Технологии и законодательство о защите персональных данных: диалог и противоречия

Сегодня деятельность глобальных транснациональных ИТ-компаний, большинство которых находятся в юрисдикции США, является одним из основных двигателей цифровой экономики, основанной на использовании огромных массивов данных, и одновременно источником новых социальных противоречий и коллизий в законодательной регуляторике в сфере защиты конфиденциальности и защиты персональных данных. Существующая система законодательного регулирования пока не соответствует вызовам инновационной технологической среды.

Современный крупный ИТ-бизнес в США сформировался в условиях экономической и политической культуры, ориентированной прежде всего на саморегулирование и не сдерживаемой общим единым федеральным законодательством, регламентирующим обработку и защиту персональных данных. Приоритетными являются эффективность бизнеса, потребность рынка в свободе передачи данных, а защита персональных данных носит инструментальный характер по отношению к ним. В Конституции США право на неприкосновенность частной жизни не упоминается, но оно входит в сферу действия ряда поправок к Конституции, которые могут применяться в случае нарушения прав субъектов персональных данных.

В сфере защиты персональных данных для коммерческих компаний общие стандарты всегда носили лишь рекомендательный характер в отличие от правительственных организаций, для которых их соблюдение обязательно, например, Закон 1974 г. о конфиденциальной информации (Privacy Act of 1974) и Закон о защите частной жизни 1980 (Privacy Protection Act of 1980). Частные компании должны сами обеспечивать конфиденциальность пользователей, безопасность своей критической инфраструктуры, ориентируясь на требования существующих стандартов и общие руководства. Они также должны считаться с целым рядом отраслевых законов, регулирующих защиту данных в отдельных областях. Например, в области финансовой тайны это закон Грэмма – Лича – Блайли, в области защиты детей – закон «О защите конфиденциальности детей в Интернете» (Children's online privacy protection Act/COPPA, 1998), конфиденциальность медицинской информации обеспечивается пакетом законов о здравоохранении и социальном обеспечении (например, закон «О мобильности и подотчётности медицинского страхования» (Health Insurance Portability and Accountability Act/HIPAA, 1996) и др. Сюда же можно отнести и транграничные акты, такие как Принципы защиты информации Министерства торговли США (US Department of Commerce's Safe Harbor Privacy Principles) и «Передача персональных данных авиапассажиров» (Transfer of Air Passenger Name Record, PNR), который регулирует передачу данных в таможне и пограничной службе США¹.

Хотя это и не является обязательным для частных компаний, на практике они следуют ряду нормативов общего характера, разработанных Административно-бюджетным управлением (Office of Management and Budget, OMB) и Национальным институтом стандартов и технологии (National Institute of Standards and Technology, NIST). Они разрабатывают стандарты и общие централизованные рекомендации по защите персональных данных для государственных организаций и федеральных агентств, в частности, «Руководство по защите конфиденциальности персонально идентифицируемой информации»², выпущенное в апреле 2010 г. В этом документе содержатся организационные, технические, юридические аспекты защиты персональных данных. «Руководство» охватывает весь цикл работы с данными, под персонально идентифицируемой информацией в нём понимается любая информация о физическом лице, которая может быть использована для выделения или отслеживания личности человека (имя, номер социального страхования, дата и место рождения, девичья фамилия матери или биометрические данные; а также любая другая информация, которая связана или может быть связана с личностью, такая как медицинские, образовательные, финансовые данные и сведения о трудоустройстве). В обсуждении ещё одного документа Национального института стандартов и технологии – «Руководство по защите от киберугроз» (Cybersecurity Framework), который содержит систему нормативов и правил для управления рисками информационной безопасности, связанными с персональными данными, в сфере госуправления (2014 г., вторая версия – 2017 г.), принимали участие эксперты и представители коммерческих ИТ-компаний.

Однако в последние годы в связи с тем, что деятельность гигантских ИТ-компаний, таких как «Гугл» (Google), «Фейсбук» (Facebook), «Амазон» (Amazon), «Майкрософт» (Microsoft), «Ай-би-эм» (IBM), «Интел» (Intel) и проч., не только изменила экономику, но и повлияла на политику, продемонстрировала необходимость модернизации законодательства, существенно затронула общественное мнение, самих пользователей и интересы различных общественных организаций, встал вопрос и о существенных изменениях в законодательстве о защите персональных данных.

Многочисленные скандалы вокруг крупных утечек данных в социальных сетях, интернет-магазинах, страховых компаниях, кредитных организациях и других компаниях, громкая предвыборная история вокруг деятельности «Кембридж аналитика» (Cambridge Analytica), которой удалось получить и использовать в политических целях огромные массивы персональных данных 87 млн пользователей «Фейсбук», повлияв на их политические предпочтения и выбор с помощью алгоритмов (эта история поставила «Фейсбук» в центр внимания общества и государственных органов и повлекла за собой ряд расследований деятельности компании), многочисленные случаи давления правоохранительных органов на технологические компании для получение доступа к данным, замусоривание информационного пространства фейковыми новостями и развитие технологий дипфейков (фальшивых видео) – всё это имело огромный социальный резонанс и породило в американском обществе серьёзные опасения по поводу тех последствий, к которым может привести отставание правового регулирования в этой области. А если добавить к этому ещё и разоблачения Э. Сноудена о деятельности американских спецслужб, то становится понятным, каким серьёзным вызовом для законодательства США стали проблемы сохранения конфиденциальности и как сложно найти здесь такой законодательный ответ, который сбалансировал бы интересы общества, государства и ИТ-бизнеса.

Так, громкое дело «США против “Майкрософт”» продемонстрировало, как американская судебная практика, основанная на прецедентном праве, начинает всё больше напоминать многосерийный телевизионный фильм. Ещё в 2014 г. в результате судебного разбирательства в соответствии с законом «О сохранении сообщений» (Stored Communications Act от 1986 г.) компанию «Майкрософт» обязали предоставить доступ к электронным письмам, хранящимся на одном из её серверов, находящемся в Ирландии, в связи с расследованием спецслужбами дела о наркотиках. Компания в свою очередь успешно обжаловала судебное решение на том основании, что действие закона распространяется только на данные, хранящиеся на территории США, и федеральные власти не вправе требовать от американских компаний передавать правоохранительным органам пользовательские данные, хранящиеся на иностранных серверах. В феврале 2018 г. на апелляцию подали и власти. Этот случай во многом повлиял на принятие в 2018 г. «Облачный закона» (Clarifying Lawful Overseas Use of Data Act, CLOUD Act), расширяющего полномочия правоохранительных органов на доступ к данным, хранящимся на заграничных серверах.

То, что действующее законодательство пока ещё только адаптируется к новым технологическим условиям, не имеет соответствующих правовых инструментов и отстаёт от развития технологий, продемонстрировала и громкая история разбирательств между «Эппл» и ФБР в 2016 г. по поводу отказа компании создать программный код, который позволил бы обойти пароль и вскрыть смартофон террориста Сайеда Фарука, чтобы получить хранящиеся в нём данные. Разбирательство затянулось, компания, ссылаясь на неприкосновенность данных и возможность потери доверия покупателей и снижения их информационной безопасности, отстояла свою позицию.

Нелёгкие дни переживает сейчас и крупнейшая в мире социальная сеть «Фейсбук». В последние два года ведётся масштабное публичное расследование нарушений, допущенных этой компанией при использовании персональных данных пользователей в связи с доступом к ним компаний-партнёров, начиная с 2011 г. Среди этих партнёров – аналитические компании, производители электроники и автопроизводители, интернет-магазины, медиа и многие другие. Экономический эффект от использования этих данных в рекламных целях был значительным и для них, и для «Фейсбук», он значительно стимулировал рынок, но сфера конфиденциальности при этом претерпела огромный ущерб. Теперь компании грозит штраф от 3 до 5 млрд со стороны Федеральной торговой комиссии США за нарушение соглашения 2011 г. о запрете использования данных пользователей без их явного согласия. «Фейсбук» также предъявили обвинения в хранении паролей пользователей в незашифрованном текстовом виде на серверах компании, что делало их открытыми для сотрудников, в незаконном хранении адресов электронной почты и контактов пользователей. В ходе разбирательства и самому Цукербергу, и другим руководителям компании пришлось давать многочисленные разъяснения в Конгрессе США. Сами пользователи принимают активное участие в обсуждениях ситуации, создав движение #УдалитьФейсбук (#DeleteFacebook). И хотя компания уже давно удалила приложения всех компаний-нарушителей и заложила в свой бюджет на 2019 г. сумму в 3 млрд долл. для выплаты штрафа (что отнюдь не исчерпывает всей её прибыли), возможны и новые иски, расследования и штрафы от желающих получить и свой куш от нового «золотого тельца». Из-за скандала Цукербергу, видимо, придётся расстаться с постом председателя совета директоров компании.

Небезопасной и несоответствующей европейским стандартам считают ситуацию с использованием данных европейских пользователей американскими ИТ-компаниями и европейские регуляторы. За последние годы в странах ЕС, прежде всего в Германии, Франции и Великобритании, общеевропейскими и национальными регуляторами были предъявлены иски и крупные штрафы за нарушения конфиденциальности, антимонопольного законодательства крупнейшим американским ИТ-компаниям, таким как «Гугл», «Фейсбук», «Амазон», «Эппл», «Майкрософт».

Но если до принятия в ЕС нового общеевропейского Регламента 2016/679 Европейского парламента и совета «О защите персональных данных и о свободном перемещении таких данных» (General Data Protection Regulation, GDPR), который вступил в силу с 25 мая 2018 г., это выглядело как наступление европейских правительств на компании из Кремниевой долины, то теперь к новой европейской модели регулирования защиты персональных данных в условиях доминирования огромных технологических платформ всё больше присматриваются в других странах, в том числе и в самих США, несмотря на то, что правовые традиции Европы и США различны. Ведь европейцы исходят из приоритета прав человека, а американский подход основан на интересах рынка и саморегулирования ИТ-отрасли. Среди американских юристов не прекращаются дискуссии по поводу содержания и практики применения нового общеевропейского Регламента. В целом же его появление открывает новейший этап в развитии мирового права по защите конфиденциальности. Важно, что соблюдение правил общеевропеейского Регламента «О защите персональных данных и о свободном перемещении таких данных» (General Data Protection Regulation, GDPR) открывает путь к повышению уровня защиты данных, восстановлению доверия пользователей, потеря которого значительно поколебала имидж технологических компаний.

В результате в последние несколько лет сложилась непростая и для законодателей, и для политиков ситуации. Призывы противодействовать монополизму и нарушениям конфиденциальности американскими ИТ-гигантами становятся важной частью политической риторики, их включили в свой предвыборный арсенал многие американские и европейские лидеры. Ряд американских политиков, в том числе и в рамках предвыборной кампании, уже высказались за резкие ограничения деятельности ИТ-компаний. Так, в США критику Google использовала в своей предвыборной кампании сенатор-демократ из Массачусетса Элизабет Уоррен (Elizabeth Warren). Демократ Дэвид Чичиллине (David Cicilline), штат Род-Айленд, председатель подкомитета Палаты представителей по антимонопольному, торговому и административному праву, призвал к федеральному антимонопольному расследованию в отношении Facebook. Бывший губернатор Калифорнии, демократ Джерри Браун в рекордно короткие сроки организовал в 2018 г. принятие уже получившего широкую известность закона «О защите данных интернет-пользователей» (California Consumer Privacy Act), а нынешний губернатор штата Гэвин Ньюсом, который был его помощником с 2011 г., а теперь рассматривается многими демократами как потенциальный кандидат в президенты на выборах 2020 г., продолжает его линию. Создают себе серьёзный политический имидж, «возделывая» тему конфиденциальности и многие европейские политики, например, Маргарет Вестагер, европейский комиссар по антимонопольным вопросам, известная своим жёстким отношением к американским ИТ-компаниям и многочисленными крупными штрафами в их адрес³.

Таким образом, деятельность американских ИТ-гигантов стала серьёзным вызовом для национального законодательства США, и не только для него, поскольку затронула и экономическую, и политическую, и социальную сферы и серьезно повлияла на изменение политической и правовой среды. Произошло что-то вроде «Большого взрыва», в результате которого прежний сложившийся в 2000-е годы порядок вещей был нарушен, а законодательная регуляторика деятельности ИТ-гигантов потребовала серьёзных изменений.

Крупные американские ИТ-компании прекрасно отдают себе отчёт в том, что в нынешних условиях ИТ-бизнесу и технологическому сообществу приходится проявлять гораздо бóльшее уважение к конфиденциальности данных пользователей и лояльность по отношению к требованиям американских и европейских регуляторов, властей. Представители ИТ-компаний выражают готовность сотрудничать с регуляторами и надежду на достижение баланса интересов, демонстрируют готовность пересмотреть подходы к безопасности пользовательских соглашений и внести изменения в технические продукты, чтобы усилить защиту пользователей. Именно последнее уже сделал «Фейсбук», изменив настройки приватности, чтобы усилить контроль пользователей над контентом. Социальная сеть также объявила, что отныне делает акцент на жизни приватных сообществ, а не на публичных коммуникациях.

В новых условиях неизбежно должно измениться соотношение прав ИТ-компаний и пользователей. Если первые по-прежнему могут обрабатывать, агрегировать профили и анализировать персональные данные в интересах развития бизнеса, то вторые должны иметь право знать, как, кому и почему передаётся их персональная информация, которую они предоставляют, и кто ещё её использует, а также возможность исправлять личную информацию в случае необходимости и даже запросить её удаление. Исключением является наличие законной потребности или юридических обязательств в сохранении этих данных.

Американское ИТ-сообщество также выдвигает собственные проекты новых общих правил для регулирования использования персональной информации о пользователях, не забывая при этом лоббировать свои интересы, чтобы избежать строгих наказаний и денежных штрафов. При этом представители компаний подчёркивают несовершенство нынешнего законодательного регулирования технологического сектора, необходимость формирования национального законодательства о конфиденциальности в интернете в соответствии с уровнем технологий XXI века. Технологические компании стремятся избежать более жёстких законов и задействовать механизмы саморегулирования рынка. Особенно обеспокоило ИТ-бизнес принятие в Калифорнии в 2018 г. закона о «О правах потребителей», который специалисты считают законом о конфиденциальности нового этапа, отвечающим требованиям современной технологической среды.

ИТ-бизнес демонстрирует лояльность по отношению к новому курсу президента Трампа на разработку федеральных стандартов в сфере конфиденциальности. Речь идёт о разработке новой системы отраслевых правил – «Руководства по конфиденциальности» (Privacy Framework), разработкой которого занимается Национальный институт стандартов и технологии на основе консультаций с ИТ-сообществом и представителями отрасли. Для коммерческих организаций оно по-прежнему носит добровольный характер. «Руководство» направлено на управление рисками, связанными с защитой персональной информации, и угрозами при её сборе, хранении, использовании и обмене между организациями в условиях интенсивно развивающейся технологической среды, включая интернет вещей и искусственный интеллект. Больше внимания предполагается уделить совместимости этих стандартов с другими национальными и международными актами.

Также, согласно подписанному Д. Трампом в феврале текущего года распоряжению, особое значение придаётся федеральным стандартам, в том числе и по конфиденциальности данных, при разработке американской инициативы по внедрению и распространению технологий искусственного интеллекта. Ведь в рамках этой программы федеральным агентствам предстоит предоставить экспертам и исследователям широкий доступ к государственным базам данных и вычислительным ресурсам, при этом сохранив безопасность и конфиденциальность этих данных.

В то же время крупные профессиональные ИТ-ассоциации, объединяющие интернет- и технологические корпорации, предложили собственные проекты создания национальных правил по регулированию использования персональных данных.

Интернет-ассоциация (Internet Association, IA), куда входят 40 интернет- и технологических гигантов, в том числе «Фейсбук», «Гугл», «Ибэй» (eBay) и «Амазон», считает важными прозрачность, контроль, доступ, коррекцию, удаление персональных данных. Проект, предложенный Альянсом по коммерческому программному обеспечению (Business Software Alliance, BSA / The software alliance), объединяющая 30 компаний, среди которых «Майкрософт», «Эппл», «Интел», (Intel), «Ай-би-эм» (IBM) и «Оракл» (Oracle), включает следующие принципы: прозрачность, спецификация цели, информированный выбор, качество данных, потребительский контроль, безопасность, содействие в использовании данных для легитимных деловых интересов, подотчётность, соблюдение правовых норм и правопорядка, возможность международного взаимодействия, право физических лиц на доступ к личной информации, которую они предоставляют компаниям⁴.

В свою очередь в Конгрессе США считают, что стремление к разработке национального законодательства о конфиденциальности в интернете не должно нанести ущерба инновациям, как об этом говорилось на слушаниях 26 сентября 2018 г. в Комитете по торговле, науке и транспорту, посвященном защите данных пользователей крупными ИТ-компаниям⁵. Таким образом, на новом этапе законодательного регулирования обеспечения защиты персональных данных правительство взяло курс на введение «общих правил игры», федеральных стандартов, причиной которого во многом стали скандалы, связанные с деятельностью крупных технологических компаний, судебными расследованиями их деятельности и многомиллиардными штрафами со стороны американских и европейских регуляторов. Сами же компании проявляют, с одной стороны, лояльность и готовность участвовать в регулировании столь чувствительность области, как защита персональных данных, а с другой – принимают меры по лоббированию собственных интересов.

Калифорнийский закон «О защите данных интернет-пользователей»

В Калифорнии, находятся офисы известных международных организаций, таких как Корпорация по управлению доменными именами и IP-адресами (ICANN), и штаб-квартиры многих ведущих интернет- и технологических компаний «Фейсбук», «Гугл», «Эппл», «Нетфликс» (Netflix), «Хьюлетт Паккард» (HP), «Интел» и др.). Законодательство штата идёт в фарватере развития американского законодательства в области персональных данных. Относится это и к недавно принятому здесь по инициативе тогдашнего губернатора штата демократа Джерри Брауна жёсткому по отношению к ИТ-компаниям закону «О защите данных интернет-пользователей» (California Consumer Privacy Act)⁶.

Закон, который был подписан губернатором 28 июня 2018 г. и вступит в силу 1 января 2020 г., направлен на то, чтобы контролировать, как используются персональные данные, обеспечить прозрачность процесса их хранения и обработки. Действие закона распространяется на компании, обрабатывающие данные жителей штата, независимо от их юрисдикции. Деятельность компании подпадает под действие нового закона, если её годовой доход составляет минимум 25 млн долл. или она хранит персональные данные более 50 тыс. субъектов персональной информации (речь может идти и о домохозяйствах), или получает более половины годовой прибыли от продажи персональных данных.

В законе в качестве меры наказания за нарушения по использованию персональных данных и компенсации для пользователя были введены денежные штрафы. Компании должны подготовиться и сразу же по вступлении закона в силу предоставить пользователям возможность ознакомиться с собранными о них за 12 месяцев данными.

Пользователь имеет право запросить у компаний информацию о том, какие именно персональные данные о нём были собраны, как и почему они используются, получить список третьих лиц, которым эта информация стала известна, а также имеет право требовать удаления информации о себе с серверов компании и серверов третьих лиц или отказаться от продажи/передачи информации какой-либо третьей стороне, рекламодателям. По его запросу компания должна раскрыть цели сбора персональных данных и их источники. Введены жёсткие ограничения на продажу/передачу данных несовершеннолетних младше 16 лет.

Понятие персональных данных рассматривается широко, как персональная информация: это любые идентификаторы, биометрия, геолокация, история активности в интернете и информация о трудоустройстве или образовании. Персональный идентификатор может включать и информацию о семье пользователя. Сюда же относится любая информация, которая позволяет составить профили пользователей, будь только психологические, поведенческие и др. Важно также, что в законе речь идёт и о домохозяйствах, что означает распространение его и на сферу интернета вещей. Таким образом, поскольку речь идёт не о персональных данных, а о персональной информации, понятие субъекта персональных данных может трактоваться очень широко.

Основываясь на достоверной информации, пользователь имеет право подать в суд, в случае если он считает, что организация неправомерно воспользовалась его персональными данными или не выполнила какой-либо из его запросов в срок. Штраф за ущерб вследствие нарушения при хранении или использовании данных по такому иску может составлять от 100 до 750 долларов. Среди санкций также штрафы в 7,5 тыс. долл. за умышленное нарушение и 2,5 тыс. долл. за непреднамеренное нарушение. Правда, эксперты считают, что в текст закона до его вступления в силу могут быть внесены исправления, а суммы штрафов и выплат ещё могут измениться.

В отличие от европейского Генерального регламента по защите персональных данных (GDPR), согласно которому необходимо получить прямое согласие пользователя на обработку его персональных данных, по калифорнийскому закону компания сначала должна получить от пользователей соответствующий запрос и лишь после этого раскрыть факты нарушений, если таковые были совершены. Однако в этом законе, кроме денежных штрафов, есть и другие важные моменты, которые в дальнейшем могут быть заимствованы в международном ИТ-законодательстве. Компаниям запрещено дискриминировать пользователей, отказавшихся предоставить свои персональные данные. Может быть введена система поощрений или скидок для тех, кто согласился поделиться своими данными с третьими лицами, и установлены разные цены для пользователей в зависимости от их настроек приватности. Таким образом, фактически компании могут приобретать у пользователей информацию, которую они раньше получали бесплатно⁷.

Новый калифорнийский закон значительно расширяет права пользователей по зашита своих персональных данных: во-первых, пользователи могут получать у компаний все свои персональные данные и подавать на них в суд в случае нарушений, а на компанию может быть наложен штраф; во-вторых, компании могут приобретать у пользователей информацию, которую они раньше получали бесплатно. Это означает серьёзные изменения стандартов для ИТ-отрасли в США и в перспективе может значительно повлиять на ситуацию с обработкой персональных данных не только на территории штата, но и в более широком масштабе.

Трансграничное регулирование деятельности американских ИТ-компаний на европейском рынке

Действуя на территории ЕС, американские ИТ-компании попадают в сложное положение между интересами правоохранительных органов, собственными бизнес-приоритетами по сохранению приватности и доверия своих пользователей и нормами национального законодательства европейских стран. Фактически сложилась беспрецедентная ситуация: огромные транснациональные технологические компании с американской юрисдикцией хранят на своих расположенных на территории разных стран серверах данные миллионов пользователей, в том числе и европейцев. В доступе к этой информации очень заинтересованы правоохранительные органы США, полномочия которых в области сбора информации, доказательной базы, извлечения и хранения данных были расширены ещё «Патриотическим актом» после событий 11 сентября 2001 г. и которые продолжают лоббировать свои интересы.

Такое положение не может не вызвать серьёзную обеспокоенность правительств и граждан этих стран.

Именно обеспокоенность граждан, активистов европейских стран безопасностью хранения этих данных стала по решению Европейского суда (European Court of Justice) причиной признания недействительным международного Договора о международных принципах защиты конфиденциальности персональных данных (International Safe Harbor Privacy Principles) согласно которому с 2001 до 2016 г. регулировалось трансграничное взаимодействие США с европейскими странами, так как он не обеспечивал должного уровня безопасности персональных данных европейских пользователей на серверах американских компаний.

Новое соглашения о правилах обмена конфиденциальной информацией между ЕС и правительством США вступило в силу с июля 2016 года. Рамочное соглашение «Щит конфиденциальности ЕС-США» (EU-US Privacy Shield Frameworks) в гораздо большей степени соответствовало требованиям и основным принципам законодательства ЕС, оно расширило и детализировало некоторые положения прежнего договора и в то же время привнесло много нового⁸.

Согласно ему американские власти, правоохранительные органы могут получить доступ к персональным данным граждан ЕС, если возникает такая необходимость, но под контролем и при условии соблюдения соответствующих ограничений. В соглашении зафиксированы принципы защиты конфиденциальности информации между странами, на основе которых осуществляется обработка персональной информации, определены необходимые для этого процедуры, учреждён пост уполномоченного по соблюдению договорённостей и рассмотрению претензий.

Однако вслед за этим соглашением, 6 февраля 2018 г., в качестве поправки к Закону «О сохранении сообщений» (Stored Communications Act, SCA) от 1986 г., регулирующему предоставление доступа правительства США к данным, находящимся в распоряжении интернет-провайдеров, было принято Разъяснение закона о законном использовании данных за рубежом (Clarifying Lawful Overseas Use of Data Act, CLOUD Act) – закон, который значительно упростил американским правоохранительным органам доступ к данным интернет-пользователей, независимо от того, в какой стране они находятся. Он был включен в состав закона о федеральном бюджете, который 23 марта 2018 г. подписал президент США Дональд Трамп.

Порядок обмена информацией между странами об интернет-пользователях в целях сбора необходимых для обеспечения безопасности доказательств и проведения дальнейших оперативно-следственных и процессуальных действий, долгое время регулировался соглашениями о взаимной правовой помощи в рамках Будапештской конвенции по противодействию киберпреступности (Mutual Legal Assistance Treaty, MLATs). Однако для получения информации требовалось соблюдать ряд процедур, выполнение которых занимало немало времени. Теперь же согласно «Облачному закону» обновленные правила предоставляют неограниченную экстерриториальную юрисдикцию правоохранительным органам США осуществлять запрос любых персональных данных у американских ИТ-компаний без таких процедур (независимо от того, где хранится контент или метаданные, в том числе и на серверах, которые находятся за пределами США), то есть фактически без соблюдения законов о конфиденциальности этой страны. Таким образом, правоохранительные органы США получают практически неограниченный доступ к личной информации пользователей, ведь именно американские ИТ-компании-гиганты контролируют большую часть мирового трафика⁹.

Американские технологические компании, заинтересованные в том, чтобы сохранить доверие своих пользователей и не подорвать отношения с правительствами этих стран, всё же добились внесения положений, позволяющих им отменять или изменять постановления правоохранительных органов США об экстерриториальном доступе к данным в ситуации противоречия законам иностранного правительства. В случае если запрос противоречит иностранному законодательству, компания может в течение 14 дней пройти сложную процедуру, а суд США должен вынести решение, как совместить интересы правительств США и иностранных государств¹⁰.

На официальном уровне принятие «Облачного закона» освещалось, как достижение баланса интересов правоохранительных органов и технологических компаний, что вызвало возражения со стороны юристов и правозащитников, видевших здесь нарушение цифровых прав и предлагавших совершенствование той же системы согласно Будапештской конвенции по противодействию киберпреступности.

В то же время со вступлением в силу общеевропейского Регламента американские ИТ-компании, работающие на европейском рынке, имеющие там филиалы, а также осуществляющие мониторинг поведения резидентов ЕС, должны чётко соблюдать ряд жёстких принципов и процедур при обработке персональных данных граждан ЕС¹¹. За нарушение новых правил, введённых в Регламенте, накладываются огромные штрафы – 20 тыс. евро или 4% годового мирового дохода компании, в случае если об этом не будет сообщено регулятору в течение 72 часов.

Согласно Генеральному регламенту по защите данных согласие на обработку персональных данных должно быть выражено в форме утверждения и активных действий пользователя, а не по умолчанию или с уже поставленной галочкой, в форме бездействия. Персональные данные понимаются очень широко: это любая информация, по которой можно определить субъекта данных, в том числе его имя, местоположение, IP-адрес, онлайн-идентификатор, данные о физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности. К конфиденциальным персональным данным также относится информация, которая раскрывает расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзе, генетические, а также биометрические данные, используемые для идентификации физического лица о состоянии здоровья, сексуальной жизни или ориентации.

Пользователи наделены рядом важных прав в отношении своих данных: они имеют право запросить подтверждение факта обработки их данных, а также уточнить кому и какая информация передаётся, узнать источник получения данных, потребовать прекращения обработки и удаления своих данных по запросу во избежание их распространения или передачи третьим лицам, если это не противоречит интересам общества или иным фундаментальным правам европейцев. Введено также новое право на перенесение данных: компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию пользователя, хотя на практике воспользоваться этим правом трудно из-за технических различий между информационными системами.

Действительно ли новому общеевропейскому регламенту «О защите персональных данных и о свободном перемещении таких данных» удастся задать новый вектор развития цифрового общества, покажут результаты его применения. Есть немалые выгоды для американских компаний, работающих в ЕС, за счёт сокращений бюрократии и расходов, ведь придерживаться единого набора правил при защите и обработке данных легче, чем выполнять национальные правила каждой европейской страны. После его вступления в силу и «Фейсбук», и «Гугл», несмотря на то что тщательно готовились к выполнению его требований, уже получили новые огромные штрафы за нарушение обращения с личными данными с точки зрения новых европейских правил¹². Так, немецкий регулятор в области конкуренции Бундескартелламт (Bundeskartellamt) обвинил «Фейсбук» в том, что тот злоупотребляет своим доминирующим положением на рынке, чтобы постоянно накапливать пользовательские данные из учётных записей, в том числе и из дочерних компаний «Вотс Апп» (WhatsApp) и «Инстаграм» (Instagram). В результате компания получает очень подробные профили своих пользователей и знает, что они делают в интернете¹³.

Поскольку согласно Генеральному регламенту по защите данных cookies-файлы, хранящиеся в компьютере и содержащие всю информацию о посещениях сайтов пользователями, приобретают статус персональных данных, так как могут использоваться для формирования информационного профиля пользователя и его идентификации, многие крупные американские новостные сайты, работающие с пользовательскими данными, такие как «Лос-Анджелес таймс» (Los Angeles Times), «Чикаго трибьюн» (The Chicago Tribune), «Сан кроникл» (The Sun Chronicle), «Нью-Йорк дэйли ньюс» (New York Daily News), «Ю-эс-эй тудэй» (USA Today), заблокировали доступ европейским пользователям, решив для себя более выгодным, несмотря на потерю европейского трафика, сначала разобраться в ситуации, чтобы избежать штрафов¹⁴.

Столкнулась с трудностями, связанными с сетевым протоколом «Хуиз» (Whois) и Корпорация по управлению доменными именами и IP-адресами (ICANN), которая хотя и является международной организацией, но зарегистрирована в Калифорнии. Часть этих регистрационных данных о владельцах доменных имён, IP-адресов и о том, как с ними связаться, хранящихся в «Хуиз», согласно новому общеевропейскому регламенту, считается информацией личного характера, следовательно, должна быть защищена. На практике это значительно затруднит возможности для представителей правоохранительных органов и экспертов в сфере кибербезопасности узнать, кто контролирует доменные имена, например, владельца домена, используемого для распространения вирусов, и потребовать его удаления. Поскольку эти данные принадлежат более чем 2,5 тыс. компаний, которые продают доменные имена, Корпорация по управлению доменными именами и IP-адресами должна будет выступить в роли координатора действий всех этих компаний в сотрудничестве с европейскими властями в сфере защиты персональных данных¹⁵.

Заключение

В век новых технологий праву ещё предстоит догнать технологии и надёжные решения для этого могут быть найдены лишь постепенно. В этой ситуации американское законодательство по защите персональных данных оказалось перед лицом одновременно новых вызовов и новых возможностей. Пока что оно находится в процессе апробирования новых моделей, чтобы создать систему защиты права граждан на конфиденциальность в условиях общества, где экономика, бизнес, система управления построены на сборе, обработке и использовании огромных массивов данных. Среди новых подходов – усиление роли федеральных стандартов; денежные штрафы за злоупотребления данными; отношение к данным как к товару, который можно продать или купить; широкое понимание персональной информации; расширение представления о субъекте персональных данных (это и люди, и домохозяйства, и девайсы, и искусственные личности, например, боты); этические кодексы, предложенные самим ИТ-сообществом и др.

В поиске новых законодательных решений участвуют не только профессионалы – юристы и политики, но и представители самого ИТ-бизнеса, правозащитные организации, крупные потребительские ассоциации и, наконец, сами пользователи.

На формирование нового законодательства в области защиты персональных данных оказывает влияние и нормативно-регулятивная практика других стран, и прежде всего новый Генеральный регламент по защите данных. Постепенно на основе мультистейкхолдерства, взаимовлияния различных национальных правовых моделей и международных договорённостей складывается новая мировая система законодательств различных стран, в рамках которой отдельные страны или регионы вносят свой вклад в мировой опыт в целом. Такой процесс не может протекать бесконфликтно и безболезненно, и законодательные поиски адекватных ответов на вызовы технологического развития пока ещё очень далеки от завершения.