CC BY
22принципами демократического строя. Транснациональность сферы цифрового государственного управления вытекает из растущего международного обмена данными, в результате чего только национального регулирования становится недостаточно и возникает настоятельная потребность в международно-правовом регулировании [3, с. 37].
Список литературы
1. Digitalisierung im Bund, Länder, Gemeinden. IT Organisation, Management und Empfehlungen. - B.: Springer, 2018. - XVI, 335 S.
Дигитализация в федерации, землях, коммунах. Организация информационных технологий, менеджмент и рекомендации.
2. Hunnius S. Stand und Perspektiven der Digitalisierung der Verwaltung // Digitale Transformation der Verwaltung. Empfehlungen für eine gesamtstaatliche Strategie. -Gütersloh: Bertelsmann Stiftung, 2017. - S. 12-16.
Хунниус З. Состояние и перспективы дигитализации управления.
3. Martini M. Digitalisierung als Herausforderung und Chance für Staat und Verwaltung. Forschungskonzept des Programmbereichs «Transformation des Staates in Zeiten der Digitalisierung». - Speyer, 2016. - 119 S. - (Deutsches Forschungsinstitut für Öffentliche Verwaltung Speyer. Discussion Papers).
Мартини М. Дигитализация как вызов и шанс для государства и государственного управления: Концепция исследования программы «Трансформация государства в эпоху дигитализации».
4. Stocksmeier D. Potenziale der digitalen Transformation für die deutsche Verwaltung // Digitale Transformation der Verwaltung. Empfehlungen für eine gesamtstaatliche Strategie. - Gütersloh: Bertelsmann Stiftung, 2017. - S. 10-11.
Штоксмайер Д. Возможности цифровой трансформации для управления в Германии.
2018.03.019. КАМАРА И. СОВМЕСТНОЕ РЕГУЛИРОВАНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ЕС: МАНДАТ НА ТЕХНИЧЕСКИЕ СТАНДАРТЫ И ПРИВАТНОСТЬ В ПРОЦЕССЕ РАЗРАБОТКИ.
KAMARA I. Co-regulation in EU personal data protection: The case of technical standards and the privacy by design standardisation 'mandate' // European journal of law and technology. - Oxford, 2017. - Vol 8, N 1. -P. 1-24.
Ключевые слова: технические стандарты; Интернет вещей; защита персональных данных; совместное регулирование; саморе-
гулирование; конфиденциальность; технологический нейтралитет.
Автор статьи Ирен Камара (Тилбургский университет права, технологий и общества) пишет о роли стандартизации как формы совместного регулирования защиты персональных данных в Евросоюзе. Недавно принятое Положение об общей защите данных, нейтральное с точки зрения технологий, поддерживает такие инструменты саморегулирования, как сертификационные и технические стандарты.
Многие правоведы утверждают, что для обеспечения конфиденциальности в наше время одного реформирования законодательства недостаточно, «необходимо дополнить его иными инструментами: кодексами поведения, стандартами конфиденциальности, гарантиями приватности» [с. 2]. Возникает потребность в создании гибридной системы управления, включающей в себя и правовые нормы, и специфические методы технологического саморегулирования, такие как технические стандарты, способные к быстрой адаптации и модернизации в свете стремительно развивающихся технологий.
Саморегулирование представляет собой ряд средств, не относящихся к законодательству. «Это ситуация, когда группа лиц или органов совместно осуществляют регулирование в отношении самих себя и лиц, признающих их полномочия» [с. 3]. В зависимости от участия государства саморегулирование делится на «санкционированное» (необходимо одобрение государства), «принудительное» и «добровольное» (независимо от любого участия государства). Совместное регулирование представляет собой нечто среднее между «санкционированным» и «добровольным»: правительство и промышленность совместно отвечают за разработку и соблюдение соответствующих правил. Нормы, вырабатываемые в процессе саморегулирования, могут иметь различную юридическую силу. Существуют три критерия для их установления: наличие санкций за нарушение, определенность и стабильность нормы, а также транспарентность процесса их создания [с. 4].
Однако одного саморегулирования недостаточно для удовлетворения потребностей малых и средних предприятий. «Ввиду мягкости и необязательности по сравнению с актами правительства саморегулирование не может в полной мере достичь поставленных
общественных целей» [с. 4]. Поэтому совместное регулирование, показательным примером которого является стандартизация, предполагает наличие элемента публичного надзора. Как отметила Европейская комиссия, «участники самостоятельно определяют меры по осуществлению целей, определяемых законодателем» [с. 4].
Правовой основой стандартизации является Регламент 1025/2012. Он устанавливает правила сотрудничества между соответствующими организациями и национальными органами, закрепляет европейские стандарты, основываясь на принципах согласованности, открытости, транспарентности, консенсуса, добровольного применения, объективности и эффективности. Регламент определяет стандарт как «техническую спецификацию, принятую соответствующим органом для неоднократного или непрерывного применения, соблюдение которой не является обязательным» [с. 5]. Более того, акт дает исчерпывающий перечень стандартов, классифицируя их по разным основаниям: в зависимости от масштаба применения -международные, европейские, согласованные и национальные стандарты; выделяются также технические, информационные и оценочные стандарты, стандарты анализа и испытаний, производительности; организационные и фундаментальные.
Европейские стандарты носят добровольный характер, поэтому формально относятся к методам коллективного саморегулирования. Однако организации, декларирующие свое соответствие установленным стандартам, берут на себя определенные обязательства, гарантируемые этими стандартами. Ввиду презумпции соблюдения закрепляемых в них требований, стандарты создают «законные ожидания», люди придают им официальное правовое значение.
После «конституционализации» права на защиту персональных данных Европейская комиссия разработала Положение об общей защите данных с целью реформирования и модернизации законодательства ЕС [с. 7]. Положение было опубликовано в мае 2016 г., однако наиболее полное его применение будет возможно лишь после принятия Общего регламента защиты данных в 2018 г. В нем подчеркивается значимость кодексов поведения, стандартизации и сертификации, закладывается основа для роли саморегулирования в поддержке законодательства ЕС. Более того, Положение включает в себя ряд прямых ссылок на те или иные технические
стандарты (стандарт Do not track, разрабатываемый консорциумом World Wide Web в случае обработки, профилирования данных с использованием технических спецификаций, стандарты в отношении сертификатов, печатей и знаков защиты данных).
Несмотря на бесспорные преимущества современных инноваций, технологии, отслеживающие деятельность пользователя через Интернет, связывающие и компилирующие личные профили пользователей, представляют собой серьезную угрозу для неприкосновенности частной жизни и требуют соответствующего регулирования. Под инновациями автор понимает технологии, обладающие рядом признаков: стремительной эволюцией, конвергенцией посредством комбинирования существующих и инновационных технологий, а также сетевым эффектом (например, Интернет вещей -«инфраструктура, в которой миллиарды датчиков, встроенных в обычные, повседневные устройства - "вещи", записывают, обрабатывают, хранят и передают данные. Связанные с уникальными идентификаторами, они впоследствии взаимодействуют с другими сетевыми устройствами или системами») [с. 9].
Положение об общей защите данных закрепляет принцип нейтралитета законодательства с точки зрения технологий. Он означает, что правовые акты применяются в равной степени к каждому виду технологий, запрещается принуждение к применению конкретного вида технологий, если имеются эквивалентные альтернативы. В контексте Положения декларируется, что защита людей не зависит от технологий и методов, используемых для обработки персональных данных, что позволяет предотвратить «обход» правовых положений посредством смены используемых технологических средств.
Законодательству не нужно стремиться угнаться за развивающимися технологиями. Нестабильные правовые нормы не смогут эффективно выполнять свои регулятивные функции и обеспечивать законные ожидания относительно того, как будут вести себя компании, люди и технологии. Регулироваться должны функции и последствия использования технологий, а не они сами.
Положение об общей защите данных предписывает определенные обязательства, связанные с технологиями не только на стадии применения, но и на стадии их разработки. Это так называемые «Data Protection by Design and by Default» [с. 11] - определенные
технические средства, требования к операторам, позволяющие обеспечить конфиденциальность. Например, переносимость данных - важный аспект в области стандартизации: операторы при получении соответствующей информации обязаны хранить ее в общедоступном и читаемом формате для того, чтобы пользователь в любой момент смог сменить компанию по хранению и обработке персональных данных.
Существование институтов запросов Европейской комиссии к европейским компаниям по стандартизации (мандатов) не позволяет фактически отнести их к сфере коллективного саморегулирования. Целью этих запросов является «согласованное соблюдение правовых требований в отношении охраны здоровья, безопасности, окружающей среды, гражданской безопасности и интероперабель-ности, а также содействие техническому развитию» [с. 6], поддержка политики и законодательства ЕС через создание и применение конкретных технических стандартов. В юридическом плане запрос - это резолюция, которую организации вправе отклонить или принять (в этом случае она приобретает обязательную юридическую силу).
Европейская комиссия направила первый в своем роде мандат с целью защиты персональных данных. Адресатами запроса были организации СЕК, СЕКЕЬЕС и ЕТ81, которым было предложено сотрудничество в разработке Европейских стандартов (ЕК), а также в выработке конкретных мер по их реализации (требования к документации, оборудованию, программному обеспечению и т.д.) [с. 12]. Организации по стандартизации приняли соответствующий запрос и уже создали Совместную рабочую группу JWG8.
В содержании мандата можно выделить следующие элементы.
1. Степень участия структур публичной власти. Европейская комиссия в своем запросе четко установила цели, которым должны следовать стандарты. Более того, на протяжении всего процесса их разработки ЕК следит за ходом работы, участвует в качестве «наблюдателя» без права голоса.
2. Соответствие законодательству о защите данных: Директиве 95/46 Европарламента и Совета ЕС, Положению об общей защите персональных данных, Хартии ЕС об основных правах и Договору о функционировании ЕС.
3. Целевая аудитория. В отличие от законодательства ЕС стандарты адресованы не только операторам, непосредственно связанным с обработкой данных, но и производителям систем безопасности, которые используют эти операторы (Protection by Design).
4. Функция стандартизации. Цель запроса - создать инструмент, который позволяет операторам продемонстрировать, что системы безопасности, используемые ими при обработке персональных данных, разработаны надлежащим образом и не представляют угрозы конфиденциальности [с. 14].
Технологии развиваются со скоростью, недостижимой несколько десятилетий назад. Их влияние на жизнедеятельность личности и общества бесспорно. Для того чтобы эффективно исполнять возложенные на него функции, право должно постоянно адаптироваться и трансформироваться. В противном случае оно не сможет противостоять новым вызовам: новым способам совершения преступлений, новым угрозам для защиты прав и свобод.
Однако существуют определенные пределы адаптивной способности законов, они вытекают из основных его характеристик: высокого уровня абстракции, нейтральности с точки зрения технологий, необходимых ввиду длительных временных границ его действия. Поэтому необходимо создание набора гибких правил, определяющих требования к защите персональных данных, но не имеющих силу закона. Показательным примером являются технические стандарты, которые способны стать эффективным средством дополнения и соблюдения законодательства о защите персональных данных.
А.П. Иванова
2018.03.020. МАСЕНАЙТЕ М. ЗАЩИТА КОНФИДЕНЦИАЛЬНОСТИ ДЕТЕЙ ОНЛАЙН: КРИТИЧЕСКИЙ ВЗГЛЯД НА ЧЕТЫРЕ ЕВРОПЕЙСКИЕ ИНИЦИАТИВЫ САМОРЕГУЛЯЦИИ. MACENAITE М. Protecting children's privacy online: A critical look to four European self-regulatory initiatives // European journal of law and technology. - Belfast, 2016. - Vol. 7, N 2. - P. 1-26. - Mode of access: http://ejlt.org/article/view/473/661
