Между свободой и безопасностью
Материалы выпуска
Медицина «сшивает лоскуты» Решения Цифровизация спотыкается о законодательные барьеры Инструменты Между свободой и безопасностью Экспертиза Банк «Санкт-Петербург» строит цифровую «фабрику кредитов» Экспертиза Технологический рывок: капельки дёгтя в бочки мёда Экспертиза
Экспертиза Санкт-Петербург и область,
0
Материалы подготовлены редакцией партнерских проектов РБК+.
Материалы выпуска
Между свободой и безопасностью
Сбор персональных данных позволяет гражданам пользоваться бесплатными интернет-сервисами, но делает их уязвимыми для преступников.
Фото: pixabay.com

На состоявшихся в феврале парламентских слушаниях в Госдуме на тему «Формирование правовых условий финансирования и развития цифровой экономики» председатель Комитета по финансовому рынку Анатолий Аксаков заявил о первостепенном значении обеспечения защиты прав граждан в ходе цифровизации экономики. Профессиональные юристы считают, что основное внимание нужно уделить защите персональных данных граждан от несанкционированного доступа. Однако общепринятого подхода к этой проблеме нет — не только в России, но и в других странах. Какими могут быть решения, сохраняющие возможность обмена цифровыми данными и ограждающие пользователей одновременно? Своими мнениями поделились с РБК+ ведущие эксперты в области «цифрового права».

Когда данные стали товаром

Владислав Архипов, советник российской практики в области интеллектуальной собственности, информационных технологий и телекоммуникаций юридической компании Dentons; руководитель рабочей группы Консультативного совета Роскомнадзора по определению подходов к проблеме защиты персональных данных:

Фото: Dentons

«Раньше защита персональных данных особой проблемы не составляла — государственные органы и сами граждане справлялись с этим на основе общих норм гражданского права и норм о неприкосновенности частной жизни, которые давно существуют в конституциях разных стран. Однако в конце ХХ века проблема обострилась. Появилось само понятие «персональные данные», и трактовать его стали достаточно широко. В него, помимо традиционных «анкетных» сведений, стали включать самую разную информацию о человеке, в том числе данные о его здоровье, о его политических, религиозных и прочих взглядах, вкусовых предпочтениях, сексуальной ориентации и т.п. В 1981 году была принята первая европейская конвенция о защите прав граждан при автоматизированной обработке персональных данных.

В последние годы персональные данные превратились в товар, который представляет коммерческий интерес для очень широкого круга субъектов экономики — для любого бизнеса, заинтересованного в получении статистических данных, которые позволяют таргетировать определенный продукт на определенную аудиторию или лучше понять рынок, определяемый по различным критериям. С одной стороны, это позволило гражданам бесплатно пользоваться разнообразными интернет-сервисами, но с другой стороны, открыло возможность разного рода злоупотреблениям, в том числе со стороны преступников. Сейчас у каждого человека, который пользуется интернет-ресурсами, существует своего рода цифровой профиль — совокупность данных в виртуальном пространстве, доступ к которому может повлечь за собой достаточно серьезные последствия для этого человека.

Существовавшие и раньше угрозы — злоумышленник мог украсть данные человека, чтобы, к примеру, подделать его подпись — дополнились новыми возможностями, которые позволяют вообще имитировать личность субъекта. Поэтому смягчение режимов защиты персональных данных, которого хочет бизнес, объективно дискуссионный вопрос. Потребность граждан защищать свои права достаточно очевидна.

Автоматизация и тайна переписки

Новые угрозы связаны также с автоматизацией производственных процессов. В мировой судебной практике уже неоднократно поднимался вопрос о допустимости автоматизированной обработки переписки человека (даже на анонимной основе, без доступа к ней других лиц), или запросов потребителя, желающего что-то прибрести в интернет-магазинах, с целью формирования представления об интересах конкретного человека. Результаты такой обработки мы можем видеть, например, в контекстной рекламе в электронной почте или в социальных сетях. Уже родилась шутка: «Дай человеку рыбу — и он будет сыт один день. Поищи один раз про рыбу в поисковике — и будешь видеть рекламу рыб всю жизнь».

Такая ситуация порождает важную юридическую проблему. У каждого человека есть конституционное право на тайну любой переписки, а 138-я статья УК РФ предусматривает наказание за нарушение этого права. Но сейчас это право сталкивается с различными вызовами — в частности, откровенным вызовом является автоматизированный поиск информации по письмам и запросам в интернете.

Если читать закон буквально, то возникают вопросы — можно ли так делать? Насколько подробным должно быть согласие пользователя на такое действие? Но с точки зрения здравого смысла и экономической целесообразности в этом, возможно, нет ничего предосудительного. Особенно, если принять во внимание, что обязательное по закону согласие человека на обработку его персональных данных содержится в условиях использования интернет-сервисов, с которыми человек соглашается при их подключении. Даже если условие носит общий характер, то люди, как правило, осознают, что происходит, но продолжают пользоваться ресурсами.

Уже родилась шутка: «Дай человеку рыбу — и он будет сыт один день. Поищи один раз про рыбу в поисковике — и будешь видеть рекламу рыб всю жизнь».

Рrivacy vs открытость

Контекст возникающих сейчас юридических дискуссий задается тремя главными проблемами регулирования интернета. Первая связана с юрисдикцией — с определением страны, чье право должно применяться к отношениям в виртуальной среде в случае возникновения спора. Каждому новому этапу развития технологий присущи свои характерные примеры этой проблемы. Так, сейчас она очевидно возникает, например, при эмиссии криптовалюты, когда эмитентами являются граждане разных стран.

Вторая проблема касается ответственности информационных посредников, она актуальна прежде всего при защите авторского права. Архитектура виртуальной среды все время усложняется, так что в процессе обработки информации уже нередко участвует огромное число посредников (интернет-провайдеры, провайдеры хостинга, любые платформы, в том числе социальные сети). Это осложняет определение ответственных за случающиеся нарушения прав. В рамках текущих мировых тенденций информационные посредники, как правило, несут ответственность в случае, если они знали о нарушении, но не отреагировали на него.

Архитектура виртуальной среды все время усложняется, так что в процессе обработки информации уже нередко участвует огромное число посредников.

Третья проблема связана с идентификацией пользователей. Некогда анонимный интернет активно деанонимизируется во всем мире, главным образом вследствие желания властей пресекать серьезные правонарушения с использованием интернета. Уже сейчас при входе в интернет со смартфона, который мы разблокировали по отпечатку пальца, наши действия вряд ли являются анонимными.

Тенденция, которая представляется мне уже малообратимой, такова: «цифровизация» общественной жизни подталкивает человека к принципиальному решению — если он хочет участвовать в глобальной коммуникационной системе, то ему придется дать согласие на доступ третьих лиц к своим персональным данным, если не ко всем, то ко многим. Это противоречит нынешней концепции информационных прав человека, которая предусматривает доступ третьих лиц лишь в особых случаях. Возникает морально-этическая дилемма — стоит ли сохранить приоритет человеческой privacy над развитием общества или предпочесть ему свободу оборота персональных данных? Дело в том, что чем более свободным является оборот персональных данных, то тем больше, вероятно, это соответствует идеалам не только бизнеса, но и самого общества как совокупности людей. Тем не менее, в интересах большинства граждан по отдельности — все-таки защита своей частной жизни. Поэтому лично мне ближе первый, консервативный, подход, который не мешает модернизировать законодательство в
соответствии с потребностями современной жизни.

Указанная дилемма актуальна еще в одном особом случае: при возникновении угрозы безопасности личности со стороны международного терроризма. В какой степени можно позволить государству ограничивать права человека ради обеспечения его безопасности?

Баланс и нравственные устои

Мне кажется, что каждое общество должно определить границы такого вмешательства, исходя из уровня своего общественного развития. Более развитое общество может позволить государству, как, впрочем, и обычным гражданам, иметь широкий доступ к персональным данным. У такого общества есть уверенность: госслужащие и граждане не станут злоупотреблять предоставленными им возможностями — не из страха перед наказанием, а исходя из своего нравственного закона, из чувства уважения к ближнему. Разумеется, это несколько идеалистическая картина, но ничто не мешает к ней стремиться.

Каждое общество должно определить границы вмешательства в частную жизнь граждан, исходя из уровня своего общественного развития.

В обществах, не достигших такого уровня нравственного развития, где послабления могут привести к массовым злоупотреблениям, в том числе и со стороны государства, границы privacy должны быть, как мне кажется, более жесткими. Мне близко мнение о том, что для нынешней России, несмотря на существенный скептицизм общественности, такой баланс более или менее просматривается в том числе в документах, подобных «Стратегии развития информационного общества в РФ на период 2017 — 2030 годов», которая была утверждена президентом в прошлом году. Если учесть чрезвычайную сложность проблемы, то вполне можно считать, что определены разумные параметры компромисса между свободой и безопасностью граждан. В дальнейшем можно ожидать смещения баланса в сторону большей свободы, что предполагает, однако, и большую ответственность».

Карен Казарян, главный аналитик Российской ассоциации электронных коммуникаций:

Фото: личная страница в Facebook

«Не без скандалов, споров и болей, но постепенно большинство цивилизованных стран двигаются к системе регулирования, в которой права граждан на частную жизнь и защиту персональных данных перевешивают желания государства и бизнеса.

Приватность по умолчанию

Важнейший принцип нового регламента ЕС по защите персональных данных, который вступает в силу в мае, — приватность по умолчанию и добросовестное использование данных. Это значит, что бизнес вправе собирать массу данных для своих внутренних целей — для улучшения алгоритма работы, аналитики, оптимизации процессов. Глупо запрещать собирать эти данные, если их обработка никак не вредит гражданину.

Стоит задуматься о переносе этого принципа в российскую действительность — ведь на фоне нового европейского регламента Россия уже не является страной с адекватным уровнем защиты персональных данных. Нельзя сказать, что наше законодательство устарело — во многих странах вообще нет закона, защищающего персональные данные. Но все-таки российское законодательство принималось в начале 2000-х годов и строилось на опыте Евросоюза двадцатилетней давности, когда защищались не электронные, а офлайновые коммуникации.

На фоне нового европейского регламента Россия уже не является страной с адекватным уровнем защиты персональных данных.

В российском законодательстве есть несколько принципиальных недочетов. Во-первых, на практике значительное число компаний игнорирует требования закона о защите персональных данных. Зайдите в любое ведомство с паспортным режимом, где охранник переписывает ваши паспортные данные — это же грубейшее нарушение! Во-вторых, к сожалению, многие положения закона субъективны, их трактовка зависит от позиции конкретного чиновника регуляторного ведомства. Даже само определение персональных данных расплывчато. Ни один юрист не скажет, является ли тот или иной набор данных персональным — это решается в каждом конкретном случае отдельно.

Расплывчатость, в свою очередь, порождает правовую неопределенность, которой пользуются обе стороны. Бизнес делает вид, что не работает с теми данными, которые нужно защищать. А надзорные органы при малейшем нарушении могут найти повод для штрафа даже самой добросовестной компании.

Чтобы избежать двоякого прочтения, надо установить, что вся информация, которая собирается о субъекте — это его персональные данные. А дальше смотреть, как они собираются и для чего используются. Очевидно, что за неправомерный сбор имени, фамилии и адреса электронной почты нельзя наказывать так же, как при утечке паспортных или медицинских данных. Должна быть тщательная категоризация, адекватный уровень защиты и наказания.

Бизнес делает вид, что не работает с теми данными, которые нужно защищать. А надзорные органы при малейшем нарушении могут найти повод для штрафа даже самой добросовестной компании.

Отдельная составляющая защиты данных — противостояние вторжениям в частную жизнь под предлогом интересов безопасности общества. Совершенствуя законодательство, надо добиваться закрепления права на защиту коммуникаций, переписки, на защиту от слежки.

К сожалению, у нас до сих пор не устранены противоречия между законом о персональных данных и другими документами, предписывающими обязательное хранение или раскрытие данных, например, в финансовой и телеком-сфере. Как правило, если предъявляется чем-то обоснованное требование предоставить такие данные, закон о персональных данных игнорируется, потому что так решили госорганы».