«Информационное самоопределение» Европы: почему это важно для всех
Source: Flickr/Descrier
Регламент GDPR Европейского союза о защите персональных данных — это попытка изменить парадигму и пересмотреть «общественный договор» частных компаний с пользователями: удобства и бесплатные сервисы в обмен на данные. Теперь есть шанс, что давние стандарты Совета Европы, действующие в отношении государств, станут живыми нормами и в отношениях с бизнесом — по крайней мере, в Европе.
General Data Protection Regulation (GDPR)1Регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» (Принят в г. Брюсселе 27.04.2016). — регламент по работе с персональными данными для стран ЕС — вступил в силу 25 мая. Документ выглядит революционным в той части, где обязывает компании предоставлять людям понятные и реальные возможности по защите их данных (англ.). По логике Регламента, информация пользователей остается информацией пользователей, даже если она лежит на чужих серверах, и только они сами могут определять, в каком объеме и как она будет использована.
Право на приватность
Дискуссия о приватности началась в конце XIX столетия: в 1890 году американские философы Сэмюэль Уоррен и Луис Брэндейс заявили о «праве на одиночество» или «праве быть оставленным в покое» (the right to be left alone)2Warren S., Brandeis L. The Right to Privacy // Harvard Law Review. 1890. Vol. 4. № 5. P. 193—220., которое видели как защиту от распространения через СМИ сведений личного характера. В середине ХХ века Алан Уэстин писал о праве каждого самостоятельно решать, как, когда и в какой мере будет распространена информация о нем3Westin A. Privacy and Freedom. New York: Atheneum, 1967.. Позже Уильям Парент заявил, что приватность является моральной ценностью человека4Parent W. Privacy, Morality, and the Law // Philosophy and Public Affairs. 1983. Vol. 12. № 4. P. 269—288., а к «персональным данным» отнес информацию, которую люди обычно предпочитают не раскрывать — о состоянии здоровья, финансовом положении, сексуальной жизни. Современный философ Адам Мур ввел понятие «контроль доступа»5Moore A. Intangible Property: Privacy, Power, and Information Control // American Philosophical Quarterly. 1998. № 35. P. 365—378. и заявил, что приватность нужна человеку, чтобы быть самостоятельным участником общественной жизни. В дальнейшем американская традиция сосредоточилась на проблеме утраты приватности в информационном обществе, способах защиты личных данных и определении пределов внешнего вмешательства в жизнь человека6Solove D. A Taxonomy of Privacy // University of Pennsylvania Law Review. 2006. Vol. 154. P. 477—564..
Сегодня для обозначения права человека контролировать процессы, связанные со сбором и обработкой его данных частными и государственными структурами, используют понятия «приватность» (privacy), «информационная приватность» (information privacy), «приватность данных» (data privacy), «защита персональных данных» (data protection). Пожалуй, наиболее удачно это право обозначил Конституционный суд Германии в решении 1983 года (нем.) как «право на информационное самоопределение»:
«[…]защита индивидуума от неограниченного сбора, хранения, использования и раскрытия его/ее личных данных гарантируется общими правами личности, изложенными в Конституции. Это основное право гарантирует в данном отношении способность индивидуума определять в принципе раскрытие и использование его/её личных данных. Ограничения этому информационному самоопределению допускаются только в случае серьезного затрагивания интересов общественности».
В документах Совета Европы, Европейского союза и России выделены как особая категория «чувствительные данные» (sensitive personal data), обращение с которыми требует более строгих мер защиты: это данные о расовой или этнической принадлежности, политических взглядах, религиозных или иных убеждениях, здоровье и сексуальной жизни, судимости.
Регламент GDPR
Общий регламент по защите данных Евросоюза вводит единые стандарты работы с данными и призван, прежде всего, дать людям реальный контроль над их личной информацией. Регламент ужесточает ответственность юридических лиц за нарушение стандартов: размер штрафов достигает 20 млн евро или 4% годового дохода компании. GDPR действует непосредственно на всей территории Европейского союза.
Регламент согласован с положениями конвенций Совета Европы — Конвенции 1981 года о защите физических лиц при автоматизированной обработке персональных данных и Дополнительного протокола к ней, Европейской Конвенции о защите прав человека и основных свобод. В частности, при определении персональных данных (ПД) GDPR исходит из существующего подхода: ПД — это любая информация о человеке, с помощью которой его можно идентифицировать прямо или косвенно, вкупе с другими данными (аналогично — в российском «законе о персональных данных»). Однако кроме известных маркеров — имя, дата рождения, персональный номер, данные документов, кредитных карт, почтовый адрес, адрес места жительства, электронный адрес, телефонный номер, фото и видео-материалы — Регламент ЕС относит к персональным также данные о геолокации, IP-адрес, файлы cookie. Природа данных такова, что к ПД в разных ситуациях может быть отнесена любая информация о человеке.
ЕСПЧ в своих решениях давно применяет подобные стандарты в отношениях «государство — человек». В практике Евросуда защита личных данных — это часть права на неприкосновенность частной и семейной жизни (ст. 8 Европейской конвенции). Регламент GDPR применяет, по сути, те же стандарты к частным компаниям, которые теперь при обработке данных обязаны следовать принципам (англ.): законности, справедливости и прозрачности, целевого сбора данных, «минимизации данных», «точности», ограничения хранения данных, целостности и конфиденциальности, — а также обеспечивать безопасность данных и уведомлять граждан об их утечках, искажениях или уничтожении. «Чувствительные данные» (расовая или этническая принадлежность, политические взгляды, религия, членство в профсоюзах, состояние здоровья, сексуальная ориентация, генетические и биометрические данные) по общему правилу исключены из оборота, но могут обрабатываться в исключительных случаях (англ.).
Регламент требует от операторов прозрачности, понятности и человеческого языка в общении с пользователями — чтобы компании доступно разъясняли людям, как долго и как именно будут использовать их данные, а также реагировали на требования пользователей о предоставлении или удалении данных.
«Евростандарт» защиты данных
GDPR ввел право пользователей на доступ к своим данным (англ.) и обязал компании предоставлять пользователя по запросу копию его данных. Газета The New York Times назвала это право «радикальным». Журналисты издания провели эксперимент (англ.), чтобы показать, насколько разные возможности доступа к своим данным имеют граждане Европы и США, когда пытаются запросить информацию у аналитических сервисов, Amazon, Facebook, Twitter или LinkedIn. Оказалось, что, во-первых, у жителей ЕС и при прежней Директиве прав было больше, чем у американских пользователей, а во-вторых, социальные сети одинаково закрыты от тех и от других. Что касается России, то здесь персональные данные для законодателя — это, в первую очередь, часть национальной безопасности и цифрового суверенитета. Российское законодательство в области защиты данных по уровню требований не уступает стандартам Совета Европы и Евросоюза, но не дает людям реальных механизмов контроля за личными данными, собираемыми бизнесом и государством.
В числе других гражданских прав, предусмотренных Регламентом, — возможность возражать против обработки (right to object), при этом право на возражение, как и другие, не является абсолютным и может быть ограничено при наличии общественного интереса. К новым процедурам относится переносимость данных (data portability right), когда пользователь может поручить оператору (сотовой компании или банку) передать информацию о нем другой компании. Регламент переосмысливает «право на забвение» (right to be forgotten), которое раньше понималось как возможность частных лиц требовать от поисковиков удаления из результатов поиска устаревшей или некорректной информации. Теперь GDPR определяет его как право на удаление данных (англ.) как таковых. «Право на забвение» ограничено (англ.), когда речь идет о журналистской деятельности или другом публичном интересе.
GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от их местонахождения. В связи с этим несколько российских компаний («Аэрофлот», «Сбербанк») сообщили клиентам об обновлении политики конфиденциальности. Накануне вступления Регламента в действие российский Институт исследований интернета опубликовал доклад о возможных последствиях General Data Protection Regulation для российских операторов, где заключает, что европейский и российский стандарты плохо «гармонизируются»: «В практическом плане для российских компаний, ориентированных на пользователей в Евросоюзе […] это означает “двойное обременение”».
Изменить парадигму
Один из ключевых вопросов европейской реформы в области защиты данных — повлияет ли она на бизнес-модели таких монстров, как Google и Facebook. Недавние скандалы вокруг Cambridge Analytica показали, что соцсети — абсолютно непрозрачный рынок, основной валютой которого являются данные пользователей. Настройки по умолчанию в соцсетях позволяют компаниям получать доступ к максимально большому объему пользовательских данных.
В обновленной политике конфиденциальности Google рассказывает о типах собираемой информации, возможности удаления данных из сервисов, условиях передачи сведений третьим лицам. Facebook изменил настройки аккаунта: пользователи могут скачать историю своей активности с момента регистрации (публикации, фото и видео, комментарии, лайки, сообщения в Messenger, историю поиска, геоданные и проч.) и более гибко регулировать конфиденциальность. В политике использования данных Facebook рассказывает, насколько глубоко он заходит в устройства пользователей, что такое файлы cookie и как он отслеживает активность пользователей на других сайтах и в приложениях.
В целом бизнес настроен оставить все как есть («данные в обмен на удобства»), накрыв Регламент GDPR новым пользовательским соглашением, с которым можно согласиться или нет, но почти нельзя на него повлиять. Удастся ли Европе реально «изменить парадигму», покажет национальная правоприменительная практика и практика Суда Евросоюза (European Court of Justice).
Similar Posts:
- Informational Self-Determination of Europe and Its Importance
- Incendiary Content
- The Blacklist
- “Not everyone is able to pay a lawyer 600 euros for a 100 euro claim”
- «Разжигающий» контент
References
| ↑1 | Регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» (Принят в г. Брюсселе 27.04.2016). |
|---|---|
| ↑2 | Warren S., Brandeis L. The Right to Privacy // Harvard Law Review. 1890. Vol. 4. № 5. P. 193—220. |
| ↑3 | Westin A. Privacy and Freedom. New York: Atheneum, 1967. |
| ↑4 | Parent W. Privacy, Morality, and the Law // Philosophy and Public Affairs. 1983. Vol. 12. № 4. P. 269—288. |
| ↑5 | Moore A. Intangible Property: Privacy, Power, and Information Control // American Philosophical Quarterly. 1998. № 35. P. 365—378. |
| ↑6 | Solove D. A Taxonomy of Privacy // University of Pennsylvania Law Review. 2006. Vol. 154. P. 477—564. |
