Некоторые равнее. Каковы первые итоги работы нового европейского регламента по защите персональных данных?

Зачем ЕС принял новый регламент по защите персональных данных пользователей, почему благодаря ему может разрушиться иерархический принцип современного интернета, и какие простые правила могут соблюдать все пользователи, чтобы повысить безопасность своих данных в сети — об этом в интервью с Андреем Солдатовым, главным редактором портала Agentura.ru, соавтором книги «Битва за Рунет»

Чуть более двух месяцев назад в ЕС начал действовать новый Регламент по защите персональных данных пользователей («General Data Protection Regulation»). Как можно оценить результат работы регламента, его эффективность на уровне рядовых пользователей?

Для обычного пользователя оценить изменения тяжело, но это связано с тем, что никакого немедленного эффекта на нашу каждодневную деятельность закон и не должен был иметь, он был задуман иначе. Если большинство разрабатываемых и принимаемых в России инициатив, как правило, сводится к тому, что одно из государственных ведомств получает больше полномочий, больше возможностей для регулирования, то новый регламент ЕС носит принципиально другой характер. Его идея заключается в перенесении ответственности и акцента с отношений «государство — интернет компании» на связку «интернет компании — пользователи». Регламент дает пользователю больше возможностей контролировать, что происходит с его данными. По большому счету, вся суть закона заключается в том, что Вы, как пользователь теперь получили право запрашивать у компаний, что они делают с вашими данными. Единственный бюрократический орган, который сможет вмешиваться в этот процесс — Европейский Совет по защите данных («European Data Protection Board»). И его задачей должно стать разрешение споров между гражданами и бизнесом, но не инициация этих споров.

Возвращаясь к вопросу, эффект от регламента мы увидим тогда, когда большое количество пользователей начнет «бомбардировать» популярные интернет компании — Google, Facebook, Instagram — используя этот новый механизм, чтобы выяснить, когда, зачем и как компании используют наши «цифровые следы». Сейчас, я думаю, еще только происходит осознание своих возможностей пользователями, накопление ими информации, и поэтому о таких «бомбардировках» мы не слышим.

Что именно теперь могут запрашивать пользователи у компаний?

Не можем, а даже должны — все, что угодно. Чем больше информации будет накоплено, тем проще оценить преимущества нового регламента, определить его границы. Теперь можно узнавать, какие данные хранятся, например, у Facebook или Instagram, и как корпорации ими распоряжаются.

А разве до этого мы не могли так делать?

Поскольку публичные скандалы вокруг персональных данных не стихают уже несколько лет, запрашивать хранимые корпорациями данные вы могли и до этого. Но сейчас процесс должен стать более системным и массовым. Регламент сделал «дубинку» в руке у пользователей немного весомей, увернуться от нее компаниям теперь не так просто.

А нужна ли там такая «дубинка»? Как мы можем ощутить вред от использования наших данных компаниями, чтобы понять в чем ценность новых инструментов по защите?

С одной стороны, принято считать, что мы как пользователи — профаны в вопросе защиты своих данных. Пользовательские соглашения длинные, а разобраться в них сложно. Но публичные скандалы последних лет привлекают внимание, во-первых, к качеству хранения данных корпорациями — мы видим постоянные утечки и раз в 1-2 месяца вынуждены скачивать новый файл с утечкой от Яндекса, например, и смотреть, не попали ли туда наши сканы паспортов. А во-вторых, внимание пользователей теперь привлекает внимание контекстная реклама, которая появляется на наших экранах, благодаря передаче информации о посещаемых страницах или поисковых запросов между корпорациями.

С другой стороны, «дубинка» появляется очень своевременно и для более опытных, авторитетных пользователей интернета. Дело в том, что интернет развивался всегда как демократическая среда, где комьюнити всегда играло значимую роль. В это комьюнити входили продвинутые, авторитетные пользователи, которые были основателями какой-то области или информационного проекта, например, Википедии. Они имели возможность влиять своим голосом на то, как регулируется интернет, и что с ним происходит в принципе. К сожалению, от этой концепции участия комьюнити в жизни и в определении правил игры последние 15 лет мы уходили. Глобальные корпорации привнесли в интернет то, что мы всегда боялись получить от государства — иерархию. Сейчас мы прекрасно понимаем, что голос ни одного — даже очень авторитетного пользователя — уже не равен голосу корпорации. Вес вашего ролика в YouTube, каким бы вы популярным блогером не были, никогда не будет таким же как у компаний, с которыми у видеохостинга заключены специальные контракты.

Иерархия убивает комьюнити, а регламент дает инструменты по его восстановлению, по «уравниванию в правах» пользователей и интернет гигантов, по крайней мере, в теории.

С пользователями разобрались, а какие последствия от реализации требований нового регламента будут для компаний?

Он должен повлиять на регулирование, сделать корпорации более прозрачными, более «отзывчивыми» и готовыми к взаимодействию. Несмотря на постоянные скандалы с компаниями, вызовы их владельцев на публичные слушания, например в американский Конгресс, даже угрозы применения антимонопольного законодательства, все это не приводит к каким-то серьезным пересмотрам правил игры. Пользователи обеспокоены безопасностью своих данных, но на слушаниях от лица корпораций выступают адвокаты. Только Марк Цукерберг давал лично показания в Конгрессе, но, например, мы не слышали ничего от Сергея Брина или Ларри Пейджа.

Такое ощущение, что никак не получается найти механизм, который позволит вести с ними какой-то осмысленный диалог, и регламент пытается заполнить эту нишу. Я провел последние год-полтора, плотно общаясь с людьми из Facebook, Google, некоторых других крупных компаний. Их структура изнутри напоминает подводную лодку со специализированными «отсеками». И один из таких отсеков предназначен для общения с журналистами и правозащитниками, но из него никак «не пробиться» к коммерческим департаментам. Такая структура, вероятно, создана намеренно, чтобы отделить корпоративные, коммерческие интересы от влияния со стороны гражданского общества.

Но у многих корпораций сейчас фактически монопольное положение на рынке, по крайней мере, с позиции рядового пользователя. Даже если вы, например, не захотите, чтобы ваши личные данные Facebook использовал в рекламных целях, а он все равно включит это в пользовательское соглашение, то какие у вас инструменты сопротивляться этому? Не перейдете же вы с Facebook на «Одноклассники»?

Вопрос монополий очень важный, и его проблему, кажется, сами корпорации недооценивают. У меня есть полное ощущение, что они доиграются. Антимонопольное законодательство США вполне может быть использовано и против них, и тогда у нас просто появится два Facebook и три Google.

Доля продуктов Google в обработке поисковых запросов в США по состоянию на февраль 2018 года (источник)

Как это происходило в момент начала регулирования работы монопольных корпораций США, связанных с углем, сталью?

Я имею в виду, скорее, более поздний пример с американским конгломератом телефонных компаний AT&T, который по решению Министерства юстиции США был разделен на несколько бизнесов поменьше. Вместо одной глобальной компании — стало восемь. Аргументы за изменение правил игры, которые тогда использовали в кейсе AT&T, сейчас звучат и в ситуации с Google. Поисковик, защищая свою монополию говорит об эффективности и экономии, когда в одних руках сосредоточена и поисковая среда, и разрабатываемые на ней продукты, и даже ключевые узлы интернет-инфраструктуры. Непонятно, почему нельзя отделить от Google Youtube или сервис Gmail — фактически, ставший национальной почтовой службой. Почему они не могут существовать с равной эффективностью отдельно? Тогда мы не будем жертвами одной компании, которая полностью определяет правила игры в очень важной для нас части жизни.

Не странно ли бороться с корпорациями за права пользователей руками государства, учитывая, что последние кейсы — от разоблачений Сноудена до скандала с российскими хакерами — показывают, что именно государства собирают о нас информацию, которую мы бы не хотели им давать? Почему мы не защищаемся от государства?

 Вы правы, но парадокс в том, что как раз последние скандалы подогрели интерес к таким идеям, как цифровой суверенитет — обеспечение информационной безопасности в рамках одного государства, национальных границ. Хотя идея зародилась в России и Китае, после скандала вокруг разоблачений Сноудена ее сторонники появились в Европе, а после скандала с вмешательством в американские выборы она приобрела союзников и в Европе, и в США.

В нашей стране эта концепция прошла долгий путь. В 2000 году Путин подписал первую Доктрину об информационной безопасности, и все тогда понимали, что это сделано, чтобы ограничить возможности освещения журналистами — особенно иностранными — ужасов Второй Чеченской войны. Но сегодня эта концепция превратилась в популярную, респектабельную идею, вокруг которой сплотились государственные чиновники не только в России или Китае, но и в Западных странах. Сегодня уже мало кто говорит в привязке к идее цифрового суверенитета о проблемах цензуры, неминуемо возникающей в случае реализации этого принципа. В России и Китае считают, что все сервисы созданы американцами, следовательно, они контролируют контент. В Америке или Европе опасаются вмешательства во внутренние системы. И все защищаются.

Вспомним, что Эдвард Cноуден опубликовал первые расследования весной 2013 года, а уже летом Франсуа Олланд и Ангела Меркель говорили о необходимости создания некоего европейского интернета, изолированного от американского.

Крупнейшие в мире хранилища данных (источник)

Но разве возможно в масштабах ЕС создать собственный интернет?

Ситуация двойственная. С одной стороны, корпорации заинтересованы в том, чтобы трафик был локализован. Например, когда мы из России заходим на Google, то попадаем на страницу Google.ru — и это не требование Кремля, а идея и желание самого Google. Локализация трафика технически и инженерно удобна для самих компаний. Сейчас они сопротивляются введение принципа национальных границ, но в какой-то момент, могут сказать: «Окей, нам же так проще, не будем трафик через океан гонять, будем хранить французский трафик во Франции, а немецкий — в Германии».

Но с другой стороны, интернет — сверх инновационная система, буквально место «рождения» основных технических инноваций. Ни государственные регуляторы, ни глобальные корпорации, на самом деле, не успевают за его развитием. И это мы видим сегодня на примере развития блокчейна и цифровых валют. В Силиконовой Долине сегодня крутятся миллиарды долларов, вкладываемых в технические разработки в этой сфере, и в подавляющем числе случаев, речь идет о стартапах, новых компаниях. Инновационность связанных с интернетом технологий будет ограничивать возможности любых регуляторов загнать нас в национальные границы. Технологии, вероятно, позволят нам оставаться всегда на шаг впереди, и по сравнению с государствами, и по сравнению с большими корпорациями.

А что еще можно сегодня делать рядовым пользователям, чтобы оставаться «на шаг впереди»? Три простых совета?

Во-первых, я уверен, что нужно следить за развитием блокчейна. Это сейчас не столько про деньги и майнинг, сколько как раз про хранение данных. Технологии распределенных реестров с ее прозрачностью и открытым кодом — очень многообещающая инновация для любых правозащитных и общественных инициатив. К тому же люди, которые занимаются развитием блокчейна, просто на идеологическом уровне близки к идеи свободы.

Второе — я бы рекомендовал пользоваться в сети сервисами, принадлежащими различным глобальным компаниям, т.е. дифференцировать используемые приложения, чтобы затруднить обмен данными о вас между этими приложениями, затруднить сбор большого объема личной информации. Проще говоря, не хранить яйца в одной корзине. Например, если у вас смартфон на Android, не нужно ограничивать себя сервисами Google для поиска, услуг почтового ящика и т.д.

Каждый день в Facebook я вижу огромное количество личной информации, которой делятся пользователи — их дом, его интерьер, места где они часто бывают, питаются, к каким врачам или парикмахерам ходят. Многие мои друзья выкладывают фото своих детей в FB, в том числе такие, которые самих детей уже через несколько лет могут и не порадовать — они будут пытаться удалить их из сети. Все это дает слишком много информации о вас не только вашим друзьям. И как они будут эту информацию использовать, вы уже проконтролировать не сможете. Вы же не вывешиваете все эти фотографии в собственном подъезде или офисе. Поэтому третий простой совет — личная информационная гигиена. Будьте разумны и бережно относитесь к своим данным.

Фото Андрея Солдатова к публикации — Публицистическая премия «ЛибМиссия»


Рекомендуем также познакомиться с беседой членов экспертной группы «Европейский диалог» Евгения Гонтмахера и Николая Петрова о том, как заложить фундамент мыслительной инфраструктуры российского общества