С развитием информационных и коммуникационных технологий обостряются проблемы обеспечения информационной безопасности прежде всего в цифровой среде. Речь идет о таких проблемах, как преступления в сфере компьютерной информации, пропаганда терроризма и экстремизма, разжигание ненависти и распространение детской порнографии. Нарушение информационной безопасности может представлять собой опасность в информационной сфере и создавать не только опасность для отдельных индивидов, но и экзистенциальные риски для государства и общества . [1]
В отечественной правовой литературе обеспечение информационной безопасности традиционно рассматривается как один из видов деятельности и как средство деятельности, направленной на «создание условий, при которых нанесение вреда зависящим от информации свойствам или составляющим объекта безопасности невозможно» [2] . Такую деятельность осуществляют индивиды, институты гражданского общества и государственные органы, обеспечивая состояние защищенности сбалансированных интересов личности, общества и государства в информационной сфере. В правовом государстве она направлена на создание условий, при которых обеспечивается состояние защищенности прав человека в информационной сфере, как основная цель и ценность информационной безопасности. В результате ее обеспечение становится одной из гарантий прав человека в информационной сфере. Под гарантиями прав человека традиционно понимается система условий, средств и способов, с помощью которых обеспечиваются равные возможности для осуществления, обеспечения охраны и защиты прав человека[3].
Обеспечение информационной безопасности как гарантия прав человека неразрывно связана с другими видами гарантий и в них находит свое выражение. Цифровая среда не умаляет значимости общечеловеческих ценностей и социальных норм, которые выражаются в правах человека. В этой связи в резолюции 2014 г. Совета по правам человека при ООН отмечается, что «права, которые человек имеет в офлайновой среде, должны защищаться и в онлайновой
среде...» . Весь комплекс гарантий, которыми обеспечивается осуществление и
защита прав человека в офлайновой среде, равным образом распространяется и на права человека в киберпространстве и цифровой среде в целом. В то же время условия осуществления и защиты прав человека в цифровой и офлайновой средах различаются. В цифровой среде права человека сталкиваются с вызовами информационной безопасности, которые способствуют развитию гарантий прав человека. Так, для цифровой среды характерны технические гарантии прав человека, которые представлены в форме технических средств и технических норм . С одной стороны, такие технические средства используются индивидами для самозащиты, например программное обеспечение, предназначенное для конфиденциальных или анонимных коммуникаций. С другой - применяются в деятельности информационных посредников и органов государственной власти для обеспечения осуществления и защиты прав человека в информационной сфере. К ним также относятся информационно-телекоммуникационные сети, технические средства, которые обеспечивают право на доступ к сети Интернет и позволяют осуществлять права человека с ее использованием. Технические
235
нормы, включая технико-юридические нормы как их разновидность , [4] [5] [6] предваряют разработку таких технических средств и определяют требования к ним, способам и методам их использования[7] [8] [9] [10].
При обеспечении информационной безопасности в цифровой среде возрастает роль таких технических гарантий прав человека, которые выражены в технических способах их защиты. В частности, в их число входят технические средства, которые функционируют без передачи конфиденциальной информации другим техническим средствам. Например, к ним относятся Система глобального позиционировании (GPS), позволяющая без использования конфиденциальной информации передавать информацию о географическом расположении, протокол DHCP , который без передачи информации о личности обеспечивает подключение к сети Интернет. Таким техническим гарантиям прав человека соответствуют разработанные в зарубежной юридической литературе концепции «неприкосновенность частной жизни за счет проектных решений» (privacy by
ЛЛО ЛЩ 940
) и «безопасность за счет проектных решений» (security by ) .
Неприкосновенность частной жизни за счет проектных решений предполагает встроенную в технические средства защиту информации о личности, при которой исключается ее передача другим лицам. В свою очередь безопасность за счет проектных решений не только не ограничена защитой права на неприкосновенность частной жизни, но и указывает на необходимость защиты прав всех участников информационного взаимодействия. В этой связи она допускает передачу конфиденциальной информации, если это необходимо для защиты прав других лиц. Как следствие, подходы к реализации данных концепций отличаются. В зарубежной юридической литературе они определяются через совокупность принципов, при соблюдении которых использование технических средств обеспечивает защиту прав человека в цифровой среде.
Принципы неприкосновенности частной жизни за счет проектных решений сформулированы канадским ученым-юристом А. Кавоукян . В их число входят проактивность (защита от нарушения (предотвращение нарушения) прав вместо защиты нарушенных прав), защита по умолчанию (защита прав обеспечивается в качестве базовых настроек технических средств, которые не требуют от человека их изменения), защита как структурный компонент (защита прав лежит в основе структуры технических средств и не требует их модификации), бескомпромиссность (защита прав не требует компромиссов между информационной свободой и информационной безопасность или же между информационной безопасностью личности и национальной безопасностью - их правовая охрана обеспечивается в равной степени), защита на протяжении жизненного цикла (защита прав обеспечивается от момента начала работы технических средств до момента их утилизации), доступность и открытость [11] [12] (информация о всех компонентах технического средства, обеспечивающих защиту прав, и принципах их работы является доступной и открытой), ориентированность на человека (при разработке технических средств права личности, которая будет их использовать, обеспечиваются в первую очередь).
Принципы безопасности за счет проектных решений, сформулированные голландским ученым С. Енгбергом, основаны на обеспечении безопасности для всех участников информационного взаимодействия (субъектов правоотношений), отделении информации, которой обладает человек, от его реальной личности,
242
использовании косвенных (атрибутивных) учетных данных (идентификаторов) и изоляции транзакций , переход от идентификации к проверке (валидации) личности. Их отличие от принципов неприкосновенности частной жизни за счет проектных решений заключается в том, что они не связаны с
бескомпромиссностью. Наоборот, они основаны на компромиссе, который позволяет обеспечить баланс интересов всех субъектов правоотношений. Данная концепция не ориентирована на защиту исключительно или преимущественно прав личности, использующей технические средства.
Возложение на разработчиков технических средств обязанностей определяет отличие вышеуказанных концепций от традиционного подхода к обеспечению осуществления и защиты прав человека, при котором обязанности возлагаются на информационных посредников и иных обладателей конфиденциальной информации[13] [14] [15]. Такие производители технических средств, как «Microsoft», «Hewlett-Packard», «Sun Microsystems» и «IBM» добровольно внедрили в своей деятельности принципы неприкосновенности частной жизни за счет проектных решений . Однако добровольный характер концепции неприкосновенности частной жизни за счет проектных решений подвергается справедливой критике в зарубежной правовой литературе[16] [17] в силу того, что лежащие в ее основе принципы слабо структурированы и не позволяют однозначно определить, соблюдаются ли разработчиками соответствующие обязанности. Так, несмотря на то что «Google» и «Facebook» заявили о том, что неприкосновенность частной жизни будет обеспечиваться изначально при разработке программного обеспечения, с их стороны неоднократно имели место факты разработки служб в сети Интернет, нарушающих право на неприкосновенность частной жизни, что было подтверждено Федеральной торговой комиссией США, регуляторами в Канаде, государствах - членах Европейского союза[18].
Технические гарантии прав человека становятся необходимой составляющей обеспечения информационной безопасности в цифровой среде. Одновременно возрастает значение правовых гарантий прав человека. Так, существует тенденция признания принципов неприкосновенность частной жизни на основе проектных решений в национальном и наднациональном праве в качестве правовых. Федеральная торговая комиссия США указывает на обеспечение неприкосновенности частной жизни за счет проектных решений в качестве одной из рекомендуемых мер для защиты прав человека в онлайновой среде . В свою очередь защите данных за счет проектных решений и по умолчанию (by default) посвящен отдельный раздел в Общих регуляциях по защите данных Европейского союза[19] [20]. Для их подтверждения предполагается использовать механизм добровольной сертификации.
Как следует из предложений Европейской рабочей группы по вопросам персональных данных, хотя в условиях развития информационных и коммуникационных технологий необходимость совершенствования правовых принципов защиты неприкосновенности частной жизни действительно имеет место, существующие принципы продолжают сохранять свою актуальность[21]. Это означает, что данные принципы равным образом применяются и в новых технологических условиях, но требуют конкретизации, например в принципах «неприкосновенности частной жизни за счет проектных решений». В свою очередь Федеральная торговая комиссия США указывает на то, что наряду с созданием технических средств, соответствующих концепции «неприкосновенности частной жизни за счет проектных решений», не менее важным является соблюдение принципов защиты права на неприкосновенность частной жизни, выработанных ОЭСР . Без признания и соблюдения базовых правовых принципов обеспечение информационной безопасности на основе принципов «неприкосновенности частной жизни за счет проектных решений» не сможет выступать гарантией соответствующего права человека.
Правовые гарантии направлены на определение порядка применения соответствующих технических средств их обладателями, обеспечение контроля его соблюдения, а также ответственности за его нарушение. В правовом государстве создание и введение в действие технических норм, на основании которых осуществляется разработка соответствующих технических средств, не заменяет, но дополняет правовое регулирование. Технические средства могут выступать гарантией прав человека только при наличии правовых гарантий, предоставляющих механизмы правовой защиты от их произвольного использования. Такие правовые гарантии обеспечиваются государством в рамках осуществления им функции по обеспечению безопасности общества в целом. Следует согласиться с позицией В.С. Нерсесянца, который функцию государства по «обеспечению свободы, безопасности и собственности» [22] [23] определяет как правовую функцию. Именно правовое начало составляет существо обеспечения информационной безопасности государством и выражено в форме его законодательной, исполнительной и судебной деятельности.
В то же время обеспечение информационной безопасности выступает одной из целей, для достижения которой устанавливаются ограничения прав человека. В этой связи в зарубежной правовой доктрине отмечается, что «принцип правового государства не сводится к защите человека от государственных притязаний, а преследует двойную цель: в равной степени ограничивать и обеспечивать деятельность государства» . В свою очередь в решении Конституционного Суда Российской Федерации указывается, что публичные интересы «оправдывают правовые ограничения прав и свобод, только если такие ограничения адекватны социально необходимому результату и, не будучи чрезмерными, необходимы и строго обусловлены этими публичными интересами; цели же одной только рациональной организации деятельности органов власти не могут служить основанием для ограничения прав и свобод»[24] [25] [26]. Такие ограничения определяют меру и границу свободы личности в постиндустриальном обществе - прежде всего информационной свободы . Они также затрагиваются информационную безопасность, поскольку свобода и безопасность в совокупности находят выражение в правах человека.
Ограничения прав человека в целях обеспечения информационной безопасности призваны установить баланс между интересами личности и публичными интересами в информационной сфере. С одной стороны, публичные интересы заключаются в соблюдении запретов и ограничений на предоставление и распространение определенных видов информации, а с другой - в получении доступа к информации о частной жизни индивида, включая информацию о переписке, телефонных переговорах, почтовых, телеграфных и иных сообщениях, передаваемых по сетям электрической и почтовой связи. В первом случае ограничения устанавливаются в отношении свободы выражения мнения, свободы информации, права на доступ к информации и права на доступ к сети Интернет. Так, голландский ученый-юрист П. Хустинкс справедливо указывает на то, что ограничение права на доступ к сети Интернет касается миллионов законопослушных пользователей сети Интернет, в том числе детей и подростков, последствия лишения доступа к сети Интернет, отключения человека от работы, культуры, электронного правительства и т.д. могут быть значительными[27]. Это утверждение верно и в отношении права на доступ к информации в сети Интернет. Во втором случае ограничения устанавливаются в отношение права на неприкосновенность частной жизни, включая такие его компоненты, как право на тайну корреспонденции, права субъектов персональных данных. Ограничение данных прав в свою очередь приводит к ограничению информационной безопасности их обладателей.
В правовом государстве создаются гарантии прав человека от избыточных и чрезмерных их ограничений, установленных в целях обеспечения
информационной безопасности. В романо-германской правовой семье основной такой правовой гарантией служит правовой принцип соразмерности
(пропорциональности[28]). Данный принцип развивается Европейским судом по правам человека, который способствует выработке единообразного подхода к его применению в практике национальных судов и таких международных судов, как например, Суд справедливости Европейского союза. Им сформулированы критерии, определяющие пределы ограничений прав человека. В соответствии с ними ограничения должны (1) быть установлены для достижения легитимной цели, (2) действительно способствовать ее достижению, (3) быть минимально необходимыми, (4) быть соразмерными (пропорциональными) в строгом смысле
stricto sencu) . В зарубежной правовой науке справедливо указывается на то,
что в основе принципа соразмерности всегда лежит поиск баланса интересов, в противном случае он будет приводить к принятию формальных и нереалистичных решений . В правовых системах общего права баланс при ограничении прав человека устанавливается путем взвешивания интересов с учетом принципов разумности (reasonableness), надлежащей правовой процедуры (due process) и других принципов, вырабатываемых высшими национальными судами [29] [30] [31] . Влияние принципа соразмерности в таких правовых системах проявляется в меньшей степени. Так, в юридической доктрине США преобладает точка зрения, согласно которой для признания принципа соразмерности в том же объеме, что и в европейской судебной практике, потребуется пересмотр как перечня конституционных прав, так и обоснований правомерности их ограничений[32]. Тем не менее в зарубежной юридической литературе также отмечается дальнейшее развитие подходов к обеспечению баланса интересов при ограничении прав человека в различных правовых семьях, при котором происходит их сближение[33].
Роль принципа соразмерности заключается в сопоставлении мер, которые предпринимаются органами государственной власти для обеспечения информационной безопасности, с правами человека. Например, Федеральный Конституционный суд Германии в деле о секретных магнитофонных записях[34]
отметил следующее: «Не вся сфера личной жизни подпадает под абсолютную защиту основных прав... Индивид как часть общества должен принимать такое государственное вмешательство, которое основано на преобладающих интересах общества при условии строгого соблюдения принципа соразмерности, пока оно не влияет на неприкосновенность частной жизни»264. Данный принцип положен в основу решений Конституционного Суда Российской Федерации, в которых дана оценка правомерности установления ограничений прав человека в целях защиты сведений, составляющих государственную тайну, как одного из направлений обеспечения информационной безопасности государства265. Так, по мнению суда, «любая информация должна быть доступна гражданину, если собранные документы и материалы затрагивают его права и свободы, а федеральный законодатель не предусматривает в качестве исключения из общего дозволения специальный правовой статус такой информации, не подлежащей
распространению в соответствии с конституционными принципами,
обосновывающими необходимость ограничений прав и свобод в сфере получения информации и их соразмерность целям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства»266. В этой связи правовой принцип соразмерности является универсальным в том смысле, что он применим для проверки легитимности любых ограничений прав человека, установленных в целях обеспечения информационной безопасности.
Обеспечение информационной безопасности выступает легитимной целью установления ограничений прав человека, поскольку она может быть соотнесена с [35] [36] [37]
нормами международного права. В соответствии с ними установление ограничений прав человека допускается для достижения таких целей, как, например, обеспечение национальной и государственной безопасности, охрана общественного порядка, здоровья, нравственности населения, прав и свобод отдельных индивидов в информационной сфере[38] [39]. Легитимность данной цели определяется не столько буквальным ее соответствием целям, предусмотренным международными договорами, сколько их толкованием в конкретной национальной юрисдикции . В России обеспечение информационной безопасности как цель ограничения прав человека рассматривается в контексте положений Конституции Российской Федерации, прежде всего части 3 статьи 55, согласно которой такие ограничения допускаются в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Минимальная необходимость ограничений прав человека, установленных с целью обеспечения информационной безопасности, основана на достижении данной цели путем наименьшего из доступных ограничений прав [40] . Несоответствующим данному критерию Европейским судом по правам человека было, в частности, признано ограничение права на неприкосновенность частной жизни в форме бессрочного хранения органами исполнительной власти в электронной базе данных отпечатков пальцев и образцов ДНК лиц, обвиненных в совершении преступления, но в последующем оправданных, либо лиц, с которых
такие обвинения были сняты . Для соблюдения данного критерия ограничение прав человека по срокам его установления и объему налагаемых обременений не должно выходить за пределы, при которых оно становится избыточным и чрезмерным, то есть неоптимальным по сравнению с иными доступными способами достижения той же цели. Минимальная необходимость ограничения может быть обеспечена если существуют альтернативные способы релевантного достижения одной и той же цели, при этом выбирается способ, налагающий наименьшие ограничения. В этой связи ограничения прав человека судом в рамках состязательного процесса в большей степени соответствуют данному критерию, нежели их ограничение в рамках административного процесса.
Так, Конституционный совет Франции признал неконституционным основную часть Закона HADOPI , который позволял уполномоченному органу исполнительной власти без решения суда ограничивать право на доступ к сети Интернет пользователей - физических лиц, уличенных в нарушении авторских прав в сети Интернет. По мнению совета, подобные положения приводят к нарушению презумпции невиновности, принципа разделения властей и свободы выражения . С учетом того, что в своем решении Конституционный совет Франции отнес право на доступ к сети Интернет к числу основных прав, его ограничение в административном порядке в отсутствии состязательного судебного процесса свидетельствовало о его нелегитимном характере. В то же время совет признал соответствующей Конституции Французской Республики измененную версию данного закона, предусматривающую судебную процедуру принятия решения об ограничении права на доступ к сети Интернет . [41] [42] [43] [44]
Судебная проверка соразмерности ограничений прав человека также позволяет выявить так называемые нерелевантные (или нерациональные) ограничения при оценке их соответствия той цели, для достижения которой они были установлены. Так, вывод о нерелевантности ограничения прав человека, заключающихся в сплошной фильтрации и блокировании обмена сообщениями в файлообменных сетях, содержится в различных решениях Суда справедливости Европейского союза[45] [46]. Такого рода ограничения, установленные в целях защиты авторских прав, признавались судом нарушающими свободу выражения мнения и права на неприкосновенность частной жизни, поскольку затрагивали обмен сообщениями, не связанными с использованием объектов авторских прав. Это означает, что для обеспечения релевантности недостаточно частичного соответствия ограничения прав человека цели его установления. Ограничение является нерелевантным, если между каждым случаем его реализации и целью его установления отсутствует рациональная связь, при которой ограничение с неизбежностью ведет к результату, соответствующему достижению заданной цели. На это, в частности, указывается в решении Европейского суда по правам человека по делу «Ахмет Йилдырым против Турции», в котором было признано, что ограничение свободы выражения мнения в форме блокирования доступа к сайту в сети Интернет на основании превентивных мер в рамках уголовного дела, которое не имеет никакого отношения к такому сайту, вступает в противоречие с соответствующим положением Конвенции 1950 г. Нерелевантность ограничения в данном случае обусловлена техническими особенностями способа его реализации. Блокирование сайта в сети Интернет информационным посредником по решению суда или органа исполнительной власти на основе
сведений об IP-адресе [47] [48] [49] [50] такого сайта может приводить к одновременному
277
блокированию и других сайтов, которые привязаны к этому же IP-адресу . Таким образом, соответствие ограничения прав человека при обеспечении информационной безопасности в сети Интернет цели его установления во многом зависит от особенностей его реализации, из-за которых даже при условии легитимности такой цели ограничение может стать нелегитимным.
При обеспечении информационной безопасности правовое регулирование дополняется саморегулированием. Оно создает условия для разрешения возникающих социальных конфликтов с минимальным участием органов государственной власти, вмешательство которых в основном ограничивается вопросами привлечения к ответственности за совершенные правонарушения. В этой связи саморегулирование при обеспечении информационной безопасности осуществляется в соответствии с принципом субсидиарности , который заключается в том, что регулирующее воздействие саморегулирования носит дополнительный характер по отношению к правовому регулированию. В условиях цифровой среды значение саморегулирования при обеспечении информационной безопасности повышается. Примером являются различные горячие линии, создаваемые провайдерами доступа к сети Интернет, в том числе в рамках соглашений между органами государственной власти и такими провайдерами, кодексы поведения отраслевых ассоциаций и иные формы партнерства между государством и негосударственными организациями, на основе которых информационные посредники осуществляют блокирование и фильтрацию информации , тем самым ограничивая свободу выражения мнения и право на доступ к информации.
Так, в отдельных государствах в случае выявления нарушений физическими лицами авторских прав в файлообменных сетях применяются ограничения их права на доступ к сети Интернет, основанные на договорных обязательствах между индивидами и провайдерами доступа к сети Интернет, а также такими провайдерами и правообладателями (их ассоциациями). На развитие данной практики направлено законодательство таких государств, как, например, США и Тайвань. В данных государствах провайдеры доступа к сети Интернет освобождаются от ответственности за нарушение авторских прав, в случае если ими принимаются меры по отключению от сети Интернет физических лиц, которые совершили многократные правонарушения. В США это способствовало заключению между ведущими провайдерами доступа к сети Интернет и медиахолдингами соглашения , в соответствии с которым была установлена шестиэтапная процедура отключения от сети Интернет, а на Тайване, напротив, подобные меры к развитию саморегулирования так и не привели . Это подтверждает, что саморегулирование не является универсальным механизмом для обеспечения информационной безопасности, его реализация зависит от правовой культуры и условий, в которых развивается институт
саморегулирования в тех или иных странах.
В случае если права человека ограничиваются в рамках саморегулирования возникает вопрос о легитимности таких ограничений в части их соразмерности в строгом смысле. При проверке ограничения прав человека на соответствие данному критерию определяется наличие баланса между общественной пользой, достигаемой за счет установления тех или иных ограничений прав человека, и вредом, который причиняется обладателям соответствующих прав. Тогда как в [51] [52] [53] других критериях соразмерности анализируется цель ограничения и способы ее достижения, в данном случае предметом анализа является отношение между правами человека и соответствующей целью. Оно выводится из соотношения ценностей и принципов, которые лежат в основе прав человека и целей их ограничения. Правила балансировки таких ценностей и принципов имеют прежде всего нормативный характер, то есть следуют из норм права (например, из требований о том, что ограничения признаются допустимыми, если они предусмотрены законом). Лишь в случае отсутствия таких норм исследуется социальное значение соответствующих ценностей и принципов.
Например, в 2008 г. в сети Интернет был опубликован перечень сайтов, заблокированных провайдерами доступа к сети Интернет по предписанию полиции Дании, которая совместно с некоммерческой организацией «Спаси ребенка» выявляла сайты с детской порнографией . Из содержания данного перечня следовало, что ряд сайтов не имел никакого отношения к детской порнографии, что свидетельствовало об избыточных ограничениях свободы выражения мнения и права на доступ к информации. В этой связи следует согласиться с позицией профессора факультета права университета Бильги (Стамбул) Я. Акдениза, согласно которой «система блокирования доступа, основанная исключительно на саморегулировании или «соглашениях добровольного блокирования», представляет риск нелегитимного вмешательства
284
в осуществление фундаментальных прав» . Ограничение прав человека информационным посредником будет легитимным только при наличии закона, создающего для этого правовые основания и обеспечивающего правовые гарантии от избыточных и чрезмерных ограничений. [54] [55]
Правовые ограничения прав человека в цифровой среде, то есть формально определенные и закрепленные в нормативных правовых актах, дополняются фактическими (материальными) ограничениями. Они выражаются в обязанностях по осуществлению действий технического характера, которые возлагаются на разработчиков технических средств и информационных посредников. Такие обязанности устанавливаются либо техническими нормами, либо правоприменительными актами. Технический характер таких ограничений прав человека обусловлен тем, что сфера осуществления прав человека с использованием сети Интернет изначально ограничена функциональными
285
возможностями технических средств , с помощью которых человек получает доступ к киберпространству или пользуется в нем теми или иными социальными благами. Изменение или использование данных функциональных возможностей приводит к расширению сферы осуществления или ограничению прав человека.
Возлагая на разработчиков технических средств и информационных посредников такие обязанности, органы государственной власти фактически (материально) ограничивают права индивидов, которые используют соответствующие технические средства или получают услуги информационных посредников. На основе таких обязанностей осуществляется принудительное исполнение решений органов государственной власти даже в случаях, когда индивид, права которого ограничиваются, находится за пределами национальной юрисдикции. Для описания данной разновидности ограничений прав человека американский ученый-юрист Дж. Бойл [56] [57] использует термин «материальное принуждение». Материальное принуждение индивида к определенному поведению достигается за счет создания условий, при которых иное его поведение становится невозможным.
В правовом государстве допустимо только такое материальное принуждение, которое одновременно является правовым, то есть имеющим правовые основания и процедурные формы осуществления, регламентированные правом. Это, в частности, означает, что связанные с материальным принуждением ограничения прав человека должны быть сформулированы в национальном законодательстве таким образом, чтобы в ясной и недвусмысленной форме определять, какое право человека и в каком объеме ограничено. При соблюдении данных условий материальное принуждение не создает избыточных ограничений прав человека по отношению к тем, которые предусмотрены законом, в противном случае оно представляет собой акт государственного насилия. К подобным актам, в частности, относится, так называемый, шатдаун или временный разрыв соединения с сетью Интернет на определенной территории или для определенной социальной группы, осуществляемый операторами связи по требованию органов исполнительной власти. В результате шатдауна осуществление прав человека с использованием сети Интернет в целом становится временно невозможным, то есть происходит умаление прав человека, искажение самого их существа, что позволяет сделать вывод об избыточном характере таких ограничений.
Материальное принуждение становится одним из способов обеспечения доступа государственных органов к информации о личности и, тем самым, выступает в качестве ограничения права на неприкосновенность частной жизни в цифровой среде. Так, компания «Google» указывает на то, что количество поступивших к ней запросов данных об индивидах, которым она оказывает [58] услуги, от органов исполнительной власти и судебных инстанций разных стран увеличилось с 26 тыс. в 2009 г. до 76 тыс. в 2015 г. Не все информационные посредники предоставляют государственным органам соответствующую информацию по запросам, особенно информационное взаимодействие затруднено с информационными посредниками, которые расположены в других национальных юрисдикциях. Получая доступ к такой информации, государственные органы не всегда имеют возможность установить ее содержание из-за применяемых индивидами средств шифрования. Следствием этого является выработка мер материального принуждения, в результате применения которых обеспечивается доступ государственных органов к соответствующей информации независимо от воли информационных посредников или же индивида и подведение под такое принуждение правовых оснований.
Так, во Франции с принятием закона Loppsi-2 были созданы правовые основания для ограничения права на неприкосновенность частной жизни путем предоставления полиции полномочий по согласованию с прокуратурой при расследовании тяжких преступлений внедрять в компьютеры физических лиц троянские программы, так называемые, кейлоггеры. Для реализации данного ограничения на практике должны существовать определенные условия, включая непосредственно доступ к компьютерам. В этой связи также получает развитие[59] [60] [61] форма материального принуждения, связанная с возложением обязанностей на разработчиков технических средств по обеспечению на уровне операционных систем и программных продуктов доступа органов исполнительной власти к информации, которая хранится на технических средствах, принадлежащих физическим лицам, или обрабатывается с их помощью.
Правомерность возложения подобных обязанностей на разработчиков технических средств неоднократно становилась предметом судебной проверки в спорах между ФБР и компанией «Apple». Так, в 2015 г. в Окружном суде Восточного округа Нью-Йорка рассматривалась правомерность запроса ФБР о разблокировке «Apple» телефона iPhone c операционной системой iOS7 в целях поиска сообщников обвиняемого, который признал свою вину . Свое требование ФБР основывало на Законе США обо всех исковых заявлениях и постановлениях судов 1789 г. , устанавливающем, что суды США имеют право выпускать любые приказы, способствующие установлению правосудия, если эти приказы согласуются с законом и правоприменительной практикой. Разумность подобных требований в данном случае проверялась исходя из трех факторов: связь компании «Apple» с преступным поведением и государственным расследованием; обременение, возлагаемое на компанию «Apple» в результате издания судебного приказа; и необходимости возложения такого обременения на компанию «Apple». Суд, изучив обстоятельства дела и доводы сторон, пришел к выводу, что ни один из этих факторов не оправдывал наложение на компанию «Apple» обязательства оказывать помощь в расследовании против его воли. В данном случае компания «Apple» никак не препятствовала проведению расследования и, например, самостоятельному обходу блокировки телефона ФБР.
Еще один спор между ФБР и компанией «Apple» должен был стать предметом рассмотрения в Окружном суде США по Центральному судебному округу штата Калифорния. В данном случае ФБР потребовало в мировом суде от «Apple» создать специальную версию iOS, установка которой на заблокированный iPhone позволила бы получить доступ к зашифрованной на нем информации . Свое требование ФБР также основывало на Законе США обо всех [62] [63] [64] исковых заявлениях и постановлениях судов. Мировой суд удовлетворил требование ФБР и выпустил судебный приказ, который компания «Apple» обжаловала в окружном суде, полагая, что ФБР использовал расширительное толкование данного закона и для обоснования предъявляемых им требований необходимо принятие отдельного закона в Конгрессе [65] . За один день до судебного заседания ФБР отозвало свое требование, заявив, что смогло разблокировать iPhone с помощью третьих лиц. Похожий случай произошел в Бруклине, когда мировой суд установил, что Закон США обо всех исковых заявлениях и постановлениях судов не может быть использован для возложения на «Apple» обязанности по разблокировке iPhone. ФБР обжаловало это решение в окружном суде, но в последующем прекратило участие в данном деле, поскольку нашло правильный пароль к iPhone.
Подобные обязанности, возлагаемые на разработчиков технических средств органами исполнительной власти или по их требованию судами, фактически создают условия для ограничения права на неприкосновенность частной жизни неопределенного круга лиц, то есть их последствия простираются далеко за рамки расследования конкретного уголовного дела. Несмотря на это, рассмотрение возникающих при этом юридических споров в США происходит не столько с точки зрения исключения избыточных и чрезмерных ограничений права на неприкосновенность частной жизни, сколько с точки зрения правомерности возложения обязанностей на юридических лиц - разработчиков технических средств. В результате происходит подмена прав человека, которые в действительности подвергаются ограничениям, обязанностями юридических лиц.
Европейский суд по правам человека и Суд справедливости Европейского союза подходят к вопросам легитимности материального принуждения на основе правового принципа соразмерности, то есть анализируют легитимность не только и не столько возложения обязанностей на информационных посредников и разработчиков технических средств, сколько легитимность связанных с ними ограничений прав человека в онлайновой среде. Так, по мнению Европейского суда по правам человека, высказанному в деле «Класс и другие против Германии», «право ведения тайного наблюдения за гражданами, которое характерно для полицейского государства, терпимо в соответствии с Конвенцией только тогда, когда оно строго необходимо для сохранения демократических институтов» [66]. Государства «не могут во имя борьбы против шпионажа и терроризма предпринимать любые действия, которые они считают подходящими»[67].
Различие в подходах, принятых в Европейском союзе и США, повлияло на принятие Судом справедливости Европейского союза решения о признании недействительным соглашения между США и Европейским союзом о «безопасной гавани» в области обмена персональными данными из-за опасений того, что американская разведка может получить доступ к соответствующим данным[68]. Действующая в Европейском союзе Директива о защите данных 95/46/ЕС, также как вступающие в силу в 2018 г. Общие регуляции по защите данных, запрещают передачу персональных граждан государств - членов Европейского союза, независимо от того, являются они или нет чувствительными, в государства, не входящие в Европейское экономическое сообщество. Исключением является «передача персональных данных в третьи страны, которые обеспечивают адекватный уровень защиты». До недавнего времени признавалось, что операторами персональных данных из США такая защита обеспечивается, если они соответствуют определенным принципам и требованиям, которые
получили название «схема безопасной гавани» . Соответствующее соглашение между США и Европейским союзом регулировало стандарты
трансатлантического обмена данными таких компаний, как «Google», «Microsoft» и «Facebook». Однако в связи с раскрытием информации о том, что государственные органы США имели общий доступ к персональным данным граждан государств-членов Европейского союза, 6 октября 2015 г. Суд справедливости Европейского союза признал недействительным решение Европейской комиссии о безопасной гавани. По мнению суда, «закон, позволяющий государственным органам иметь общий доступ к содержимому электронных сообщений должен рассматриваться как нарушение
фундаментального права на уважение частной и семейной жизни»[69] [70]. В настоящее время вместо схемы безопасной гавани выработано совместное соглашение Европейского союза и США о «Щите неприкосновенности частной жизни»[71], которым повышаются требования к операторам персональных данных. Новое соглашение включает в себя обязательства США, заключающиеся в том, что государственные органы США будут иметь доступ к персональным данным, переданным в соответствии с новой схемой, только если законодательством США будут предусмотрены четкие условия, ограничения и контроль, предотвращающие общий доступ к любым электронным коммуникациям. В этой связи новое соглашение не запрещает передачу персональных данных граждан государств - членов Европейского союза операторам из США, но признает ее допустимой при соблюдении определенных условий.
Подход к вопросам легитимности материального принуждения в Российской Федерации занимает промежуточное положение между
приведенными выше подходами США и Европейского союза. Этот подход, в частности, выражается в обязанности оператора персональных данных, осуществляющего сбор персональных данных, в том числе посредством сети Интернет, обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации . Законодатель определяет требования к местонахождению баз данных, в которых содержатся персональные данные, независимо от воли субъектов персональных данных. Нахождение соответствующих баз данных на территории Российской Федерации, с одной стороны, упрощает контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных и одновременно доступ к содержащимся в базах данных информации для органов исполнительной власти, но с другой - приводит к ограничению прав субъектов персональных данных, которые при определении способа их обработки уже лишены возможности самостоятельно определять территорию его реализации. Данные требования развиваются в так называемом пакете Яровой - Озерова , которым устанавливаются новые обязанности информационных посредников - организаторов распространения информации в сети Интернет по хранению электронных сообщений пользователей сети Интернет и, в случае использования дополнительного кодирования электронных сообщений или предоставления такой возможности пользователям, [72] [73] представлению в ФСБ России информации, необходимой для их декодирования. Хранение таких сообщений, так же как предоставление информации, необходимой для их декодирования, осуществляется независимо от наличия признаков совершения противоправного деяния, что отличается от подходов, принятых в США и Европейском союзе.
Так, решением Суда справедливости Европейского союза Директива 2006/24/ЕС о хранении метаданных о пользователях (была принята после террористических актов в Мадриде и Лондоне в 2006 г.) была признана несоответствующей Хартии Европейского союза об основных правах и в этой связи недействительной. Суд в своем решении отметил: «Тот факт, что данные были сохранены и в дальнейшем использовались без сообщения об этом абоненту или зарегистрированному пользователю, мог породить в сознании заинтересованных лиц ощущение, что их частная жизнь была предметом постоянного наблюдения... Требуя осуществлять сбор и хранение этих данных, а также предоставляя соответствующим органам власти доступ к ним, Директива крайне серьезным образом вмешивается в сферу фундаментальных прав человека
- 304
и нарушает право на уважение личной жизни и защиту персональных данных» . Возложение на информационных посредников соответствующих обязанностей обеспечивает дополнительные условия для предотвращения, пресечения и расследования преступлений, но в то же время создает риски для необоснованного вмешательства в частную жизнь. [74] [75]
Ранее отечественным законодателем на организаторов распространения информации в сети Интернет была возложена обязанность по реализации требований к оборудованию и программно-техническим средствам, используемым указанным организатором в эксплуатируемых им информационных системах, для проведения этими органами в случаях, установленных федеральными законами, мероприятий в целях реализации возложенных на них задач, а также обязанность принимать меры по недопущению раскрытия организационных и тактических приемов проведения данных мероприятий[76] [77] [78]. Вместе с тем отечественным законодателем также были
- 307
уточнены условия проведения оперативно-розыскных мероприятий , в соответствии с которыми получение компьютерной информации, как одно из оперативно-розыскных мероприятий в случае ограничения конституционных прав человека и гражданина, допускается только на основании судебного решения. В результате, хотя на информационных посредников и возлагаются различные обязанности, исполнение которых упрощает органам исполнительной власти доступ к персональным данным и приводит к ограничению права на неприкосновенность частной жизни, необходимым условием для проведения оперативно-розыскных мероприятий и осуществления доступа к такой информации остается наличие судебного решения.
Легитимность обеспечения информационной безопасности как цели осуществления материального принуждения у наднациональных судов в целом не вызывает сомнения. Однако для признания легитимности самого материального принуждения недостаточно подвести правовые основания под соответствующие
обязанности разработчиков технических средств и информационных
посредников. Условием его легитимности также является создание правовых гарантий прав человека, на которые накладываются ограничения в результате исполнения таких обязанностей.
Например, Европейский суд по правам человека в деле «Роман Захаров против Российской Федерации» , в котором была рассмотрена легитимность ограничений прав человека в связи с использованием в России системы технических средств для обеспечения функций оперативно-розыскных мероприятий в сетях электросвязи (так называемый СОРМ-2), отметил, что ограничение права на неприкосновенность частной жизни (в данном случае прослушивание мобильных телефонов) преследует законные цели, такие как предотвращение преступлений и защита национальной безопасности, общественного порядка и экономического благосостояния страны. В то же время для установления соответствующих ограничений необходимы адекватные и эффективные правовые гарантии данного права в национальном законодательстве, в числе которых четкое определение ситуаций, когда органы исполнительной власти имеют право использовать негласные оперативнорозыскные мероприятия, и ситуации, когда данные мероприятия должны быть прекращены, а собранные данные уничтожены, а также детальная процедура выдачи разрешения на прослушивание, обеспечение надзора за законностью прослушки и эффективные средства обжалования. Отсутствие данных гарантий в отечественном законодательстве при использовании системы СОРМ-2 послужило признанию судом нарушения статьи 8 Конвенции 1950 г. Реализация данных гарантий в полном объеме является сложной и высокозатратной, при этом снижает скорость принятия решения об установления скрытого наблюдения. В то же время - «из нарушения права не рождается право». Развитие правовых гарантий прав человека, выраженных в детализации материальных и
308
Постановление Европейского суда по правам человека от 4 декабря 2015 г. Дело «Роман Захаров (Roman Zakharov) против Российской Федерации» (Жалоба № 47143/06) (Большая Палата Европейского Суда) // Бюллетень Европейского суда по правам человека. 2016. № 6(168).
процессуальных правовых норм, на основании которых осуществляются ограничения прав человека, является неизбежной тенденцией в правовых государствах.
Таким образом, обеспечение информационной безопасности является одной из гарантий прав человека в информационной сфере, которая неразрывно связана с другими видами гарантий и в них находит свое выражение. В цифровой среде возрастает роль технических гарантий, выраженных в технических средствах и технических нормах. В правовом государстве создание и введение в действие технических норм, на основании которых осуществляется разработка соответствующих технических средств, не заменяет, но дополняет правовое регулирование. Технические средства могут выступать гарантией прав человека только при наличии правовых гарантий, предоставляющих механизмы правовой защиты от их произвольного использования. В то же время обеспечение информационной безопасности выступает основанием для ограничения прав человека. В правовом государстве создаются правовые гарантии прав человека от избыточных и чрезмерных их ограничений в целях обеспечения информационной безопасности, которые выражаются в правовых принципах, таких как принцип соразмерности. Наряду с правовыми ограничениями прав человека при обеспечении информационной безопасности происходит развитие фактических (материальных) их ограничений, которые выражены в материальном принуждении. Оно заключается в возложении на информационных посредников и разработчиков технических средств обязанностей, исполнение которых влияет на пределы прав человека. Для легитимности материального принуждения не достаточно юридического закрепления обязанностей разработчиков технических средств и информационных посредников. Его легитимность обусловлена такой детализацией правового регулирование, выступающего основанием для материального принуждения, которая бы позволила создать правовые гарантии от избыточных и чрезмерных ограничений прав человека.
|
0%