Доклад ООН - Право на неприкосновенность частной жизни в цифрово. Доклад Верховного комиссара Организации Объединенных Наций по правам человека и доклады

A/HRC/39/29
GE.18-12799
7
защиты национальной безопасности, может подорвать или даже уничтожить демократию под предлогом ее защиты»
20
Доступ к данным пользователей, имеющимся у коммерческих предприятий
18.
Государства часто полагаются на компании в деле сбора и перехвата личных данных.
Например, некоторые государства обязывают поставщиков телекоммуникационных услуг и услуг доступа в Интернет предоставлять им прямой доступ к потокам данных, проходящих через их сети. Такие системы прямого доступа вызывают серьезную озабоченность, поскольку они особенно уязвимы для злоупотреблений и, как правило, идут в обход основных процессуальных гарантий
21
Кроме того, некоторые государства требуют доступа к информации, которая собирается и хранится поставщиками телекоммуникационных и интернет-услуг.
Государства продолжают вводить императивные требования к телекоммуникационным компаниям и поставщикам интернет-услуг, обязывающие их хранить данные о коммуникациях в течение длительного периода времени
22
. Многие такие законы требуют от компаний неизбирательно собирать и хранить информацию о трафике всех подписчиков и пользователей в рамках всех средств электронной коммуникации. Они ограничивают способность людей общаться анонимно, создают опасность злоупотреблений и могут облегчить раскрытие информации третьим сторонам, включая преступников, политических противников или коммерческих конкурентов, путем взлома или иной кражи данных. Такие законы выходят за пределы того, что может считаться необходимым и соразмерным
23
Взлом
19.
По всей видимости, правительства все чаще полагаются на агрессивное проникающее программное обеспечение, которые «внедряется» в цифровые устройства физических лиц. Такого рода хакерская деятельность дает возможность осуществлять неизбирательный перехват и сбор всех видов коммуникаций и данных
(зашифрованных и незашифрованных), а также получать дистанционный и тайный доступ к личным устройствам и хранящимся на них данным, позволяя проводить слежение в режиме реального времени и манипулировать данными на таких устройствах
24
. Это угрожает не только праву на неприкосновенность личной жизни, но и правам, относящимся к процессуальной законности, применительно к использованию таких доказательств в ходе судопроизводства (см. A/HRC/23/40, пункт 62). Хакерская деятельность также ставит серьезные проблемы, связанные с экстерриториальностью, поскольку она может затрагивать физических лиц во многих юрисдикциях
25
. Кроме того, взлом опирается на использование уязвимых мест в системах информационно-коммуникационных технологий (ИКТ) и, таким образом, усугубляет угрозы безопасности для миллионов пользователей.
Попытки ослабления шифрования и анонимности
20.
Неоднократные попытки государств ослабить технологии шифрования и ограничить доступ к инструментам анонимизации также угрожают безопасности и конфиденциальности общения и другой деятельности в Интернете. Некоторые государства требуют встраивания в системы шифрования сообщений утвержденных
«потайных ходов», обязывают поставщиков услуг шифрования сообщений передать ключи шифрования (см. A/HRC/29/32, пункты 38–45) или даже запрещают или
20
См. Роман Захаров против России, пункт 232.
21
См. Роман Захаров против России, пункт 270.
22
См. CCPR/C/ZAF/CO/1, пункты 42–43, и CCPR/C/PAK/CO/1, пункты 35–36.
23
См., например, объединенные дела Европейского суда C-203/15 и C-698/15, «Теле2
Свериге АБ» против Шведского почтового и телекоммуникационного агентства и Министр
внутренних дел против Уотсона, постановление от 21 декабря 2016 года, пункт 107;
CCPR/C/ZAF/CO/1, пункты 42–43; и CCPR/C/CMR/CO/5, пункты 39–40.
24
См. Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, «Encryption and anonymity follow-up report» (June 2018).
25
См. материалы, представленные «Прайваси интернэшнл».

A/HRC/39/29
8
GE.18-12799 блокируют некоторые приложения для безопасной связи, включая приложения для использования зашифрованных текстовых сообщений и виртуальные частные сети и сети по анонимизации. Шифрование и анонимность обеспечивают отдельным лицам и группам пространство неприкосновенности частной жизни в Интернете, где они могут иметь собственное мнение и осуществлять свободу выражения мнений без произвольного и незаконного вмешательства или посягательств (A/HRC/29/32)
26
Инструменты шифрования и анонимизации широко используются во всем мире, в том числе правозащитниками, гражданским обществом, журналистами, лицами, сообщающими о нарушениях, и политическими диссидентами, которым угрожает преследование и притеснение. Их ослабление ставит под угрозу конфиденциальность всех пользователей и подвергает их опасности незаконного вмешательства не только государств, но и негосударственных субъектов, включая преступные сети
27
. Такое широкомасштабное и неизбирательное воздействие несовместимо с принципом соразмерности (см. A/HRC/29/32, пункт 36).
Обмен разведывательными данными
21.
Правительства по всему миру регулярно обмениваются разведывательными данными о физических лицах вне каких-либо правовых рамок и без надлежащего надзора
28
. Обмен разведданными создает серьезный риск того, что государства могут использовать этот канал для обхода внутренних правовых ограничений, полагаясь на другие стороны для получения информации и последующего обмена ею. Такая практика несовместима с принципом законности и может поставить под угрозу сам принцип права на неприкосновенность частной жизни (см. A/HRC/27/37, пункт 30).
Угроза для защиты прав человека является особенно серьезной в тех случаях, когда разведданные предоставляются государствам со слабой правоохранительной системой и/или государствам, известным своими продолжительными и систематическими нарушениями прав человека. Разведывательные данные, полученные одним государством от другого, могли быть получены в нарушение международного права, в том числе в результате применения пыток и других жестоких, бесчеловечных или унижающих достоинство видов обращения. Риски в области прав человека, связанные с обменом разведданными, усугубляются отсутствием на сегодняшний день транспарентности, подотчетности и надзора за функционированием механизмов обмена разведданными (см. A/69/397, пункт 44, CCPR/C/GBR/CO/7, пункт 24,
CCPR/C/SWE/CO/7, пункт 36). За очень немногими исключениями, законодательство не смогло поставить обмен разведывательной информацией в надлежащие правовые рамки в соответствии с принципом законности согласно международному праву прав человека
29
Трансграничный доступ к данным, находящимся в распоряжении компаний
22.
Недавно были предприняты усилия по созданию правовых механизмов, направленных на облегчение доступа государств к личной информации, хранящейся на серверах коммерческих предприятий за рубежом. Получение доказательств в ходе уголовного расследования, несомненно, является важной и законной целью. Однако такой доступ может привести к ослаблению или обходу процессуальных гарантий, таких как требование о получении разрешения со стороны независимого органа и создание надлежащих механизмов надзора. Трансграничные запросы также могут негативно влиять на доступ отдельных лиц к механизмам апелляции и судебной защиты. Особую озабоченность вызывает опасность того, что государства со слабой
26
См. также UCI Law International Justice Clinic, «Selected references: unofficial companion to report of the Special Rapporteur (A/HRC/29/32) on encryption, anonymity and the freedom of expression»;
Amnesty International, «Encryption. A matter of human rights» (March 2016); и Wolfgang Schulz and Joris van Hoboken, «Human rights and encryption», United Nations Educational, Scientific and Cultural Organization (2016).
27
См. http://www.ohchr.org/EN/NewsEvents/Pages/DisplayNews.aspx?NewsID=17138.
28
См. Privacy International, Secret Global Surveillance Networks: Intelligence Sharing between
Governments and the Need for Safeguards (April 2018) и http://www.ohchr.org/Documents/Issues/
DigitalAge/ReportPrivacyinDigitalAge/SRCT.pdf.
29
См. материалы, представленные «Прайваси интернэшнл».

A/HRC/39/29
GE.18-12799
9
правоохранительной системой и/или проблемами в области прав человека могут получить доступ к конфиденциальной информации о физических лицах без надлежащей защиты от нарушений прав человека.
IV. Обязанности государств
A.
Обязанность государства соблюдать и защищать право
на неприкосновенность частной жизни в цифровой век
23.
Пункт 1 статьи 2 Международного пакта о гражданских и политических правах требует от государств «уважать и обеспечивать» всем находящимся в пределах его территории и под его юрисдикцией лицам права, признаваемые в настоящем Пакте, без какой-либо дискриминации. Государства-участники обязаны воздерживаться от нарушения прав, признаваемых в Пакте, и любое ограничение любого из этих прав должно быть допустимым соответствующими положениями Пакта
30
. Однако обязательства государств выходят за рамки обязательства «уважать» и включают также «позитивные» меры защиты осуществления прав. В контексте права на неприкосновенность частной жизни это предполагает обязанность принимать законодательные и другие меры для введения в действие запрета и защиты от незаконного или произвольного вмешательства и вторжений как со стороны государственных органов, так и со стороны физических и юридических лиц
31 24.
Обязанность по защите отражена в разделе I Руководящих принципов предпринимательской деятельности в аспекте прав человека, озаглавленном
«Обязанность государства защищать права человека и подробно раскрывающем обязанность государств защищать от негативных последствий для прав человека, связанных с компаниями. Принцип 1 Руководящих принципов требует принятия необходимых мер, направленных на предупреждение и расследование нарушений прав человека, наказание за них и компенсацию ущерба посредством эффективной политики, законодательства, нормативного регулирования и судопроизводства.
В последующих принципах определяются различные правовые и политические области, в которых государствам следует принять «рациональный комплекс мер» − национальных и международных, обязательных и добровольных − способствующих соблюдению предприятиями прав человека
32
. Примеры применения подхода, предусмотренного в Руководящих принципах в отношении сектора ИКТ, включают в себя разработанные на уровне Европейского союза отраслевые руководящие принципы, где основное внимание сосредоточено на рекомендуемых способах борьбы компаний в сфере ИКТ с любыми негативными последствиями своей деятельности.
25.
Обязанность государств защищать от нарушений права на неприкосновенность частной жизни со стороны компаний и других третьих сторон, образованных или домицилированных в пределах их юрисдикции, имеет экстерриториальные последствия. Например, государства должны вводить применимые к технологиям слежения режимы экспортного контроля, которые служат для оценки правовых рамок, регулирующих использование технологий в стране назначения, правозащитной репутации предлагаемого конечного пользователя и гарантий и процедур надзора в отношении использования полномочий по ведению слежения. В экспортно- лицензионные соглашения необходимо включать гарантии защиты прав человека.
Кроме того, государства обязаны защищать лиц, находящихся под их юрисдикцией, от экстерриториального нарушения их права на неприкосновенность частной жизни, например с помощью средств перехвата коммуникаций или взлома.
30
См. Комитет по правам человека, замечание общего порядка № 31, пункт 6.
31
См. Комитет по правам человека, замечания общего порядка № 16, пункты 1 и 9, и № 31, пункт 8.
32
См. Принцип 2, комментарий.

A/HRC/39/29
10
GE.18-12799
B.
Ответственность государства за обеспечение надлежащих
гарантий и эффективного надзора
26.
Осуществление права на неприкосновенность частной жизни в значительной степени зависит от правовых, нормативных и институциональных рамок, предусматривающих надлежащие правовые гарантии, включая эффективные механизмы надзора. В эпоху, когда государствам и компаниям доступен огромный объем личных данных, а физические лица имеют ограниченное представление и контроль за тем, как используется информация о них и их жизни, крайне важно сосредоточить внимание на мерах по смягчению последствий такого властного и информационного дисбаланса для прав человека.
1.
Общие рамки защиты от ненадлежащего вмешательства
27.
Одним из главных элементов государственной системы защиты неприкосновенности частной жизни должны быть законы, устанавливающие стандарты обработки личной информации как государствами, так и частными субъектами
33
. Хотя государства располагают свободой в определении рационального комплекса мер, регулирующих использование корпорациями личной информации, пункт 2 статьи 17 Международного пакта о гражданских и политических правах устанавливает необходимость защиты физических лиц посредством закона. Растущая взаимосвязь между обработкой общественных и личных данных и накопленный опыт, свидетельствующий о массовых и неоднократных злоупотреблениях личными данными некоторыми компаниями, подтверждают, что для обеспечения надлежащего уровня защиты частной жизни необходимы законодательные меры
34 28.
На глобальном уровне растет консенсус в отношении минимальных стандартов, которые должны регулировать обработку личных данных государствами, предприятиями и другими частными субъектами. Международные документы и руководящие принципы, отражающие эти изменения, включают, среди прочего,
Руководящие принципы регламентации компьютеризированных картотек, содержащих данные личного характера, 1990 года; Конвенцию о защите частных лиц в отношении автоматизированной обработки данных личного характера и ее обновленные версии, в которых устанавливается высокий уровень защиты на глобальном уровне
35
; Принципы неприкосновенности частной жизни 1980 года
Организации экономического сотрудничества и развития, обновленные в 2013 году;
Конвенция о кибербезопасности и защите личных данных Африканского союза
(Конвенция Малабо); Мадридская резолюция Международной конференции уполномоченных по защите данных и права на неприкосновенность частной жизни;
Рамки защиты частной жизни форума Азиатско-тихоокеанского экономического сотрудничества. Эти стандарты, в частности Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера, легли в основу рамок защиты конфиденциальности данных многих государств и могут использоваться как ориентиры при разработке надлежащих инструментов политики
36 33
См. Комитет по правам человека, замечание общего порядка № 16, пункт 9, A/HRC/13/37, пункт 61, и A/HRC/17/27, пункт 56. Глобальный обзор законодательства о конфиденциальности данных см. в представлении для настоящего доклада Грэхэма Гринлифа,
Университет Нового Южного Уэльса. В настоящем докладе термин «обработка» охватывает любые операции с использованием личных данных, включая сбор, хранение, использование, изменение, уничтожение, раскрытие, передачу и сведение.
34
См. резолюции Совета по правам человека 34/7, пункт 5 f), и 38/7, пункт 17.
35
Помимо 47 государств – членов Совета Европы, эту конвенцию ратифицировали Маврикий,
Сенегал, Тунис и Уругвай, а несколько других государств находятся в процессе присоединения.
36
Подробные руководящие указания см. в https://privacyinternational.org/advocacy- briefing/2165/guide-policy-engagement-data-protection и Access Now, «Creating a data protection framework: a do’s and don’ts guide for lawmakers. Lessons from the EU general data protection regulation» (2018).

A/HRC/39/29
GE.18-12799
11
29.
Вышеупомянутые документы и рекомендации содержат ряд ключевых принципов, прав и обязанностей, обеспечивающих минимальный уровень защиты личных данных. Во-первых, обработка личных данных должна быть справедливой, законной и транспарентной. Лица, чьи персональные данные проходят обработку, должны информироваться об обработке данных, ее обстоятельствах, характере и масштабах, в том числе с помощью транспарентных правил конфиденциальности данных. В целях предупреждения произвольного использования личной информации обработка личных данных должна осуществляться на основании свободного, конкретного, осознанного и недвусмысленного согласия затронутых лиц или ином законном основании, предусмотренном в законе
37
. Обработка личных данных должна быть необходимой и соразмерной законной цели, которая должна быть указана субъектом, осуществляющим эту обработку. Следовательно, объем и тип данных и срок их хранения должны быть ограничены, данные должны быть точными, и по мере возможности должны использоваться технологии анонимизации и псевдонимизации данных. Следует избегать изменения цели без согласия затронутого лица, а в случае такого изменения оно должно ограничиваться целями, совместимыми с первоначально указанной целью. Учитывая уязвимость личных данных для несанкционированного разглашения, изменения или удаления, важно принимать надлежащие меры безопасности. Кроме того, субъекты, занимающиеся обработкой личных данных, должны нести ответственность за соблюдение применимых правовых и политических рамок в сфере обработки данных. Наконец, данные, носящие секретный характер, должны иметь более высокий уровень защиты
38 30.
Во всех документах и рекомендациях, упомянутых выше, признается, что лицам, чьи данные проходят обработку, должны предоставляться определенные права.
Как минимум, затрагиваемые лица имеют право знать, что личные данные были удержаны и обработаны, иметь доступ к хранимым данным, исправлять неточные или устаревшие данные и уничтожать или исправлять данные, которые хранятся незаконно или необоснованно. В новых договорах были добавлены существенные дополнительные права, в частности право возражать против обработки личных данных, по крайней мере в тех случаях, когда осуществляющая обработку организация не смогла доказать наличия законных и веских оснований для такой обработки
39
Государствам следует уделять особое внимание предоставлению надежной защиты от нарушений права на неприкосновенность частной жизни, связанных с профилированием и автоматизированным принятием решений. Описанные выше права должны также применяться к информации, получаемой, определяемой и прогнозируемой автоматическими методами, в той мере, в которой эта информация квалифицируется в качестве личных данных. Важно, чтобы правовая база не допускала, чтобы эти права неоправданно ограничивали право на свободу выражения мнений, включая обработку личных данных для журналистских, художественных и научных целей.
31.
Правовые рамки защиты конфиденциальности данных должны также устанавливать определенные обязанности субъектов, осуществляющих обработку личных данных. Эти требования охватывают не только организационные аспекты, такие как создание внутреннего механизма надзора, но и обязательные меры, такие как уведомления о нарушении конфиденциальности данных и оценки воздействия на неприкосновенность частной жизни. В условиях усложняющейся технологической среды такие оценки играют ключевую роль в предотвращении и смягчении ущерба для неприкосновенности частной жизни
40
. Кроме того, важными инструментами защиты
37
См. пункт 2 статьи 5 обновленной Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера; пункт 1 статьи 13 Конвенции
Малабо; и принцип 12 Мадридской резолюции.
38
См. статью 6 обновленной Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера.
39
Там же, статья 9 1) d). См. также статью 21 Общего регламента по защите данных и пункт 1 статьи 18 Конвенции Малабо.
40
Углубленный анализ методов оценки воздействия на неприкосновенность частной жизни см. в David Wright and Paul de Hert, eds., Privacy Impact Assessment (New York, Springer, 2012).