Брюссельский синдром
АрхивС моей точки зрения, проблемы "Эшелона" как таковой - не было и нет.
Прошедшие в последней декаде февраля слушания в Европарламенте по теме "ЕС и защита данных", о которых я уже упомянул в прошлом "Пэйдже", активно комментировались в прессе; пересказывать все это я необходимости не вижу, а собственного корреспондента в Брюсселе у нас нет. Откомментирую удаленным образом.
А - С моей точки зрения, проблемы "Эшелона" как таковой - не было и нет. Пока сохраняются технические возможности организованного шпионажа на сетях связи, таковой будет проводиться; любые законодательные меры могут влиять, по-видимому, лишь на масштаб этого явления, да и то неизвестно, в какой степени (если учесть относительную дешевизну и возможность спецслужб оперировать "черными бюджетами", скрытыми от контроля законодателей и судебной власти).
Б - "Эшелон" и подобные программы интересны, пожалуй, лишь как инструмент маркетинга технологий сдерживания возможности слежки. В этом смысле, если бы "Эшелона" или, скажем, СОРМ не было, их (в маркетинговом аспекте) стоило бы выдумать. Что не оправдывает, разумеется, тех, кто тащит выдуманные подробности в прессу под видом фактов.
В - Основную маркетинговую роль история с "Эшелоном" уже сыграла, внеся свою долю в дело сначала сдерживания экспансии за пределы США специфического "американского подхода" к распространению криптографии, а затем - и изменения самого "американского подхода". Попытки "длить" ее скорее всего вызовут ответную реакцию, и на свет будут вытаскиваться аналогичные инициативы, исходящие уже от европейских правительств или поддерживаемые последними.
И в этом смысле гораздо занимательнее сюжет с самой "Директивой о приватности", обсуждение исполнения которой, собственно, и было предметом прошедших слушаний, а "дело об .Эшелоне"" осталось скандальным и ярким, но - эпизодом.
Директива (Data Protection Directive, 95/46/EC) разрабатывалась и принималась в контексте гражданско-правового законодательства ЕС (Community Law, называемого также "первым столпом" европейского сотрудничества). В этом духе воспринимались и задачи определения условий правового режима обмена персональными данными с организациями и лицами в третьих странах (то есть странах, не подпадающих под юрисдикцию ЕС).
Из-за изначальной "коммерческой" направленности Директивы все эти проблемы попадали в сферу интересов Комитета по правовым вопросам и внутреннему рынку. Однако в ходе изучения ситуации с передачей данных в третьи страны встал вопрос о передаче данных в контексте "третьего столпа" европейского сотрудничества - сотрудничества в сфере сдерживания преступности.
Директива 95/46 явно обходит пункты "третьего столпа", и до сих пор вопросы о передаче персональных данных в рамках полицейского сотрудничества решались "по существу" в каждом отдельном случае. Более того, каждое ведомство (Европол, Организация Шенгенского соглашения, Европейская таможенная информационная система и пр.) действует по собственным стандартам, организуя сбор и хранение данных, а также обмен ими с третьими сторонами.
Понятно, какую "дыру в курятник" это открывает. В прошлом году мы неоднократно наблюдали, как данными, полученными от полицейских и судебных ведомств других стран (в том числе и членов ЕС), злоупотребляли в России, используя не по прямому назначению (в расследованиях или судебных разбирательствах), а для диффамации отдельных лиц и организаций.
Также понятно, что это происходит не только в России, и происходит уже не первый год. С 1998 года (итальянское президентство в ЕС) в Еврокомиссии существует Рабочая группа "Информационные системы и защиты данных", призванная довести стандарты защиты данных при сотрудничестве в рамках "третьего столпа" до уровня, адекватного уровню, предусмотренному Директивой 95/46, - приложить принципы Директивы к вопросам полицейского сотрудничества напрямую. Именно поэтому в качестве соорганизатора прошедших слушаний выступил и Комитет по гражданским правам и свободам, юстиции и внутренним делам ЕС.
Но вернемся к коммерческим последствиям применения Директивы. Общий принцип регулирования таков: передача персональных данных запрещается, если законодательство третьей страны не обеспечивает их "адекватной защиты", эквивалентной высоким стандартам, установленным Директивой.
Вопросы адекватности/неадекватности защиты (ее соответствия или несоответствия духу и букве европейского законодательства), предоставляемой юрисдикциями третьих стран, служат предметом особого исследования, в ходе которого выстроился определенный "рейтинг" национальных законодательств в их отношении к приватности.
- Лучше всего дело обстоит в несоюзной Швейцарии. По оценке рабочей группы, это единственная несоюзная страна, чье законодательство в полной мере удовлетворяет требованиям Директивы, как на федеральном уровне, так и в большинстве отдельных кантонов.
- Австралия, Новая Зеландия и Гонконг (как он теперь называется?) близки к тому, чтобы предоставить "адекватную защиту" персональных данных на европейском уровне.
- Норвегия, Исландия и Лихтенштейн работают над законодательством в этой области и продолжают контакты с органами ЕС в целях гармонизации правовых принципов.
- Япония и Канада обеспечивают "адекватную защиту" в государственном, но не в частном секторе.
Наиболее значимой (и, видимо, наиболее проблемной для Европы) остается ситуация в США, являющихся крупнейшим торговым партнером ЕС. В ходе обсуждений, которые вполне формально именуются "неформальным диалогом" между ЕС и Министерством торговли США, стороны согласились, что правовой режим приватности частных лиц в Америке в целом не может рассматриваться как обеспечивающий "адекватную защиту" персональных данных в терминах Директивы.
Соответственно, персональные данные из Европы в США на сегодня могут передаваться только в очень ограниченном наборе случаев (например, когда лицо, к которому относятся такие данные, явно и недвусмысленно дало согласие на передачу), что "разрывает" многие перспективные бизнес-топологии. Конечно, европейский законодатель не может "запретить" американскому электронному торговцу продавать товары или услуги в Европу.
Но запретить передавать локально собираемые местным представительством американской компании данные в штаб-квартиру в Америке - может. Таким образом, ответ электронного бизнеса может состоять
- либо в выработке условий, при которых такая передача становится возможной (формирование так называемой безопасной гавани за счет того, что компания добровольно принимает на себя обязательства, соответствующие европейскому законодательству, и объявляет о них публично, а в случае нарушения - преследуется за мошенничество по американским законам),
- либо в построении и реализации IT-схем (включающих логистику, тарификацию/биллинг и собственно расчеты), исключающих передачу персональных данных вообще.
И очень интересно, что удастся быстрее.