CC BY
14Роен М., Фенг К. Почему «компьютер говорит нет»: Иллюстрация рисков дискриминации при использовании больших данных посредством науки и комплексных системах.
С.И. Коданева
2019.03.016. КУН М Л. 147 МИЛЛИОНОВ НОМЕРОВ СОЦИАЛЬНОГО СТРАХОВАНИЯ ДЛЯ ПРОДАЖИ: РАЗВИТИЕ ЗАКОНОДАТЕЛЬСТВА О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОСЛЕ МАССОВЫХ НАРУШЕНИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
KUHN M.L. 147 Million social security numbers for sale: Developing data protection legislation after mass cybersecurity breaches // Iowa law review. - Iowa City, 2018. - Vol. 104, N 1. - P. 417-445. - Mode of access: https://ilr.law.uiowa.edu/assets/Uploads/ILR-104-1-Kuhn.pdf
Ключевые слова: большие данные; информационная безопасность; конфиденциальность; неприкосновенность частной жизни; персональные данные.
Современные технологии позволяют смартфонам, часам и компьютерам распознавать человеческие лица и голоса, отслеживать пульс и режим сна, сохранять историю поиска, финансовую информацию, данные о состоянии здоровья. Более того, 70% мобильных приложений передают полученные данные сторонним компаниям, например, Google Analytics или Facebook Graph API, которые используют их для адаптации своих продуктов к индивидуальным интересам и предпочтениям пользователей [c. 419]. И хотя массовый сбор личной информации весьма выгоден для бизнеса и некоторых потребителей, зачастую вторжение в частную жизнь наносит определенный вред пользователям, и это становится причиной принятия законов, гарантирующих защиту персональных данных. Доктор права Университета штата Айова М.Л. Кун последовательно анализирует правовое регулирование стран Европы и США в сфере информационной безопасности и делает некоторые выводы относительно его совершенствования и развития в будущем.
В США нет единого федерального закона, регламентирующего данную сферу общественной жизни; законодательная база США в этой области включает различные отраслевые федеральные законы и законы штатов о защите данных и напоминает «лос-
кутное одеяло» [c. 421]. Это позволяет компаниям самостоятельно разрабатывать тексты своей политики конфиденциальности, а на индивидов перекладывается бремя защиты своих персональных данных от взлома и неправомерного их использования.
В отличие от законодательства Европейского союза в Конституции США не выделяется право на неприкосновенность частной жизни в качестве отдельного субъективного права человека и гражданина. Несмотря на это понятие конфиденциальности в праве США неизменно разрабатывалось на протяжении последних 130 лет. На теоретическом уровне право на неприкосновенность частной жизни впервые нашло свое отражение в 1890 г. в статье С. Уоррена и Л. Брандейса, в которой предлагается принять меры для обеспечения права индивида «находиться в одиночестве» [c. 422]. Спустя 75 лет Верховный суд США признал это право в качестве права «penumbra» - одного из прав, которые косвенно вытекают из других прав, прямо защищенных Биллем о правах. Однако интерпретация Суда защищает частную жизнь индивида лишь в контексте вмешательства в нее со стороны государства. Впоследствии, когда право на свободу слова и право на конфиденциальность личности вступают конфликт, первому в США всегда отдается предпочтение.
Кроме косвенного упоминания в Билле о правах, неприкосновенность частной жизни и персональных данных частично регулируется отраслевым законодательством. Закон о Федеральной торговой комиссии и Закон о добросовестной конкуренции являются наиболее яркими примерами отраслевых актов США, которые запрещают неправомерные действия в отношении персональных данных. Например, Федеральная торговая комиссия имеет право привлекать к ответственности компании, не соблюдающие положения собственной политики конфиденциальности. Закон о добросовестной конкуренции стал одним из первых федеральных законов, ставших основой системы защиты личной информации. Принятый в 1970 г. этот Закон был призван ограничить неправомерное использование кредитной информации физических лиц: организации могут передавать данные третьим лицам только для определенных целей, например арендодателю в случае заключения договора аренды. Кроме того, агентствам запрещается предостав-
лять кредитную информацию нанимателям без письменного согласия на то работников [с. 425].
В дополнение ко многим отраслевым федеральным законам в штатах приняты акты, регулирующие обработку персональной информации и защищающие право на неприкосновенность частной жизни: в 48 из них действуют законы о нарушении данных, согласно которым компании обязаны уведомлять пользователей в случаях риска нарушения конфиденциальности. Однако законодательство штатов не обеспечивает столь же высокий уровень защиты, как право ЕС, и зачастую устанавливает нормы, противоречащие друг другу, например, в отношении видов защищаемой информации, понятия нарушения, порядка уведомления.
В отличие от США, Евросоюз в ст. 8 Хартии основных прав, а также в Договоре о функционировании ЕС отдельно закрепляет «фундаментальное право личности на защиту персональных данных». Развитие права на неприкосновенность частной жизни началось после Второй мировой войны, когда правительства стали использовать личную информацию европейских граждан в «отвратительных и катастрофических целях». Основные усилия были направлены на запрет беспрепятственного сбора и эксплуатации персональных данных отдельных лиц. Первым шагом в соответствующем направлении стала ст. 8 Европейской конвенции о защите прав человека и основных свобод 1950 г. К 1970-м годам стало очевидно, что этого недостаточно ввиду развития новых технологий, и после четырех лет переговоров между государствами-участниками Совета Европы была ратифицирована Конвенция о защите данных [с. 427].
Несмотря на соответствующую нормативно-правовую базу, страны ЕС не всегда соблюдали установленные правила. Подобные нарушения стали представлять серьезную угрозу развитию бизнеса, в котором обработка персональных данных особенно важна. Европейская комиссия разработала новую законодательную основу для унификации защиты данных, и в октябре 1995 г. Европейский парламент и Совет Европы приняли Директиву о защите данных 95/46/ЕС (далее - Директива 95/46/ЕС). Она установила гарантии безопасности персональных данных, передаваемых между государствами - членами ЕС, а также утвердила стандарты
безопасности в отношении хранения, передачи и обработки персональных данных.
Директива 95/46/ЕС установила несколько основных принципов:
- компании должны уведомлять субъектов данных в случае их сбора;
- данные необходимо хранить надлежащим образом и защищать от злоупотреблений, кражи, или потери;
- информация не должна раскрываться или передаваться без согласия; субъекты имеют право исправлять свои данные;
- информация должна использоваться исключительно для первоначально заявленных целей;
- компании, собирающие данные, несут ответственность за соответствующие нарушения [с. 428].
Также Директива закрепила обязанность каждого государства-члена ЕС создать надзорные органы, обеспечивающие соблюдение правила обработки персональных данных. Кроме того, передача данных в страны за пределами ЕС разрешена только в случаях, когда эта страна гарантирует требуемый уровень защиты и безопасности данных.
Директива 95/46/ЕС была основным источником защиты данных до 2009 г., когда Европейская комиссия объявила, что разработает новый акт, гарантирующий право на защиту данных с учетом достижений в области технологий и транснациональной передачи данных. И в апреле 2016 г. Комиссия ЕС ратифицировала Общий регламент по защите данных (далее -ОБРЯ), который вступил в силу 25 мая 2018 г. и заменил Директиву 95/46/ЕС.
Как и Директива 95/46/Еи, ОБРЯ устанавливает, что защита личной информации является фундаментальным правом в соответствии со ст. 8(1) Хартии основных прав Евросоюза. В свете быстрого развития технологий, увеличения объемов сбора и хранения данных необходимо «способствовать свободному потоку персональных данных в рамках Союза и передаче их в третьи страны с соблюдением столь же высоких гарантий защиты персональных данных» [с. 429]. ОБРЯ расширила круг обязанностей организаций по защите данных, усилила контроль со стороны пользователей и установила гарантии соблюдения установленных правил в каждом государстве-члене. Принятие этого Общего регламента
было призвано сократить трансакционные издержки, поскольку предполагало единые правила для всех стран - членов ЕС и компаний, обрабатывающих персональные данные граждан ЕС.
Основными нововведениями GDPR стали установление штрафов за нарушения и распространение его действия на компании за пределами Союза. Также расширяются понятия персональной информации, операторов персональных данных; повышаются требования к безопасности хранения и обработки персональных данных; пользователям предоставляется право на информацию, право на забвение, право на возражения против обработки их личных данных. GDPR устанавливает повышенные требования к форме согласия на обработку персональных данных: оно должно быть выражено «четким положительным актом, устанавливающим свободно предоставленное, конкретное, информированное и однозначное указание субъекта данных на обработку персональных данных» [с. 431]. Несмотря на то что допускается получение согласия в электронной форме посредством простого клика мыши, молчание или заранее проставленные галочки не считаются приемлемыми способами выражения такого согласия. Также, если данные будут использоваться в разных целях, необходимо получение отдельного согласия на каждую из них.
В статье даются определения понятий «право пользователя на информацию», «право на забвение», «право на возражение против обработки персональных данных», раскрывается их содержание и практика реализации этих прав.
После крупнейшей утечки данных Equifax в 2017 г. все больше пользователей, компаний и политических деятелей стали призывать к усилению правового регулирования в области конфиденциальности персональных данных. В США звучат предложения о необходимости принятия Конгрессом единого федерального закона, устанавливающего минимальные стандарты защиты персональных данных. Изначально заложенный принцип laissez faire подразумевает возможность компаний самостоятельно разрабатывать политику конфиденциальности и возможность пользователей самостоятельно избирать операторов данных и объем передаваемой им информации. Однако в результате процессов глобализации и цифровизации объем персональных данных, которыми обмениваются организации и физические лица, растет в геометрической
прогрессии. За последнее десятилетие компании стали собирать и передавать личную информацию пользователей в безумных количествах; утечки и кражи данных стали нормой XXI в. [с. 436].
В связи с этим, подчеркивает автор, во-первых, важным представляется внедрение принципа минимизации данных: при разработке политики конфиденциальности важно четко определить перечень данных, необходимых для деятельности корпорации, а также срок, в течение которого эти данные будут храниться, передаваться и использоваться. В любом случае этот срок не должен превышать три года. Во-вторых, обязательное уведомление об утечке данных. Необходимо установить определенный период времени, в течение которого компании обязаны сообщить пользователям о случаях нарушения конфиденциальности их личной информации, способы и методы этого сообщения, штрафы за нарушения. В-третьих, необходимо на законодательном уровне установить стандарты шифрования данных о состоянии здоровья, номеров социального страхования, банковских счетов. Эти стандарты будут гарантией того, что даже в случае утраты доступ к данным можно будет получить только при наличии ключа шифрования. Перспективным вариантом осуществления этого представляется псевдонимизация - метод, который, по сути, «заменяет личные идентификаторы случайным кодом», не изменяя при этом весь файл. Это значительно снижает затраты на шифрование, а также облегчает доступ при работе с данными файлами. В-четвертых, явно выраженное согласие перед сбором данных. При получении данного согласия компании должны ясным и доступным языком объяснить пользователю цели хранения, обработки и использования его персональных данных, сообщить сведения об операторе данных.
Автор приходит к выводу о том, что фрагментарный подход США, ведущий к коллизиям в различных отраслях права, явно не соответствует реалиям своевременной жизни. Самым эффективным способом обеспечения конфиденциальности личности в XXI в. является принятие единого цельного акта, наиболее полным образом гарантирующего право на неприкосновенность частной жизни.
А.П. Иванова
