Доклад ООН - Право на неприкосновенность частной жизни в цифрово. Доклад Верховного комиссара Организации Объединенных Наций по правам человека и доклады
Скачать 0.53 Mb.
|
A/HRC/39/29 12 GE.18-12799 права на неприкосновенность частной жизни являются требования, касающиеся разработки продуктов и услуг, такие как обеспечение встроенной конфиденциальности 41 и конфиденциальности по умолчанию 42 32. В глобализированном мире передача данных, в том числе большого объема личных данных, стала обычным явлением и необходима для реализации многих услуг. Государства должны принимать меры к тому, чтобы такая передача данных не представляла собой или не облегчала неправомерное вмешательство в право на неприкосновенность частной жизни. В то же время следует избегать жестких требований о локализации данных, которые обязывают всех субъектов, занимающихся обработкой данных, хранить все личные данные внутри страны (A/HRC/32/38, пункт 61). Вместо этого государствам следует сосредоточить внимание на способах защиты личных данных, передаваемых другому государству, по меньшей мере на уровне, требуемом международным правом прав человека. 33. Государствам следует создать независимые надзорные органы в сфере обработки личных данных. Такие органы имеют существенно важное значение для защиты прав человека от злоупотреблений, связанных с обработкой личных данных. Контрольный орган нуждается в законодательной базе с целью четкого определения его мандата, полномочий и независимого статуса. Такие надзорные органы должны получить технические, финансовые и людские ресурсы, необходимые для эффективного мониторинга деятельности по обработке данных государств и коммерческих предприятий, а также для обеспечения соблюдения юридических требований в этой области. Кроме того, эти органы должны иметь достаточные правовые полномочия для выполнения своих функций, в том числе возможность вводить санкции, соразмерные совершенным нарушениям и злоупотреблениям 43 2. Процессуальные гарантии и надзор в сфере слежения и перехвата коммуникаций Гарантии 34. Хотя все виды государственных мероприятий, связанных со слежением, должны осуществляться на основании закона (см. A/HRC/27/37, пункт 28), Специальный докладчик по вопросу о праве на неприкосновенность частной жизни обращал внимание на повсеместное отсутствие такого законодательства. Следует отметить, что во многих юрисдикциях разведывательные и правоохранительные органы исключены из положений законодательства о конфиденциальности данных. Такие исключения должны быть ограничены исходя из принципов необходимости и соразмерности, с тем чтобы обеспечить надлежащий уровень конфиденциальности данных в рамках всех ветвей власти. При разработке законодательства, непосредственно затрагивающего вопросы слежения, следует руководствоваться следующими минимальными стандартами. 35. Закон должен быть общедоступным. Тайные правила и тайные толкования законодательства не обладают необходимыми качествами «закона» (там же, пункт 29). Законы должны быть достаточно четкими. Степень свободы принятия решений, предоставленная исполнительной власти или суду, и способы реализации этой свободы должны быть обозначены достаточно четко (см. A/69/397, пункт 35) 44 . С этой целью должны быть описаны характер правонарушения и категории лиц, которые могут подвергаться слежению. Размытые и чересчур широкие обоснования, например общие ссылки на «национальную безопасность», не могут считаться достаточно четкими законодательными положениями. Слежение должно основываться на 41 Т. е. защита конфиденциальности данных должна быть элементом, встроенным на этапе разработки той или иной системы. 42 Требование о том, чтобы система применяла настройки соблюдения конфиденциальности по умолчанию. 43 См., например, https://ico.org.uk/action-weve-taken/investigation-into-data-analytics-for-political- purposes/. 44 См. также Роман Захаров против России, пункт 230. A/HRC/39/29 GE.18-12799 13 обоснованных подозрениях, и соответствующее разрешающее решение должно быть достаточно избирательным 45 . Закон должен строго распределять среди конкретных органов полномочия по ведению слежения и получению доступа к результатам слежения. 36. С точки зрения охвата нормативно-правовая база слежения должна охватывать запросы государства к коммерческим предприятиям. Она должна охватывать доступ к информации, хранящейся за пределами государства, и обмен информацией с другими государствами. В законе необходимо обеспечить ясность структуры подотчетности и прозрачность деятельности государственных учреждений, отвечающих за ведение слежения. 37. Полномочия тайного слежения могут быть оправданы лишь в той мере, в какой они являются абсолютно необходимыми для достижения законной цели и удовлетворяют требованию о соразмерности (см. A/HRC/23/40, пункт 83 b)) 46 Применение мер тайного слежения должно ограничиваться предупреждением или расследованием наиболее серьезных преступлений и угроз. Продолжительность слежения должна ограничиваться строгим минимальным сроком, необходимым для достижения указанной цели. Должны быть введены жесткие правила использования и хранения полученных данных и четко определены обстоятельства, при которых собранные и сохраненные данные должны быть уничтожены, исходя из принципов строгой необходимости и соразмерности 47 . Обмен разведывательными данными должен производиться в соответствии с теми же принципами законности, строгой необходимости и соразмерности. 38. В тех случаях, когда государства рассматривают вопрос о принятии целенаправленных мер по взлому данных, они должны избирать крайне осторожный подход, прибегая к таким мерам лишь в исключительных случаях для расследования или предотвращения наиболее серьезных преступлений или угроз и действуя с привлечением судебных органов (см. CCPR/C/ITA/CO/6, пункт 37) 48 . Операции по взлому данных должны иметь узкий охват, ограничивающий доступ к информации конкретными целями и типами информации. Государства должны воздерживаться от принуждения частных компаний к содействию проведению операций по взлому, подрывая тем самым безопасность их собственных продуктов и услуг. Принуждение к расшифровке данных может быть допустимо лишь на адресной, индивидуальной основе и при наличии судебного ордера и защиты прав на надлежащую правовую процедуру (см. A/HRC/29/32, пункт 60). Санкционирование и надзор независимого органа 49 39. Меры надзора, включая запросы к коммерческим предприятиям о предоставлении коммуникационных данных и обмен разведывательными данными, должны на всех этапах санкционироваться, пересматриваться и контролироваться независимыми органами, в том числе, когда впервые отдается приказ об их применении, в процессе их осуществления и после его окончания (см. CCPR/C/FRA/CO/5, пункт 5) 50 . Независимый и предпочтительно судебный орган, санкционирующий конкретные меры слежения, должен убедиться в том, что имеются явные доказательства наличия достаточной угрозы и что предлагаемые меры слежения являются целенаправленными, строго необходимыми и соразмерными, и должен санкционировать (или запретить) ex ante применение мер наблюдения. 45 Там же, пункты 248 и 260. 46 См. также Сабо и Виши против Венгрии, пункт 73. 47 См. Роман Захаров против России, пункт 231. 48 См. также Access Now, «A human rights response to government hacking» (September 2016) и Privacy International, «Government hacking and surveillance: 10 necessary safeguards». 49 См. A/HRC/34/60 и European Agency for Fundamental Rights, Surveillance by Intelligence Services: Fundamental Rights Safeguards and Remedies in the EU. Volume II: Field Perspectives and Legal Update, (Luxembourg, Publications Office of the European Union, 2017). 50 См. также Роман Захаров против России, пункт 233. A/HRC/39/29 14 GE.18-12799 40. Рамки надзора могут включать сочетание административного, судебного и/или парламентского надзора 51 . Надзорные органы должны быть независимыми от компетентных органов, осуществляющих слежение, и обладать надлежащим и необходимым опытом, навыками и ресурсами. Санкционирование и надзор должны быть организационно отделены друг от друга. Независимые надзорные органы должны превентивно расследовать и контролировать деятельность тех органов, которые осуществляют слежение и имеют доступ к информации, полученной в результате слежения, и проводить периодические обзоры возможностей и технологических изменений в сфере слежения. Учреждения, осуществляющие слежение, должны по запросу предоставлять всю необходимую информацию для эффективного надзора и регулярно отчитываться перед надзорными органами и должны быть обязаны вести учет всех принятых мер слежения 52 . Необходимо также обеспечить транспарентность процессов надзора и их контроль со стороны общественности, а решения надзорных органов должны быть предметом апелляции или независимого обзора. Учет в работе надзорных органов различных точек зрения, например с помощью экспертных консультаций и консультаций с участием многих заинтересованных сторон (см., например, A/HRC/34/60, пункт 36), имеет особенно важное значение в отсутствие состязательного процесса: важно создавать «точки трения» – постоянно ставить под сомнение имеющиеся подходы и представления 53 Принцип транспарентности 41. Государственные органы власти и надзорные органы должны также участвовать в распространении общественной информации о существующих законах, мерах политики и практике в области слежения и перехвата коммуникаций и других видов обработки личных данных, так как открытые обсуждения и пристальный анализ являются крайне важными для понимания преимуществ и недостатков методов слежения (см. A/HRC/13/37, пункт 55). Лица, ставшие объектом слежения, должны быть поставлены об этом в известность, и им необходимо разъяснить ex post facto причины нарушения их права на неприкосновенность частной жизни. Они должны также иметь возможность изменить и/или удалить неактуальную личную информацию, при условии, что такая информация больше не требуется для целей текущего или запланированного расследования (см. A/HRC/34/60, пункт 38). V. Обязанности компаний 42. В разделе II Руководящих принципов предпринимательской деятельности в аспекте прав человека представлено авторитетное руководство для всех предприятий, независимо от их размера, сектора, условий деятельности, форм собственности и структуры, с целью предупреждения и преодоления всех негативных последствий для прав человека, включая право на неприкосновенность частной жизни 54 . В нем излагается обязанность компаний соблюдать все признанные на международном уровне права человека, т. е. им следует избегать нарушения прав человека других и устранять неблагоприятные последствия для прав человека оказанного ими воздействия 55 . Ответственность за соблюдение существует в отношении всех видов деятельности и деловых отношений компании. В цифровом пространстве особенно важно, что ответственность за соблюдение применяется независимо от того, где находятся пострадавшие лица. Ответственность за соблюдение прав существует 51 См. резолюцию 71/199 Генеральной Ассамблеи, пункт 5 d). 52 См. Европейский суд по правам человека, Кеннеди против Соединенного Королевства, жалоба № 26839/05, постановление от 18 мая 2010 года, пункт 165, и Роман Захаров против России, пункт 272. 53 См. материалы, представленные для настоящего доклада специалистами проекта «Права человека, большие данные и технологии», Центр по правам человека, Эссекский университет. 54 Руководящие принципы были единогласно одобрены Советом по правам человека в его резолюции 17/4. 55 Руководящий принцип 11. A/HRC/39/29 GE.18-12799 15 независимо от того, выполняет ли государство свои собственные обязательства в области прав человека. 43. Выполнение обязанности соблюдать права человека требует от предприятий: а) избегать неблагоприятного воздействия в рамках своей деятельности; b) избегать содействия оказанию неблагоприятного воздействия в рамках своей деятельности как напрямую, так и через какие-либо внешние структуры (правительство, бизнес или другие); и с) стремиться предотвращать или смягчать неблагоприятное воздействие на права человека, которое непосредственно связано с их деятельностью, продукцией или услугами вследствие их деловых отношений, даже если они непосредственно не способствовали оказанию такого воздействия 56 . Например, компания, которая передает данные о пользователях какому-либо государству, которое затем использует эти данные для выявления и преследования политических диссидентов, будет содействовать таким нарушениям прав человека, включая право на неприкосновенность частной жизни. Компании, которые производят и продают технологии, используемые для незаконного или произвольного вмешательства, также содействуют оказанию неблагоприятного воздействия на права человека. 44. Если между требованием соблюдения международного права прав человека и обязательств в рамках национального законодательства имеются противоречия, компании должны стремиться соблюдать нормы международного права прав человека в максимально возможной степени и по мере возможности смягчать любое негативное воздействие, например путем как можно более узкого толкования требований государства 57 45. Для выполнения своей обязанности соблюдать права человека предприятиям с учетом своих размеров и условий деятельности следует определить свою политику и процедуры, включая: a) широко обнародовать программное обязательство на самом высоком уровне и включить ответственность за соблюдение прав человека во все элементы оперативной политики и процедур 58 ; b) проводить процессы должной осмотрительности в вопросах прав человека, что предполагает: i) проведение оценок воздействия на права человека для выявления и оценки любого фактического или потенциального неблагоприятного воздействия на права человека; ii) интеграцию этих оценок и принятие надлежащих мер для предупреждения и смягчения выявленного неблагоприятного воздействия на права человека; iii) отслеживание эффективности принятых мер; iv) представление официальной информации о том, какие меры приняты предприятием в связи с его воздействием на права человека 59 ; c) предоставление возмещения ущерба или сотрудничество в деле возмещения ущерба в тех случаях, когда компания выявляет отрицательное воздействие, которое она причинила или которому она содействовала 60 46. Согласно Руководящим принципам, все компании несут ответственность за применение должной осмотрительности в вопросах прав человека для выявления и устранения любого воздействия своей деятельности на права человека. Если приводить конкретный пример, то компании, торгующие технологиями слежения, должны проводить в рамках должной осмотрительности тщательную оценку 56 Руководящий принцип 13. См. также УВКПЧ, «Ответственность корпораций за соблюдение прав человека: пособие по толкованию» (2012 год). 57 Руководящий принцип 23. 58 Руководящий принцип 16. 59 Руководящие принципы 17–21. 60 Руководящий принцип 22 и раздел VI настоящего доклада. A/HRC/39/29 16 GE.18-12799 воздействия на права человека перед любой потенциальной сделкой. Смягчение рисков должно включать четкие гарантии конечного использования, внесенные в договорные соглашения и предусматривающие серьезные правозащитные гарантии, предотвращающие произвольное или незаконное использование данной технологии, и периодические обзоры применения технологии государствами 61 . Компании, осуществляющие сбор и хранение данных пользователей, должны провести оценку рисков в области конфиденциальности, связанных с потенциальными запросами государств о предоставлении таких данных, включая оценку правовой и институциональной среды соответствующих государств. Они должны обеспечить надлежащие процедуры и гарантии в целях предотвращения и смягчения потенциального вреда для неприкосновенности частной жизни и других прав человека. Кроме того, должна проводится оценка воздействия на права человека в рамках утверждения условий службы и проектных и инженерных решений, имеющих последствия для безопасности и неприкосновенности частной жизни, и решений, принимаемых в целях предоставления или прекращения обслуживания в конкретном контексте (см. A/HRC/32/38, пункт 11). 47. В рамках процесса обеспечения должной осмотрительности в вопросах прав человека руководящие принципы предусматривают подотчетность предприятий за то, каким образом они устраняют свое воздействие на права человека и предполагают их готовность распространять такую информацию за пределами предприятия, особенно в тех случаях, когда озабоченности высказываются затрагиваемыми сторонами или от их имени 62 . В цифровой среде это означает раскрытие информации о том, какие личные данные полежат сбору, как долго они хранятся, в каких целях и как они используются и кому и при каких обстоятельствах они передаются. Это относится в том числе к запросам государств о доступе к пользовательским данным. В тех случаях, когда национальные законы и правила препятствуют такой отчетности, компаниям следует в максимально возможной степени использовать любые имеющиеся рычаги и рекомендуется выступать за предоставление возможности обнародовать такую информацию. 48. В рамках реализации своих обязательств в соответствии с Руководящими принципами компании сектора ИКТ разработали рекомендации по вопросам осуществления политики в области прав человека. Такие инициативы включают в себя Принципы свободы выражения мнений и неприкосновенности частной жизни Глобальной сетевой инициативы (принципы ГСИ) 63 и Руководящие принципы проекта «Диалог телекоммуникационной индустрии» 64 . Например, в принципах ГСИ конкретно указывается, что участвующие компании «будут использовать средства защиты в отношении личной информации» и «будут уважать и добиваться защиты прав пользователей на неприкосновенность частной жизни при наличии требований со стороны государства, закона или правила, которые ставят конфиденциальность под угрозу в нарушение межународно признанных норм и стандартов». 49. Индекс корпоративной отчетности проекта «Рейтинг цифровых прав» предназначен для целенаправленной оценки ряда сетевых, мобильных и телекоммуникационных компаний по их обнародованным обязательствам и мерам, затрагивающим свободу выражения мнений и неприкосновенность частной жизни 65 Он может стать полезным инструментом для привлечения компаний к ответственности за их воздействие на права пользователей. 61 См. материалы, представленные «Прайваси интернэшнл» Специальному докладчику по вопросу о поощрении и защите права на свободу мнений и их свободное выражение (январь 2016 года), доступно по адресу http://www.ohchr.org/Documents/Issues/Expression/PrivateSector/ PrivacyInternational.pdf. 62 Руководящий принцип 21. 63 Доступно по адресу https://globalnetworkinitiative.org/gni-principles/. См. также материалы, представленные для настоящего доклада Глобальной сетевой инициативой. 64 Доступно по адресу https://globalnetworkinitiative.org/gni-principles/. 65 См. https://rankingdigitalrights.org/index2018/. |