В начале 2023 года три ведущих учреждения Европейского союза запретили своим сотрудникам пользоваться на рабочих устройствах приложениями типа TikTok.
Правительства многих стран, в том числе США, Великобритании, ряда государств-членов ЕС быстро последовали примеру. Причина: растущая обеспокоенность по поводу сбора данных.
На одном только европейском континенте насчитывается около 150 млн пользователей TikTok. Все они предоставляют китайскому приложению большое количество персональных данных. Правительство КНР может получить их в своё распоряжение — опасаются в западных странах. Пекин заверяет в том, что не имеет таких намерений, ни возможностей. Законодатели всё же настроены скептически.
Однако не только TikTok собирает данные. Проблема возникла задолго до появления этой популярной социальной сети. По всему Интернету из истории поиска, предпочтений браузера и вводимой нами информации можно собрать огромное количество персональных данных пользователей.
Мы расскажем о том, какие у этого могут быть последствия для потребителей цифровых услуг и что предпринимает Европейский союз для защиты данных своих граждан.
Что такое персональные данные и как их собирают?
Персональные данные включают в себя такие сведения, как имя, фамилия, возраст, адрес электронной почты и т.п., и могут быть использованы для идентификации личности.
Способов собрать их в Интернете есть целое множество: IP-адреса, навигационные данные, файлы cookie или информация, которую мы предоставляем при заполнении форм.
Мы также оставляем много сведений о нас в соцсетях, просто ставя «лайки», реагируя на сообщения или посты. Подобные действия могут привести к раскрытию конфиденциальных данных. К ним относятся наша сексуальная ориентация, состояние здоровья, политические предпочтения, религиозные убеждения, расовая или этническая принадлежность. И их раскрытие может привести к преследованиям, дискриминации. Вот почему их утечки есть резон опасаться.
Угрозы, связанные со сбором данных
Сегодня собирается и хранится беспрецедентное количество данных. Они уже стали частью цифровой экономики; только в Евросоюзе на них приходится почти 3,6% ВВП блока и, согласно докладу ЕС, к 2030 году их стоимость достигнет чуть менее 1 трлн. евро.
Увеличение объёма собираемых персональных данных может принести огромную пользу потребителю, поскольку они используются в самых разных сферах — от банковского дела, до здравоохранения. Например, по этой логике, чем больше данных о прошлых заболеваниях пациента имеют в распоряжении врачи, тем быстрее они поставят диагноз и подберут лечение.
Скорость развития цифровой экономики в последние годы затрудняет законодателям контроль за ней.
«Данные — это сила. Это всего лишь инструмент, который открывает доступ ко многим другим правам и возможностям — к целевой аудитории, к контенту, к цензуре, к тому, чтобы не демонстрировать контент определённой категории людей, к влиянию на их политическое поведение», — говорит Ромен Робер, директор программы европейской некоммерческой организации NOYB, занимающейся защитой цифровых прав.
Одним из самых ярких тому примеров стал скандал между Facebook и Cambridge Analytica в 2018 году, когда выяснилось, что американский гигант содейстовал сбору персональных данных до 87 млн человек британской компанией, занимающейся политическим консалтингом.
Это происходило без согласия пользователей. Информация была использована для составления профилей и таргетирования избирателей в интересах бывшего президента США Дональда Трампа во время его успешной президентской кампании 2016 года.
Эта нашумевшая история стала тревожным сигналом для политиков, осознавших потенциальную опасность, которую представляет собой нерегулируемый сбор данных для демократии и прав человека.
Как сбор данных регулирует Евросоюз?
В мае 2018 года в ЕС был введён в действие Общий регламент по защите данных (GDPR), который стал первым крупным законом о конфиденциальности и безопасности данных для современной цифровой эпохи. GDPR считается самым жёстким законом в мире в области защиты персональных данных и имеет обязательную юридическую силу для 27 европейских государств. Он также распространяется на любые организации, собирающие данные о гражданах ЕС, даже если они не находятся на территории союза.
Защита данных подчёркивается в GDPR как одно из основных прав граждан. Таким образом, персональные данные должны защищаться и использоваться «справедливым и законным» образом, то есть их можно собирать только с определённой целью и с согласия субъекта. Субъект также имеет право на доступ к своим данным и на их корректировку.
Кроме того, организации должны придерживаться семи принципов, иначе будут оштрафованы. С момента вступления в силу этих правил пять лет назад компании Google, Amazon, Meta получили многомиллионные взыскания за допущенные нарушения. Самым крупным на сегодняшний день считается штраф, наложенный на компанию Amazon в размере 746 млн. евро в 2021 году за несоблюдение регламента.
Больше норм — больше гарантий защиты
Несмотря на то, что GDPR считается довольно жёстким, ЕС решил, что его необходимо расширить. Была разработана законодательная инициатива Digital Services Act, которая объединяет два отдельных закона: Digital Services Act (DSA) и Digital Market Act (DMA).
DSA защитит пользователей, предоставив им больший контроль над тем, что они видят в Интернете, например, над целевой рекламой, и поможет ограничить распространение незаконного или вредящего контента. DMA в большей степени направлен на развитие цифровой экономики, помогая небольшим компаниям конкурировать с крупными.
Проблемы правоприменения
Однако применение столь жёстких законов сопряжено с определёнными трудностями. В каждой стране ЕС существует 27 специализирующихся на этом вопросе национальных органов (DPA). Их работу курирует Европейский совет по защите данных (EDPB), а управляет ими из Брюсселя Европейский инспектор по защите данных.
«Обеспечение соблюдения регламента GDPR в межстрановых делах, затрагивающих более двух-трёх стран, — задача очень сложная. Даже Еврокомиссия это признаёт», — поясняет Ромен Роберт. Для устранения этих недочётов летом 2этого года должны быть введены новые нормы.
Тем не менее, компании в большинстве своём следуют правилам, установленным законодательством ЕС, и его граждане могут быть уверены, что их цифровые права защищены лучше, чем где бы то ни было в мире.