для целей «статистических, исторических или научных исследований … не считается несовместимой с начальными целями». В рамках этих целей ограничивается право субъекта ПД на удаление данных (статья 17 GDPR): «(c) ввиду публичного интереса в области здравоохранения», «(d) в целях архивирования в публичном интересе, в целях научных или исторических исследований или в статистических целях».

Данная конфигурация нормативно-правового регулирования позволяет избежать крайне размытого, с одной стороны, и крайне сомнительного, с другой, требования получать согласие собственника ПД «всегда и на всё». Таковое требование, будучи поставленным во главу угла, создает явные формально-административные препятствия для работы с данными, без учета реальных бизнес-процессов и глобальных задач, стоящих перед любым «цифровым» обществом.

Азиатские юрисдикции — PDPA (Сингапур), PDPO (Гонконг), DPDP Act (Индия), PIPL (Китай)

Вопрос защиты персональных данных в странах азиатского региона приобрел актуальность в рамках современного этапа развития цифровой экономики, и, за исключением Гонконга, не имеет длительной истории и опирается на нормативные акты, принятые в последние полтора десятилетия. Характерной особенностью является то, что правовые нормы формируются не только под влиянием международных тенденций, но и, в значительной степени, национальных особенностей, зачастую связанных со значительной ролью государства в вопросах регулирования таких сфер жизни общества, как приватность, безопасность и права граждан. При этом следует понимать, что Азия является крупнейшим развивающимся регионом в мире с населением, составляющим порядка 60% от всего населения Земли, что, в свою очередь, позволяет говорить о значительном влиянии правовых решений как на глобальную экономику, так и на глобальную работу с данными, в том числе в сфере искусственного интеллекта.

Сингапур: Personal Data Protection Act / PDPA

Закон о защите персональных данных (PDPA) стал первым тематическим законом, принятым в азиатском регионе в 2012 году, направленном на регулирование работы с данными [10,11]. PDPA применяется ко всем организациям (независимо от того, созданы ли они или признаны в соответствии с законодательством Сингапура или являются резидентами или имеют офис или место ведения бизнеса в Сингапуре), осуществляющим деятельность, связанную со сбором и использованием персональных данных в Сингапуре, но которые при этом, не являются государственными агентствами или не действуют от имени государственных агентств.

PDPA, в отличии от нормативных актов Китая или Индии, где защита данных тесно связана с государственным контролем, более ориентирован на корпоративную ответственность и саморегулирование в целях создания гибкой и сбалансированной системы, при которой граждане получают контроль над своими персональными данными, а бизнесу не навязываются чрезмерные ограничения.

Основные принципы PDPA во многом созвучны европейскому GDPR и имеют сходные правовые контуры. Однако, законодательства Сингапура во многом переносит бремя ответственности при работе с данными на плечи компаний-операторов цифрового рынка, оставляя вопрос принятия и выполнения решений на корпоративном уровне, что можно проиллюстрировать следующими нормами PDPA:

• Принцип «согласие и прозрачность» – устанавливает обязанность компаний-операторов информировать субъектов ПД о составе собираемых данных и целях, для которых они собираются. При этом, согласие субъекта ПД может быть как явным, так и подразумеваемым, если человек добровольно предоставляет информацию, например, в процессе взаимодействия с сайтом компании.
• Принцип «ограничения целью» – устанавливает обязанность компаний-операторов собирать, использовать или раскрывать персональные данные только для тех целей, на которые человек дал свое согласие.
• Право субъекта ПД получать доступ к своим данным – устанавливает право субъекта ПД запросить и получить доступ к своим данным и, при необходимости, потребовать их исправления.

Главной особенностью PDPA является его гибкость, в том числе, относительно европейского законодательства, которая обеспечивается выраженной ориентацией на регулирование корпоративной деятельности в вопросах данных. Нарушение законодательства о защите персональных данных расследует Комиссия по защите персональных данных (PDPC — Personal Data Protection Commission), которая имеет право не только накладывать штрафы, но и консультировать бизнес по вопросам соблюдения закона.

Гонконг: Personal Data (Privacy) Ordinance / PDPO

Указ о персональных данных (PDPO) формально является старейшим законом о защите персональных данных в Азии, принятым еще в 1995 году [11]. Однако, с учетом кардинальных изменений, направленные на борьбу со сбором и публичным распространением персональных данных без согласия субъекта, принятых в 2021 году, можно говорить о появлении нового нормативного акта, соответствующего современным вызовам цифровой трансформации экономики и общественных отношений.

В PDPO закреплены шесть принципов работы с данными, которые по составу и содержанию схожи с принципами, заложенными в европейском GDPR, и устанавливают обязанность организаций-операторов данных:

• Действовать прозрачно (аналог (a) «Принцип законности, справедливости и прозрачности GDPR»).
• Ограничивать сбор информации (аналог (b) «Принцип ограничения целью» GDPR»).
• Обеспечивать безопасность данных.
• Обеспечивать соблюдение прав граждан.

Основной особенностью PDPO является его выраженная ориентированность на защиту прав граждан – субъектов ПД, что делает его более близким к европейскому подходу GDPR, в отличие от сингапурского PDPA. При этом следует учитывать, что правоприменение, во многом, зависит от позиции правительства в вопросах национальной безопасности или политических расследований, смещая акценты в сторону китайской регуляторной модели.

Нарушения законодательства о защите персональных данных расследуются Управлением уполномоченного по защите персональных данных (PCPD — Privacy Commissioner for Personal Data), которое выдает предписания компаниям-нарушителям (PDPO предусматривает наказания в виде штрафов и лишения свободы).

Индия: Digital Personal Data Protection Act / DPDP Act.

Закон о защите цифровых персональных данных (DPDP Act) — самый новый специальный нормативный акт, принятый в 2023 году азиатском регионе, как мера по регулированию стремительно развивающегося рынка цифровых технологий и как ответ на активное вхождение иностранных компаний на рынок товаров или услуг Индии, применяющих обработку цифровых персональных данных [12]. Индийская экономика входит в TOP-10 крупнейших экономик мира, со значительной долей импорта и экспорта в мировом рынке, что во многом определяет акцент DPDP на трансграничную передачу данных.

Основной правовой особенностью DPDP Act является разрешение на возможность трансграничной передачи персональных данных, за исключением случаев, когда правительство Индии ограничит передачу в конкретные страны, признанные небезопасными.

Основным средством регуляторного воздействия в DPDP Act является установление крайне высокого уровня штрафов (до 30 млн. долларов США) для компаний-операторов за целый спектр нарушений норм по работе с данными, в том числе:

• До 30 млн. долларов США за недостаточную защиту данных.
• До 24 млн. долларов США за неуведомление регулятора или пользователей о произошедшей утечке.
• До 24 млн. долларов США за нарушение правил обработки данных несовершеннолетних.
• До 18 миллионов долларов США за несоблюдение требований безопасности для крупных организаций.

Система жестких экономических санкций, возлагаемых за нарушение закона на компании-операторы персональных данных, акцент на корпоративную ответственность позволяет говорить о верхне-уровневом сходстве с сингапурской моделью.

Нарушение законодательства о защите персональных данных расследует Совет по защите данных Индии (DPDBI — Data Protection Board of India), который помимо расследования нарушений и наложения штрафов осуществляет контроль за трансграничной передачей данных.

Китай: Personal Information Protection Law / PIPL

Закон о защите персональной информации (PIPL), вступивший в силу в 2021 году, является не только самым жестким законом о защите данных в Азии, но и одним из самых строгих в мире среди стран-лидеров мировой экономики [13]. Характерной особенностью Китая является стабильное поддержание тренда на глобальное усиление государственного контроля, включая контроль над цифровыми потоками данных. Действие PIPL распространяется не только на китайские компании, но и на международный бизнес, если он обрабатывает персональные данные лиц, находящихся в Китае. При этом сам закон максимально «широко» трактует данное понятие, обусловливая его выполнением любого из следующих условий:

• Организация предоставляет товары или услуги гражданам Китая;
• Организация анализирует или оценивает поведение физических лиц, находящихся в Китае;
• В иных случаях, предусмотренных законами и административными актами Китая, что фактически приводит к произвольному расширению пространства применения закона.

По требованиям PIPL операторы критической информационной инфраструктуры и компании, обрабатывающие большие объемы персональных данных, обязаны хранить их внутри Китая, а передача таких данных за границу возможна только после одобрения регулятора. Для иных компаний трансграничная передача данных обусловлена соблюдением определенных требований (в том числе, контрактными отношениями, сертификацией деятельности и т.д.) [14].

Несмотря на то, что китайское регулирование включает защиту пользователей, его основной приоритет, в отличие от европейского подхода, лежит в плоскости государственного регулирования, которое обеспечивается целым набором возможных рестрикций в отношении компаний-нарушителей PIPL, к которым относятся: крупные (до 7 млн. долларов США) штрафы, запрет на работу в сфере обработки данных и приостановку бизнеса, а также целый пул надзорных органов.

За соблюдением PIPL следит Государственная администрация киберпространства Китая (CAC — Cyberspace Administration of China), которая отвечает и за общее регулирование, и за расследование крупных нарушений. Помимо CAC контролем занимаются и другие ведомства, включая Министерство общественной безопасности и Государственный совет.

Подводя итоги обзора законодательства в сфере защиты персональных данных, представленного в азиатском регионе, следует выделить несколько ключевых аспектов:

• Значительный уровень государственного контроля – от «самого жесткого» с глобальными полномочиями контролирующих органов в Китае, до бизнес-ориентированного в более либеральных юрисдикциях, таких как Сингапур и Гонконг, сохраняющих при этом за собой широкие полномочия по мониторингу обработки данных.
• Экстерриториальный характер применения законов – распространение действия не только на местные компании, но и на иностранные организации, если они работают с персональными данными пользователей страны.
• Высокие требования по цифровой безопасности – обеспечиваемые, в том числе, жесткими экономическими, а в ряде стран уголовными, санкциями за нарушения.

Особо следует сказать о различие подходов к получению согласия субъекта ПД в странах азиатского региона. Декларируемые нормы Китая и Индии следуют строгой модели, требующей явного подтверждения, а Сингапур и Гонконг разрешают подразумеваемое согласие, если оно логически следует из поведения пользователя. При этом необходимо учитывать, что требования законодательства, во многом, локализованы вокруг деятельности бизнес-компаний и не затрагивают, в значительной степени, деятельность субъектов, представляющих интересы государства [14].

Североамериканские юрисдикции — CCPA, HIPAA (США), PIPEDA (Канада)

Законодательство о защите персональных данных в крупнейших национальных юрисдикциях северной Америки реализовано в двух различных организационных моделях - Соединенные штаты Америки не имеют единого федерального закона (по аналогии с законодательством ЕС), его место в законодательной системе США занимает комплекс нормативных актов (федерального уровня и уровня штатов), обеспечивающих регулирование в различных сферах, включая:

• Закон США о свободе информации (Freedom of Information Act / FOIA) — федеральный закон, принятый в 1966 году, который позволяет любому человеку запрашивать доступ к документам федеральных правительственных учреждений США.
• Закон США о семейных образовательных правах и конфиденциальности (Family Educational Rights and Privacy Act / FERPA) — федеральный закон, принятый в 1974 году, который защищает конфиденциальность образовательных записей учащихся.
• Закон США о защите конфиденциальности детей в Интернете (Children's Online Privacy Protection Act / COPPA) — федеральный закон, принятый в 1998 году, который защищает конфиденциальность персональных данных детей младше 13 лет в интернете.
• Закон штата Вирджиния о защите данных потребителей (Virginia Consumer Data Protection Act / VCDPA) – законодательный акт штата, вступил в силу в 2023 году, который предоставляет такие права потребителям, как право знать, получать и удалять свои данные, а также право отказаться от продажи данных или таргетированной рекламы.

А также, особый интерес в рамках настоящий статьи, представляют два нормативных акта (федерального уровня и уровня штата):

• Закон штата Калифорния о защите прав потребителей (California Consumer Privacy Act / CCPA) – законодательный акт, вступил в силу в 2018 году (дополнен Законом о праве на конфиденциальность (CPRA) в 2023 году), предоставляет жителям штата право знать, какую личную информацию о них собирают компании, запрашивать её удаление и отказываться от продажи их личной информации.
• Закон США о преемственности и подотчетности медицинского страхования (Health Insurance Portability and Accountability Act / HIPAA) — федеральный закон США, принятый в 1996 году, который устанавливает стандарты защиты, конфиденциальности и безопасности защищенной медицинской информации (Protected Health Information / PHI).

Законодательство Канады, в отличие от США, имеет в своей основе единый нормативный акт:

• Закон о защите личной информации и электронных документах (Personal Information Protection and Electronic Documents Act / PIPEDA) — федеральный закон Канады о защите персональных данных, принятый в 2000 году, который устанавливает правила для сбора, использования и раскрытия личной информации частными организациями в ходе коммерческой деятельности, а также защищает права граждан на доступ к своим данным и их исправление.

Особенностью канадского законодательства является тот факт, что PIPEDA применяется на всей территории Канады, за исключением провинций с собственными аналогичными законами (Квебек, Альберта, Британская Колумбия).

США: California Consumer Privacy Act / CCPA.

CCPA – нормативный акт, установивший новый стандарт конфиденциальности не только в Калифорнии и США, но и серьёзно повлиявший на регулирование конфиденциальности во всем мире [15]. CCPA входит в состав III книги «Об обязательствах» Гражданского кодекса штата Калифорния (часть 4, раздел 1.81.5) и устанавливает следующие права на конфиденциальность для потребителей, включая:

• Право знать, какую личную информацию (ЛИ) о них собирает компания, как она используется и передается, а также причины, по которым они собрали, использовали, передали или продали эту информацию, в том числе: категории собираемой ЛИ и источников, из которых она собиралась, категории третьих лиц и информации, которая передается третьим лицам, цели, для которых используется ЛИ.
• Право на удаление собранной личной информации, за исключением определенных случаев, когда информация не подпадает под действие CCPA:
  • Общедоступная информация (например, адрес, который часто указывается в открытых реестрах недвижимости/имущества);
  • Определенные типы информации, такие как медицинская информация или информация о потребительском кредите.
• Право отказаться от продажи или распространения своей личной информации, под которой понимается передача данных для кросс-контекстной рекламы, которая представляет собой таргетинг рекламы на основе персональных данных, полученных в ходе онлайн-активности на различных веб-сайтах;
• Право на недискриминацию при осуществлении своих прав – невозможность отказа в товарах или услугах, взимание другой цены или предоставление другого уровня или качества товаров или услуг только потому, что потребитель воспользовался своими правами в соответствии с CCPA.

CCPA в 2023 году был изменен Законом Калифорнии о правах на неприкосновенность частной жизни (CPRA), который повысил требования к прозрачности и определил создание специального органа - Агентства по защите конфиденциальности Калифорнии (CPPA), а также расширил права потребителей в отношении их данных:

• Право исправлять неточную персональную информацию, имеющуюся у компаний.
• Право ограничивать использование и раскрытие конфиденциальной личной информации, только для ограниченных целей, например, для предоставления запрошенных услуг.

США: Health Insurance Portability and Accountability Act / HIPAA – закон о переносимости и подотчетности медицинского страхования 1996 года (HIPAA) и правила, изданные в соответствии с HIPAA, представляют собой набор нормативных актов в сфере здравоохранения США, которые устанавливают требования к использованию, раскрытию и защите индивидуально идентифицируемой информации о здоровье [16]. Область HIPAA была расширена с принятием в 2009 году Закона о медицинских информационных технологиях для экономического и клинического здравоохранения (HITECH).

HIPAA устанавливает правила, которым должны следовать организации здравоохранения и их партнеры («Подпадающие под действие HIPAA поставщики услуг здравоохранения», в том числе, поставщики медицинских услуг, организаторы и информационные службы здравоохранения), которые создают, получают, поддерживают, передают или получают доступ к защищенной информации о здоровье пациентов. Правила HIPAA также применяются к международным поставщикам медицинских услуг в США или к компаниям, обрабатывающим данные пациентов из США. За исполнением HIPAA следит Министерство здравоохранения и социальных служб США.

HIPAA состоит из двух основных разделов: Раздел I, который касается медицинского страхования; и Раздел II, в котором основное внимание уделяется установлению национальных стандартов электронного обмена медицинской информацией, обеспечению конфиденциальности и безопасности, а также борьбе с преступлениями в сфере медицинского страхования и оказания медицинских услуг.

Применительно к вопросу нормативных барьеров в работе с персональными данными, наиболее значимым является Раздел II, в части правил, касающихся защиты медицинской информации (PHI) в электронной форме (ePHI). Эти правила включают в себя Правило конфиденциальности HIPAA, Правило безопасности HIPAA и Правило уведомления о нарушениях HIPAA, в которых излагаются конкретные требования, которые должны соблюдаться субъектами, на которые распространяется действие закона.

• Правило конфиденциальности HIPAA - устанавливает правила безопасности для информации о здоровье пациента, независимо от того, записана ли она, сохранена на компьютере или произнесена вслух, позволяя сохранить личную медицинскую информацию (PHI) в безопасности от людей, которые не должны ее видеть. В то же время, данное правило позволяет врачам и работникам здравоохранения делиться важной информацией, при оказании медицинской помощи, получении оплаты или управлении медицинскими услугами.

HIPAA устанавливает правила, ограничивающие использование и раскрытие персональных медицинских данных третьим лицам, без согласия пациентов для их передачи, за исключением определенных случаев [17]:

• для формирования отчетности в области общественного здравоохранения;
• при наличии юридических оснований.

Раскрытие персональных медицинских данных должно соответствовать «минимально необходимому» стандарту HIPAA, гарантируя, что будет передан только необходимый объем информации (по аналогии с Принципом ограничения целью (b) и Принципом минимизация данных (c), установленных статьей 5 GDPR).

Правило конфиденциальности HIPAA определяют следующие права пациентов (по аналогии со статьями 15-22 GDPR):

• Право на доступ к своей медицинской информации;
• Право на исправление неточностей;
• Право устанавливать ограничения на раскрытие определенных сведений;
• Правило безопасности HIPAA.

Правило безопасности HIPAA определяет требования по защите электронной защищенной медицинской информации (ePHI) путем установления административных, физических и технических мер для обеспечения безопасной передачи ePHI, а также контроля доступа для предотвращения несанкционированного извлечения, включая шифрование, аутентификацию пользователей и защищенные протоколы хранения.

• Правило уведомления о нарушении HIPAA - описывает необходимые действия, при нарушении защиты PHI (по аналогии с индийским DPDP). В случае утечки данных уведомления должны содержать подробную информацию об инциденте, затронутой PHI, шаги, предпринятые для устранения утечки, и рекомендации для лиц, чтобы минимизировать потенциальный вред. Правило уведомления о нарушении гарантирует, что компании несут ответственность, и помогает исправить ситуацию.

Канада: Personal Information Protection and Electronic Documents Act / PIPEDA

Основная цель федерального закона Канады о защите персональных данных — регулировать сбор, использование и раскрытие персональной информации частными организациями в ходе коммерческой деятельности, а также защищать права граждан на доступ к своим данным [18]. Требования PIPEDA также распространяются на трансграничную передачу данных, и организации несут ответственность за защиту информации, даже если она обрабатывается за пределами Канады.

В основе закона лежат 10 принципов обработки информации, включая:

• Подотчетность: организация назначает лицо, ответственное за соблюдение PIPEDA.
• Определение целей: цели сбора информации должны быть указаны до или в момент сбора (по аналогии с Принципом ограничения целью (b), установленным статьей 5 GDPR).
• Согласие: для сбора, использования или раскрытия персональных данных необходимо получение осознанного и явного согласия субъекта ПД (за исключением юридических или медицинских причин по аналогии со статьей 17 GDPR «(c) ввиду публичного интереса в области здравоохранения»).
• Ограничение сбора: допустимо собирать только ту информацию, которая необходима для заявленных целей (по аналогии с Принципом минимизация данных (c), установленным статьей 5 GDPR).
• Ограничение использования, раскрытия и хранения: информация не должна использоваться для других целей или передаваться без согласия субъекта. Данные не должны храниться дольше, чем в этом есть необходимость (по аналогии с Принципом ограничения хранения данных (e), установленным статьей 5 GDPR)
• Точность: информация должна быть точной, полной и актуальной.
• Обеспечение безопасности: данные должны быть защищены с помощью соответствующих мер безопасности (физических, организационных, технических).
• Открытость: организация должна открыто информировать о своих политических принципах и методах работы с персональными данными.
• Доступ субъекта ПД: по запросу субъект ПД имеет право получить доступ к своей персональной информации и проверить ее точность.
• Оспаривание соответствия: субъект ПД имеет право оспорить несоблюдение организацией любого из вышеперечисленных принципов.

Не менее важным элементом PIPEDA является закрепление прав субъекта ПД, которые во многом также аналогичны европейскому GDPR. Субъект ПД имеет право:

• Знать, с какой целью организации собирают, используют или раскрывают его персональные данные.
• Предоставлять или отзывать согласие в отношении операций со своими персональными данными.
• Получать доступ к своей персональной информации и исправлять неточности.
• Подавать жалобы (в Управление Privacy Commissioner), в случае если он предполагает, что его права в отношении персональных данных нарушены.

В случае серьезных нарушений, после расследования Commissioner, дело может быть передано в Федеральный суд, который может вынести решение: об исправлении нарушений, о выплате компенсации потерпевшей стороне либо наложить штраф (до 5% от глобального оборота или 25 млн. канадских долларов).

Несмотря на различия в организационных моделях правового регулирования сферы персональных данных, представленных в США и Канаде, можно отметить сходный с европейским GDPR высокий уровень прав субъектов ПД и требований для участников цифрового рынка по их защите. При этом, как и в европейском законодательстве, установлены ограничения прав субъектов ПД для ряда общественно-значимых целей (например: HIPAA «для формирования отчетности в области общественного здравоохранения», CCPA «право на удаление собранной личной информации, за исключением таких типов информации как медицинская информация», PIPEDA «согласие за исключением юридических или медицинских причин»).

Вместе с тем, в законодательствах США и Канады отчетливо выделены пространства регулирования для государственных органов (компаний, представляющих государственные интересы) и для частных компаний (например: PIPEDA для регулирования деятельности частных организаций), что сближает их с законодательством в сфере защиты персональных данных, представленным в азиатском регионе.

Суммируя вышесказанное, можно сказать, что универсальные контуры нормативных барьеров включают 3 важнейших компонента:

• Права субъекта ПД (и что важно - ограничение этих прав) в зависимости от целей, для которых ведется работа с персональными данными.
• Требования для участников (компаний-операторов) цифрового рынка по защите персональных данных, включая юридические и технические ограничения на обработку, хранение и передачу в зависимости от целей работы с данными.
• Разделение субъектов обработки и использования персональных данных на представителей государственного и частного сектора, и как следствие, установление различного уровня ограничений по работе с ними.

Выводы, сделанные по результатам анализа международных правовых пространств, могут быть использованы в российской юрисдикции, для выработки решений, учитывающих задачи цифровой трансформации, сформулированные на федеральном уровне для отрасли здравоохранения, в том числе в формате регуляторных актов, принятых в 2024 году:

• Стратегия научно-технологического развития Российской Федерации (утв. Указом Президента Российской Федерации от 28.02.2024 № 145) [20].
• Постановление Совета Федерации № 493-СФ от 20.11.2024 [21].
• Стратегическое направление в области цифровой трансформации здравоохранения (утв. Распоряжение Правительства Российской Федерации от 17.04.2024 № 959-р) [22].

Вышеуказанными актами определены стратегические задачи:

• Перехода к персонализированной, предиктивной и профилактической медицине, высокотехнологичному здравоохранению и технологиям здоровьесбережения.
• Обеспечения развития преемственности оказания медицинской помощи на основе электронного медицинского документооборота с использованием единой цифровой платформы по управлению здоровьем человека.
• Внедрение управления отраслью на основе первичных данных
• Обеспечение возможности централизованного ведения расчетов за оказанную медицинскую помощь с использованием структурированных электронных медицинских документов, которые лежат в основе следующего этапа цифровой трансформации («data science»), связанного с задачами по извлечению и использованию данных структурированных электронных медицинских документов для построения решений в сфере здравоохранения.

Обсуждение полученных результатов

Проведенный сравнительно-правовой анализ позволил выявить системные элементы, формирующие архитектуру нормативного регулирования в области защиты персональных данных в различных юрисдикциях. Несмотря на существенные различия в подходах — от жестко регламентированного европейского режима до гибких азиатских и отраслевых американских моделей — наблюдаются устойчивые общие принципы, составляющие основу современных правовых барьеров.

Во-первых, центральным элементом любого регуляторного режима является закрепление прав субъектов персональных данных. Право на доступ, исправление, удаление и ограничение обработки данных стало универсальным стандартом, однако ключевое значение имеют установленные изъятия из этих прав. Анализ показал, что законодательство всех рассмотренных стран предусматривает исключения для обработки данных в общественно значимых целях, таких как научные исследования, здравоохранение и государственная статистика. Например, GDPR прямо ограничивает право на удаление данных в случаях обработки в интересах общественного здоровья или научных исследований, а HIPAA допускает использование медицинских данных без явного согласия для формирования отчетности в области здравоохранения. Этот баланс между индивидуальными правами и публичными интересами составляет суть современного регулирования.

Во-вторых, универсальным требованием является установление четких обязательств для операторов данных. Принципы законности, ограничения целей, минимизации данных и обеспечения безопасности стали общепринятыми стандартами де-факто [23]. Особое значение имеет дифференциация ответственности в зависимости от категории оператора — государственного или частного. В азиатских юрисдикциях (Китай, Индия) и Канаде (PIPEDA) особенно ярко выражено различное регулирование для этих двух групп, что отражает специфику их задач и степени публичного контроля [14].

В-третьих, важнейшим компонентом является механизм трансграничной передачи данных, который либо жестко ограничивается (как в Китае по PIPL), либо допускается при условии обеспечения адекватного уровня защиты (как в GDPR). Этот аспект особенно важен в контексте глобализации цифровых услуг и развития международных исследовательских проектов в области здравоохранения.

Таким образом, синтезируя проведенный анализ, можно утверждать, что современные правовые режимы формируют три фундаментальных компонента нормативных барьеров: гарантии прав субъектов данных с четко определенными исключениями для публично значимых целей; императивные требования к операторам по обеспечению безопасности и законности обработки; дифференциация регулирования в зависимости от характера оператора и направлений трансграничной передачи данных [19]. Эти элементы образуют универсальную систему, которая может быть адаптирована с учетом национальных особенностей конкретной юрисдикции.

Заключение

Проведенный анализ демонстрирует, что современное регулирование работы с персональными данными балансирует между защитой прав личности и общественными интересами. Выявленные универсальные контуры нормативных барьеров и заложенные в законодательстве исключения для научных и медицинских целей могут быть учтены в российской юрисдикции для формирования сбалансированной правовой модели, отвечающей задачам цифровой трансформации здравоохранения.

Библиография

1. Сидоров К.В., Евдокимов А.О., Осмоловский И.С., Швырёв С.Л., Кобякова О.С. Электронный медицинский документооборот в условиях цифровой трансформации здравоохранения. Врач и информационные технологии 2024;(4):6-15. DOI 10.25881/18110193_2024_4_6.
2. Ханов А.М., Гусев А.В., Тюрганов А.Г. Искусственный интеллект в здравоохранении России: сбор и подготовка данных для машинного обучения. Российский журнал телемедицины и электронного здравоохранения 2023;9(4):7-13. DOI 10.29188/2712-9217-2023-9-4-7-13.
3. Денискина В.Г., Курдявка К.Е. Правовое регулирование персональных данных в РФ и ФРГ. В: Теория и практика германистов: состояние и перспективы: Сборник статей VIII Межвузовская междисциплинарная конференция преподавателей и студентов, Москва, 01 марта 2020 года. Том Выпуск 74. Москва: Всероссийская академия внешней торговли Министерства экономического развития Российской Федерации; 2020. С. 89-94.
4. Cohen I.G., Mello M.M., Adashi E.Y. The HIPAA Privacy Rule and COVID-19. JAMA 2020;324(5):443-444.
5. Эртель Л.А., Хапай С.Х. Персональные данные пациента, персонифицированный учет, врачебная тайна: правовые пробелы. Медицинское право: теория и практика 2019;5(1):51-55.
6. О персональных данных. Федеральный закон от 27.07.2006 № 152-ФЗ. Официальный интернет-портал правовой информации. Режим доступа: http://publication.pravo.gov.ru/Document/View/0001202402260036. (Дата обращения: 20.05.2025).
7. Общий регламент по защите персональных данных (ЕС) 2016/679 от 27 апреля 2016 г.: [регламент Европейского парламента и Совета]. Официальный журнал Европейского союза 2016; L119/1. Режим доступа: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679.
8. Guide to the General Data Protection Regulation (GDPR). UK Information Commissioner's Office. Режим доступа: https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf. (Дата обращения: 20.05.2025).
9. Purtova N. The law of everything. Broad concept of personal data and future of EU data protection law. Law, Innovation and Technology 2018;10(1):40-81.
10. Personal Data Protection Act 2012 (PDPA): Закон Республики Сингапур о защите персональных данных № 26 от 2012 г. Republic of Singapore Statutes Online. Режим доступа: https://sso.agc.gov.sg/Act/PDPA2012. (Дата обращения: 20.05.2025).
11. Personal Data (Privacy) Ordinance (PDPO): Постановление о конфиденциальности персональных данных (Гонконг, Гл. 486). Hong Kong e-Legislation. Режим доступа: https://www.elegislation.gov.hk/hk/cap486. (Дата обращения: 20.05.2025).
12. Digital Personal Data Protection Act, 2023 (DPDPA): Закон Индии о защите цифровых персональных данных № 22 от 2023 г. The Gazette of India. Режим доступа: https://egazette.gov.in/WriteReadData/2023/248050.pdf. (Дата обращения: 20.05.2025).
13. Personal Information Protection Law of the People's Republic of China (PIPL): Закон КНР о защите персональной информации (Указ Президента № 91). Принят Постоянным комитетом ВСНП 20.08.2021. Режим доступа: http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml. (Дата обращения: 20.05.2025).
14. Защита персональных данных в Азии: законодательства Сингапура, Гонконга, Индии и Китая. Data Privacy Office. Режим доступа: https://data-privacy-office.com/personal-data-protection-in-asia-legislation-in-singapore-hong-kong-india-and-china/. (Дата обращения: 15.05.2024).
15. California Consumer Privacy Act of 2018 (CCPA) (с изм. CPRA 2023): Закон Калифорнии о конфиденциальности потребителей. California Legislative Information. Режим доступа: https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5. (Дата обращения: 20.05.2025).
16. Health Insurance Portability and Accountability Act of 1996 (HIPAA): Закон США о переносимости и подотчётности медицинского страхования (P.L. 104-191). U.S. Congress. Режим доступа: https://www.congress.gov/104/plaws/publ191/PLAW-104publ191.pdf. (Дата обращения: 20.05.2025).
17. Price W.N., Cohen I.G. Privacy in the age of medical big data. Nature Medicine 2019;25(1):37-43.
18. Personal Information Protection and Electronic Documents Act (PIPEDA): Закон Канады о защите персональной информации и электронных документах (S.C. 2000, гл. 5). Justice Laws Website. Режим доступа: https://laws-lois.justice.gc.ca/eng/acts/p-8.6/. (Дата обращения: 20.05.2025).
19. Jalali M.S., Kaiser J.P. Cybersecurity in hospitals: a systematic review of literature. Journal of the American Medical Informatics Association 2020;27(10):1636-1644.
20. Стратегия научно-технологического развития Российской Федерации [утв. Указом Президента РФ от 28.02.2024 № 145]. Официальный интернет-портал правовой информации. Режим доступа: http://publication.pravo.gov.ru/Document/View/0001202402280040. (Дата обращения: 20.05.2025).
21. Об основных результатах национального проекта «Здравоохранение» и о задачах нового национального проекта «Продолжительная и активная жизнь». Постановление Совета Федерации Федерального Собрания Российской Федерации от 20 ноября 2024 г. № 493-СФ [Электронный ресурс]. Режим доступа: https://base.garant.ru/410986328/ (Дата обращения: 10.12.2025).
22. Об утверждении стратегического направления в области цифровой трансформации здравоохранения. Распоряжение Правительства Российской Федерации.: от 17 апреля 2024 г. № 959-р [Электронный ресурс]. Режим доступа: https://www.consultant.ru/document/cons_doc_LAW_474960/ (Дата обращения: 10.12.2025).
23. Shilo S., Rossman H., Segal E. Axes of a revolution: challenges and promises of big data in healthcare. Nature Medicine 2020;26(1):29-38.

References

1. Sidorov K.V., Evdokimov A.O., Osmolovskii I.S., Shvyriov S.L., Kobiakova O.S. Electronic medical document management in the context of digital transformation of healthcare. Vrach i informatsionnye tekhnologii 2024;(4):6-15. DOI 10.25881/18110193_2024_4_6. (In Rus.).
2. Khanov A.M., Gusev A.V., Tiurganov A.G. Artificial intelligence in Russian healthcare: data collection and preparation for machine learning. Rossiiskii zhurnal telemeditsiny i elektronnogo zdravookhraneniia 2023;9(4):7-13. DOI 10.29188/2712-9217-2023-9-4-7-13. (In Rus.).
3. Deniskina V.G., Kurd'iavka K.E. Legal regulation of personal data in the Russian Federation and Germany. In: Theory and Practice of Germanists: Status and Prospects: Collection of Articles of the VIII Interuniversity Interdisciplinary Conference of Teachers and Students (Moscow, March 1, 2020). Volume 74. Moscow: Vserossiiskaia akademiia vneshnei torgovli Ministerstva ekonomicheskogo razvitiia Rossiiskoi Federatsii; 2020. p. 89-94. (In Rus.).
4. Cohen I.G., Mello M.M., Adashi E.Y. The HIPAA Privacy Rule and COVID-19. JAMA 2020;324(5):443-444.
5. Ertel' L.A., Khapai S.Kh. Personal'nye dannye patsienta, personifitsirovannyi uchet, vrachebnaia taina: pravovye probely [Patient's personal data, personalized records, medical confidentiality: legal gaps]. Meditsinskoe pravo: teoriia i praktika 2019;5(1):51-55. (In Rus.).
6. On Personal Data. Federal Law No. 152-FZ of July 27, 2006. Ofitsial'nyi internet-portal pravovoi informatsii. Available from: http://publication.pravo.gov.ru/Document/View/0001202402260036. (Date accessed May 20, 2025). (In Rus.).
7. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). Official Journal of the European Union 2016;L119/1. Available from: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679.
8. Guide to the General Data Protection Regulation (GDPR). UK Information Commissioner's Office. Available from: https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf. (Date accessed May 20, 2025).
9. Purtova N. The law of everything. Broad concept of personal data and future of EU data protection law. Law, Innovation and Technology 2018;10(1):40-81.
10. Personal Data Protection Act 2012 (PDPA). Republic of Singapore Statutes Online. Available from: https://sso.agc.gov.sg/Act/PDPA2012. (Date accessed May 20, 2025).
11. Personal Data (Privacy) Ordinance (PDPO). Hong Kong e-Legislation. Available from: https://www.elegislation.gov.hk/hk/cap486. (Date accessed May 20, 2025).
12. Digital Personal Data Protection Act, 2023 (DPDPA). The Gazette of India. Available from: https://egazette.gov.in/WriteReadData/2023/248050.pdf. (Date accessed May 20, 2025).
13. Personal Information Protection Law of the People's Republic of China (PIPL). Available from: http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml. (Date accessed May 20, 2025).
14. Personal Data Protection in Asia: Legislation of Singapore, Hong Kong, India and China. Data Privacy Office. Available from: https://data-privacy-office.com/personal-data-protection-in-asia-legislation-in-singapore-hong-kong-india-and-china/. (Date accessed May 15, 2024).
15. California Consumer Privacy Act of 2018 (CCPA). California Legislative Information. Available from: https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5. (Date accessed May 20, 2025).
16. Health Insurance Portability and Accountability Act of 1996 (HIPAA). U.S. Congress. Available from: https://www.congress.gov/104/plaws/publ191/PLAW-104publ191.pdf. (Date accessed May 20, 2025).
17. Price W.N., Cohen I.G. Privacy in the age of medical big data. Nature Medicine 2019;25(1):37-43.
18. Jalali M.S., Kaiser J.P. Cybersecurity in hospitals: a systematic review of literature. Journal of the American Medical Informatics Association 2020;27(10):1636-1644.
19. Personal Information Protection and Electronic Documents Act (PIPEDA). Justice Laws Website. Available from: https://laws-lois.justice.gc.ca/eng/acts/p-8.6/. (Date accessed May 20, 2025).
20. Strategy for Scientific and Technological Development of the Russian Federation. Ofitsial'nyi internet-portal pravovoi informatsii. Available from: http://publication.pravo.gov.ru/Document/View/0001202402280040. (Date accessed May 20, 2025). (In Rus.).
21. On the main results of the national project "Healthcare" and on the tasks of the new national project "Long and Active Life": Decree No. 493-SF dated November 20, 2024. Soviet Federatsii Federal'nogo Sobraniya Rossiiskoi Federatsii. (Date accessed December 10, 2025). Available from: https://base.garant.ru/410986328/. (In Rus.).
22. . On approval of the strategic direction in the field of digital transformation of healthcare: Order No. 959-r dated April 17, 2024. Pravitel'stvo Rossiiskoi Federatsii/ (Date accessed December 10, 2025). Available from: https://www.consultant.ru/document/cons_doc_LAW_474960/ (In Rus).
23. Shilo S., Rossman H., Segal E. Axes of a revolution: challenges and promises of big data in healthcare. Nature Medicine 2020;26(1):29-38.

Дата поступления: 08.10.2025

Добавить комментарий

Пожалуйста оставляйте комментарии только по теме. Вы можете оставить свой комментарий любым браузером кроме Internet Explorer старше 6.0
Имя:
E-mail
Комментарий:
Код:*