Стукалов а. С.
ЕВРОПЕЙСКАЯ МОДЕЛЬ РЕГУЛИРОВАНИЯ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ В СЕТИ ИНТЕРНЕТ
16. АДМИНИСТРАТИВНОЕ ПРАВО, АДМИНИСТРАТИВНЫЙ ПРОЦЕСС, ИНФОРМАЦИОННОЕ ПРАВО
16.1. ЕВРОПЕЙСКАЯ МОДЕЛЬ РЕГУЛИРОВАНИЯ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ В СЕТИ ИНТЕРНЕТ
Стукалов Алексей Сергеевич, аспирант кафедры правовой информатики
Место учебы: Московский государственный юридический университет им. О.Е. Кутафина (МГЮА)
stukalov-as@mail.ru
Аннотация: Динамика развития правового регулирования информационных отношений в сети Интернет в Европейском Союзе подвержена трем противоречивым тенденциям. Во-первых, Европейская комиссия, обвиняя интернет-компании, и прежде всего Google, в нарушении антимонопольного законодательства в предоставлении поиска и монопольной коммерческой политике, стремится путем штрафов, ограничить их доминирование на рынке. Во-вторых, спецслужбы и правоохранительные органы стран ЕС стремятся путем принятия национального законодательства имеющего чрезвычайный (антитеррористический) характер поставить базы данных, электронную переписку, мобильный и Интернет-трафик граждан под полный контроль, формально гарантируя при этом соблюдение конституционных прав, во что общество не верит. В третьих, Организация по безопасности и сотрудничеству в Европе (ОБСЕ) видит в этих попытках «тревожную тенденцию» роста количества попыток контролировать Интернет.
Ключевые слова: информационные отношения, Интернет, Европа, информационный обмен.
THE EUROPEAN MODEL OF REGULATION OF INFORMATION RELATIONS ON THE INTERNET
Stukalov Alexey S., Postgraduate student Department of Legal Informatics Study place: Kutafin Moscow State Law University (Moscow State Academy of Law)
stukalov-as@mail.ru
Annotation: Dynamics of development of legal regulation of information relations on the Internet in the European Union subject to three conflicting trends. First, the European Commission, accusing the Internet company, especially Google, in violation of the Antimonopoly legislation in the provision of search and monopolistic commercial policies, seeks through fines, to limit their dominance of the market. Second, intelligence agencies and law enforcement agencies of the EU countries are committed by the adoption of the national legislation with the emergency (anti-terrorist) character to put databases, e-mails, mobile and Internet traffic of citizens under full control, formally, while ensuring compliance with constitutional rights, what society believes. Third, the Organization for security and cooperation in Europe (OSCE) sees in these attempts a «disturbing trend» growth in the number of attempts to control the Internet. Keywords: information relations, Internet, Europe, exchange of information.
Международный информационный обмен, имея свои особенности, базируется на принципе комплексности правового воздействия на отношения в сфере международного информационного обмена путем сочетания экономических, организационно-административных и общественно-политических механизмов, позволяющих целенаправленно мотивировать деятельность субъектов на достижение целей международного информационного обмена1. Эффективность сочетания действия указанных механизмов в современной ситуации пытаются обеспечить в Европейском Союзе.
Европейская парадигма регулировании информационных отношений в сети Интернет была сформулирована в 2011 г. Н. Саркози в выступлении перед руководителями Google, Microsoft, Amazon и др., участвовавших в парижском форуме по проблемам Интернета: «не может быть параллельной Все-
1 Информационные правоотношения. Теоретические аспекты. Под.
ред. И.М. Рассолова. М.: Проспект, 2017. С. 93.
2 п ч
ленной вне законов и морали» . В этих рамках европеискии законодатель настойчиво ужесточает и делает более предметным и детальным контроль за информацией и субъектами интернет-отношений.
Динамика развития правового регулирования информационных отношений в сети Интернет в Европейском Союзе подвержена двум противоречивым тенденциям. С одной стороны Европейская комиссия, обвиняя интернет-компании, и прежде всего Google, в нарушении антимонопольного законодательства в предоставлении поиска и монопольной коммерческой политике, стремится путем штрафов, ограничить их доминирование на рынке. Для этого принимаются соответствующие решения органов ЕС. Аналогичные решения принимаются и на национальном уровне в связи с имеющими место, по мнению правительств, нарушениями интернет-компаниями антимоно-
2 Цит. по: Российская газета (Федеральный выпуск). 2011. 27 сентября №5591 (215).
Проблемы экономики и юридической практики
1'2017
польного законодательства, законодательства об охране частной жизни, о налогообложении.
В 2013 г. еврокомиссар по конкуренции Хоакин Альмуния обвинил Google в искажении поисковых пользовательских запросов и перенаправлении пользователей на собственные ресурсы, что обеспечивает сверхприбыль и нарушает правила конкуренции. Поисковая доктрина Google вступила в противоречие с нормами Евросоюза, предоставляя местным европейским компаниям лишь 10 % рынка и распределяя все остальное между партнёрами Google. В 2016 г. новый комиссар ЕС по конкуренции Маргарет Вестагер вновь обвинила Google в нарушении антимонопольных правил ЕС, злоупотреблении своим доминирующим положением путем введения ограничений на производителей Android устройств и операторов сотовой связи. Еврокомиссия также обвинила Google в принуждении некоторых из крупнейших производителей смартфонов и планшетных ПК, а также мобильных операторов к предустановке исключительно поиска Google на свои устройства. Усилия Еврокомиссии поддержала группа FairSearch Foundem (компании и организации (Expedia, сайты Twenga, TripAdvisor и др.), объединившиеся для стимулирования экономического роста, инноваций и гарантий выбора в интернете, поощрения и защиты конкуренции в сфере интернет и мобильного поиска)3.
С другой стороны Организация по безопасности и сотрудничеству в Европе (далее - ОБСЕ) видит в этих попытках «тревожную тенденцию» роста количества попыток контролировать Интернет. Д. Миятович (представитель ОБСЕ по свободе СМИ) неоднократно выражала обеспокоенность расширением государственного вмешательства в сферу Интернет-отношений, принятием членами ОБСЕ законов для регулирования интернет-ресурсов. «Последствия таких попыток для плюрализма СМИ, по оценке Миятович, могут быть катастрофическими4.
Европейцы также обеспокоены, тем, что интернет-компании собирают их персональные данные5. «Право на забвение» в Интернете в ЕС регламентируется директивой Еврокомиссии 95/46/EC «О защите данных» (1995 г.). Важным в плане реализации этого права стало решение Европейского суда по правам человека (далее - ЕСПЧ) по «делу Костехи», а также принятыми в 2016 г. и вступающими в силу в 2018 г. «Общими правилами защиты данных» (General Data Protection Regulation (GDPR)6.
В основе последних решений лежит постановление ЕСПЧ о том, что поисковые системы (в частности Google) обязаны (при соблюдении ряда условий) соблюдать право граждан
3 Irene Kostaki Commission targets operating system, apps// New Europe. 2016April 25. https://www.neweurope.eu/article/eu-vs-google/
4 Дунья Миятович Свобода выражения мнения в Интернете. Отчет. Организация по безопасности и сотрудничеству в Европе. Брюссель, 2012.
5 В трактовке Европейской Комиссии «персональные данные - любая информация, относящаяся к физическому лицу, будет ли это относится к его или ее частной, профессиональной или общественной жизни. Это может быть что угодно: имя, фотография, адрес электронной почты, банковские реквизиты, посты в социальных сетях, медицинская информация, или компьютер по IP-адресу»// Commission proposes a comprehensive reform of data protection rules to increase users' control of their data and to cut costs for businesses/ European Commission http://europa.eu/rapid/press-release_IP-12-46_en.htm?locale=en
6 Regulation (EU) 2016/679 Решение о введении GDPR было принято 27
апреля 2016 г. и вступит в силу 25 мая 2018 г. по истечению двухлетнего
переходного периода. GDPR не требует принятия или изменения соот-
ветствующего законодательства.
на забвение и удалять персональные данные из результатов поиска.
Формально Google учла новое предписание, удовлетворив соответствующие запросы на удаление более чем половины данных из числа обратившихся жителей стран ЕС. В то же время, данные были удалены виртуально, с европейских «зеркал» серверов Google. В то же время, окончательного удаления не было, и эти сведения продолжают храниться на серверах Google в США.
В этой связи Google подвергается в Европе резкой критике за нарушение этики в обращении с персональными данными пользователей и их ненадежном хранении. Европейские правительства стремятся принудить поисковик к работе в Европе по местным правилам защиты информации7.
В начале октября 2016 г. Брюссель предупредил Google о намерении принудить компанию к изменению поисковой практики в Европе путем взимания значительных штрафов за нарушение антимонопольного законодательства в странах Евросоюза.
Европейская комиссия намерена установить для Google порядок действий не нарушающий антимонопольное зако-нодательство8.
Новый режим защиты данных, вводимый с принятием GDPR расширяет сферу применения закона «О защите данных» ЕС. Теперь для иностранных компаний, обрабатывающих персональные данные жителей ЕС предусмотрено согласование. Принятие GDPR также ужесточило режим защиты данных, предусматривая высокие штрафы. Новые правила применяются, если данные контроллера или процессора (организации) или субъекта (человека) базируются в ЕС. Кроме того (и в отличие от Директивы 1995 г.) положение распространяется также на организации, находящиеся за пределами Европейского Союза, если они обрабатывают персональные данные жителей ЕС. Действие положения не распространяется на обработку персональных данных для деятельности в сфере национальной безопасности и правоохранительной деятельности («компетентными органами в целях предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовного наказания»).
Единый свод правил будет распространяться на все государства-члены ЕС. Каждое государство-член создаст независимый контролирующий орган (СА), который будет принимать и рассматривать жалобы, производить взыскания по административным правонарушениям и др. САС в каждом государстве-члене будет сотрудничать с другими САС, оказывая взаимную помощь и проводя совместные операции. Если бизнес имеет несколько филиалов в ЕС, то он будет контролироваться одной CAC по месту нахождения его головного офиса или сервера (т. е., места, где идет основная переработка информации). В новых органах будет действовать режим «единого окна», чтобы можно было контролировать все сферы деятельности бизнес на всей территории ЕС (статьи 46 - 55 GDPR)9.
7 Кроме того, кроме Google ЕС имеет претензии к другим американским транснациональным компаниям, в частности Apple и Microsoft, но они в основном касаются уклонения от уплаты налогов.
8 EU is pressing for antitrust changes at Google. Wall Street journal. Oct 4, 2016// http://www.marketwatch.com/story/eu-is-pressing-for-antitrust-changes-at-google-2016-10-04
9 The Proposed EU General Data Protection Regulation. A guide for in-house lawyers, Hunton & Williams LLP, June 2015, P. 14
Стукалов а. С.
ЕВРОПЕЙСКАЯ МОДЕЛЬ РЕГУЛИРОВАНИЯ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ В СЕТИ ИНТЕРНЕТ
Введение GDPR сохранило и расширило требования об уведомлении. Теперь они должны включать в себя сроки хранения персональных данных и контактную информацию оператора персональных данных, а также ответственного за защиту данных.
Процессы автоматизированного индивидуального принятия решений, в том числе профилирование (статья 22 GDPR) теперь могут быть обжалованы, если задевают интересы граждан, которые получили право на информацию и оспаривание решений, принятых на чисто алгоритмической основе и затрагивающих их интересы. В GDPR предусматривается, что согласие гражданина на обработку данных должно быть явно выражено для конкретных собранных данных и данных целей (ст. 7 и ст. 4 GDPR). Согласие для детей до 13 лет должны давать родители или опекун ребенка (ст. 8). Контролеры данных должны быть в состоянии доказать согласие. Согласие также может быть отозвано.
В соответствии со статьей 25 GDPR вводится «Проектируемая конфиденциальность», по умолчанию предусматривающая, что защита данных разработана и заложена параллельно бизнес-процессам, продуктам и услугам. Настройки конфиденциальности должны быть установлены на высоком уровне по умолчанию.
Оценка воздействия защиты данных (статья 35) будет проводиться, когда возникают риски для прав и свобод субъектов данных. Руководство по защите данных (статьи 37-39) призваны обеспечивать соблюдение прав граждан в организациях.
Предусмотрены исключения для данных, обрабатываемых в контексте занятости и данных, обрабатываемых для целей национальной безопасности, которые до сих пор могут быть предметом отдельных норм (статьи 2(2)(А) и 82 GDPR).
Обработка персональных данных осуществляется органами государственной власти, за исключением судов или независимой судебной власти. В частном секторе, обработка осуществляется с помощью контроллера, чья основная задача состоит в операциях обработки, требующих регулярного и систематического контроля данных субъектов. GDPR предусматривает, что такими вопросами должен заниматься не просто системный администратор, а «человек с огромным опытом и знаниями в сфере защиты персональных данных». Именно он должен следить за работой контроллера или процессора в части контроля внутреннего соответствия Правилам.
GDPR предъявляют высокие требования к специалистам (используется понятие - Data Protection Officers (DPO) - сотрудник по защите данных), которые должны быть не просто специалистами по управлению ИТ-процессами, а уметь обеспечивать информационную безопасность (включая меры в отношении кибер атак) и других критически важных вопросов по ведению и обработке личных и конфиденциальных данных. Необходимые навыки должны включать понимание нормативно-правового соответствия деятельности законам о защите данных. GDPR предусматривает ответственность регулятора, а не Совета директоров организации, которая нанимает DPO.
Введение в действие и положения GDPR не бесспорны и уже породили множество дискуссий и споров. При разработке вносились тысячи поправок. Критики указывали на большие затраты проекта. Требования по сотрудникам по защите данных стали новыми для многих стран ЕС и широко критиковались как излишняя административная нагрузка. Споры породило и то, что GDPR изначально разрабатывался с акцентом на социальных сетях и ограничения провайдеров и не учитывал
требования для обработки данных персонала. Существуют проблемы языка и кадрового обеспечения для органов по защите данных.
Основной проблемой уже считается реализация GDPR на практике: внедрение в ЕС потребует комплексного изменения методов работы для компаний, которые не выполнили сопоставимый уровень конфиденциальности, прежде чем постановление вступило в силу (особенно неевропейских компаний, работающих с ЕС - персональными данными).
В Европе ощущается дефицит специалистов в указанной сфере, поэтому образование в области защиты данных жизни становится критическим фактором для успеха GDPR. В целом, Европейской комиссии и органам по защите данных придется затратить достаточные ресурсы и силы для обеспечения уникального уровня защиты данных, которые должны быть согласованы всеми европейскими органами по защите данных, поскольку иное толкование правил может привести к различным уровням конфиденциальности.
Франция и Германия реализуют общую стратегию регулирования деятельности IT-компаний, требуя от Евросоюза денонсировать временное антитрастовое соглашение с Google, признав её монопольное положение на рынке поисковиков.
В большинстве стран Европы действует законодательство об ответственности провайдеров хостовых услуг за размещение на сайтах не разрешенной законом информации. Сетевых операторов нельзя привлечь к ответственности за содержание информации в сетях, но по условиям полученной лицензии они обязаны принять меры в отношении пользователей, использующих сети для передачи незаконной информации.
В Европейском Союзе существует саморегулирование хосто-вых услуг специально созданными структурами, независимыми органами саморегулирования и профессиональными кодексами поведения. Таким образом, действуют этические стандарты для оценки содержания классификации следующей информации:
- использование телекоммуникационных средств и предоставление соответствующих услуг для распространения оскорбительной или непристойной информации пользователями, не достигшими 18 лет;
- предоставление интерактивных компьютерных услуг незаконного содержания;
- использование телекоммуникационных средств для совершения правонарушения.
Правовое регулирование информационных отношений в сети Интернет во Франции (позиция Министерства экономики, финансов и промышленности) направлено на обеспечение свободы он-лайн коммуникации; закрепление обязанностей поставщиков услуг; закрепление правового статуса доменов; защиту он-лайн интеллектуальной собственности; эффективное регулирование содержания информации в сети Интернет; защиту персональных данных; свободу доступа к сети Интернет. Франция инициировала в Европейском Совете меморандум о расширении доступа к Интернету и создании регулятивных механизмов деятельности в сети. В 2014 г. было анонсировано начало работы над новым пакетом «цифровых законов».
Во Франции, что не характерно для европейской и мировой практики действует специальный закон «О безопасности Интернета» (LOPPSI-2), принятый Конституционным Советом Франции 15 февраля 2011 г. Закон, ориентированный на обеспечение безопасности, предусматривает комплекс мер регулирования и контроля Интернета во Франции:
- обязательную фильтрацию контента для пресечения распространения детской порнографии на базе совместно ведущихся МВД Франции
Проблемы экономики и юридической практики
1'2017
и общественными организациями списков сайтов и ресурсов, включая блокировку ресурсов по представлению МВД Франции (без судебного решения);
- уголовная ответственность за хищение и использование персональных данных в сети Интернет (лишение свободы на срок до года + денежный штраф);
- легализация удаленной установки полицией на компьютеры лиц, подозреваемых в совершении преступлений, программ регистрации и передачи в полицию сведений о действиях, совершаемых пользователями компьютеров (допускается исключительно по судебному решению).
В части противодействия терроризму в Интернете в структуре МВД Франции работает «кибер-патруль», в том числе участвующий под вымыленными именами в интернет-форумах и социальных сетях, ведущий иную активность в сети, поддерживая контакты с подозреваемыми в терроризме или его пропаганде. При этом сотрудники «кибер-патруля» освобождены от уголовной ответственности в рамках профессиональной деятельности при расследовании по уголовному делу или исполнении следственного поручения.
Когда речь не идет о национальной безопасности и борьбе с терроризмом, вопрос о регулировании интернет-отношений в Европе в основном ставится в плоскости регулирования поведения американских интернет-компаний (Google, Facebook и др.). В 2014 г. премьер-министр Франции М. Вальс подчеркнул озабоченность Евросоюза, связанную с тем, что сегодня один только Facebook больше, чем весь Интернет десять лет назад, что требует перестройки соответствующего регулирования.
В Германии с 1997 г. действует Закон об информационных и коммуникационных услуга, определяющий статус цифровой подписи, вопросы авторских прав, ограничения на морально вредную для молодежи информацию. Регулирование информационных отношений в сети Интернет осуществляется на основе федеральных законов «О телекоммуникационных данных» и «Об ограничении тайны переписки, почтовых и телефонных сообщений». В начале 2012 г. на четыре года был пролонгировано действие пакета антитеррористических законов 2002 г., предоставляющих специальным службам широкие полномочию в Интернете. Государственная молодежная
политика в Интернете базируется на федеральных законах «О распространении материалов вредных для молодежи» 1953 года и «О барьерах в Интернете» 2009 года, которые предусматривают перечни запрещенных материалов (порнография, пропаганда фашизма, насилия и т.п.) и ответственность за их распространение в Интернете. Интернет-провайдеры добровольно сканируют сайты, исключая, информацию, имеющуюся в перечне запретов Федерального департамента по вредным для молодежи медиаресурсам. Специальные подразделения Объединенного антитеррористического центра в Берлине, его Интернет-бюро, ведут целевой мониторинг Интернета. В апреле 2012 г. на базе федерального ведомства по защите информационных технологий в Бонне заработал национальный центр борьбы с киберпреступностью, также ведущий мониторинг интернет-ресурсов, включая социальные сети.
Статья проверена программой «Антиплагиат». Оригинальность текста 95,48%.
Список литературы:
1. Информационные правоотношения. Теоретические аспекты. Под. ред. И.М. Рассолова. М.: Проспект, 2017. 208 с.
2. Irene Kostaki Commission targets operating system, apps// New Europe. 2016April 25. https://www.neweurope.eu/article/eu-vs-google/
3. Дунья Миятович Свобода выражения мнения в Интернете. Отчет. Организация по безопасности и сотрудничеству в Европе. Брюссель, 2012.
4. Commission proposes a comprehensive reform of data protection rules to increase users' control of their data and to cut costs for businesses/ European Commission http://europa.eu/rapid/press-release_IP-12-46_en.htm?locale=en
5. Regulation (EU) 2016/679 Решение о введении GDPR было принято 27 апреля 2016 г. и вступит в силу 25 мая 2018 г. по истечению двухлетнего переходного периода. GDPR не требует принятия или изменения соответствующего законодательства.
6. EU is pressing for antitrust changes at Google. Wall Street journal. Oct 4, 2016// http://www.marketwatch.com/story/eu-is-pressing-for-antitrust-changes-at-google-2016-10-04
7. The Proposed EU General Data Protection Regulation. A guide for in-house lawyers, Hunton & Williams LLP, June 2015, p. 14