CC BY
22УДК 340.2, 342
DOI: 10.31249/rgpravo/2021.04.07
АЛЕШКОВА И.А.1 РАЗВИТИЕ ПРАВОВОГО РЕГУЛИРОВАНИЯ ВОПРОСОВ, СВЯЗАННЫХ С КОНФИДЕНЦИАЛЬНОСТЬЮ ИНФОРМАЦИИ И ЗАЩИТОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ В ЕВРОПЕЙСКОМ СОЮЗЕ. (Обзор).
Аннотация. В обзоре обобщаются научные публикации, в которых раскрываются актуальные проблемы в сфере правового регулирования конфиденциальности и защиты данных в ЕС. Отмечается, что Общий регламент по защите данных имеет важное значение для работы международных организаций. Вместе с тем его действие обуславливает появление вопросов о взаимосвязи между правом ЕС и международным публичным правом. Акцентируется внимание на тех правовых ценностях, которые являются определяющими при формировании национальных и международных подходов. Обозначаются предлагаемые в научной литературе модели правового регулирования конфиденциальности и защиты данных, направленные на достижение международной конвергенции.
Ключевые слова: персональные данные; Общий регламент по защите данных (GDPR); конфиденциальность информации; национальная безопасность; международные соглашения.
ALESHKOVA I.A. Development of legal regulation of issues related to information confidentiality and personal data protection in the European Union. (Review).
Abstract. The review summarizes scientific publications that reveal current problems in the field of legal regulation of confidentiality
1 Алешкова И.А., старший научный сотрудник отдела правоведения ИНИОН РАН, кандидат юридических наук.
and data protection. It is noted that the General Data Protection Regulation (GDPR) is essential for the work of international organizations. At the same time, its action gives rise to questions about the relationship between EU law and public international law. Attention is focused on those legal values that are decisive in the formation of national and international approaches. The proposed in the scientific literature models of legal regulation of confidentiality and data protection, aimed at achieving international convergence.
Keywords: personal information; GDPR; confidentiality of information; national security; international agreements.
В условиях интенсивного развития цифровизации многие страны мира стремятся обеспечить конфиденциальность цифровой информации и гарантировать защиту персональных данных. Вместе с тем выбранные подходы различаются. Одной из причин является отсутствие устоявшихся международных принципов и стандартов, позволяющих гармонизировать правовое регулирование в данной сфере. Несмотря на некоторые международные соглашения, в том числе принятые 11 октября 2018 г. Руководящие принципы защиты персональных данных и конфиденциальности ООН (Personal data protection and privacy principles), правовое регулирование взаимоотношений в Интернете как области, где потоки данных имеют трансграничный характер, остаются одной из актуальных проблем современности.
Джессика Шурсон рассматривает две часто противоречащие друг другу потребности государств - необходимость защиты данных своих граждан и потребность правоохранительных органов в доступе к этим данным в качестве доказательств, которые часто хранятся поставщиками услуг в разных странах. При этом она обращает внимание на то, что существующие законы о защите данных потенциально могут заблокировать передачу данных иностранным правоохранительным органам в соответствии с этими внутренними правовыми процедурами [3, р. 167]. В качестве примера Дж. Шурсон отмечает ситуацию, сложившуюся между Европой и США. В Европе более половины внутренних уголовных расследований требуют данных, которые хранятся или контролируются экстерриториально. Учитывая преобладание американских поставщиков услуг в секторах облачных вычислений и интернет-коммуникаций,
большая часть данных, запрашиваемых европейскими правоохранительными органами, контролируется или находится в США. Закон США о хранимых сообщениях (Stored Communications Act (SCA)), являющийся частью Закона о конфиденциальности электронных коммуникаций (Electronic Communications Privacy Act (ECPA)), запрещает поставщикам услуг раскрывать данные о содержании при отсутствии ордера, выданного судом США. Это явно затрудняет работу правоохранительных органов, которые должны получать разрешение на сборы цифровых доказательств в целях уголовного расследования. Из-за положений закона о блокировке перехвата проводных и электронных сообщений и перехвата устных сообщений, а также большого количества требуемых запросов, которые должны проходить через Министерство юстиции США и федеральную судебную систему, возникают задержки в сборе доказательств, а выполнении обычных запросов занимает много времени [3, р. 168]. Непростая ситуация складывается и в Великобритании, которая, сыграв важную роль в принятии ряда двусторонних соглашений между Европейским союзом и США и успешно сняв блокирующие положения для своих государственных запросов, тем самым создала для британских правоохранительных органов условия прямого доступа к данным, хранящимся у американских поставщиков услуг. Однако в связи с выходом из ЕС этой стране снова придется работать над поддержанием эффективного доступа к необходимым сведениям посредством запросов к цифровым доказательствам, но уже направляя их в ЕС, который, согласно положению ст. 48 Общего регламента защиты персональных данных (General Data Protection Regulation (GDPR)), имеет возможность блокировать доступ к ним [3, р. 175-176].
На международном уровне государства смогли договориться по большому числу вопросов, однако в условиях интенсивного развития цифровизации конфиденциальность и защита больших данных стали преградой к международному консенсусу.
Отсутствие консенсуса создает потенциал для конфликта не только частных и публичных интересов, но и является предпосылкой развития несовместимых подходов в правовом регулировании. Конфликт между порядком доступа к конфиденциальной информации и персональным данным отражается в конфликте между блокирующими положениями законов.
Ученые и специалисты разных стран разрабатывают оптимальные подходы правового регулирования вопросов кофеденци-альности, учитывающих национальные и международные интересы. С одной стороны, они предлагают сделать уступки в отношении сохранения фундаментальных ценностей, таких как свобода слова для США, с другой - обеспечить информационное самоопределение для европейцев.
Дж. Шурсон обращает внимание на то, что конфликт, связанный с введением положения о блокировке перехватов сообщений и передачи персональных данных в третьи страны на основании решения суда или административного органа этой третьей страны, если передача не разрешена международным соглашением или одним из других оснований, частично привел к принятию Закона США об облачных технологиях в 2018 г. Данный Закон устанавливает основу для двусторонних соглашений с «соответствующими иностранными правительствами», которые позволяют этим правительствам отправлять продукцию и заказы непосредственно поставщикам услуг в США, отменяя положения о блокировке перехватов сообщений. Чтобы считаться «правомочным иностранным правительством», Штаты должны соблюдать определенные меры защиты конфиденциальности и гражданских свобод, включая требование о том, что запросы на перехват сообщений не могут быть нацелены на граждан и жителей США. Эти двусторонние соглашения должны быть взаимными, что позволит американским правоохранительным органам отправлять производственные заказы и неамериканским поставщикам услуг, опять же при соблюдении мер безопасности [3, р. 168].
Питер Хьюстинкс, выступая 26 февраля 2021 г. на онлайн-конференции «Общий регламент по защите данных (GDPR) Европейского союза и международные организации» с докладом на тему «Защита данных и международные организации: Диалог между правом Европейского союза и международным правом», отмечает, что персональные данные обрабатываются для различных целей. Однако, как правило, это происходит за пределами прямого действия национального законодательства. В таких случаях международные организации должны использовать альтернативные подходы, чтобы компенсировать отсутствие правовой базы [2, р. 79-80]. По мнению П. Хьюстинкса, работавшего определенный период
времени инспектором по защите данных, элементами новых подходов должны быть - необходимость повышения осведомленности и разработки соответствующих других правил посредством саморегулирования [2, p. 79]. На уровне ТС сформировалась позиция о том, что в контексте гарантий защиты персональных данных и конфиденциальности информации могут применяться два возможных отступления от ст. 49 GDPR: во-первых, когда передача «необходима по важным причинам общественного интереса», а во-вторых, когда передача «необходима для целей реализации законных интересов, преследуемых контролером, которые не перекрываются интересами или правами и свободами субъектов данных».
В современный период с целью выработки универсальных юрисдикционных правил на уровне различных интеграционных объединений формируются правовые основы гармонизации данной сферы общественных отношений. В рамках Совета Европы с начала 1970-х годов идет поиск средств, способных установить баланс между ст. 8 Европейской конвенции о правах человека об уважении частной жизни и ст. 10 о свободе информации. Самый значительный прогресс на пути к международному соблюдение правил защиты данных произошел в период принятия Конвенции Совета Европы о защите персональных данных (Конвенция108+), открытой для подписания в октябре 2018 г. Важность этой Конвенции возрастает, как международного и открытого для подписания акта странами, не являющимися членами Совета Европы. Данный документ направлен на усиление защиты персональных данных на международном уровне. На сегодняшний день Конвенция 108+ подписана 28-ю государствами - членами Совета Европы, а также Тунисом и Уругваем. «Конвенция 108+» обновила «Конвенцию 108» 1981 г., ратифицированную 55 государствами1.
Конвенция 1981 г. была разработана в тесном сотрудничестве с Организацией экономического сотрудничества и развития (ОЭСР), а затем была использована при подготовке Руководящих принципов конфиденциальности для государств - членов ОЭСР
1 Улучшение защиты персональных данных на глобальном уровне с помощью «Конвенции 108+» // Новости Совета Европы. - URL: https://www.coe.int/ ru/web/portal/-/strengthening-data-protection-globaUy-with-convention-108- (дата обращения: 21.07.2021).
(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, OECD, 2013 г.). Однако некоторые разительные различия остались, когда оба документа были приняты примерно в одно и то же время. Конвенция 1981 г., модернизированная Конвенцией 108+, полагаем, сыграет решающую роль в качестве международного инструмента конфиденциальности. Ее значимость постепенно повышалась посредством знаковых для защиты персональных данных решений Европейского Суда по правам человека, в числе которых - решение по делу Flaminio Costa vs ENEL (1964), в котором был установлен примат права ЕС над законами его государств-членов; решения по объединенным делам C-465/00, C-138/01 и C-139/01 - Rechnungshof (C-465/00) vs Österreichischer Rundfunk and Others and Christa Neukomm (C-138/01) and Joseph Lauermann (C-139/01) vs Österreichischer Rundfunk; решение Bodil Lindqvist vs Äklagarkammaren i Jönköping (2003), в котором было определено, что упоминание различных лиц на интернет-странице и их идентификация по имени или другим способом представляет собой автоматическую обработку персональных данных по смыслу закона Сообщества. Это был первый раз, когда суд вынес решение о сфере действия Директивы 95/46 / EC (Директива о защите данных) и свободе перемещения таких данных в Интернете.
Вместе с тем очевидная разница в характере действия Конвенции 108 и Руководящих принципов, а также различия в правовой культуре, национальных интересах, конституционных ценностях, которые продолжают создавать проблемы в международных отношениях как в европейском пространстве, так и за его пределами.
Эммануил Бужиакиотис, подчеркивая значимость национальной юрисдикции и потребность сохранения экономического сотрудничества, обосновывает оригинальную модель регулирования конфиденциальности и защиты данных, основанную на использовании многоуровневых связей. По мнению ученого, подход многоуровневых связей направлен на то, чтобы гармонизировать международное сотрудничество и минимизировать конфликт интересов государств [1, р. 6-7].
В целях разрешения возникающих споров автор предлагает учитывать два принципах: государства должны иметь прямую связь с объектом правового регулирования, прежде чем они будут
осуществлять юрисдикцию (1); затрагиваемые сферы правового регулирования должны быть значимы для государства (2).
По мнению Э. Бужиакиотиса, не следует в правовом регулировании ограничиваться территориальными пределами действия права. Обосновывается это тем, что предпосылки для создания многоуровневых связей, опирающихся на широкие пространственные пределы давно заложены в праве. В частности, принцип «разрешено то, что не запрещено» четко сформулирован в решении Постоянной палаты Международного правосудия (PCIJ) по делу S.S. Lotus (Fr. vs Turk) (1927). В этом решении сформулировало два принципа: 1) государства не могут осуществлять юрисдикцию на иностранной территории, если не существует разрешительного международного права; 2) не может быть введен запрет осуществлять юрисдикцию на территории иностранного государства, если нет запрещающего правила международного права.
Соответственно, по мнению ученого, модель многоуровневых связей способствует развитию принципа юрисдикционной субсидиарности, который получает все большую поддержку среди ученых-международников.
Способ, посредством которого может быть достигнута гармонизация прав, в сфере защиты персональных данных, представляет собой совокупность четырех элементов:
1) определяются линии связи, которые государства хотят использовать, при определении того, какой набор правил будет применим;
2) выбранные направления связи должны быть разделены на категории в соответствии с их интенсивностью применения и значимостью для государства;
3) разрабатываются возможные комбинации линий взаимосвязей; их сопоставляют с количеством ситуаций, к которым они будут применяться;
4) устанавливаются принципы, которые усиливают законные интересы государства, более интенсивно связанного с регулируемой ситуацией [1, р. 9].
Э. Бужиакиотисом предложена формула определения комбинаций прочных и свободных взаимосвязей достижения международного консенсуса и гармонизации интеграционного правового регулирования и одновременно защиты национальных интересов,
а также баланса усиленной защиты данных, рыночного саморегулирования и свободы слова.
Вопросы (например, национальная безопасность), по которым достижение консенсуса может быть затруднено даже в рамках предложенной им модели, предлагается согласовывать посредством специальных соглашений и вне рамок генерального соглашения [1, р. 11-12].
Правовые основы защиты персональных данных предлагается группировать в определенных блоках государств, тем самым снизив сложность регулирования до уровня двустороннего или трехстороннего договора. Договоры, по мнению автора, должны быть ратифицированы. И даже в случае, если администрация выберет конкретную линию взаимодействия как доминирующую, высшие судебные органы в целях обеспечения единства практики применения судами такого рода взаимосвязи, руководствуясь конституционными предписаниями, вправе дать определенные разъяснения применения закона. Таким образом предложенная модель не нарушает баланс разделения властей, считает автор [1, р. 13].
Отмечая достоинства предлагаемой модели, Э. Бужиакиотис подчеркивает, что многослойная модель связей возможна и желательна для достижения гармонизации. Во-первых, эта модель может использоваться как исключительный метод, который можно применять только тогда, когда различия между взглядами становятся непримиримыми; во-вторых, по мере того, как стороны становятся вовлеченными в общую нормативно-правовую базу, можно надеяться, что их различия станут меньше и может быть достигнута мягкая и более сильная гармонизация [1, р. 14].
В статье автор отмечает также ряд недостатков многоуровневых взаимосвязей. В частности, обращает внимание на то, что, с одной стороны, предложенная им модель создает набор сложных правил, фрагментарно дифференцируемых между секторами правового регулирования. С другой стороны, модель имеет значительную гибкость, так как позволяет не регулировать все вопросы, и это упрощает достижение консенсуса. Еще одна причина, которая может заставить скептически относиться к модели многоуровневых взаимосвязей, заключается в том, что она может сдерживать разработку единых правил, в том числе правил, обеспечивающих
более надежную защиту конфиденциальности. Однако эта модель, подчеркивает Э. Бужиакиотис, дает немаловажную возможность гармонизировать два конкурирующих начала - космополитизм и государственный суверенитет.
Космополитисты стремятся к Интернету, в котором действуют свои правила, и, следовательно, субъекты, использующие интернет-пространство, могут игнорировать государственные правила. Однако люди и организации, поддерживающие идеи государственного суверенитета, выступают за компетенцию государства устанавливать правила пользования Интернетом в пределах его юрисдикции и по своему усмотрению. Таким образом, описываемая в статье модель, настаивает Э. Бужиакиотис, одним из вариантов выхода из сложившейся достаточно трудной для компромисса ситуации и может обеспечить приоритет принципа уважения к государственному суверенитету, а в идеале - стать первым шагом на пути к глобальной конвергенции в условиях цифровизации.
Э. Бужиакиотис подчеркивает, что в настоящее время регулирование конфиденциальности на международном уровне имеет много опасных моментов, которые в будущем могут привести к большим конфликтам. Для достижения приемлемого компромисса между поддержанием национальных ценностей и недопущением международного конфликта, по его мнению, в большинстве случаев в жизни придется жертвовать чем-то, чтобы получить что-то взамен. Стимулом для компромиссных решений должно быть то, что взамен государства получат больше, чем потеряют в результате уступки.
Список литературы
1. Bougiakiotis E. The layered links model: An alternative approach to international privacy regulation // International data privacy law. - 2020. - Vol. 10, N 3. - P. 125. - URL: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3464380 (дата обращения: 17.07.2021).
2. Hustinx P. Data protection and international organizations: a dialogue between EU law and international law // International data privacy law. - 2021. - Vol. 11, N 2. -P. 77-80. - URL: https://doi.org/10.1093/idpl/ipab015 (дата обращения: 17.07.2021).
3. Shurson J. Data protection and law enforcement access to digital evidence: resolving the reciprocal conflicts between EU and US law // International journal of law and information technology. - 2020. - Vol. 28, N 2. - P. 167-184. - URL: https://doi.org/10.1093/ijlit/eaaa011 (дата обращения: 17.07.2021).
