Цифровая депортация из ЕС
Смогут ли европейские регуляторы противостоять IT-корпорациям из США
Австрийское агентство по защите данных Datenschutzbehörde (DSB) вынесло постановление о том, что европейские компании, использующие сервис Google Analytics, нарушают права граждан ЕС на конфиденциальность. Если раньше регуляторы и суды только штрафовали интернет-платформы, то сейчас могут начать блокировать их работу на территории ЕС. Эксперты считают, что ограничения коснутся не только облачных сервисов, но и всех значимых IT-компаний, нарушающих европейский регламент по защите персональных данных – GDPR.
ДЕСЯТИЛЕТНЕЕ ПРОТИВОСТОЯНИЕ
Постановление DSB основано на том, что с сервиса Google Analytics в головную компанию передают IP-адрес пользователя и параметры браузера. Американская корпорация, в свою очередь, не гарантирует надлежащий уровень защиты этой информации согласно требованиям GDPR. По всей видимости, компаниям Евросоюза придется отказаться от использования сервисов, баз по хранению персональных данных (ПД), которые размещены на территории США, отметила в беседе с RSpectr директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ) Александра Орехович.
Пока не ясно, будет ли оштрафован Google, но столь смелый шаг от DSB стал первым в Европе, хотя соответствующее правовое поле было подготовлено еще летом 2020 года. Тогда суд Европейского союза (The Court of Justice of the European Union, CJEU) принял решение по делу C-311/18 (Schrems II), признав недействительными так называемые EU – US Privacy Shield – специальные правила для передачи ПД в коммерческих целях из ЕС в США. Ими пользовались тысячи американских компаний.
Это событие можно отнести к очередной победе австрийского активиста Макс Шремса в десятилетней войне с Facebook за конфиденциальность данных. Еще в 2011 году он по запросу получил от соцсети Марка Цукерберга почти всю информацию о своей активности там на тысячу страниц. Часть данных ему не предоставили, ответив, что они относятся к интеллектуальной собственности. В 2018-м он создал общественную организацию по защите конфиденциальности – NOYB. К 2020 году она смогла подать 101 жалобу на компании из 30 стран ЕС, которые передают информацию о пользователях в Facebook и Google с нарушением GDPR.
Иск в CJEU в 2020 году от NOYB создал прецедент и положил начало борьбы с влиянием IT-корпораций на Европу. И хотя прошло полтора года, сегодня власти ЕС смогли дать нормативно-правовой залп сразу из нескольких орудий.
В январе парламентариями был согласован долгожданный законопроект о цифровых услугах (Digital Services Act, DSA). Он должен ограничить влияние международных IT-гигантов. Его так долго не могли утвердить, что для мотивации депутатов даже пригласили выступить экс-сотрудника Facebook Фрэнсис Хоган, которая призывала парламентариев к более решительным действиям по защите ПД. И хотя Google после решения австрийского DSB опубликовал пост, в котором сообщил, что за 15 лет они не получали ни одного запроса на данные с Google Analytics от силовиков США, это уже не могло изменить ситуацию.
Эксперты уверены, что
конфронтация между ЕС и США из-за деятельности интернет-корпораций будет только нарастать
«Постановление Европейского суда по делу Schrems II от 2020 года – ключевое для диалога между Евросоюзом и Америкой по этому вопросу. Оно фактически аннулирует сложившийся статус-кво по обмену данными», – рассказал RSpectr руководитель юридического отдела хостинг-провайдера и регистратора доменов REG.RU Павел Патрикеев.
Эксперт полагает, что у американских компаний в настоящий момент не остается никаких альтернатив, кроме как искать пути исполнения GDPR в свете пересмотра ранее существовавших договоренностей. В связи с этим Европейский комитет по защите данных – European Data Protection Board, EDPB – еще с 2020 года начал издавать обновленные рекомендации для американских компаний.
Александра Орехович, ФРИИ:
– Согласно тексту решения, под санкции подпадают все облачные сервисы из США. Это означает, что iCloud и Dropbox может постичь та же участь.
КОМУ НА ВЫХОД?
Управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников советует смотреть на проблему шире. Речь идет о цифровых услугах для конечных потребителей – пользователей интернета. «В первую очередь под регулирование и под санкции в случае невыполнения требований подпадут социальные сети: Twitter, Facebook, Instagram, TikTok. А также медиаплатформы для обмена музыкой, фильмами и иным контентом: YouTube, Spotify, SoundCloud, Apple Music; сайты путешествий: Airbnb, Bla-Bla-Bla, поисковики и браузеры», – рассказал он RSpectr.
М.Емельянников отмечает, что при их использовании накопились колоссальные проблемы – нарушение авторских прав, контрафакт, дезинформация, мошенничество, проявление ненависти и травля.
Компании-владельцы, такие как Google или Facebook, скрывают истинные объемы обрабатываемой информации о пользователях
При этом не реагируют на сообщения о недостоверной рекламе и откровенном мошенничестве, произвольно блокируют людей в соответствии с внутренними непрозрачными правилами. В том числе за критику и жалобы на сервисы, говорит эксперт.
Михаил Емельянников, «Емельянников, Попова и партнеры»:
– Евросоюз решил покончить с правилами цифрового мира, отличающимися от правил реального. Одобренный законопроект о цифровых услугах (Digital Services Act, DSA) – совершенно четкий и определенный шаг в этом направлении.
Преподаватель Moscow Digital School Олег Блинов в разговоре с RSpectr отметил, что наиболее болезненными будут запреты на использование хостингов Amazon Web Service и Azure от компании Microsoft. Также чувствительным для многих станет отказ от рекламных инструментов Google и Facebook.
ПОИСК КОМПРОМИССА
Макс Шремс уверен, что компании США, как и их партнеры в Европе, сами завели ситуацию в тупик.
Макс Шремс, NOYB:
– Вместо того чтобы адаптировать сервисы для соответствия GDPR, американские корпорации пытались просто добавить какой-то текст в свою политику конфиденциальности и игнорировать суд. Многие компании из ЕС последовали их примеру, хотя могли бы перейти на легальные варианты.
Дело в том, что (как правильно аргументировал свою позицию Google) условие о необходимости сотрудничества со службами США – это не только и не столько решение самих IT-организаций, сколько обязательство, возложенное на них местным законодательством, пояснила позицию интернет-платформ А.Орехович.
Она считает, что
возможны две опции: смягчение внутренних предписаний или действительно полный отказ компаний, подпадающих под юрисдикцию GDPR, от использования облачных сервисов Google
Решение Суда Европейского союза по делу Schrems II и отмена соглашения Privacy Shield продолжают оказывать свое влияние на деятельность американских интернет-компаний.
Михаил Емельянников, «Емельянников, Попова и партнеры»:
– Например, компания Google находится в поиске новых механизмов отслеживания действий пользователей интернета вместо Google Analytics. Разрабатываются такие инструменты, как Federated Learning of Cohorts (FLoC) или Topics.
Он уверен, что правила будут меняться, ведь европейский рынок – слишком большой и привлекательный для американских компаний, чтобы от него отказаться или попасть под санкции.
Эксперты считают, что аналогичные решения европейскими регуляторами будут приниматься не только по облачным сервисам, но и по социальным сетям.
Напомним, что надзорные органы уже неоднократно штрафовали их за несоответствие обработки ПД нормам и требованиям GDPR.
М.Емельянников уверен, что эта практика не только продолжится, но и усилится. Например, очередное решение в отношении Facebook и WhatsApp выносил в конце прошлого года ирландский регулятор, вспоминает П.Патрикеев. Эксперт отмечает, что после отмены Privacy Shield в 2020 году внимание регуляторов к американским и другим крупным интернет-платформам выросло.
РУССКАЯ ВЕРСИЯ
Наш закон о защите персональных данных (152-ФЗ) во многом совпадает с GDPR, в то же время законодательство РФ самостоятельно движется по пути обновления регулирования в сфере ПД, считает П.Патрикеев. Пример тому – прошлогодний законопроект об обезличивании ПД.
Павел Патрикеев, REG.RU:
– Свои поправки в порядок взаимодействия РФ с иностранными игроками вносят нормативы, издаваемые в рамках пакета документов о регулировании суверенного Рунета. Например, «закона о приземлении». Поэтому об аналогичных или зеркальных постановлениях говорить не придется – Privacy Shield и Schrems II являются довольно специфической европейской историей.
Впрочем, эксперт уточняет, что
какие-то корректировки на ужесточение порядка трансграничной передачи ПД определенно могут иметь место в дальнейшем
Уже сейчас есть ограничения на такую форму обмена данными для стран, не обеспечивающих адекватный уровень защиты ПД, напоминает А.Орехович. «Например, в РФ передача ПД граждан на территорию Соединенных Штатов возможна по действующему законодательству только в ограниченном ряде случаев. Таких как письменное согласие пользователя, защита его жизни и здоровья; исполнение международных договоров и другое», – сообщила представитель ФРИИ.
Кроме того, в России законодательно закреплено требование о локализации на территории РФ баз данных, содержащих ПД россиян. Под санкции этих предписаний попал уже ряд компаний, включая Facebook, Google, WhatsApp, которые в 2022 году заплатили 22 млн рублей штрафов за нарушения.
Закон «о приземлении» со скрипом, но начали выполнять некоторые иностранные интернет-компании. Например, создавая личные кабинеты на сайте Роскомнадзора
«Достаточно было жестко поставить вопрос: либо выполняете российские законы, либо доступ к вашим сервисам будет закрыт, как это происходит в Китае», – отмечает результаты М.Емельянников. Впрочем, он предупреждает и о последствиях: «Надо понимать, что серьезные ограничения приведут к дополнительным расходам и снижению прибыли владельцев сервисов». В итоге многие бесплатные цифровые услуги постепенно станут платными, как это происходит с YouTube Music, полагает эксперт.
Изображение: RSpectr, Freepik.com
ЕЩЕ ПО ТЕМЕ:
Соцсетям закон не писан
Как депутаты ЕС пытаются защитить граждан от онлайн-платформ