Конец «тихой гавани»: как решить головоломку конфиденциальности

Вчера я сослался на хороший текст президента и главного юриста Microsoft Брэда Смита, а сегодня (по совету Дениса Довгополого) публикую его перевод на русский язык. Оригинальный пост можно найти в корпоративном блоге Microsoft.

Людям, интересующимся технологиями, октябрь 2015 года запомнится как месяц, когда перестало действовать соглашение о «тихой гавани» между ЕС и США[1]. 6 октября суд Европейского Союза отменил международный правовой режим, который более 4000 компаний использовали не просто для переноса данных через Атлантический океан, но и для того, чтобы работать и обслуживать потребителей на двух континентах с населением более 800 миллионов человек.

Это решение сделало явным то, о чём многие говорили уже давно: законы, написанные на заре эпохи персональных компьютеров, не отвечают требованиям эпохи повсеместно распространённых мобильных устройств, подключённых к облачным сервисам. И США, и Европе нужны новые законы, приспособленные к новому высокотехнологичному миру.

Пока что юристы и официальные лица оценивают ситуацию, но уже понятно, что нам понадобится большое количество мелких шагов и фундаментальные изменения, рассчитанные на длительный срок. Мы должны сфокусироваться на обоих этих аспектах.

Нам нужны самые разнообразные шаги, особенно если учесть потенциально разрушительные волнения, к которым может привести конец «тихой гавани». Официальным лицам в Вашингтоне и Брюсселе придётся поторопиться, и нам остаётся только надеяться на то, что Конгресс примет Закон о судебном возмещении[2], который позволит гражданам Евросоюза получить доступ к американским судам. В дополнение к этому, компании вроде нашей, которые позаботились о дополнительной юридической защите в виде образцовых контрактов ЕС, будут использовать их и дальше, даже пока все остальные обсуждают дополнительные меры.

Но в долгосрочной перспективе мы также должны наконец-то обратить внимание на некоторые очевидные и фундаментальные факты. Нам нужны решения, которые будут работать не только для больших технических компаний, но и для малого бизнеса в любой отрасли экономики, и в первую очередь — для потребителей. Чтобы иметь возможность перемещать данные через Атлантику на постоянной основе, нам необходимо новое трансатлантическое соглашение, которое позволит защитить персональные данные пользователей в соответствии с законодательством их собственной страны и в то же время позволит правоохранительным агентствам делать свою работу, быстро получая необходимый доступ к персональным данным на основе прозрачных юридических стандартов.

Пока мы размышляем над действиями, которые могут быть предприняты, очень важно принять во внимание все обстоятельства, которые привели к решению европейского суда. Они сложны и разнообразны и складывались соответствующим образом в течение многих лет. Если мы не учтём их, нам придётся использовать пластырь для решения проблем, требующих более серьёзного подхода.

Неприкосновенность частной жизни действительно является фундаментальным правом человека

Конец «тихой гавани» в первую очередь отражает примечательную эволюцию подходов к этому вопросу. Судебное разбирательство началось в Дублине, где Высокий суд правосудия высказал опасения, что при переносе персональных данных европейцев в США они могут попасть под программу сбора персональных данных, несовместимую с «фундаментальными правами человека, защищёнными конституцией Ирландии».

Во многих отношениях, решению ирландского суда предшествовали события, уходящие корнями чуть ли не ко Второй мировой войне. В 1950 году Совет Европы назвал неприкосновенность частной жизни фундаментальным правом человека. С тех пор она оставалась важной частью европейского законодательства и была закреплена в Хартии фундаментальных прав Европейского Союза. Первый же абзац решения суда Евросоюза отсылает нас к Хартии и её положениям о защите персональных данных.

Американцы могут подумать, что это всего лишь отражение других юридических процессов на другом континенте. Но это было бы ошибкой. Защита частной жизни от вторжения правительства была закреплена в конституции США в 1791 году, когда четвёртая поправка была одобрена как часть Билля о правах. Уже в наше время суды как в США, так и в Европе принимали похожие решения, и небеспричинно.

Лишь в прошлом году Верховный суд США единогласно постановил, что полиция должна получать судебный ордер для доступа к информации в мобильном телефоне. Как объяснил суд, «современные телефоны — это не просто ещё одно технологическое удобство. Они содержат и могут открыть "тайны жизни" многих американцев».

В своём решении Верховный суд объяснил, почему конституция требует от правительства получать ордер на обыск дома. Затем судьи отметили, что доступ к содержимому телефона «откроет правительству гораздо больше, чем самый тщательный обыск дома. Телефон не только содержит в цифровом виде личные записи, которые люди ранее хранили у себя дома, но и большое количество частной информации, которая не хранится дома ни в какой форме».

Это, с одной стороны, примечательно, а с другой — совершенно справедливо. За последние три десятилетия технологии изменили повседневную жизнь настолько, что мы теперь храним больше информации в карманном устройстве, чем раньше хранили во всём доме. И, как мы знаем, эта информация не остаётся на телефоне: она копируется «в облако», то есть в центры обработки данных, которые могут располагаться в любой точке не только США, но и мира.

Это изменение объясняет, почему представители IT-сектора уделяют приватности всё больше внимания. Всего лишь за неделю до решения европейского суда, CEO Apple Тим Кук назвал защиту частной жизни фундаментальным правом человека. Я сказал то же самое от лица Microsoft в январе текущего года в Брюсселе. CEO Microsoft Сатья Наделла прямо заявил больше года назад, что технологии должны развиваться, но не в ущерб вечным ценностям. И неприкосновенность частной жизни является одной из таких вечных ценностей.

Но право на конфиденциальность не может выстоять, если законодательство меняется каждый раз, когда данные переносятся из одной страны в другую. Люди не должны терять свои фундаментальные права просто потому, что их данные пересекают государственную границу. И хотя европейский суд не говорит об этом напрямую, именно этот принцип лежит в основе его решения.

Добавьте к этому тот факт, что данные часто перемещаются не самими пользователями, а компаниями и государственными органами. Обычно пользователи даже не имеют представления о том, что их информация где-то сберегается и куда-то перемещается. Это нереалистично — полагать, что люди будут надеяться на понятие защиты конфиденциальности, которое меняется всякий раз, когда кто-то другой перемещает их данные. Ни одно фундаментальное право не может покоиться на столь шатком основании.

Эти опасения могли оставаться на втором плане в Европе, если бы не откровения последних двух лет. Высокий суд в Дублине открыто предположил, что данные, опубликованные Эдвардом Сноуденом, свидетельствуют о массированном превышении властями США своих полномочий. Как объяснил в своём решении суд Европейского союза, Сноуден показал, что если данные пользователей переносятся в США, они могут попасть в руки американского правительства без малейшей возможности для граждан Евросоюза защитить свои интересы в американском суде.

С практической точки зрения это означает, что европейским властям предстоит заново оценить, адекватно ли защищаются персональные данные европейцев после перемещения в США. И если нет, тогда «тихая гавань» не может быть возобновлена без значительных изменений. Как уже стало понятно официальным лицам по обе стороны Атлантики, на смену старой гавани должно прийти что-то новое.

Нам нужен глобальный интернет

С точки зрения закона, ситуация была бы гораздо проще, если бы данные не перемещались из одной страны в другую. Новые законы просто могли бы потребовать, чтобы данные пользователей оставались в пределах одной страны или даже не покидали их устройства. Но это означало бы возвращение в цифровое средневековье.

Хотя хранение данных в конкретном центре обработки возможно, персональная информация пользователей должна пересекать границу в целом ряде сценариев. Представьте себе, что вы больше не сможете совершать покупки онлайн, потому что информация о вашей платёжной карте должна обрабатываться в процессинговом центре, расположенном в другой стране. Представьте, что вы не сможете резервировать билеты на самолёт, потому что авиакомпания не сможет передать ваши паспортные данные в другую страну. Каждую неделю мы, как потребители и граждане, перемещаем нашу персональную информацию туда, где она необходима. И будущие технологии будут собирать ещё больше персональных данных, чтобы сделать устройства ещё более полезными.

Международное перемещение данных важно не только для пользователей, но и для компаний и даже для государств. Европейский комиссар юстиции Вера Юрова метко указала на это в комментарии к решению европейского суда: «Трансатлантические потоки данных не должны останавливаться, это основа нашей экономики».

Разумеется, государства могут потребовать хранить данные в пределах одной страны, но это будет то же самое, что и требование хранить все деньги под матрасом ради решения проблем банковской системы. XXI век заслуживает лучшего подхода.

Мы должны обеспечить общественную безопасность

Эти проблемы осложняются ещё одним, жизненно важным фактором: государства должны обеспечивать общественную безопасность. Существует глобальный консенсус, что её обеспечение является одной из важнейших функций государства. И обе стороны Атлантики понимают, что мы живём в опасные времена.

Если мы сфокусируемся на этом аспекте, мы заметим один из важнейших парадоксов современного интернета. Интернет стал глобальным средством для обмена идеями и коммуникации. Подобно телеграфу, телефону и предшествующим им изобретениям, он может использоваться для разных целей — для хороших и, иногда, для плохих.

Чтобы защитить людей в реальном мире, мы должны защитить их в интернете. Чтобы правительства могли предотвращать и расследовать угрозы общественной безопасности, им нужен своевременный и адекватный доступ к данным, размещённым онлайн.

Головоломка конфиденциальности

Попытка сложить эти факторы вместе поражает количеством сложностей. Мы должны защитить конфиденциальность как неотъемлемое право человека. Мы нуждаемся в глобальном интернете. Мы должны заботиться об общественной безопасности. И мы должны найти решение, которое будет работать по обе стороны океана. Нам необходимо сделать всё это вместе и одновременно. Это и есть головоломка конфиденциальности.

Чтобы найти долговременное и прочное решение, нам необходимо начать сначала. Основной закон о защите персональных данных в США был принят в 1986 году. Европейские законы были приняты примерно тогда же. Подходы, разработанные за 15 лет до конца XX века, не работают через 15 лет после начала XXI столетия. Изменились не только технологии, изменился сам мир.

Подобно кубику Рубика, решение станет полностью очевидным только тогда, когда оно будет найдено. В данной ситуации нам необходимо предпринять четыре шага.

Во-первых, мы должны гарантировать, что юридические права граждан перемещаются через границу вместе с данными. Это очевидное предложение, которое требует, чтобы правительство США согласилось обращаться к персональным данным граждан Евросоюза, хранящимся в США, только в соответствии с европейским законодательством, и наоборот.

Во-вторых, это потребует нового трансатлантического соглашения, которое создаст не просто «тихую гавань», но и новый тип взаимодействия между двумя портами. Нам необходимо создать процесс, при котором правительственные организации ЕС и США смогут получать доступ к данным пользователей из другой юрисдикции только после прямого и соответствующего законам обращения в авторитетные органы родной страны пользователя. Правительство, отправляющее запрос, должно делать это в соответствии с собственным законодательством, затем запросы будут рассмотрены правительственным органом страны, куда отправляется запрос. Если этот орган считает запрос соответствующим конституции и другим законам родной страны пользователя, он подтвердит запрос, таким образом придавая ему законную силу и авторизуя раскрытие информации.

Если правительство США согласится следовать подобному процессу, тем самым оно удовлетворит юридические требования европейского суда. Суд потребовал, чтобы гражданин ЕС, данные которого перемещаются в США, получал «фактически такую же» степень защиты, как в родной стране. Описанный процесс обеспечит соблюдение этого требования, поскольку правительство страны пользователя в этом случае продолжит применение собственных законов. И так как этот процесс будет двухсторонним, данные американских пользователей, перемещённые в Евросоюз, будут защищены американскими законами и конституцией.

В-третьих, пользователи, физически перемещающиеся между юрисдикциями, должны быть исключением из этого правила. Например, правительство США должно иметь возможность обратиться в суд США, чтобы получить доступ к данным гражданина Евросоюза, физически находящегося на территории США, и то же самое должно быть справедливо в отношении американских граждан, находящихся в Евросоюзе. Это соответствует давним юридическим принципам и практической реальности, в которой соображения общественной безопасности выходят на первый план, когда пользователь физически находится на территории соответствующей юрисдикции.

Наконец, вполне разумно было бы, чтобы правительства по обе стороны Атлантики согласились во всех обстоятельствах, кроме самых экстраординарных, получать доступ к данным законного бизнеса только по решению суда, даже если эти данные хранятся в облаке. Это ликвидировало бы одну из главных претензий компаний, пользующихся облачными сервисами.

Новая дорога в будущее

Разумеется, есть и другие проблемы и сложности, которым тоже надо уделить внимание. Они есть всегда. Но этот фундаментальных подход позволит продраться через текущее состояние юридической неопределённости и гарантировать, что пользователи не потеряют своё право на защиту информации при перемещении данных через границу и что у правоохранительных органов будет эффективный и юридически законный способ получать доступ к данным, необходимым для охраны общественной безопасности.

Этот подход требует от правительств взяться за старые законы и правила и наконец-то модернизировать их. Некоторые назовут это трудностью и будут правы. Но это также и возможность, время которой наконец-то настало. Старый правовой режим рухнул в этом месяце, но его основание разрушилось уже давно. В последние годы стало очевидно, что новому веку нужен новый подход к защите частной жизни. Настало время создать его. ♦


  1. EU-US Safe Harbour. Это соглашение позволяло американским компаниям хранить и обрабатывать персональные данные жителей Евросоюза, если эти компании соглашались соблюдать основные положения Европейской директивы о защите персональных данных. ↩︎

  2. Judicial Redress Act; был одобрен Палатой представителей США 21 октября 2015 года. ↩︎

Если вам понравился этот текст, не забудьте подписаться на обновления моего блога.

Плюсануть
Поделиться