Доклад ООН - Право на неприкосновенность частной жизни в цифрово. Доклад Верховного комиссара Организации Объединенных Наций по правам человека и доклады

A/HRC/39/29
GE.18-12799
13
обоснованных подозрениях, и соответствующее разрешающее решение должно быть достаточно избирательным
45
. Закон должен строго распределять среди конкретных органов полномочия по ведению слежения и получению доступа к результатам слежения.
36.
С точки зрения охвата нормативно-правовая база слежения должна охватывать запросы государства к коммерческим предприятиям. Она должна охватывать доступ к информации, хранящейся за пределами государства, и обмен информацией с другими государствами. В законе необходимо обеспечить ясность структуры подотчетности и прозрачность деятельности государственных учреждений, отвечающих за ведение слежения.
37.
Полномочия тайного слежения могут быть оправданы лишь в той мере, в какой они являются абсолютно необходимыми для достижения законной цели и удовлетворяют требованию о соразмерности (см. A/HRC/23/40, пункт 83 b))
46
Применение мер тайного слежения должно ограничиваться предупреждением или расследованием наиболее серьезных преступлений и угроз. Продолжительность слежения должна ограничиваться строгим минимальным сроком, необходимым для достижения указанной цели. Должны быть введены жесткие правила использования и хранения полученных данных и четко определены обстоятельства, при которых собранные и сохраненные данные должны быть уничтожены, исходя из принципов строгой необходимости и соразмерности
47
. Обмен разведывательными данными должен производиться в соответствии с теми же принципами законности, строгой необходимости и соразмерности.
38.
В тех случаях, когда государства рассматривают вопрос о принятии целенаправленных мер по взлому данных, они должны избирать крайне осторожный подход, прибегая к таким мерам лишь в исключительных случаях для расследования или предотвращения наиболее серьезных преступлений или угроз и действуя с привлечением судебных органов (см. CCPR/C/ITA/CO/6, пункт 37)
48
. Операции по взлому данных должны иметь узкий охват, ограничивающий доступ к информации конкретными целями и типами информации. Государства должны воздерживаться от принуждения частных компаний к содействию проведению операций по взлому, подрывая тем самым безопасность их собственных продуктов и услуг. Принуждение к расшифровке данных может быть допустимо лишь на адресной, индивидуальной основе и при наличии судебного ордера и защиты прав на надлежащую правовую процедуру (см. A/HRC/29/32, пункт 60).
Санкционирование и надзор независимого органа
49 39.
Меры надзора, включая запросы к коммерческим предприятиям о предоставлении коммуникационных данных и обмен разведывательными данными, должны на всех этапах санкционироваться, пересматриваться и контролироваться независимыми органами, в том числе, когда впервые отдается приказ об их применении, в процессе их осуществления и после его окончания
(см. CCPR/C/FRA/CO/5, пункт 5)
50
. Независимый и предпочтительно судебный орган, санкционирующий конкретные меры слежения, должен убедиться в том, что имеются явные доказательства наличия достаточной угрозы и что предлагаемые меры слежения являются целенаправленными, строго необходимыми и соразмерными, и должен санкционировать (или запретить) ex ante применение мер наблюдения.
45
Там же, пункты 248 и 260.
46
См. также Сабо и Виши против Венгрии, пункт 73.
47
См. Роман Захаров против России, пункт 231.
48
См. также Access Now, «A human rights response to government hacking» (September 2016) и Privacy International, «Government hacking and surveillance: 10 necessary safeguards».
49
См. A/HRC/34/60 и European Agency for Fundamental Rights, Surveillance by Intelligence
Services: Fundamental Rights Safeguards and Remedies in the EU. Volume II: Field Perspectives
and Legal Update, (Luxembourg, Publications Office of the European Union, 2017).
50
См. также Роман Захаров против России, пункт 233.

A/HRC/39/29
14
GE.18-12799 40.
Рамки надзора могут включать сочетание административного, судебного и/или парламентского надзора
51
. Надзорные органы должны быть независимыми от компетентных органов, осуществляющих слежение, и обладать надлежащим и необходимым опытом, навыками и ресурсами. Санкционирование и надзор должны быть организационно отделены друг от друга. Независимые надзорные органы должны превентивно расследовать и контролировать деятельность тех органов, которые осуществляют слежение и имеют доступ к информации, полученной в результате слежения, и проводить периодические обзоры возможностей и технологических изменений в сфере слежения. Учреждения, осуществляющие слежение, должны по запросу предоставлять всю необходимую информацию для эффективного надзора и регулярно отчитываться перед надзорными органами и должны быть обязаны вести учет всех принятых мер слежения
52
. Необходимо также обеспечить транспарентность процессов надзора и их контроль со стороны общественности, а решения надзорных органов должны быть предметом апелляции или независимого обзора. Учет в работе надзорных органов различных точек зрения, например с помощью экспертных консультаций и консультаций с участием многих заинтересованных сторон (см., например, A/HRC/34/60, пункт 36), имеет особенно важное значение в отсутствие состязательного процесса: важно создавать «точки трения» – постоянно ставить под сомнение имеющиеся подходы и представления
53
Принцип транспарентности
41.
Государственные органы власти и надзорные органы должны также участвовать в распространении общественной информации о существующих законах, мерах политики и практике в области слежения и перехвата коммуникаций и других видов обработки личных данных, так как открытые обсуждения и пристальный анализ являются крайне важными для понимания преимуществ и недостатков методов слежения (см. A/HRC/13/37, пункт 55). Лица, ставшие объектом слежения, должны быть поставлены об этом в известность, и им необходимо разъяснить ex post facto причины нарушения их права на неприкосновенность частной жизни. Они должны также иметь возможность изменить и/или удалить неактуальную личную информацию, при условии, что такая информация больше не требуется для целей текущего или запланированного расследования (см. A/HRC/34/60, пункт 38).
V. Обязанности компаний
42.
В разделе II Руководящих принципов предпринимательской деятельности в аспекте прав человека представлено авторитетное руководство для всех предприятий, независимо от их размера, сектора, условий деятельности, форм собственности и структуры, с целью предупреждения и преодоления всех негативных последствий для прав человека, включая право на неприкосновенность частной жизни
54
. В нем излагается обязанность компаний соблюдать все признанные на международном уровне права человека, т. е. им следует избегать нарушения прав человека других и устранять неблагоприятные последствия для прав человека оказанного ими воздействия
55
. Ответственность за соблюдение существует в отношении всех видов деятельности и деловых отношений компании. В цифровом пространстве особенно важно, что ответственность за соблюдение применяется независимо от того, где находятся пострадавшие лица. Ответственность за соблюдение прав существует
51
См. резолюцию 71/199 Генеральной Ассамблеи, пункт 5 d).
52
См. Европейский суд по правам человека, Кеннеди против Соединенного Королевства, жалоба № 26839/05, постановление от 18 мая 2010 года, пункт 165, и Роман Захаров против
России, пункт 272.
53
См. материалы, представленные для настоящего доклада специалистами проекта «Права человека, большие данные и технологии», Центр по правам человека, Эссекский университет.
54
Руководящие принципы были единогласно одобрены Советом по правам человека в его резолюции 17/4.
55
Руководящий принцип 11.

A/HRC/39/29
GE.18-12799
15
независимо от того, выполняет ли государство свои собственные обязательства в области прав человека.
43.
Выполнение обязанности соблюдать права человека требует от предприятий: а) избегать неблагоприятного воздействия в рамках своей деятельности; b) избегать содействия оказанию неблагоприятного воздействия в рамках своей деятельности как напрямую, так и через какие-либо внешние структуры (правительство, бизнес или другие); и с) стремиться предотвращать или смягчать неблагоприятное воздействие на права человека, которое непосредственно связано с их деятельностью, продукцией или услугами вследствие их деловых отношений, даже если они непосредственно не способствовали оказанию такого воздействия
56
. Например, компания, которая передает данные о пользователях какому-либо государству, которое затем использует эти данные для выявления и преследования политических диссидентов, будет содействовать таким нарушениям прав человека, включая право на неприкосновенность частной жизни. Компании, которые производят и продают технологии, используемые для незаконного или произвольного вмешательства, также содействуют оказанию неблагоприятного воздействия на права человека.
44.
Если между требованием соблюдения международного права прав человека и обязательств в рамках национального законодательства имеются противоречия, компании должны стремиться соблюдать нормы международного права прав человека в максимально возможной степени и по мере возможности смягчать любое негативное воздействие, например путем как можно более узкого толкования требований государства
57 45.
Для выполнения своей обязанности соблюдать права человека предприятиям с учетом своих размеров и условий деятельности следует определить свою политику и процедуры, включая: a) широко обнародовать программное обязательство на самом высоком уровне и включить ответственность за соблюдение прав человека во все элементы оперативной политики и процедур
58
; b) проводить процессы должной осмотрительности в вопросах прав человека, что предполагает: i) проведение оценок воздействия на права человека для выявления и оценки любого фактического или потенциального неблагоприятного воздействия на права человека; ii) интеграцию этих оценок и принятие надлежащих мер для предупреждения и смягчения выявленного неблагоприятного воздействия на права человека; iii) отслеживание эффективности принятых мер; iv) представление официальной информации о том, какие меры приняты предприятием в связи с его воздействием на права человека
59
; c) предоставление возмещения ущерба или сотрудничество в деле возмещения ущерба в тех случаях, когда компания выявляет отрицательное воздействие, которое она причинила или которому она содействовала
60 46.
Согласно Руководящим принципам, все компании несут ответственность за применение должной осмотрительности в вопросах прав человека для выявления и устранения любого воздействия своей деятельности на права человека. Если приводить конкретный пример, то компании, торгующие технологиями слежения, должны проводить в рамках должной осмотрительности тщательную оценку
56
Руководящий принцип 13. См. также УВКПЧ, «Ответственность корпораций за соблюдение прав человека: пособие по толкованию» (2012 год).
57
Руководящий принцип 23.
58
Руководящий принцип 16.
59
Руководящие принципы 17–21.
60
Руководящий принцип 22 и раздел VI настоящего доклада.

A/HRC/39/29
16
GE.18-12799 воздействия на права человека перед любой потенциальной сделкой. Смягчение рисков должно включать четкие гарантии конечного использования, внесенные в договорные соглашения и предусматривающие серьезные правозащитные гарантии, предотвращающие произвольное или незаконное использование данной технологии, и периодические обзоры применения технологии государствами
61
. Компании, осуществляющие сбор и хранение данных пользователей, должны провести оценку рисков в области конфиденциальности, связанных с потенциальными запросами государств о предоставлении таких данных, включая оценку правовой и институциональной среды соответствующих государств. Они должны обеспечить надлежащие процедуры и гарантии в целях предотвращения и смягчения потенциального вреда для неприкосновенности частной жизни и других прав человека. Кроме того, должна проводится оценка воздействия на права человека в рамках утверждения условий службы и проектных и инженерных решений, имеющих последствия для безопасности и неприкосновенности частной жизни, и решений, принимаемых в целях предоставления или прекращения обслуживания в конкретном контексте (см. A/HRC/32/38, пункт 11).
47.
В рамках процесса обеспечения должной осмотрительности в вопросах прав человека руководящие принципы предусматривают подотчетность предприятий за то, каким образом они устраняют свое воздействие на права человека и предполагают их готовность распространять такую информацию за пределами предприятия, особенно в тех случаях, когда озабоченности высказываются затрагиваемыми сторонами или от их имени
62
. В цифровой среде это означает раскрытие информации о том, какие личные данные полежат сбору, как долго они хранятся, в каких целях и как они используются и кому и при каких обстоятельствах они передаются. Это относится в том числе к запросам государств о доступе к пользовательским данным. В тех случаях, когда национальные законы и правила препятствуют такой отчетности, компаниям следует в максимально возможной степени использовать любые имеющиеся рычаги и рекомендуется выступать за предоставление возможности обнародовать такую информацию.
48.
В рамках реализации своих обязательств в соответствии с Руководящими принципами компании сектора ИКТ разработали рекомендации по вопросам осуществления политики в области прав человека. Такие инициативы включают в себя
Принципы свободы выражения мнений и неприкосновенности частной жизни
Глобальной сетевой инициативы (принципы ГСИ)
63
и Руководящие принципы проекта
«Диалог телекоммуникационной индустрии»
64
. Например, в принципах ГСИ конкретно указывается, что участвующие компании «будут использовать средства защиты в отношении личной информации» и «будут уважать и добиваться защиты прав пользователей на неприкосновенность частной жизни при наличии требований со стороны государства, закона или правила, которые ставят конфиденциальность под угрозу в нарушение межународно признанных норм и стандартов».
49.
Индекс корпоративной отчетности проекта «Рейтинг цифровых прав» предназначен для целенаправленной оценки ряда сетевых, мобильных и телекоммуникационных компаний по их обнародованным обязательствам и мерам, затрагивающим свободу выражения мнений и неприкосновенность частной жизни
65
Он может стать полезным инструментом для привлечения компаний к ответственности за их воздействие на права пользователей.
61
См. материалы, представленные «Прайваси интернэшнл» Специальному докладчику по вопросу о поощрении и защите права на свободу мнений и их свободное выражение (январь
2016 года), доступно по адресу http://www.ohchr.org/Documents/Issues/Expression/PrivateSector/
PrivacyInternational.pdf.
62
Руководящий принцип 21.
63
Доступно по адресу https://globalnetworkinitiative.org/gni-principles/. См. также материалы, представленные для настоящего доклада Глобальной сетевой инициативой.
64
Доступно по адресу https://globalnetworkinitiative.org/gni-principles/.
65
См. https://rankingdigitalrights.org/index2018/.