В этом году исполнилось пять лет со дня вступления в силу Общего регламента по защите данных ЕС. Однако тектонических сдвигов в сторону ответственности крупных технологических компаний, пересмотра их бизнес-моделей в пользу основных прав пользователей не произошло, а публикуемая статистика об утечках и нарушениях свидетельствует о том, что вместо универсальных правил конфиденциальности получился очередной бумажный тигр. Ситуация обостряется отсутствием внимания к данной проблеме в рамках ЕАЭС, несмотря на имеющиеся договорённости.
Новый «золотой стандарт»
После четырёх лет активных дискуссий, происходивших на фоне разоблачений бывшего сотрудника ЦРУ Эдварда Сноудена, скандалов с Facebook[1] и Cambridge Analytica, в ЕС был принят Общий регламент по защите данных (General Data Protection Regulation, далее – GDPR, Регламент), который окрестили новым «золотым стандартом» обеспечения конфиденциальности, применимым в том числе в отношении киберпространства.
Вслед за ЕС и другие государства, не являющиеся его членами, поддаваясь «эффекту Брюсселя», начали импортировать подходы, заложенные в GDPR. Принципы проектируемой безопасности, минимизации данных, право на забвение и прочие принципиальные моменты Регламента были подхвачены в других юрисдикциях: Бразилии, Канаде, Израиле, Новой Зеландии, Чили, Сингапуре, Японии, Индии, Австралии, Китае и в ряде постсоветских государств. Такой «географический» успех обусловлен экстерриториальным принципом действия самого Регламента, который оказался применим в отношении: 1) компаний, выступающих в качестве продавцов товаров и поставщиков услуг за пределами ЕС; 2) третьих стран, имеющих торговые связи с ЕС; 3) стран, не имеющих прямых торговых связей с ЕС, однако заключивших соглашения о свободной трансграничной передаче данных с третьими странами – торговыми партнёрами ЕС.
Таким образом, ЕС посредством GDPR значительно упрочил свою регулирующую роль в сети Интернет, но не за счёт технологических инноваций, как это сделали США и Китай, а посредством масштабирования регуляторных практик на другие страны.
Иллюзия эффективности
Анализ норм и пятилетний опыт реализации GDPR позволили заключить, что сам Регламент и подобные ему акты, несмотря на все преимущества, связанные с признанием субъекта персональных данных сувереном данных, а также стремлением вернуть пользовательский контроль над личной информацией, фактически возложили ответственность за оценку и управление потенциальными рисками и угрозами конфиденциальности на субъекта персональных данных. Это привело:
- во-первых, к сохранению статус-кво для компаний Big Tech, которые не только не изменили свои бизнес-модели в пользу безопасности, но и расширили использование разработок, основанных на данных для получения конкурентных преимуществ, что позволило им и далее увеличивать число подписчиков и прибыль, которая с 2018 г. по 2022 г. демонстрировала уверенный рост;
- во-вторых, к неспособности самого субъекта персональных данных обеспечить надлежащий контроль и защиту личной информации, поскольку он в большинстве случаев вынужден «автоматически» принимать условия обработки данных; это связано с тем, что пользователи, как правило, теряют стимулы для чтения и исправления соглашений на обработку персональных данных, так как последние представляют собой разновидность договоров присоединения, составленных чаще всего сложным языком с большим количеством технических деталей и юридических терминов.
На фоне всепроникающей датафикации страны периферии мировой экономической системы столкнулись, с одной стороны, с необходимостью принятия законодательства для защиты конфиденциальности в соответствии с общепринятыми моделями лидирующих государств для сохранения существующих торговых связей с ними; а с другой – с необходимостью решения новых проблем при реализации правил, основанных на неолиберальной парадигме. В частности оказалось, что для их соблюдения и эффективного правоприменения стране нужны финансовые ресурсы и хорошо развитые институты, собственная технологическая инфраструктура (например, для реализации принципов “privacy by design”, “privacy by default”), а также высокий уровень цифровой грамотности населения. Препятствием стала и банальная языковая проблема: оказалось, что термин “privacy” не имеет прямого перевода на большинство языков и что существует мало исследований, посвящённых этому феномену в контексте той или иной культуры.
Принятие правил, обеспечивающих конфиденциальность, происходит в условиях доминирования евроцентричной парадигмы конфиденциальности, при игнорировании геокультурных аспектов и национальных интересов. А значит – страны периферии и полупериферии продолжают оставаться реципиентами регуляторных практик, которые адаптируются исключительно для сохранения этих стран в статусе удобных площадок для тестирования технологических инноваций.
Евразийская перспектива
Во всех странах Евразийского экономического союза (ЕАЭС) защита персональных данных обеспечивается сегодня на уровне национального законодательства. Однако этот процесс требует системной гармонизации – в том числе потому, что действующие в некоторых государствах требования о локализации персональных данных на своей территории приводят к сегментации информационного и цифрового пространства, но не гарантируют их защиту. Разность подходов вызвана также тем, что лишь Армения и Россия из пяти стран Союза являются участниками европейской Конвенции о защите физических лиц при автоматизированной обработке персональных данных 1981 года.
Гармонизация регулирования в данной сфере необходима, поскольку согласованная регламентация оборота данных в Союзе выступает и гарантией реализации иных приоритетных направлений Цифровой повестки ЕАЭС. К ним относится цифровая прослеживаемость движения продукции, товаров, услуг и цифровых активов в ЕАЭС; цифровая торговля; цифровые транспортные коридоры; цифровая промышленная кооперация; система «регулятивных песочниц» и другие.
На фоне обозначенных проблем и роста проникновения новых технологий в ЕАЭС важна активизация сотрудничества государств-членов по вопросам защиты персональных данных, в том числе принятие Соглашения о регулировании трансграничного оборота данных, о котором велась речь ещё в 2021 году. В его основе должна лежать общая культура конфиденциальности, собственный евразийский подход, признающий конфиденциальность в качестве общественного блага, в том числе через уточнение недопустимых целей обработки данных, модификацию механизмов распределения рисков и ответственности участников за управление ими.
Заключение
Несмотря на ряд революционных положений, GDPR и другие акты не обеспечили защиту конфиденциальности для всех, не изменили и поведение компаний Big Tech. Это связано с тем, что сформулированные европейские правила содержательно не противодействуют коммерциализации данных и их недобросовестному использованию, а лишь сопровождают этот процесс тоннами бумажных соглашений, которые служат основанием для их легитимации.
Учитывая это обстоятельство, а также общую международную обстановку, Евразийский экономический союз видится перспективной площадкой для конструктивного диалога государств по вопросу создания общей культуры конфиденциальности и безопасного оборота данных. Геополитическая и геоэкономическая ситуация такова, что актуальность этой проблемы будет лишь возрастать, а промедление в её решении поставит под угрозу не только реализацию многих цифровых инициатив, но и безопасность внутри Союза в целом.
[1] Facebook – принадлежит Meta, которая признана экстремистской и запрещена в РФ.
