Сбор и хранение данных пользователей: зарубежный опыт регулирования

Интернет является центральным звеном телекоммуникаций, а история его применения приближается к пятидесятилетнему рубежу, при этом правовое регулирование использования Интернета едва ли насчитывает половину этого срока. Сложность правового регулирования отношений в сфере использования Интернета объясняется рядом факторов, ключевыми из которых являются, его трансграничный характер и специфический круг разнородных субъектов возникающих отношений.

Интернет является центральным звеном телекоммуникаций, а история его применения приближается к пятидесятилетнему рубежу, при этом правовое регулирование использования Интернета едва ли насчитывает половину этого срока. Сложность правового регулирования отношений в сфере использования Интернета объясняется рядом факторов, ключевыми из которых являются, во-первых, объективный характер многоуровневой технологической инфраструктуры Интернета, которая обеспечивает его трансграничное функционирование и использование; во-вторых, специфический круг субъектов возникающих отношений, охватывающий лиц различной юридической природы (субъектов публичного и частного права, субъектов, относящихся к различным правопорядкам).

В последнее десятилетие правовое регулирование использования Интернета в национальном праве расширяется и изменяется, затрагивая, в том числе, сферу отношений, связанных со сбором и хранением данных пользователей телекоммуникационных услуг. Вместе с тем, сохраняются различия подходов государств в формировании порядка, способов, форм и т.д. правового регулирования отношений, связанных с Интернетом, что во многом обусловлено политико-правовыми приоритетами государств, а также отражает разность подходов в понимании природы и сущностных свойств самого Интернета как сложного технологического и социального феномена.

Существующий плюрализм правового регулирования использования Интернета в национальном праве непосредственно выражается в закреплении ключевых и системообразующих понятий и терминов, определения их содержательных характеристик. Понятийно-категориальный аппарат правового регулирования формируется в конкретной правовой системе, а его использование имеет прикладное значение. К примеру, разграничение понятий «Интернет» (Internet) и «доступ к Интернету» (Internet access), их правовая квалификация существенным образом влияет на правовое регулирование использования Интернета, включая регулирование порядка сбора, использования, обработки и хранения данных пользователей Интернета, а также их защиту (далее – «Сбор данных пользователей»).

Представляется целесообразным обратиться в общем плане к правовому регулированию порядка сбора данных пользователей телекоммуникационных услуг в Федеративной Республике Бразилия и Соединенных Штатах Америки. Выбор этих государств обусловлен несколькими соображениями.

Федеративная Республика Бразилия стала первым государством, которое на уровне закона закрепило правовые основы, принципы и порядок использования Интернета, отразив фундаментальные технологические особенности многоуровневой инфраструктуры Интернета, обеспечивающие трансграничное функционирование и использование Интернета. Немаловажно, что в контексте существующих двусторонних отношений Россия-Бразилия, а также совместного участия этих государств в таком неформальном межгосударственном объединении, как БРИКС, обращение к опыту Бразилии представляется полезным.

США – государство, являющееся родиной Интернета, — относится к англо-американской правовой системе, отличающейся от континентальной правовой системы, к которой принадлежит большинство государств, включая Российскую Федерацию. В настоящее время в США регулирование порядка сбора данных пользователей телекоммуникационных услуг реформируется и диверсифицируется.

Федеративная Республика Бразилия 23 апреля 2014 года приняла законодательный акт – Закон № 12.965 «Marco Civil da Internet», далее – «Закон Marco Civil» , который исходит из самостоятельного значения понятий «Интернет» и «доступ к Интернету». При этом «доступ к Интернету» имеет первостепенное значение, является неотъемлемой частью осуществления прав и обязанностей граждан и гарантией комплекса прав пользователей, гарантированных ст. 7 Закона Marco Civil.

Следствием самостоятельного значения понятия «доступ к Интернету» является содержательное определение, в том числе таких понятий, как «интернет-соединение», «интернет-приложения», «запись о соединении/журнал соединений», «регистрация доступа к интернет-приложениям», а также функциональное разграничение «провайдеров интернет-соединений» и «провайдеров интернет-приложений», что в целом влияет на порядок регулирования отношений, связанных с использованием данных пользователей Интернета.

Согласно Закону Marco Civil, персональные данные, записи о соединениях и записи о доступе к интернет-приложениям, данные о частных интернет-коммуникациях пользователей носят конфиденциальный характер, а обязанность по их сохранности возлагается на интернет-провайдеров. Закон Marco Civil устанавливает, что сбор данных пользователей (включая персональные данные) может осуществляться в силу закона; может быть запрещен законом; может быть предусмотрен договором о предоставлении услуг или является условием использования интернет-приложений. В содержательном плане эти законодательные положения предполагают следующее.

1. Сбор данных пользователей осуществляется в силу действия нормативных положений Закона Marco Civil. Закреплены правовые основания сбора данных пользователей и обязанность ведения и хранения записей об интернет-соединениях пользователей, учетной документации о доступе при предоставлении соединения; учетной документации о доступе к интернет-приложениям (подразделы I, II, III, ст.ст. 13-15 Закона Marco Civil).

Для регулирования порядка сбора данных пользователей принципиально важным является законодательное закрепление и содержательное определение таких ключевых понятий, как «интернет-соединение», «запись о соединении/журнал соединений», «интернет-приложение», «регистрация доступа к интернет-приложению». Содержательно эти понятий означают:

«интернет-соединение» – наделение терминала способностью отправлять и получать пакеты данных по Интернету путем присвоения ему IP-адреса или его аутентификации;

«запись о соединении/журнал соединений» – массив информации, относящийся к дате и времени начала и завершения сессии подключения к Интернету, продолжительности такой сессии и использованию терминалом IP-адреса для отправки и получения пакетов данных;

«интернет-приложение» – набор функциональных средств, которые могут быть получены через подключенный к Интернету терминал; а также

«регистрация доступа к интернет-приложению» – «набор информации о дате и времени использования конкретного интернет-приложения, осуществляемого с конкретного IP-адреса».

Хранение и ведение записей об интернет-соединениях осуществляет организация, отвечающая за управление автономной системой и предоставляющая интернет-соединение (провайдер интернет-соединений). Ведение учета таких записей о соединениях не может быть передано третьим лицам.

Провайдер интернет-соединений несет ответственность за хранение записей и обеспечивает их конфиденциальность; учет записей об интернет-соединениях хранится в течение 1 (одного) года, с соблюдением конфиденциальности, в контролируемом безопасном месте.

В качестве предупредительной меры административные и правоохранительные органы, а также Государственный прокурор могут потребовать хранить записи о соединениях в течение более длительного периода, т.е. больше года. При этом закреплена обязанность органа власти, потребовавшего предпринять такие предупредительные меры по хранению записей об интернет-соединениях, в течение 60 (шестьдесят) дней с момента первого запроса инициировать соответствующее судебное разбирательство. Во всех случаях провайдер интернет-соединений предоставляет регистрационные журналы, раскрывает иные данные исключительно на основании решения суда.

Хранение учетной документации о доступе к интернет-приложениям возлагается на провайдера интернет-приложений, который обязан вести журналы записей о предоставлении услуг доступа к приложениям, с соблюдением конфиденциальности, и хранить журналы в контролируемом и безопасном месте, в течение шести месяцев.

Если административные и правоохранительные органы, а также Государственный прокурор требуют хранить журналы записей о предоставлении услуг доступа к приложениям в течение более длительного периода, они обязаны в течение 60 (шестьдесят) дней с момента первого запроса инициировать соответствующее судебное разбирательство. Провайдер интернет-приложений раскрывает данные записей регистрационных журналов только на основании решения суда.

Провайдеры интернет-соединений и провайдеры интернет-приложений предоставляют информацию, подтверждающую, что сбор данных пользователей осуществляется в соответствии с действующим законодательством Бразилии о защите персональных данных и конфиденциальности данных пользователей.

2. Закон Marco Civil закрепляет гарантии прав пользователей, и такое законодательное закрепление гарантий прав обусловливает содержание функционирования органов власти.

Закон Marco Civil гарантирует соблюдение, в частности, следующих прав: право на неприкосновенность личной и частной жизни; право на неприкосновенность и конфиденциальность потоков интернет-коммуникации пользователей; право на невозможность приостановки интернет-соединения (кроме случаев задолженности); право на получение ясной и полной информации об обеспечении сохранности записей о соединениях и записей о доступе к интернет-приложениям в договорах об оказании услуг, а также о практике управления интернет-трафиком, которые могут повлиять на качество предоставляемых услуг; право на неразглашение третьим лицам персональных данных пользователя, включая записи о соединениях и записи о доступе к интернет-приложениям (за исключением случаев, когда пользователь выразил свое согласие добровольно и осознанно, либо в случаях, предусмотренных законом); право на полное исключение персональных данных по требованию пользователя, предоставленных им для использования данного интернет-приложения, при прекращении взаимоотношений сторон; право на открытость и прозрачность любых условий использования, устанавливаемых провайдерами интернет-соединений и провайдерами интернет-приложений и др. (ст. 7 Закона Marco Civil).

Законодательное закрепление гарантий прав, по сути, означает, что их ограничение запрещено, если иное не вытекает из решения суда и в порядке, установленном законом.

3. Закон Marco Civil устанавливает, что сбор данных пользователей может основываться и регулироваться соответствующими договорами о предоставлении услуг доступа или закрепляться в качестве условия использования интернет-приложений.

Законодательно гарантированному праву пользователей получать полную информацию о сборе, использовании, хранении, обработке и защите своих персональных данных (п. VIII ст. 7 Marco Civil) корреспондирует обязанность провайдеров закреплять в специальном пункте договора условие о сборе данных пользователя (п. IX ст. 7 Marco Civil). Договоры провайдеров интернет-соединений и провайдеров интернет-приложений, которые не соответствуют этим условиям, не имеют юридической силы в силу закона.

Важное значение имеют нормативные положения Закона Marco Civil, отражающие объективную трансграничную природу Интернета. Речь идет о том, что Закон Marco Civil специфицирует отношения и круг субъектов, к которым в императивном порядке применяется право Бразилии. Законодательно закреплено, что в императивном порядке право Бразилии применяется:

  • в отношении любой деятельности по сбору, накоплению, хранению и обработке персональных данных или данных относительно интернет-соединений, если такая деятельность осуществляется в пределах государственной территории Бразилии;
  • в отношении данных, собранных в пределах государственной территории Бразилии;
  • к определению содержания интернет-контента, если по крайней мере один из терминалов расположен на территории Бразилии (под «терминалом» понимается компьютер или иное устройство, подключенное к Интернету);
  • если деятельность по сбору, накоплению, сохранению и обработке персональных данных осуществляется юридическим лицом, расположенным за границей, но услуги оказываются неопределенному кругу лиц в Бразилии, или по крайней мере один из членов какой-либо хозяйствующей группы учрежден в Бразилии.

Соединенные Штаты Америки. В начале статьи отмечалось, что особенность правового регулирования в сфере использования Интернета определяется специфическим кругом субъектов регулируемых отношений, который охватывает субъектов различной юридической природы. В США провайдеры интернет-услуг – это компании частного сектора (субъекты частного права, созданные в соответствии с правом различных штатов США), соответственно, порядок, правила и процедуры, сроки и т.д. сбора данных пользователей относятся к «внутренней политике» компании (провайдера интернет-услуг) и регулируются внутренними регламентами и локальными актами таких компаний. Поскольку интернет-провайдеры являются компаниями частного сектора, они в «общеправовом плане» не обязаны раскрывать данные пользователей и вправе «проводить индивидуальную политику» по сбору данных пользователей.

С учетом особенностей правовой системы США, следует отметить, что в настоящее время в США сбор данных пользователей подпадает под регулирование законодательных актов федерального уровня и актов, принятых на уровне отдельных штатов. Актами федерального уровня являются, в частности, закон «О конфиденциальности электронных коммуникаций» (Electronic Communications Privacy Act, ЕСРА) 1986 г. (далее – «Закон ЕСРА») , действующий с изменениями, принятыми в 2015 году , закон «О конфиденциальности сообщений электронной почты (Email Privacy Act) 2016 г., разработанный в целях внесения поправок в Закон ЕСРА . На уровне штата принят закон «О конфиденциальности электронных коммуникаций штата Калифорния» 2015 г. (California Electronic Communications Privacy Act, CalECPA) .

К федеральному уровню относится закон «Об обмене и защите киберразведывательной информацией» (Cyber Intelligence Sharing and Protection Act, CISPA) , принятый при администрации прежнего президента США, который должен был вступить в силу в конце 2016 года (далее – «Закон CISPA»); а также закон «Об обмене информацией о кибербезопасности» (Cybersecurity Information Sharing Act, CISA) 2015 г. (далее – «Закон CISA») . До вступления в силу Закона CISPA Палата представителей Конгресса США проголосовала за его отмену, а одобрение Закона CISA администрацией нового президента США ожидается в ближайшее время.

Оговоримся, что предметом Закона CISPA и Закона CISA не является сбор данных пользователей, однако эти законы регулируют эту сферу отношений. Следует обратить внимание на кардинальную разницу в закреплении порядка регулирования сбора данных пользователей, предусмотренных названными законами. Закон CISPA предусматривал, что сбор данных пользователя (включая персональные данные, финансовые данные, данные о здоровье, детях, номера социальных страховок, записи о посещении веб-сайтов, информацию об использовании приложений, адреса электронной почты, содержание сообщений и проч.) и их использование осуществляется, во-первых, только на основании разрешения пользователя; во-вторых, пользователь вправе отказаться предоставлять такие данные. Новый Закон CISA закрепляет, что интернет-провайдеры вправе осуществлять сбор данных пользователей без их предварительного разрешения, а также предоставлять данные пользователей третьим лицам.

Тот факт, что Закон ЕСРА реформируется, Закон CISA еще не одобрен и окончательно не принят, а Закон CISPA отменен, дает основание сделать вывод о том, что в настоящее время в США на федеральном уровне нормативное регулирование в сфере сбора данных пользователей, закрепляющее соответствующие обязанности провайдеров интернет-услуг пользователей, формируется.

В США сбор данных пользователей осуществляется провайдерами интернет-услуг и, будучи компаниями частного сектора, интернет-провайдеры самостоятельно определяют порядок, правила, сроки сбора данных пользователей (хранения/удаления данных и проч.). Провайдеры интернет-услуг в том числе могут предусматривать условия сбора данных пользователей в договорно-правовом порядке: в пользовательских соглашениях компаний интернет-услуг, в договорах о предоставлении интернет-услуг и т.д. Провайдеры интернет-услуг так или иначе имеют доступ к данным пользователей, и даже если используется анонимный IP-адрес, провайдер интернет-услуг обладает возможностью идентифицировать его с IP-адресом пользователя, на котором зарегистрирована его учетная запись, соответственно, идентификация лица не представляет трудности для провайдера.

Вместе с тем провайдер интернет-услуг обязан осуществлять сбор данных пользователя по решению суда для представления этих данных правоохранительным органам. При этом сбор данных пользователя означает любые данные, включая персональные данные, информацию о кредитных картах, учетные записи о посещении веб-сайтов, информацию об этих веб-сайтах и т.д.

В ограниченных рамках статьи, тем не менее, следует отметить, что вопрос регулирования порядка сбора данных пользователей в США невозможно без упоминания происходящих процессов, связанных с инициативами по изменению правил защиты конфиденциальности данных, которые нуждаются в пояснениях следующего свойства.

В США Федеральная комиссия по связи США (Federal Communications Commission, FCC) обладает ключевыми полномочиями в принятии и реализации федеральной политики в регулировании отношений, связанных с использованием Интернета (далее – «Комиссия FCC»). Комиссия FCC 27 октября 2016 года одобрила «Правила конфиденциальности для пользователей широкополосного доступа, расширяющие возможности выбора прозрачности и безопасности [использования] их персональных данных» (Privacy Rules to Give Broadband Consumers Increased Choice, Transparency and Security for Their Personal Data). Согласно названному документу (далее – «Правила Privacy Rules»), в частности, предусматривалась обязанность интернет-провайдеров получать согласие пользователей на сбор их данных, вводились ограничения на предоставление интернет-провайдерами данных пользователей третьим лицам .

Правила Privacy Rules должны были вступить в силу в марте 2017 года, однако обе палаты Конгресса США (Сенат: 50-48; Палата представителей: 215-205) проголосовали против их принятия, посчитав, что Комиссия FCC превысила свою компетенцию их приятием и они «обременительны» для компаний интернет-провайдеров.

Это решение Конгресса США после его одобрения президентом США будет означать отмену Правил Privacy Rules. Соответственно, отмена Правил Privacy Rules, во-первых, фактически лишит Комиссию FCC права принимать аналогичные правила конфиденциальности для компаний интернет-провайдеров; во-вторых, усилит позиции таких компаний-гигантов широкополосного доступа к Интернету, как Comcast, Verizon, AT&T и др. (по отношению к компаниям Google, Facebook и др.), и в практическом плане даст им возможность не только осуществлять сбор данных, но и предоставлять их третьим лицам .

Формально-юридическая отмена Правил Privacy Rules не повлияет на действие «Правил сохранения открытости Интернета» (Rules to Protect Open Internet), принятых Комиссией FCC 26 февраля 2015 года, (далее – «Правила Open Internet») . Согласно Правилам Open Internet, требование защиты конфиденциальности пользователей является ключевым; функционирование широкополосной связи основано на трех основополагающих принципах: скорость, справедливость доступа и открытость Интернета; Комиссия FCC обладает полномочиями решать споры о соединении в каждом конкретном случае.

Интригу добавляет и то, что деятельность компаний Google, Facebook, Netflix и др., которые также осуществляют сбор данных пользователей, находится в компетенции Федеральной комиссии по торговле США (Federal Trade Commission, FTC) . Комиссия FCC и Федеральная комиссия по торговле США 1 марта 2017 года выступили с заявлением – «Совместное заявление исполняющей обязанности председателя FTC Морин К. Ольхаузен и председателя FCC Аджита Пайя о защите конфиденциальности в Интернете для американцев» (Joint Statement of Acting FTC Chairman Maureen K. Ohlhausenh and FCC Chairman Ajit Pai on Protecting Americans’ Online Privacy) . Содержание документа не снимает существующей интриги и в общем плане подтверждает высказанное ранее утверждение о том, что в США на федеральном уровне нормативное регулирование в сфере сбора данных пользователей диверсифицируется.

Материал статьи подготовлен с использованием базы «Консультант».

Касенова Мадина – д.ю.н., профессор, заведующая кафедрой международного частного права Дипломатической академии МИД России, почетный профессор Дипломатической академии МИД России. Автор ряда исследований (монографии, научные статьи, сборники документов и материалов и др. общим объемом 235 п.л.) по вопросам международного частного права, международного права, трансграничного использования Интернета, международной информационной безопасности.

Член Международной ассоциации международного права (Лондон), член Российской ассоциации международного права (Москва). Эксперт кластера по информационной безопасности Ассоциации электронных коммуникаций (НП «РАЭК»), ведущий эксперт Института исследований Интернета (ИИИ), эксперт рабочей группы «Связь и информационные технологии» при правительстве РФ (2014 – настоящее время), ведущий эксперт Экспертного совета Института развития Интернета, ЭС ИРИ, эксперт комитета по вопросам управления Интернетом Автономной некоммерческой организации «Координационный центр национального домена сети Интернет».

  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •