Когда дело касается приватности и открытости,
люди всегда требуют первого для себя,
а второго — для всех остальных.
Дэвид Брин
В условиях развития уже существующих и появления новых цифровых технологий особое внимание следует уделить защите персональных данных. Массовые утечки конфиденциальной информации о пользователях, использование данных в злонамеренных целях — это еще не полный перечень проблем. Требуются адекватные правовые решения по обеспечению защиты персональных данных граждан.
В представленной статье будут рассмотрены правовые концепции, которые нашли свое выражение в международных документах, а также предложены некоторые соображения по поводу дальнейшего совершенствования международных и национальных документов в сфере защиты данных.
Для анализа международно-правовой базы в сфере защиты данных мы позволим себе остановиться на следующих терминологических разъяснениях (они условные и предложены нами для максимального понимания смысла статьи), которые будут использоваться в этой статье:
а) цифровые платформы — платформы интернет-компаний (например, шеринговые платформы, поисковые системы, социальные сети и т.д.), которые представляют собой систему алгоритмизированных отношений между пользователем и владельцем платформы, а также третьими лицами (например, рекламными компаниями). Обязательным условием данных отношений является сбор, обработка и использование владельцами платформ данных зарегистрированных пользователей в собственных экономических, социальных, технологических интересах. Кроме того, цифровые платформы имеют возможность формировать собственную цифровую экосистему с другими цифровыми платформами;
б) защита персональных данных — комплекс организованных правовых и иных действий на международном и национальном уровнях с целью предотвращения возможных будущих нарушений, связанных со сбором и использованием персональных данных пользователей;
в) большие данные (big data) — совокупность всех данных, поступающих из различных гаджетов и иных средств связи и технических платформ с использованием Интернета, а также все стадии обработки информации, её анализа и структурирования.
Взаимосвязь больших данных и защиты персональных данных в условиях развития цифровых платформ
В первую очередь мы должны ответить на вопрос, как связаны большие данные и защита персональных данных? При ответе сошлемся на книгу Т. Сибела «Цифровая трансформация» [1]. В данной книге автор представляет нашему вниманию три основных этапа цифровой революции: интернет вещей, большие данные и искусственный интеллект [2]. Автор демонстрирует неразрывную связь данных технологий со всеми процессами, происходящими в условиях цифровой трансформации (не исключаются и организационно-правовые вопросы), в том числе — защита данных и информации [3].
Большие данные — совокупность данных и процессов их обработки и структурирования, а защита персональных данных — своего рода перечень действий, ограниченный предметно [4], для защиты определенных групп собранных и используемых данных. Таким образом, большие данные и защита данных соотносятся как целое и часть.
Реализация защиты персональных данных на международном уровне
Реализацию защиты персональных данных на международном уровне мы можем рассматривать через призму международных организаций и интеграционных объединений, которые участвуют в выработке международно-правовых документов по защите персональных данных.
В данной статье затрагиваются именно те организации и интеграционные объединения, которые участвуют не только в формировании своей собственной информационной политики, но и в выработке инструкций, а также исследуют вопросы защиты персональных данных. В большей степени интересны «внешние» документы, получаемые в результате международного нормотворчества, а не «внутренние». Политики конфиденциальности и документы по обращению с данными, созданные Управлением Верховного комиссара ООН по делам беженцев, безусловно важны для формирования общей политики защиты персональных данных. Однако в данной статье мы затрагиваем проблему цифровых платформ крупных компаний, поэтому нам необходимо сделать перечень международных организаций и интеграционных объединений более узким и целевым. В этой связи мы предпочли остановиться на ЕС, МСЭ и ОЭСР для более подробного рассмотрения документов в сфере защиты данных.
GDPR на уровне Европейского союза: мегарегулятор оборота данных?
На уровне ЕС 25 мая 2018 г. был принят регламент GDPR (Общий регламент по защите данных). Целью принятого регламента является укрепление прав субъектов персональных данных. GDPR подразумевает ответственность за несоблюдение правил хранения и обработки персональной информации. Данный регламент по определению является неким мегарегулятором защиты данных и регламентирует их трансграничную передачу на уровне Европейского союза.
Следует отметить, что многие страны после принятия GDPR издали собственные правовые акты [5]. Кроме того, в КНР готовится «Проект PIPL» (предполагается, что он будет реализован в 2022 г.). Данный проект устанавливает гражданские, административные и уголовные нормы, обеспечивающие защиту личной информации.
Авторы регламента GDPR уделили особое внимание процессу обработки данных. Этот процесс должен быть прозрачным и доступным субъектам персональных данных.
В соответствии с регламентом вводятся два термина: контролёр и организация-обработчик. Под контролёром понимается организация, которая сама инициирует процесс обработки персональных данных сотрудников или клиентов, а также отчитывается перед надзорным органом за процесс обработки той или иной информации. Организация-обработчик является организацией, которая обрабатывает личные данные от имени контролёра.
В регламенте уточняется термин «право на забвение». Под данным правом понимается право субъекта на удаление его персональных данных. Право конкретизируется в части оснований его возникновения:
а) личные данные больше не нужны в соответствии с целями их сбора и обработки;
б) отзыв согласия на обработку персональных данных;
в) возражение субъекта против обработки его данных;
г) персональные данные были обработаны незаконно;
д) данные должны быть удалены в соответствии с юридическим обязательством по законодательству Европейского союза или государства-члена, которому подчиняется контролёр;
е) личные данные собраны в соответствии с предложениями услуг информационного общества.
Также уточнено право на перенос данных. Оно включает в себя следующие основания, при которых контролёр вправе беспрепятственно переносить данные:
- обработка основана на согласии пользователя;
-
- обработка осуществляется автоматизированными средствами.
В регламенте различаются понятия «сбор» и «использование» информации (не только на теоретическом, но и на практическом уровне). В этом и есть основной дискурс работы с современными данными, так как зачастую невозможно понять, в чём состоит нарушение и где начинаются цифровые права другого человека.
В этой части регламент действительно выступает мегарегулятором с точки зрения не только географического охвата, но и содержания права на защиту персональных данных.
Однако, на наш взгляд, весомой проблемой является то, что ограничение территориальности безусловно создаёт определенные сложности в реализации. Хотя Facebook заявил, что будет исполнять регламент и внесет соответствующие изменения в собственные локальные акты, далеко не все интернет-компании поддерживают подобный регламент, ссылаясь на территориальные границы и законодательство Европейского союза.
Также при внедрении тех или иных технических решений при обработке персональных данных актуализируется проблема информационной безопасности. Проблема информационной/кибер безопасности данных также была отдельно выделена в сетевых слушаниях интернет-компаний (при использовании данных в т.ч.). Обеспечение полной безопасности данных в условиях развивающейся концепции «обезличивания данных» остаётся актуальным вопросом. Потому важно предвидеть определенные риск-факторы для обеспечения реального действия GDPR.
Нейтральная правовая позиция МСЭ
Международный союз электросвязи в отличие от Европейского союза посчитал верным держать нейтральную позицию и по мере необходимости давать рекомендательные и разъяснительные положения (как собственные, так и по регламенту GDPR).
По регламенту МСЭ высказался в статье «Влияние общей защиты данных (GDPR) на данные бизнес-моделей: портативность данных и Facebook». В данном документе помимо прочего отмечается, что GDPR направлен на то, чтобы предоставить потребителям возможность контролировать свои личные данные, обеспечить доверие к цифровой экономике и защиту данных на всей территории ЕС в соответствии со стратегией единого цифрового рынка. Также в документе предпринята попытка проанализировать и обрисовать, как GDPR может изменить бизнес-модели компаний (цифровых платформ), что может привести к положительному эффекту.
К положительному эффекту относится свойство переносимости данных. Подобное свойство оценивается как перспектива, которая может принести положительный результат. Переносимость данных как легально закреплённый процесс решает проблему блокировки и последующих монополий со стороны интернет-компаний, а давление конкуренции может повысить качество собираемых данных и предоставляемых услуг. Этот процесс обеспечивает доверие потребителя к цифровой платформе.
Также в статье отмечается, что теоретически регулирование переносимости данных может позволить интегрировать данные других цифровых платформ с согласия пользователя. Однако требования к совместимости и их правовое регулирование остается расплывчатым (фигурирует термин обязательный «машиночитаемый» формат). Подобные требования, по мнению авторов документа, МСЭ должны быть урегулированы, например, чтобы была возможность общаться друг с другом через разные платформы для пользователей социальных сетей. Так, Facebook может предложить функцию импорта данных (например, о музыкальных предпочтениях) от имени своих пользователей (при условии согласия пользователя на экспорт данных) и расширить свою бизнес-модель за счет дополнительных данных.
Также МСЭ выпустил рекомендацию от 2017 г. «Информационные технологии. Методы безопасности. Свод правил защиты информации, позволяющий установить личность». Данный документ носит диспозитивный характер. Вместе с тем следует отметить, что рекомендация содержит кодифицированный свод правил, в котором особое внимание уделено защите персональных данных в технических устройствах и на организационном уровне.
Особое внимание заслуживает раздел о криптографии, где также упоминается важность контроля криптографических процессов при обработке данных. Далее авторами рекомендации подробно рассматривается операционная безопасность. Именно раздел об операционной безопасности (общие правила безопасности системы, отраженные в техническом протоколе) включает в себя пункты о процессе вхождения в систему и её мониторинг, контроль операционного компьютерного обеспечения, аудит информационных систем.
Рекомендацию МСЭ нельзя рассматривать как аналог GDPR, так как направление стандарта узкое и сосредоточено исключительно на аспектах обеспечения безопасности, а не на сбалансированном регулировании комплекса прав на персональные данные. Кроме того, документ носит рекомендательный характер. Но мы позволим себе отметить, что раздел о криптографии и операционной безопасности следовало бы в дальнейшем учитывать в правовом регулировании защиты персональных данных. Подобные аспекты могли бы стать основой для технических стандартов.
ОЭСР в роли нового концептуального вектора больших данных
Организация экономического сотрудничества и развития создала «Руководство по защите неприкосновенности частной жизни и трансграничных потоков персональных данных» в 2013 г. В документе освещены такие принципы обеспечения неприкосновенности частной жизни как:
- справедливый, законный и ограниченный сбор персональных данных, получаемых с ведома и согласия физического лица;
- данные собираются в соответствии с целями обработки, обеспечивается их полнота и актуальность;
- использование данных для новых целей должно быть либо совместимо с первоначальной целью обработки, либо требуется согласие субъекта персональных данных на новые виды использования или раскрытия информации;
- используются разумные меры безопасности для защиты данных и обеспечивается подотчетность всех операторов данных.
Также в руководстве отмечается, что у субъекта персональных данных есть право на доступ к хранящимся о нём данным, а также право на их уничтожение или исправление. Кроме того, усилены требования подотчётности оператора данных независимо от их местонахождения, а также к обработке данных самим оператором, его представителями и при передаче другому оператору. Важным является, как упоминается в руководстве, сконцентрировать внимание государств на трансграничном сотрудничестве между уполномоченными органами по защите данных.
ОЭСР решили продолжить данную работу по развитию концепции защиты персональных данных в рамках проекта «Цифровой трансформации» («Going digital»). Однако вектор развития сменился, на наш взгляд, на более радикальный. В частности, ОЭСР выпустила отчет, в котором исследуются возможности расширения доступа к данным и обмена ими (EASD) в контексте растущего значения искусственного интеллекта и интернета вещей.
В отчете подчеркивается польза открытости данных и отмечается закономерность повышения их социальной значимости и роли. Вместе с тем подчеркивается риск-фактор утечки данных и необходимости его учета. В отчёте приводится несколько проблем, которые можно решить при использовании концепции «открытости данных»:
- Контрактные соглашения, которые подразумевают рыночный подход к расширению доступа к данным и обмену ими в контексте B2B, в частности, использование через рынки данных.
- Открытость данных очень часто трактуется правительствами как экстремальный подход, что выражается в оправдании более ограничительных подходов к доступу к данным и их совместному использованию. Однако данный подход следует пересматривать и более глубоко проанализировать понятие «открытость данных».
- Переносимость данных пользователей может предоставлять пользователю как защиту, так и риск-факторы её взлома.
- Ограничение оборота данных очень часто подменяется понятием «конфиденциальной информации». Однако в научных исследованиях (в области здравоохранения и т.д.) уже развиваются такие инициативы, как «данные для общественного блага».
Авторы отчёта в заключении отмечают потребность в структурах управления данными, которые включают общегосударственные подходы и их согласованность в социальных и экономических секторах. Следовательно, ОЭСР предпринимает важные концептуальные и аналитические попытки изучения новых вопросов развития больших данных.
Цифровые платформы и защита данных
В условиях цифровой трансформации все большую актуальность начинают приобретать цифровые платформы, которые оперируют самым большим количеством персональных данных. Цифровые платформы принадлежат крупным интернет-компаниям, представительства которых расположены по всему миру. Они находятся в социальной, игровой, экономической и цифровой сферах.
Цифровые платформы создают свои стандарты регулирования, которые прослеживаются в следующих видах документов:
- пользовательские соглашения;
- политика конфиденциальности;
- дополнительные соглашения (например, по борьбе с мошенничеством).
Саморегулирование в сфере защиты данных — это внутрикорпоративное решение каждой из интернет-компаний, оформленное вышеназванными документами, принятое и заданное их внутренними органами. Данные виды документов не обсуждаются с пользователями (второй стороной), к ним возможно лишь присоединение и последующее соглашение с условиями.
Данные документы обладают следующими общими характерными признаками:
- гибкость правовой материи. Соглашения не содержат императивных и рамочных норм. Скорее, нормы подобны гибким правилам, содержащим многовариативные действия, которыми пользователь может либо воспользоваться, либо нет;
- данные — это возможности. Соблюдение условий предоставления ваших данных является своего рода цифровой валютой при использовании того или иного функционала интерфейса. Если вы не предоставляете те или иные данные, платформа не предоставит вам определенные функции и возможности их использования;
- цифровые окна-нормы. Данные виды норм напоминают коллизионные нормы, но таковыми не являются. Они содержат отсылку к законодательству, но вместе с тем и отсылку к собственным правилам, которые по своей природе являются транснациональными (без привязки к национальным нормам);
- учтены минимальные международные требования, но не национальные. Такие компании, как Facebook, следуют регламенту GDPR и приводят в соответствие с ним свои внутренние документы. Однако интернет-компании не следуют национальному законодательству и всячески стараются избегать юрисдикционных процессов конкретного государства (но нельзя подобное утверждение применить к законодательству США [6]).
На основании подобных практических новшеств можно сформулировать следующие тезисы:
- Саморегулирование и международные стандарты должны иметь больше точек соприкосновения в правовом регулировании защиты персональных данных. Это позволит обеспечивать поэтапную реализацию процесса защиты персональных данных на транснациональном уровне и гарантировать всем пользователям надлежащую защиту;
- Научно-аналитическое исследование концепции «общедоступных данных» с привлечением интернет-компаний. Опыт интернет-компаний в регулировании данных пользователей и обращении с ними может оказаться применимым для разработки международно-правовых стандартов в сфере защиты персональных данных;
- На организационно-административном уровне важно обеспечить международно-правовой универсальный диалог между цифровыми платформами и международными организациями для реализации концепций защиты и использования персональных данных. Возможно использование аналогии проекта Horizon 2020, в котором был предусмотрен раздел «future of the internet» и рабочая программа к нему, в которой подробно описано на что конкретно будет направлено развитие и связь со смежными институтами, например, ИИ. Подобная проектная документация и оформление расходных обязательств по программе могут использоваться как пример оформления вышеназванной инициативы.
Помимо чисто практических и административных рекомендаций следует особое внимание обратить на научные исследования. Дело в том, что необходимо в теории международного права уделять внимание междисциплинарным подходам. Например, существует наука о данных [7], которая отдельно рассматривает методы обработки данных, формирует процесс их обработки и использования. Основы этой науки могут формировать прикладной инструментарий для международного права и создавать эмпирический материал для правового регулирования и его изучения.
Таким образом, важно получить новый материал как с практической, так и теоретической позиции для исследования защиты данных на цифровых платформах. Кроме того, актуальным является и проработка этих вопросов в свете новых концепций больших данных и формирования четких правовых позиций.
На наш взгляд, исключительно в подобных условиях может сформироваться грамотная практическая и теоретическая позиция в сфере защиты персональных данных на международном уровне.
1. Сибел Т. Цифровая трансформация. Как выжить и преуспеть в новую эпоху. Изд-во Манн, Иванов и Фербер. С. 5-15.
2. Там же.
3. Там же.
4. Речь идет о различных отношениях в сфере данных в сфере Big data. Данные отношения могут касаться защиты данных, обмена данными, доступности данных и т. д.
5. Например, в Российской Федерации принят Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных».
6. Это объясняется тем, что интернет-компании часто используют в пользовательских соглашениях отсылки к законодательству Калифорнии и других штатов. Штаб-квартиры, их представительства чаще всего располагаются в штатах.
7. Келлехер Дж., Тирни Бр. «Наука о данных». Альпина паблишер. 2020 г. С.13-22.