CC BY
28Современные проблемы осуществления защиты персональных данных в сети: Основополагающие принципы защиты персональных данных
Абрамова А. Г.
Аспирантка Российско-Армянского университета (Ереван, Армения)
anna.yakhshibekian@gmail.com
Ключевые слова: персональные данные, интернет, сеть, Общий регламент по защите данных, складирование данных, обработка данных, основаполагающие принципы, вторичное использование данных
SmUgntJ whAhw^mh rn^jmihtp^ mpq^ h^dhrn^hq^phtpp.
UUAUm^mh Sjmihtp^ 2W2s^whrn.p]mh h^dhmpmp u^qprnhphtpp:
Uppiuilniliu U. O-.
.¿iuj-^-nLuiuljiuh hiuifiuLuiupiuhp wuiqppiuhm (bpliiuh, Zlujiuuiniub)
anna.yakhshibekian@gmail.com
Utf^n^nirf: UnLj) m2fcwmm)pp hl^plifc t hmimgm)gnLi m)A)m^m) mljuhtp^ qi2mlm"
hntpji) htm ^mim^Gli rnpqfr ^hq^phtp^ nmnLi)mu^pnLp]m)p, hil i]u njnpmnLi
h^ihrnprnp u^qpnthphtp^ itpiniiiDp: Ztq^hi^p m2fcwmm)pnLi nmnLi)rnu^pnLi l itinL&nLi t opu hijm)^ m)A)m^m) mljuUtp^ qtmm^m) urnhirnhhtp^g qrnpu ^n^ihgtini. npn2 tqi^rnh^htpp, qprn)g mnm)A)mhmm^nLp]nL))tpp l qtpp mtqt^mm4nLp]m) qmqm)^nLp]m) lmhlm)im) qnp&nti, hil w)&)W4W) mljuUtp^ lm2lw)nLp]m)p h^i)m4w) u^qpnthphtpp: UnL]) hnqlifc^
hirnmi^) t htp^rnjight^ hmimgm)gnLi m)A)m4u) mljuhtp^ lwhlw)4iw), ^w^w) l
^n^m)gim) npn2 tqrnhrn^htpp, itpiniitini tqihi^htp^ hmJmqmmmu^m)nLpjnL)p
njnpm^ h^hipip u^qpnthphtp^h:
^¿nnpn2 pintp m)A)m4u) mljuUtp, ^hmtphtm, hmimgm)g, U)A)W4W) mljuhtp^ lm2Slm)nLp-]U) phqhihntp 4w)n)m4wpq, mljuUtp^ libii^^, mljuUtp^ i2m4nLi, h^ihrnprnp u^qpnthphtp, mljuhtp^ tp4pnpqm4u) oqpiqnphnLi
Contemporary issues of personal data protection in the network: Fundamental principles of
personal data protection.
Abramova A. G.
PhD student in Russian-Armenian University (Yerevan, Armenia)
anna.yakhshibekian@gmail.com
Abstract: The present research is devoted to the study of contemporary issues related to the protection of personal data on the Internet, as well as an analysis of the basic principles used in this area. In this article, the author considers some features of the transfer of personal data outside the borders of the state, their features and role in maintaining the confidentiality of information, as well as the basic principles of personal data protection. The purpose of this article is an attempt to consider some ways of storing, processing and transmitting personal data on the Internet, analyzing the compliance of the application of these methods with fundamental principles in this field.
Keywords: Personal data, Internet, network, General Data Protection Regulation, data warehousing, data processing, fundamental principles, secondary use of data
«Интернет» включает физически всю глобальную взаимосвязанную компьютерную сеть, которая в разговорной речи приравнивается к информации, коммуникациям и другим услугам, доступным в ней. Термин «Интернет» также приято использовать в качестве синонима для его самого известного и широко используемого сервиса - всемирной паутины [1].
В наши дни Интернет может использоваться для широкого круга различных мероприятий, будь то общение, информация, развлечения или коммерция. Учитывая ситуацию связанную со всемирной пандемией коронавируса, объявленной в марте 2020 года, интернет стал одним из самых популярных средств проведения занятий, начиная с начальной школы и заканчивая выс-
шими учебными заведениями. Однако, вездесущность Интернета и его значение для человека привели к многочисленным проблемам, некоторые из которых будут рассмотрены в данной статье.
На данный момент большинство государств проявляют явный и активный интерес к регулированию деятельности в Интернете. Принимая во внимание, что некоторым государствам удалось регулировать или даже ограничивать использование Интернета на своей территории, ядро управления Интернетом в настоящее время находится вне их досягаемости. Рабочая группа по управлению Интернетом, учрежденная Всемирным саммитом ООН по информационному обществу (ВВУИО) в 2003 году, приняла очень широкое определение термина:
Управление Интернетом - представляет собой разработку и применение правительствами, частным сектором и гражданским обществом в их соответствующих ролях, общих принципов, норм, правил, процедур принятия решений и программ, которые формируют эволюцию и использование Интернета [2]. Такое понимание интернет-управления включает в себя не только распределение и назначение адресов DNS-система доменных имен и интернет-протокола («IP»), которые являются ядром миссии ICANN-Интернет-корпорация по присвоению имен и номеров, как указано в ст. 1 (1) Устава ICANN. Он также может охватывать гораздо более широкие проблемы, такие как регулирование содержания / контента или вопросы юрисдикции. Как бы ни был определен масштаб управления, его основные элементы, несомненно, будут замечены в тех функциях, которые в настоящее время выполняются ICANN.
Тем не менее, резкий рост интернет-услуг в течение последних нескольких лет и децентрализация механизмов обработки информации привели к экспоненциальному увеличению потока личной информации через национальные границы.
Правительства многих государств безоговорочно заявляли, что будущая защита конфиденциальности граждан важна для надежного развития электронной торговли, в то же время, важно указать, что права на конфиденциальность личной информации значительно различаются в разных странах. Например, в Соединенных Штатах существует политика, доминирующая на рынке, которая направлена на защиту персональных данных и предусматривает только ограниченные и общие права на конфиденциальность информации [3]. Напротив, европейские нормы отражают подход, основанный на правах человека, и теперь Европейский союз требует от каж-
дого из своих государств-членов всеобъемлющих законодательных мер, основанных на General Data Protection Regulation, направленных на защиту граждан [4].
В Интернете четыре характерные черты определяют международную передачу личной информации. Эти особенности отражают тенденцию, которая значительно увеличивает потенциал и стимулы для злоупотребления личной информацией через национальные границы. В совокупности эти особенности создают предпосылки для конфликтов в отношении конфиденциальности информации.
1. Данные Clickstream
В сетевой среде каждый щелчок мыши компьютера оставляет след данных. Эти «данные о потоке кликов» гораздо более надежны, чем типичные «данные транзакций» электронного платежа или телефонного звонка. Напротив, по самой своей природе поток кликов отражает не только существование взаимодействий, но также включает в себя содержание этих взаимодействий, каждое нажатие клавиши включается во временной поток, а не только указывает на тот факт, что взаимодействие имело место. Информация о потоке кликов обеспечивает непрерывное, регистрируемое наблюдение за людьми и всей их деятельностью.
В Интернете большинство веб-сайтов собирают данные о посещении по кликам в виде лог-файлов. Эти лог-файлы регулярно собирают интернет-адреса посетителей, просматривающих сайт, и записывают веб-страницы, которые просматривают посетители. Некоторые компании предлагают использовать технологию «куки» / "cookies" для отслеживания моделей интернет-пользователей на многих веб-сайтах. Файлы cookie - это небольшие файлы, которые хранятся на компьютере пользователя. Они предназначены для хранения небольшого количества данных, специфичных для конкретного пользователя и веб-сайта, и могут быть доступны как вебсерверу, так и клиентскому компьютеру. Это позволяет серверу доставить страницу, адаптированную для конкретного пользователя, для его интересов и предпочтений.
2. Многонациональные источники
Интернет и новые виды электронной торговли способствуют многонациональному обмену информацией.
Вся структура Интернета основана на принципе географической неопределенности. Возможности обработки информации в сети были разработаны для того, чтобы сделать расстояние и географическое местоположение неактуальными. В результате серверы и процессы обработки мигрируют; данные могут храниться в
одном месте и легко перемещаться в другое место, так же как передающие и вычислительные ресурсы могут мгновенно перемещаться из одного места в другое. Данные могут быть собраны в одном месте, обработаны в другом месте и сохранены на другом сайте. Эти механизмы радикально увеличивают сложность обработки данных и скрывают ответственность за нарушение защиты данных.
3. Складирование данных и «ползучесть» данных (Data Warehousing and Data Creep) Поскольку затраты на вычисление и хранение быстро уменьшаются, отдельное количество данных, которые в прошлом были бесполезными или слишком дорогими для обработки, теперь может быть собранным и сохраненным. В «информационном обществе», почти нулевая стоимость обработки инкрементных данных дает мощный стимул для создания «хранилищ данных». «Хранилище данных» - это накопление миллионов бит личной информации для будущего анализа. Хотя каждая изолированная часть информации может иметь мало смысла или представлять собой минимальный потенциальный вред индивидууму, анализ совокупности может выявлять модели поведения, профилей и интимную часть жизни людей, которые могут быть использованы для категоризации и разделения людей в обществе.
«Ползучесть данных» тесно связана с хранилищем данных. Все больше и больше битов личной информации изыскивается из-за неопределенного убеждения, что каким-то образом информация будет использоваться [5]. Поскольку стоимость сбора и обработки информации снизилась, и толчок к появлению многочисленных хранилищ данных и облаков вырос, более очевидная информация собирается от физических лиц для хранения и последующей обработки1.
4. Вторичное использование и профилирование
Легкость сбора и хранения личной информации в сочетании с расширенной возможностью ее использования создает огромное коммерчес-
1 Например, компании теперь запрашивают почтовый индекс клиента, даже если транзакция покупки проводится с наличными деньгами. Примером могут служить реальные факты: Staples, сеть магазинов канцелярских товаров, регулярно запрашивает у клиентов их почтовый индекс. Кассиры в Office Max, конкурирующей сети, не могут обрабатывать транзакции по кредитным картам, не сохраняя цифровой образ подписи клиента. Компания не нуждается в почтовом индексе клиента для обработки денежных транзакций. Но, zip-код предлагает ключевую часть данных для создания демографических профилей. Объединив безвредную информацию или, казалось бы, анонимные данные, построение детальных индивидуальных профилей становится рутиной.
кое давление в пользу непредвиденных или вторичных применений. Эти отклоненные виды использования собранной личной информации могут порождать дополнительную ценность. Для последующей эффективности, существующая база личной информации становится привлекательным источником данных для новых целей. Эта утечка личной информации особенно остро стоит в отношении профилирования. Что-то совершенно обычное на сегодняшний день, как подписка на онлайн журнал, становится основой для составления подробного профиля интересов. После сбора достаточной базы данных, возможность профилирования отдельных лиц в базе становится проще и ценнее.
Указанные способы обработки информации являются проблемой для каждого человека в мире, а именно, проблема связана с конфиденциальностью и защитой персональных данных. Во многих многосторонних документах, демократические государства сходятся на базовом наборе принципов «защиты данных» или «конфиденциальности данных». Эти нормы справедливой обработки и использования информации представляют собой то, что можно назвать «первыми принципами», и их принятие отделяет и ставит разницу между демократическим обществом и тоталитарным режимом. Защита данных необходима для защиты прав и свобод граждан от тоталитарных репрессий [6]. Тем не менее, важные расхождения в выполнении этих первых принципов можно найти на национальном уровне.
В демократических странах по всему миру конфиденциальность информации признается критическим элементом гражданского общества и необходимостью для развития Интернета. Доверие и уверенность в Интернете не будут возможны без защиты данных.
Согласно проделанному исследованию можно заметить, что за последние тридцать лет правительства и теоретики во всем мире определили основной набор методов справедливой обработки информации для обеспечения участия граждан в сборе и использовании их личной информации. Эти ориентиры формируют первые принципы конфиденциальности информации и объединяют четыре набора стандартов: (1) качество данных; (2) прозрачность или открытость обработки; (3) данные о здоровье, расе, религиозных убеждениях и сексуальной жизни среди других; и (4) механизмы обеспечения соблюдения [7]. В контексте Интернета эти первые принципы остаются такими же важными, как и прежде. Поскольку Интернет увеличивает возможности и стимулы для организаций к участию в торговле информацией, строгое применение первых прин-
ципов становится все более критическим. В частности, информационные потоки в Интернете могут легко нарушать нормы, требующие: (1) уточнения цели сбора данных; (2) согласие лиц в связи с обработкой их личной информации; (3) прозрачность применения данных для отдельных лиц, включая осведомленность о сборе данных и доступ к сохраненной личной информации; (4) специальная защита конфиденциальных данных; и (5) создание механизмов обеспечения соблюдения.
Важно также заметить, что несмотря на то, что демократические государства объединились в вопросе применения первых принципов и подтвердили свою применимость к Интернету, по сути, их исполнение значительно расходится в разных странах.
Прежде всего, национальная политика может внедрять первые принципы в свое национальное законодательство различными способами. Некоторые из них более эффективны, некоторые менее. Более того, национальная или государственная политика может интерпретировать первые принципы совершенно по-разному.
В целом, можно отделить три основных подхода к реализации первых принципов.
Преобладающий подход, является всеобъемлющим законом о защите данных. Согласно этой модели омнибусное законодательство стремится создать полный набор прав и обязанностей для обработки личной информации, будь то государственным или частным сектором.
Во втором подходе к внедрению, действующем, например, в Соединенных Штатах, роль государства более ограничена. Правовые нормы отнесены к узкоспециализированным секторальным мерам защиты. В рамках этого секторального подхода основным источником условий конфиденциальности информации является саморегулирование. Вместо того, чтобы полагаться на государственное регулирование, этот подход направлен на защиту конфиденциальности посредством практики, разработанной отраслевыми нормами, правилами поведения и контрактами, а не нормативно-правовыми актами.
Третий подход к реализации первых принципов является более техническим. В рамках «код» или «lex informatica» [8] модели, технические спецификации содержат правила защиты данных. Технические правила и настройки по умолчанию устанавливают нормы конфиденциальности данных. Таким образом, этот подход является гибридом: модель содержит формальные правила, но не является ни государственным регулированием, ни саморегулированием отрасли.
Помимо расхождения в реализации первых принципов, в содержательном толковании принципов также существуют важные различия. Значение, приписываемое каждому из первых принципов, не согласовано на международном уровне. Эти расходящиеся интерпретации могут иметь большое значение для структуры и развития онлайн-сервисов в Интернете.
Ситуация с защитой персональных данных в сети интернет в некоторой степени прояснилась, после принятия Общего регламента по защите данных / General Data Protection Regulation в 2016 году. В указанном документе можно заметить наличие указанных «первых принципов», с небольшими уточнениями. GDPR устанавливает шесть принципов защиты данных, которые составляют основу обработки персональных данных. Любая обработка должна основываться на принципах, указанных в статье 5 (1) General Data Protection Regulation, а именно:
1. законность, справедливость и прозрачность;
2. ограничение цели;
3. минимизация данных;
4. точность;
5. ограничение хранения;
6. целостность и конфиденциальность.
В дополнение к шести принципам защиты данных GDPR вводит в статье 5 (2) GDPR принцип подотчетности, без которого они не могут быть реализованы. Согласно этому принципу, компании, которые обрабатывают данные пользователей, которые называются контроллерами, должны нести ответственность за соблюдение принципов, перечисленных в Статье 5 (1) GDPR и рассмотренных выше, и должны иметь возможность продемонстрировать свое соответствие им.
Рассмотренные принципы лежат в основе GDPR. Они изложены в самом начале документа, и тем самым, указывают на их первичное значение. Соблюдение духа этих ключевых принципов является основополагающим элементом надлежащей практики защиты данных. Несоблюдение же этих принципов может привести к существенным штрафам, в частности, согласно статье 83(5)(а), нарушение может повлечь штраф в размере до 20 миллионов евро или 4% от вашего общего годового оборота в зависимости от того, какая из указанных цифр больше.
Таким образом, устанавливая такие штрафы, и иные серьезные административные меры, в дальнейшем, на наш взгляд, возможно будет обеспечить защиту персональных данных на высоком уровне не только для граждан Европейского Союза, но так же для гражданина любой страны.
Таким образом, обобщая вышеизложенное, можно прийти к выводу, что Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой объект купли-продажи. Именно поэтому персональные данные должны быть защищены надлежащим образом. Необходимость в принятии мер по данному вопросу, на наш взгляд, вызвана также усовершенствованием возможностей информационных технологий копировать и распространять информацию. Уровень развития информационных технологий сегодня достиг такого уровня, когда ни одно лицо не может быть скрыто от многообразия применяемых в отношении него технических устройств сбора, хранения и обработки данных.
Перечень использованной литературы
1. Johann-Christoph Woltag, Cyber Warfare, Military Corss-Border Computer Network Operations under International law, 2014, para A. 1.
2. Report of the Working Group on Internet Governance, Château de Bossey, June 2005 <https://www.wgig.org/docs/WGIGREPORT.pdf>
3. Fred H. Cate, Privacy in the Information Age 101-32 (1997) (отмечает, что правительство США должно
играть ограниченную роль в защите данных, но должно формулировать широкие принципы для руководства промышленностью).
4. Generally Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data, 1995 O. J. (L 281) 31 <http://europa.eu.int/eur-lex/en/lif/dat/1995/
en_395L0046.html.
5. Jerry Kang, Information Privacy in Cyberspace Transactions, 50 Stan. L. Rev. 1193, 1239-41 (1998). Supra note 31, at p. 1239 ("A sophisticated database marketing initiative thus acquires as much data on potential customers as legally possible.").
6. Charles D. Raab, Privacy, Democracy, Information, in The Governance of Cyberspace 161 (Brian D. Loader ed., 1997);
7. Schwartz & Reidenberg, supra note 9, p. 12-17 (обсуждается развитие и содержание первых принципов в Европе).
8. Larry Lessig, Code and Other Laws of Cyberspace page 6 (1999).
Сдана/^шйййф[ f 03.07.2020 Рецензирована/0-рш^пиф1 f 06.07.2020 Принята/£йщьйф1 f 10.07.2020
