Международное право Конспект лекций. Руководство по защите прав потребителей юнктад организация объединенных наций руководство по защите прав потребителей
 Скачать 3.82 Mb.
|
|
128 Руководство по защите прав потребителей Центром инноваций в области международного управления (ЦИМУ) совместно с Международным институтом маркетинговых и социологических исследований (Ипсос) в 2016 году, 57% граждан, опрошенных во всем мире, больше обеспокоены своей конфиденциальностью в сети, чем за год до этого. Восемь из десяти опасаются, что их личные данные могут быть куплены или проданы. 83% людей по всему миру явно изменили свое поведение в Интернете, пытаясь контролировать объемы личной информации, которой обмениваются в сети 258 Проведенный в 2014 году глобальный опрос 16 000 сетевых потребителей в 20 странах 259 показал, что 74% обеспокоены тем, как компании используют их личную информацию, собранную в сети. 72% респондентов по всему миру не знали, какая информация о них известна компаниям, и 63% не знали, какие права должны соблюдать компании, обрабатывающие их личную информацию. Что касается финансовой информации, в Европе 55% опасаются стать жертвой Интернет-мошенничества 260 , а 58% отказываются от покупки из-за опасений по поводу безопасности платежей 261 . Эти опасения выглядят вполне обоснованными, принимая во внимание доклад 2015 года, в котором утверждается, что нарушения конфиденциальности данных во всем мире выросли на 40% по сравнению с предыдущим годом 262 Такая степень обеспокоенности отчасти вызвана тем что, потребители чувствуют, что теряют контроль над процессом сбора данных и тем, как компании их используют. Условия использования, которые предположительно подробно описывают практику компании, слишком длинные и сложные 263 − они направлены на соблюдение законодательства и ограничение ответственности предприятия, а не на доступность для потребителя 264 . Размышляя о том, следует ли 258 https://www.cigionline.org/internet-survey-2016. 259 Ipsos Mori, 2014, Global Trends Survey, см. http://bit.ly/1RGHLvG. 260 EC, 2011, Attitudes on Data Protection and Electronic Identity in the European Union, Eurobarometer 359, см. http://bit.ly/1TjkP5t. 261 Econsultancy, 2011, Why Do Consumers Abandon Online Purchases?, см. http:// bit.ly/1QOoSSE. 262 Symantec, 2015, Internet Security Threat Report, см. http://symc.ly/1Klmlm7. 263 AM MacDonald and L. Cranor, 2008, The cost of reading privacy policies, I/S: A Journal of Law and Policy for the Information Society, см. http://www.is-journal. org. По данным проведенного исследования, потребуется 76 рабочих дней, чтобы прочесть каждую политику защиты конфиденциальности, с которой сталкивается пользователь Интернета в течение года. 264 В ходе исследования в Соединенном Королевстве Великобритании и Северной Ирландии было выявлено, что 43% взрослого населения страны не в состоянии понять условия использования Google 2013 года. См. E Luger et al, 2013, Consent for all: Revealing the hidden complexity of terms and conditions, proceedings of the SIGCHI Conference on Human Factors in Computing Systems, см. http://bit.ly/1QhHv0C. воспользоваться онлайн-сервисом, потребители стоят перед выбором «не нравится − не бери», при этом у них почти нет возможности заявить о собственных предпочтениях. Хотя в интересах многих компаний интерпретировать текущее участие в рамках нынешней структуры как подтверждение удовлетворенности и одобрения, исследования позволяют предположить, что потребители смирились с потерей контроля 265 , что ведет к еще большей потере доверия. Глобальные исследования показывают аналогичные результаты: 72% признают неизбежность утраты конфиденциальности из-за новых технологий 266 Согласно докладу Всемирного экономического форума, наблюдается «снижение доверия между всеми заинтересованными сторонами. Люди начинают терять доверие к тому, как организации и правительства используют данные о них, организации все меньше уверены в своей способности защищать данные и использовать их в качестве рычага для создания экономической ценности» 267 . Именно с этим недоверием, которое в равной степени признают и защитники интересов потребителей, и предприятия, в настоящее время борются национальные и международные регулирующие органы. D. ПРОБЛЕМЫ РЕГУЛИРОВАНИЯ В ЭПОХУ ЦИФРОВЫХ ТЕХНОЛОГИЙ Создание эффективного механизма регулирования и политики, способствующего повышению доверия к цифровой экономике, является неотложной задачей. Сетевые платформы, такие как Facebook, Uber и AirBnB, показали, как онлайн-сервисы могут достичь огромных масштабов за короткий промежуток времени, демонстрируя, что теперь инновации опережают развитие институтов, ответственных за защиту потребителей. Кроме того, эти принципиально новые услуги имеют транснациональный охват, в связи с чем требуется принять скоординированные на международном уровне ответные меры, что еще больше увеличивает разрыв. Ассоциации−члены Международной организации потребителей выразили свою озабоченность: 80% из них считают, что законодательство, регулирование и стандарты в области средств правовой защиты недостаточно эффективны для того, чтобы идти в 265 J Turow et al, 2015, The Trade-Off Fallacy (Annenberg School for Communication, University of Pennsylvania), см. http://bit.ly/1F4S958. 266 Ipsos Mori, 2014, Global Trends Survey 2014, см. http://bit.ly/1RGHLvG. 267 Всемирный экономический форум, 2012 год, Переосмысливание персональных данных: укрепление доверия, см. http://bit.ly/1XEMyMQ. 129 XIII. Конфиденциальность и защита данных ногу с цифровой экономикой, а 76% сомневаются в силе воздействия правоприменения 268 Взять, к примеру, закон о защите данных − до недавней серии пересмотров Европейский союз, Организация Объединенных Наций или ОЭСР практически не рассматривали защиту личных данных и конфиденциальности потребителей с прошлого столетия. Не далее, как в 2016 году члены Европейского союза все еще работали над пересмотром правил, которые были приняты еще даже до регистрации google.com в качестве доменного имени. За истекший период произошел беспрецедентный сдвиг − не только в том, что касается объема данных, собираемых по каждому человеку, но и в том, каким образом компании и общественные организации их используют для определения масштабных моделей поведения потребителей и граждан или для идентификации человека, адаптации к его предпочтениям и целевого воздействия на него. В контексте непрекращающихся изменений и проблем, связанных с технологиями и глобальными потоками данных, механизмы защиты прав потребителей должны не только основываться на твердых принципах, но и быть гибкими и поддающимися адаптации. Еще предстоит выяснить, удастся ли эффективно отразить изменения в таких документах, как РПООНЗП или Общий регламент Европейского союза о защите данных, если темпы изменений в течение следующих 20 лет будут такими же, как в последние два десятилетия. Соединенные Штаты Америки уже перешли от «Принципов добросовестной практики использования информации», которые лежали в основе их политики в области защиты конфиденциальности, к «подходу, основанному на воздействии вреда», который ориентирован на вредоносные виды использования информации, в частности на «те, которые представляют угрозу для физической безопасности или риск экономического ущерба или являются причиной незаконного вторжения в нашу повседневную жизнь вместо того, чтобы навязывать дорогостоящие предупреждения и варианты выбора для всех видов использования информации» 269 . Подобные сдвиги отражают серьезные проблемы, с которыми сталкиваются органы правоприменения перед лицом все возрастающих объемов бизнеса. 268 Consumers International, 2015, State of Consumer Protection Survey 2014−2015. 269 М. Панцера, 2013 год, «Тезисы по безопасности данных», Международный форум по вопросам правосудия и прав потребителей (Ухань, Китай). Применяются следующие принципы: извещение/осведомленность, выбор/ согласие, доступ/участие, целостность/безопасность и правоприменение/ правовая защита. Во вставке 14 представлен «признанный набор базовых принципов защиты данных», составленный ЮНКТАД на основе различных соглашений в целях обеспечения общего комплекса принципов и создания возможностей для международного сотрудничества. E. МЕЖДУНАРОДНОЕ РЕГУЛИРОВАНИЕ Различия в законах о защите данных в разных государствах могут препятствовать международной торговле в режиме онлайн. Например, в последнее время появились требования локализации данных, которые могут иметь потенциально серьезные последствия для торговли. В соответствии с этими требованиями персональные данные должны храниться в пределах своей первоначальной юрисдикции либо на основании прямого правового ограничения, либо на основании других нормативных предписаний (например, местных требований о регистрации предприятия), которые дают аналогичный результат. Требования локализации данных распространены в некоторых конкретных секторах (в особенности в секторе здравоохранения и секторе финансовых услуг), но менее распространены для обобщенных данных. Существует несколько факторов, оказывающих влияние на требования локализации данных: a) опасения по поводу потенциальной подверженности местных данных повышенным рискам нарушения безопасности или надзора в иностранных юрисдикциях; b) опасения по поводу доминирующего положения зарубежных стран в сфере услуг, поставляемых через Интернет и c) государственный надзор. В качестве примера требований локализации данных чаще всего приводят Индонезию и Российскую Федерацию, где установлены ограничения на передачу данных за границу. Предприятия сталкиваются с серьезными требованиями соблюдения правовых положений в обеих странах. Другие страны рассматривали вопрос о введении аналогичных требований локализации (в частности, Бразилия и Республика Корея), но после проведения широких консультаций с заинтересованными сторонами 130 Руководство по защите прав потребителей они совместили несколько альтернативных подходов, которые обсуждались выше. При рассмотрении таких расхождений в политике следует помнить о том, что конфиденциальность и защита данных являются ключевыми правами потребителей и правами человека, о чем говорится в разделе В главы XII выше, и признаются (без использования слова «права») в РПООНЗП. Меры по их защите могут стать торговыми барьерами. Однако в статье XIV.с Генерального Соглашения по торговле услугами (ГАТС) дается четкое разрешение на введение ограничений в торговле, необходимых для «защиты от вмешательства в частную жизнь отдельных лиц при обработке и распространении сведений личного характера и защиты конфиденциальности сведений о личной жизни и счетов», при условии, что «такие меры не будут применяться способом, который создает возможности для произвольной или неоправданной дискриминации между странами, где преобладают схожие условия, или скрытые ограничения для торговли услугами». В ходе переговоров Транстихоокеанского партнерства (ТТП) были использованы некоторые формулировки из ГАТС, которые, по мнению 270 ЮНКТАД, 2016 год, см. цит. док. Принципы приводятся на основе Директивы Европейского союза о защите данных, Руководящих принципов ОЭСР о защите конфиденциальности и Конвенции 108 Совета Европы. «Порядок» и «терминология» представляют собой модифицированную версию работы по этому вопросу, проделанной Грэмом Гринлифом. См., например, «Стандарты оценки законов о конфиденциальности данных» в работе Г. Гринлифа, 2014 год, Азиатские законы о конфиденциальности данных (Оксфорд). 271 http://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf. ЮНКТАД, являются «скрытым ограничением торговли» и, следовательно, «наиболее интересным правилом» в ТТП. В целом, известно, что ТТП «в действительности не устанавливает каких-либо существенных позитивных требований в отношении защиты данных, но все же рассматривает вопрос равновесия законов о защите данных и торговых соображений. В частности, оно налагает ограничения на объемы регулирования защиты данных, которые подписавшие стороны могут внести в свои национальные законы» 272 Толкование ЮНКТАД заключается в том, что любое предприятие, которое затрагивает ограничение трансграничной передачи, может оспорить закон по причине «скрытого ограничения торговли», хотя, по мнению ЮНКТАД, это будет трудной задачей для любых ограничений, кроме самых строгих. Это положение устанавливает новый баланс между защитой конфиденциальности и торговыми ограничениями, и в будущем эта формулировка может стать общей частью международных соглашений. Во вставке 15 описывается, каким образом соглашение «Безопасная гавань» между Европейским союзом и Соединенными Штатами Америки стало попыткой избежать превращения различий в режимах защиты данных в торговый барьер. 272 ЮНКТАД, 2016 год, см. цит. док. Вставка 14. Базовые принципы защиты данных Базовые принципы 1. Открытость: организации должны открыто сообщать о своей практике использования персональных данных 2. Ограничение сбора: сбор персональных данных должен быть ограниченным, законным и добросовестным, обычно с ведома и/или согласия субъектов данных 3. Указание цели: цель сбора и раскрытия данных должна быть указана в момент сбора 4. Ограничение использования: использование или раскрытие данных должно ограничиваться конкретными или тесно связанными целями 5. Безопасность: должны быть приняты надлежащие меры безопасности для защиты персональных данных 6. Качество данных: персональные данные должны быть релевантными, точными и актуальными 7. Доступ и исправление: субъекты данных должны иметь соответствующие права на доступ и исправление своих персональных данных 8. Ответственность: операторы персональных данных должны нести ответственность за обеспечение соблюдения принципов защиты данных По данным ЮНКТАД, эти восемь принципов в той или иной форме фигурируют во всех ключевых международных и региональных соглашениях и руководящих принципах, касающихся защиты данных 270 Они указывают на дополнительный принцип − минимизацию данных, − который фигурирует только в Директиве Европейского союза о защите данных, но который, по их мнению, оказывает существенное глобальное влияние. Источник: ЮНКТАД, 2016 год, Исследование механизмов защиты данных и международных потоков данных 271 . 131 XIII. Конфиденциальность и защита данных Вставка 15. От безопасной гавани к щиту конфиденциальности Из 34 стран−участниц ОЭСР 32 в начале 2016 года ввели в действие всеобъемлющие законы о защите данных. На момент написания данного документа турецкий парламент принял законопроект о защите данных, призванный привести турецкий режим в соответствие с режимом Европейского союза. В итоге единственным исключением станут Соединенные Штаты Америки (там применяется секторальный подход, а не единый закон). Директива 95/46 Европейской комиссии о защите данных, вступившая в силу в 1998 году, запрещает передачу персональных данных в страны, не входящие в Европейский союз, которые не обеспечивают «достаточный уровень» защиты конфиденциальности, установленный Европейским союзом. Европейский союз требует, чтобы другие страны-получатели создавали независимые правительственные учреждения по защите данных и регистрировали базы данных в этих учреждениях. В 2000 году для преодоления разрыва между своими юрисдикциями Соединенные Штаты Америки и Европейский союз приняли рамочное соглашение «Безопасная гавань», в рамках которого предприятия Соединенных Штатов Америки признаются соответствующими требованиям Европейского союза. Нарушение правил может стать основанием для вмешательства ФТК Соединенных Штатов Америки, что в свою очередь может привести к исключению компаний из утвержденного списка, находящегося в ведении Министерства торговли Соединенных Штатов Америки. На основании жалобы гражданина Европейского союза на то, что после передачи в Соединенные Штаты Америки его данные не были защищены в соответствии со стандартами Европейского союза, суд Европейского союза (СЕС) в октябре 2015 года постановил, что презумпция достаточного уровня безопасности в рамках принципов «Безопасной гавани» не мешает гражданам Европейского союза оспаривать решение 520 от 2000 года на основании осуществления их личных прав и свобод. Кроме того, суд признал недействительным решение о достаточности уровня безопасности, установленного в рамках «Безопасной гавани», которое, как выяснилось, было принято без достаточных ограничений на доступ государственных органов к личным данным. Суд постановил, что «Безопасная гавань» не гарантирует обработку персональных данных только на условиях «строгой необходимости» и «соразмерности», как того требует Директива Европейского союза о защите данных. В результате участники «Безопасной гавани» больше не пользуются презумпцией достаточного уровня безопасности, которая позволяла перемещать данные из Европейского союза в Соединенные Штаты Америки. Одним из важных результатов этого дела стал пересмотр в феврале 2016 года соглашения о «Безопасной гавани», которое впредь будет именоваться «Щит конфиденциальности ЕС−США». Новый механизм предусматривал обязательство укреплять правоприменение и контроль, в том числе назначить нового омбудсмена, а также выработать новые ограничения и условия в отношении слежки. Однако в апреле 2016 года группа европейских органов по защите данных указала на ряд недостатков недавно согласованного «Щита конфиденциальности», хотя он рассматривается как улучшение по сравнению с предыдущим рамочным соглашением «Безопасная гавань». Консультативная «рабочая группа по статье 29» Европейского союза обратилась к Европейской комиссии с просьбой устранить их сомнения и обеспечить, чтобы «защита в рамках «Щита конфиденциальности» была по сути равноценна уровню защиты, предоставляемой Европейским союзом» 273 . В конечном итоге после «решения о достаточном уровне безопасности», принятого Европейской комиссией в отношении защиты в Соединенных Штатах Америки, новый «Щит конфиденциальности» вступил в силу 1 августа 2016 года. Организация «Трансатлантический диалог потребителей», членами которого являются организации потребителей из Соединенных Штатов Америки и Европейского союза, постоянно выступающие с критикой «Безопасной гавани» и нового «Щита конфиденциальности», предложила относительно простой ход: Соединенные Штаты Америки могли бы «стать полноправным участником, без лишних оговорок, Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ № 108) и Дополнительного протокола к ней, касающегося органов контроля и трансграничных потоков данных (СДСЕ № 181), которые открыты для неевропейских государств и обеспечивают самые широкие согласованные на международном уровне стандарты защиты данных» 274 Источники: Исследование механизмов защиты данных и международных потоков данных, ЮНКТАД (2016 год) 275 ; Трансатлантический диалог потребителей, Резолюция по предложению о согласовании «Щита конфиденциальности» Европейского союза от 7 апреля 2016 года; Сьюзен Ааронсон, Дисбаланс цифровой торговли и его последствия для управления Интернетом; Глобальная комиссия по управлению Интернетом, Чатем-хаус, документ 25, 2016 год; пресс-релиз ЕК, часто задаваемые вопросы, 12 июля 2016 года. 273 Article 29, Data Protection Working Party, 16/EN 238 Opinion 1/2016 on the EU- US Privacy Shield Draft Adequacy Decision, April 13 2016. http://ec.europa.eu/ justice/data-protection/index_en.htm. 274 Transatlantic Consumer Dialogue, 2016, Resolution on the EU-US Privacy Shield Proposal (7 April). 275 ЮНКТАД, 2016 год, см. цит. док. |