Законодательство о защите персональных данных перед вызовами цифровой экономики/Legislation on the protection of personal data before the challenges of the digital economy.

1. Дилеммы конфиденциальности: между правом и экономикой.

До эпохи интернет-коммуникаций и повсеместного использования различных гаджетов приватность, закрытость частной жизни для посторонних всегда были одной из важных ценностей общества и культуры.

Однако времена, когда «дом человека» мог быть его «крепостью», охраняющей его от вторжений в частную жизнь, похоже уходят навсегда. Технологическое развитие внесло коррективы в прежнюю модель Паноптикум[1] — полностью просматриваемого сверху пространства («Большой брат»), отдельные ячейки которого отделены друг от друга непроницаемыми стенками. На смену пришла новая модель тотальной открытости, когда не только один «Большой брат», но и множество более мелких «братьев» (а это и государственные и бизнес- и теневые криминальные структуры) имеют доступ ко всем сторонам жизни человека, распоряжаясь его персональными данными: накапливая их, обрабатывая, покупая или продавая. Но всё же человечество не так легко расстается с некоторыми иллюзиями и привычными представлениями, в том числе и о полной неприкосновенности частной жизни, которую привыкло считать необъемлемой частью своей культуры. На смену им приходит новое представление о возможности для граждан контролировать обработку их персональных данных и принимать решения относительно этого, которое легло в основу современного законодательства по защите персональных данных [Дмитрик: 56].      .

Борьба за «право на забвение» (right to be forgotten), т.е. удаление данных о себе из поисковых систем, стала одной из первых попыток отстоять приватность личной информации, когда действия транснациональных ИТ-гигантов, их политика сбора данных обо всем, что оборачивалось тотальной публичностью начали вызвать всё больше протестов,

     Решающей вехой здесь стал выигрыш судебного процесса против Google в Европейском суде в 2014 г. по иску, поданному испанским коммерсантом Марио Костеха Гонсалесом, которому удалось добиться удаления ссылки из выдачи Google. Положительное решение Европейского суда по этому делу повлекло за собой волну подобных выступлений, направленных против деятельности Google и в других европейских странах.

Постановление Европейского суда стало важным этапом в развитии законодательства о защите персональных данных, обозначив нарастающий конфликт между правом каждого на свободный доступ к информации и правом на неприкосновенность частной жизни, в том числе и в форме удаления из «поисковиков» ссылок на ресурсы с нежелательной для человека информацией. Однако, как оказалось, на деле реализовать право на конфиденциальность совсем не так просто, ведь за каждой из этих позиций можно обнаружить множество различных интересов как со стороны ИТ-бизнеса, так и со стороны национальных государств и пользователей. Тем более что на повестке дня для законодательства, кроме традиционных проблем безопасности, киберпреступности, электронного надзора и слежки, уже стоят и вызовы, связанные с цифровой экономикой, основанной на Больших данных. Обработка огромных массивов таких данных стала новым экономическим драйвером «топливом» или «нефтью» экономического развития, как их часто называют.

Гигантские массивы разнородных, зачастую случайно полученных Больших данных, используемые для управления могут дать огромный экономический эффект. При использовании в целях, которые не были предусмотрены при их сборе, возможности извлечения из них важной и нужной информации при соединении их с новыми данными безграничны.

Бизнес-модель, основанная на использовании таких данных о клиентах, получает всё большее распространение в страховом, банковском деле, медицине, электронной коммерции, транспорте и логистике и многих других сферах. Пользователи фактически оплачивают бесплатные на первый взгляд интернет-услуги своими персональными данными, например, заполняя различные формы на сайтах и при осуществлении платежей или позволяя пользоваться файлами-cookie своих браузеров об истории посещения сайтов.

 Всё в большей степени сферой использование Big Data становится сфера государственного управления, где увеличивается количество электронных сервисов. С помощью таких технологий можно наладить логистику, транспортное и медицинское обслуживание в больших городах, превентивно выявлять и предупреждать преступления, гораздо быстрее реагировать на возникновение и распространение эпидемий и многое другое. Не менее важно и использование Больших данных в интересах государственной безопасности, при борьбе с терроризмом и преступностью.

В так называемый «цифровой след», столь привлекательный для бизнеса, входят многочисленные «следы», оставляемые человеком в Интернете, данные, получаемые от домашних «умных» устройств, телевизоров, фитнес-трекеров, а также устройств Интернета вещей, и т.д. В ближайшем будущем вырастет количество данных, полученных в результате взаимодействия самих «умных устройств» между собой и визуально-звуковых данных. Будет продолжаться и киборгизация человека, т.е. встраивание технологий в человеческое тело– от технологий инвазивных интерфейсов «мозг-компьютер» до самых разнообразных нейро-протезов и имплантантов. Как следствие, объемы самых разнообразных данных, в том числе и визуально-звуковых, биометрических, будут стремительно увеличиваться, модифицируя «цифровой след» и становясь источником новых правовых коллизий, таких как кража цифровой личности, многие из которых пока сложно даже представить.

Технологии больших данных, таким образом, одновременно стали как стимулом для новой экономики 4.0 и неотъемлемой частью госуправления, «сервисизации» государства, так и превратились в серьезный вызов для правового регулирования. Сложившиеся практики сбора данных вкупе с их свободной передачей подорвали существующие механизмы защиты данных.

Законодательство о регулировании защиты персональных данных в новых технологических условиях имеет длительную историю, но сейчас от законодателей требуются немалые усилия, чтобы создать систему правовых мер для защиты права на конфиденциальность, соответствующую условиям жизни в обществе, где экономика, бизнес, система управление становятся data driven technology, т.е. построены на сборе, обработке и использовании огромных массивов данных.

Между тем эксперты считают, что цели и технологии Больших данных противоречат базовым принципам существующего законодательства о персональных данных, таким, как соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, ограничение объема собираемых и обрабатываемых данных минимально необходимым объемом, осуществление обработки данных на основе информированного согласия. Деперсонализация/обезличивание персональных данных, превращающее их в те обезличенные индустриальные данные, которые собственно нужны бизнесу, не оправдывает возлагаемых на него надежд. Ведь они могут быть восстановлены. по причине существования широких возможностей по деобезличиванию таких данных, предоставляемых дешевыми вычислительными мощностями и большими массивами общедоступных данных в сети Интернет. Таким образом, новые технологии не смогут реализовать свой потенциал экономической эффективности [Савельев, 2015:62].

В результате формирование нового законодательства происходит в нелегкой и дискуссионной ситуации, когда сталкиваются различные правовые подходы и решения, связанные в том числе и с различиями национальных правовых систем, с их традициями и историческими особенностями. На поиск новых законодательных решений пытается повлиять ИТбизнес, чьи интересы отстаивает могущественное лобби (бизнес- и торговые ассоциации, консалтинг, эксперты и т.д.). В то же время постепенно формируется, и пользовательская информационная культура и активными участниками поиска правовых решений, отстаивающими права граждан на контроль за персональной информацией, становятся крупные медиактивистские и потребительские ассоциации, движение за персональную демократию, правозащитные организации, представителей таких движение как неолуддизм, техноаскетизм и проч. Оживленно обсуждаются возможные сценарии развития ситуации с защитой персональных данных, важные для развития законодательства вопросы: должно ли регулирование ПДН быть прерогативой прежде всего государства, или такое законодательство, должно быть основано на защите прав человека? Должен ли отвечать за сохранение конфиденциальности только бизнес, каким образом должны участвовать в этом процессе сами пользователи? Имеет ли право на существование коммерческая модель поведения пользователей, т.е. может ли быть признано их право на продажу данных, являются ли персональные данные товаром или они являются неотчуждаемым неимущественным благом? Да и вообще не является ли конфиденциальность пользователей скорее привилегией, чем правом? Какова роль финансовых штрафов и денежных компенсаций за нарушения в этой области? Все эти вопросы и многие другие стоят на повестке дня и от их решения зависит будущее законодательства. В этой связи принятие в последние годы в разных странах, и прежде всего в странах ЕС и США, новых законов о защите персональных данных, в которых сделаны попытки отразить новые технологические реалии, означает важный этап развития законодательства в этой области.

2. Новые законы о защите персональных данных.

Право и законодательство ответило на вызовы нового этапа информационной экономики появлением новых законов по защите персональных данных.

Прежде всего это ставший образцом для изменений в законодательстве других стран пан-европейский регламент «О защите персональных данных и о свободном перемещении таких данных» — General Data Protection Regulation (GDPR), вступивший в силу с 23 мая 2018 года — регулятивный инструмент, основанный на крупных штрафах, который ориентирован прежде всего на такую жесткую для бизнеса меру как значительные денежные штрафы за нарушения при обработке персональных данных — до 200 тысяч евро или 4 процента годового мирового дохода в случае, если об этом не будет сообщено регулятору в течение 72 часов [Regulation (EU)…, 2016]. В каждой компании должен быть проведен мониторинг организации работы с персональными данными и назначен специальный сотрудник по защите данных, контролирующий соблюдение новых требований законодательства.

Европейские пользователи имеют право запросить у компании подтверждение факта обработки их данных, а также уточнить, кому и какая информация передается, узнать источник получения данных, потребовать прекращения обработки своих данных. Право на забвение позволяет удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам, если эта информация не представляет собой общественного интереса или это не влияет на свободу слова и не противоречит интересам общества или иным фундаментальным правам. При выявлении нарушений в процессе обработки и хранения персональных данных граждане ЕС могут написать заявление и обратиться в национальные регуляторные органы для расследования. Согласие на обработку персональных данных должно быть выражено в форме утверждения и активных действий пользователя, а не по умолчанию или с уже поставленной галочкой, в форме бездействия. В GDPR введено новое право на портабилити (right to data portability): по требованию субъекта данных компании обязаны предоставлять бесплатно электронную копию персональных данных другой, выбранной пользователем компании, хотя на практике этим пока зачастую трудно воспользоваться из-за технических различий между информационными системами и отсутствия функционала для этого.

По данным за 2018-2019 гг. Европейского совета по защите данных (European Data Protection Board), который следит за выполнением пан-европейского Регламента, европейские пользователи после принятия GDPR активно пользуются своими новыми правами. Почти половина дел о нарушении безопасности персональных данных (94 622) были возбуждены европейскими регуляторными органами по жалобам частных лиц за нарушение прав субъекта персональных данных и прав потребителей, а также за утечки персональных данных [First overview…, 2018].

Что касается реакции ИТ-бизнеса, то на первом этапе в 2018 г. штрафы, налагаемые на ИТ-компании были невысокими за исключением ситуации с канадской консалтинговой компанией AggregateIQ, которой в Великобритании был вынесен штраф в 20 млн. евро за незаконный сбор и обработку данных пользователей социальных сетей при проведении таргетирования в агитационных компаниях. С 2019 г. количество штрафов и их размер будут постепенно увеличиваться [56 миллионов…, 2019].

Общая сумма взысканий за 2018-начало 2019 гг. составила почти 56 млн. евро.  Было открыто около 206 тысяч дел о нарушении безопасности персональных данных. Ещё 64 864 дела открыли по уведомлению об утечке данных от компаний-виновников происшествия [First overview…, 2019]. Самый крупный штраф – в 50 млн. евро – за непрозрачность, недостаточное информирование пользователей, а также отсутствие адекватной формы для получения определенного согласия пользователей на персонализацию рекламы по отношению к другим целям обработки данных был вынесен компании GOOGLE в январе 2019 г. французским регулятором – Национальной комиссией по защите данных CNIL. Против Microsoft были выдвинуты обвинения в нарушениях при хранении данных пользователей и получении их согласия на обработку.

Facebook угрожает штраф в 4 млрд. долларов со стороны ирландской комиссии по защите данных. В прошлом сентябре 2018 г. от взлома сети пострадали 50 млн. пользователей Facebook, 5 млн. из которых оказались жителями ЕС.

В то же время Facebook предпринял ряд шагов по выполнению новых требований. Так, выполняя требование GDPR о портабилити, Facebook и его дочерняя компания Instagram предоставили пользователям возможность выгружать историю поиска, обновления статусов и звонков, теги местоположений и проч., т.е. получить архив с фотографиями, информацией профиля, комментариями и др. Для недопущения использования персональных данных в рекламных целях без согласия пользователей были внесены изменения в политику конфиденциальности и созданы дополнительные механизмы работы с персональными данными пользователей.  Так, были внесены изменения в настройки приватности: чтобы усилить контроль пользователей над контентом, добавлено новое диалоговое окно с просьбой дать согласие на обработку той или иной информации (в том числе в маркетинговых целях). Однако эти нововведения уже подверглись критике как неудовлетворительные [Игнатьев, 2018].

Пострадали от штрафов и менее крупные компании, например, в 2018 г. был вынесен штраф в размере 20 тыс. евро чат-приложению для знакомств Knuddels, а португальская больница Barreiro Hospital была оштрафована на 300-400 тыс. евро за уязвимость в системе хранения персональных данных пациентов.

Еще одним новым пан-европейским законом является законопроект по электронной конфиденциальности — ePrivacy Regulation, который должен заменить прежнюю европейскую Директиву 2002 г. — ePrivacy Directive (Directive 2002/58/EC (Regulation on Privacy and Electronic Communications) и вступить в силу в 2019 г. [Proposal…, 2017].  Этот закон должен ужесточить правила работы с cookies и получения согласия на их обработку, причем штрафы за несоблюдение требований составляют от двух до четырех процентов годового дохода компании-виновницы или десять миллионов евро. Ведь согласно GDPR cookie приобретают статус персональных данных, так как могут использоваться для создания информационного профиля пользователя и его идентификации. В ePrivacy Regulation также регулируются ограничения при проведении прямых маркетинговых кампаний и передача данных между устройствами Интернета вещей, для чего тоже потребуется пользовательское согласие. Документ должен вступить в силу в 2019 г. [The new EU ePrivacy…, 2019].

GDPR основательно повлиял на законодательство других стран, несмотря на значительные различия в правовых традициях и системах и многое определил в направлениях развития законодательства по защите персональных данных других стран.

Так, некоторые принципы GDPR, в частности, штрафные санкции как средство регулирования защиты персональных данных, нашли отражение в недавно принятом в Калифорнии (США) законе «О защите данных интернет-пользователей» (California Consumer Privacy Act) (2018 г.), который должен вступить в силу 1 января 2020 г. Хотя суммы штрафов, по мнению экспертов, еще могут быть изменены.

Согласно калифорнийскому закону, пользователи получили право запросить у компаний информацию о том, какие именно персональные данные о них были собраны, как и почему они используются, список третьих лиц, которым эта информация стала известна, цели сбора персональных данных и их источники. Пользователь может потребовать удалить информацию о себе с серверов компании и третьих лиц и запретить им продажу этой информации [AB-375 Privacy…, 2018]. Согласно CCPA компании не обязаны раскрывать какие-либо факты нарушений, если они не получили от пользователей соответствующего запроса в отличии от требования GDPR о прямом согласии пользователя на обработку персональных данных. Закон дает право физическим лицам запрашивать денежную компенсацию с компаний-нарушителей, подпадающих под требования CCPA, которые допустили утечку персональных данных. Пользователь имеет право подать в суд на организацию, которая неправомерно воспользовалась его персональными данными или не выполнила какой-либо из его запросов в срок. На компанию-нарушителя по такому иску может быть наложен денежный штраф до 750 долларов. Если жалоба о нарушении, связанном с персональными данными, поступила, компания обязана разрешить проблему в течение месяца. Иначе её ждёт штраф до 7,5 тыс. долларов.

Фактически CCPA формирует новые правила игры, по которым компании могут покупать у пользователей информацию, которую они раньше получали бесплатно. Им разрешено продавать персональные данные и делать скидки тем, кто поделился своими данными с третьими лицами, устанавливать разные цены для пользователей в зависимости от их настроек приватности.

В 2018 г. был представлен и новый китайский государственный стандарт защиты персональных данных, также созданный под влиянием GDPR, который, в частности, содержит положения, нацеленные на повышение степени контроля китайских пользователей над своей персональной информацией [Есть вещи …, 2018]. Правда, китайские эксперты предупреждают о том, что копирование европейских регулятивных норм невозможно в условиях развитой китайской цифровой экономики [Cao Yin, 2019b]. Тем не менее национальные регуляторы с января начали проверять в Китае, как работают с персональными данными пользователей популярные приложения для смартфонов, особенно сервисы доставки еды, такси и навигаторов [Cao Yin, 2019a].

Под влиянием европейского регламента создан и представленный в 2018 г. в Индии закон о защите персональных Personal Data Protection Bill. Согласно этому закону пользователи имеют аналогичные GDPR права, а штрафы за несоблюдение его требований так же высоки, как и в GDPR, например, операторам персональных данных за нарушения грозит взыскание до 2 млн. долларов (или 4% от годового оборота) [В Индии представлен… 2019].

В России считают, что для российских и иностранных компаний важно соответствовать российскому законодательству, прежде всего ФЗ 152 «О персональных данных», хотя учитывают, что публичная информация о штрафах чувствительна для крупных публичных компаний, и понуждает их начинать диалог с государством и принятие подобного закона могло бы снять социальное напряжение, связанное с блокировками интернет-ресурсов. Однако в России есть ряд неблагоприятных для введения крупных штрафов обстоятельств: это и низкий уровень защиты персональных данных как в ИТ-бизнесе, так и в госорганах, трудность самостоятельного доказывания убытков гражданами, неготовность судов, а также отсутствие физического представительства многих компаний-нарушителей на территории России, что означает невозможность исполнения судебных актов [«Утечки неизбежны» … 2019].    

3. Перспективы законодательства о защите персональных данных.

С одной стороны, опираясь на новые технологии. экономика шагнула в еще мало изведанные для права области, на что в свою очередь законодатели, государственные регуляторы отреагировали жесткими регулятивными мерами. Причем настолько жесткими, что крупный ИТ-бизнес стоит перед серьезными экономическими проблемами и необходимостью по-новому строить технологическую политику, публичные коммуникации и лоббирование своих интересов.

Право, национальные законодательства являются своеобразным «авангардом», форпостом адаптации общества к новым технологическим реалиям. Законодательное регулирование создает предпосылки для изменений во всех остальных сферах социальной жизни: ценностях, культуре, массовом сознании. В свою очередь потом эти изменения должны отразиться и на правовых представлениях и нормах, но на первом этапе право выступает в авангарде этих процессов. Информатизированное и технологизированное до пределов общество далеко не сразу способно выработать и новое законодательство, и правовую культуру для обеспечения конфиденциальности и защиты пользовательских данных в условиях новых потребностей экономики.

В эпоху экономики, основанный на Больших данных, законодательство, как один из инструментов по регуляторике сферы ИКТ, стоит перед многими нерешенными и пока объективно не разрешаемыми вопросами и возможно лишь на основе сложного баланса между конфиденциальностью и прозрачностью или как конфликт конкурирующих интересов. В его формировании задействовано множество участников: и юристы и политики и ИТ-сообщество, чьи интересы отстаивают бизнес- и торговые ассоциации, консалтинг, эксперты, и представители правоохранительных органов, а также правозащитные организации, крупные потребительские ассоциации, движение за персональную демократию, новые социальные движения.

Будущее законодательства о конфиденциальности зависит от решения многих вопросов, стоящих сегодня на повестке дня. Именно поэтому принятые в последние годы в разных странах новые законы о защите персональных данных, в которых сделаны попытки отразить технологические реалии, вызывают всеобщее внимание.

Различные национальные системы права сегодня в соответствии со своими традициями по-разному подходят к проблеме, хотя при этом они должны быть совместимы. Особенно важен опыт стран, которые, как общепризнано, являются наиболее продвинутыми в этом отношении.       Европейский регламент как раз продемонстрировал значимость использования такой меры как штрафы, а создатели GDPR попытались дать основанный на европейских традициях ответ вызовам нового этапа информационной экономики.

   В целом можно говорить о том, что постепенно на основе мультистейкхолдерства, взаимовлияния различных национальных правовых моделей и международных договоренностей складывается новая мировая система законодательств различных стран, где отдельные страны или регионы вносят свой особенный вклад в мировой опыт. Европа демонстрирует пример подхода, основанного на главенстве закона и правах человека, в США традиционно преобладают интересы бизнеса, Китай, Сингапур демонстрируют другой путь развития законодательства о персональный данных, когда доминирующим «игроком» здесь становится государство, которое распоряжается персональной информацией граждан как свей собственностью, а граждане принимают это как гарантию своей безопасности.

Но в век новых технологий праву еще предстоит догнать технологии и надежные решения для этого могут быть найдены лишь постепенно. Пока что оно находится в процессе аппробирования новых моделей для того, чтобы создать систему защиты права граждан на контроль за конфиденциальной информацией в условиях общества, где экономика, бизнес, система управления построены на сборе, обработке и использовании огромных массивов данных. Среди новых подходов – крупные денежные штрафы за злоупотребления данными; отношение к данным как к товару, который можно продать или купить; широкое понимание персональной информации; расширение представления о субъекте персональных данных (это и люди, и домохозяйства, и девайсы, и искусственные личности, например, боты); этические кодексы, выдвигаемые самим ИТ-сообществом. В новых условиях неизбежно должно измениться соотношение прав ИТ-компаний и пользователей. Если первые по-прежнему могут обрабатывать, аггрегировать профили и анализировать персональные данные в интересах развития бизнеса, то вторые должны иметь право знать, как, кому и почему передается их персональная информация, которую они предоставляют, и кто еще ее использует, а также возможность исправлять личную информацию в случае необходимости и даже запросить ее удаление, за исключением случаев, когда существует законная потребность или юридическое обязательство в сохранении этих данных.

Процессы поиска новых законодательных моделей не могут протекать бесконфликтно и безболезненно, и законодательные поиски адекватных ответов на вызовы технологического развития пока еще очень далеки от завершения.

[1] Идея тотального надзора, выраженная англ. философом Иеремией Бентамом в образе тюрьмы, спланированной так, что заключенные в ней узники всё время остаются под надзором.