В 2011 году законодательство Евросоюза стало более требовательным к порядку сбора информации о посетителях сайтов их владельцами: последние должны не только давать посетителям возможность отказаться от предоставления сведений, но обязаны получать их согласие на такой сбор, и уведомлять о том, какие сведения собираются (например, об использовании объектов интеллектуальной собственности для последующего контроля). Новые правила коснутся и тех администраторов сайтов, кто не находится в Евросоюзе, но чей сайт предназначен в том числе для граждан ЕС. И хотя эти правила внедряются в национальные законодательства крайне медленно, тем не менее один из первых таких актов, принятый в Великобритании, вступает в силу с 26 мая 2012 года. В ожидании этого события набросаем крупными мазками картину сегодняшней ситуации со сбором информации о посетителях сайтов, и рассмотрим, к чему стоит готовится администраторам в будущем.
Существует большое количество способов получения информации о посетителях сайтов. Большинство владельцев сайтов используют для этого различные виды файлов куки, счетчики статистических сервисов и иные инструменты. Делается это в самых разнообразных целях: чтобы обеспечить эффективную и безопасную работу Интернет-магазинов, систем онлайн-банкинга, чатов и иных сайтов; чтобы анализировать данные о посетителях сайта, их месте нахождения, предпочтениях, технических устройствах; чтобы оценивать эффективность рекламных компаний, оценивая переходы по кликам; чтобы показывать посетителям рекламу, наиболее соответствующую их потребностям; чтобы пресекать доступ лиц, совершающих неправомерные действия на сайте; чтобы обеспечить безопасность совершения финансовых операций на сайте; чтобы контролировать действия пользователя с охраняемым интеллектуальным правом контентом сайта и так далее.
Чаще всего владельцы сайтов размещают на компьютере, мобильном телефоне или ином устройстве пользователя, с помощью которого он заходит на сайт, особый файл «куки» (cookie). Он позволяет идентифицировать пользователя при его последующих посещениях того же самого, а иногда и многих иных сайтов. В результате, администратор сайта становится обладателем весьма личных сведений о посетителях, и эти сведения в дальнейшем могут быть использованы недобросовестно (например, путем их передачи рекламным сервисам).
Поэтому подобные отношения чаще всего входят в сферу притяжения законодательства о персональных данных. Несмотря на значительную важность этого вопроса для всех пользователей Интернета, его правовое регулирование долгое время нельзя было назвать полноценным, при том что многие пользователи чаще всего даже не знают о существовании этой потенциальной угрозы со стороны операторов веб-сайтов.
По поручению британского Департамента по культуре, средствам массовой информации и спорту в феврале 2011 года компанией PricewaterhouseCoopers был проведен опрос пользователей Интернета, чтобы выяснить, насколько они осведомлены о сохранении их информации владельцами сайтов. И хотя среди опрошенных преобладали опытные пользователи глобальной сети, тем не менее далеко не все имели достаточные знания о действиях, совершаемых владельцами сайтов:
– 41% респондентов не знают о существовании различных видов куки-файлов: основных (first party cookies), сторонних (third party cookies), локальных flash-хранилищах (flash/local storage), и лишь 50% знают об основных куки-файлах;
– только 13% опрошенных знают принципы работы куки, 37% слышали о куки-файлах, но не понимают, как они работают и 2% вообще не имеют никакого представления о таком инструменте;
– 37% сообщили, что они не знают, как управлять файлами куки на своем компьютере.
Законодательство разных стран по-разному подходит к установлению прав и обязанностей владельцев сайтов и иных лиц. Так, в США очень популярна правовая концепция «Do Not Track» («Не отслеживать»). Она предполагает, что раз владельцев сайтов в глобальной сети чрезвычайно много, у них различный уровень технологических знаний, и всех их контролировать крайне затруднительно, то обязанность по получению одобрения посетителей сайтов на сбор информации не стоит возлагать на администраторов сайтов. Вместо этого Федеральная торговая комиссия предлагает разработчикам программного обеспечения, прежде всего браузеров, предоставить пользователям таких программ техническую возможность запретить любое размещение файлов куки или установить объем информации, передаваемой владельцам сайтов. Многие разработчики браузеров уже реализовали эти идеи: это режим «In-Private» в Internet Explorer, «инкогнито» в Google Chrome и т.д. Предлагается закрепить эту концепцию на законодательном уровне. Хотя, конечно, и в США владельцы сайтов обязаны соблюдать закон при работе с персональными данными, в том числе, предусматривающий в определенных случаях уведомление посетителей о порядке получения, обработки и хранения их данных.
В Европейском Союзе доминирует традиционный подход. Порядок сбора и использования информации о посетителях сайтов регулируется законодательством Евросоюза уже достаточно давно. Но, как показала практика, оно недостаточно эффективно и не полностью исполняется. Кроме того остались не охваченными законом некоторые весьма распространенные способы сбора персональных денных, например, с помощью куки со сторонних сайтов. В связи с этим в 2009 году была принята Директива 2009/136/ЕС от 25 ноября 2009 года. Она внесла изменения в целый ряд Директив Евросоюза, касающихся обработки персональных данных и электронной коммерции, попытавшись отразить в них наиболее актуальные правовые тенденции. Например, установлена обязанность операторов общедоступных электронных коммуникационных сервисов незамедлительно уведомлять компетентные органы о разглашении персональных данных, а если такое происшествие может причинить ущерб, то уведомить об этом всех лиц, чьи персональные данные были разглашены. Более четко прописаны обязанности продавцов, получающих электронные контактные данные своих покупателей, получать их явно выраженное согласие на рассылку рекламных сообщений (в виде электронных писем, SMS, MMS и любых иных сообщений) и предоставлять им все необходимые сведения и инструменты для отказа от последующих рассылок.
Статья 5(3) Директивы 2002/58/EC «О персональных данных и электронных коммуникациях» (посвященная регулированию куки и иных методов сбора информации о пользователях) изложена в новой редакции: «Государства-члены ЕС обеспечат, чтобы размещение данных, а также получение доступа к данным, уже размещенным на терминальном оборудовании клиента или пользователя дозволялось при условии, что согласие на это дано таким клиентом или пользователем, получившим ясную и полную информацию, в соответствии с Директивой 95/46/ЕС, относительно целей таких действий. Данное требование не будет препятствовать любому техническому размещению или доступу, осуществляемым с единственной целью передачи сообщений посредством электронной коммуникационной сети, либо если это совершенно необходимо провайдеру электронного сервиса для оказания услуг, явно запрошенных клиентом или пользователем».
В чем состоит различие с прежней версией статьи? Ранее Директива требовала, чтобы владелец сайта, помимо сообщения пользователю такой же информации, предоставлял ему возможность отказаться от размещения и доступа к данным. При этом было неясно, должен ли владелец сайта спрашивать каждого посетителя о его пожелании, либо достаточно было ждать, когда кто-то из посетителей первым не начнет активно интересоваться, где он может выразить свой отказ. Соответственно, если посетитель не совершал целенаправленных действий по запрету на размещение куки в его браузере, то по умолчанию, владелец сайта мог использовать любые технологии по сбору информации. Теперь же оператору сайта необходимо именно получать согласие на совершение конкретных действий.
На практике у операторов сайтов возник вопрос: куки, как правило, размещаются на компьютере пользователя при первой загрузке сайта, поэтому ознакомить посетителя с порядком сбора информации и получить его согласие до совершения самих действий весьма затруднительно; допускается ли получение последующего согласия? Директива, действительно, однозначно не устанавливает, что согласие должно быть получено до совершения соответствующих действий. С другой стороны, британский уполномоченный по информации справедливо указывает на суть действий по сбору данных — пользователь должен иметь возможность отказаться до размещения куки или иных файлов на его компьютере, в противном случае ему придется совершать лишние действия по удалению уже установленных куки. Поэтому согласие должно быть предварительным, но если в силу технологических причин это невозможно, то оно должно быть получено при первой же возможности.
П. 66 вводной части Директивы 2009/136/ЕС поясняет, что третьи лица достаточно часто заинтересованы в размещении данных на устройстве пользователя или в получении доступа к ранее размещенным данным. При этом они руководствуются самыми разными причинами, как законными (при загрузке различных видов куки), так и связанными с неправомерным вторжением в частную сферу (при установке шпионских программ или вирусов). Поэтому крайне важно, чтобы пользователи обладали ясной и полной информацией, когда их действия влекут такое размещение или предоставление доступа. Методы доведения до пользователя такой информации и предоставления им возможности отказаться должны быть максимально удобными (user-friendly). Исключения из обязанности предоставить информацию и обеспечить возможность отказаться должны ограничиваться случаями, когда техническое размещение и доступ совершенно необходимы в легальных целях использования сервиса, явно запрошенного клиентом или пользователем. В соответствии с положениями Директивы 95/46/ЕС, когда это технологически возможно и эффективно, согласие пользователя на обработку может быть выражено в виде соответствующих настроек браузера или других приложений.
Как видим, законодательство Евросоюза требует от владельцев Интернет-сайтов внести определенные функциональные изменения в работу сайтов, чтобы сообщать посетителям полную информацию о сборе данных и получать их явно выраженное согласие. На владельцев каких сайтов будет распространяться это требование? Как следует из указанных выше Директив, содержащиеся в них нормы обязательны при обработке персональных и иных данных граждан Европейского Союза независимо от места нахождения самого оператора. Отсюда можно сделать следующие выводы. Во-первых, безусловно, новые требования должны выполнять владельцы всех европейских сайтов, даже если их сервер фактически находится в стране, не входящей в ЕС. Во-вторых, требованиям должны подчиняться владельцы всех иностранных Интернет-сайтов, если они направлены на взаимодействие с гражданами Евросоюза (например, ведут коммерческую деятельность в ЕС) и собирают и хранят их персональные данные и иную личную информацию. Конечно, во втором случае администраторов сайтов, не находящихся в юрисдикции ЕС, сложно заставить соблюдать европейские нормы. Тем не менее, при ведении серьезной коммерческой деятельности с гражданами Евросоюза, любой владелец сайта должен быть готов, что соблюдать рассмотренные выше нормы ему придется.
Важно обратить внимание, что Директива предусматривает наличие некоторых исключений из указанной обязанности владельца сайта. Например, к случаям, когда накопление информации «совершенно необходимо провайдеру электронного сервиса для оказания услуг, явно запрошенных клиентом или пользователем», относятся большинство операций любого Интернет-магазина. Для выбора и сравнения товаров, помещения их в виртуальную корзину, оформления и оплаты заказа технологически необходимо размещение куки. Поэтому в указанных ситуациях согласие пользователя не требуется.
Исключение будет действовать и когда пользователь самостоятельно выбирает определенные настройки безопасности (в системе онлайн-банкинга и т.д.), и, например, когда для ускорения загрузки контента операции распределяются между многими компьютерами. Но исключение не будет распространяться на случаи размещения куки в аналитических целях (для подсчета количества посетителей и т.п.), загрузки рекламных куки как владельца сайта, так и третьих лиц, или когда сайт запоминает особенности приветствия определенных посетителей.
Законодательство предусматривает возможность облегчить получение согласия пользователя следующим способом: если пользователь достаточно информирован о принципах работы куки и его браузер позволяет это, то он может в настройках браузера указать, какие виды куки, в каких ситуациях и на какой срок могут размещаться на его компьютере. В этом случае получение дополнительного согласия не требуется, владелец сайта может ориентироваться на установки браузера посетителя. Правда, как отмечает британский Офис уполномоченного по делам информации, это будет возможно в будущем только после проведения полноценных обучающих программ для пользователей глобальной сети и появления соответствующих функций в браузерах. Сегодня ссылки на настройки браузера не освободят владельца сайта от ответственности за неполучение согласия посетителей.
Директива 2009/136/ЕС вступила в силу в мае 2011 года. К этому времени государства-члены ЕС должны были привести в соответствие с ней национальное законодательство. Но к указанному сроку необходимые изменения внесли только 4 государства. Одно из них – Великобритания. Перечень действующих законодательных актов стран ЕС о персональных данных можно найти здесь.
Закон Великобритании «Privacy and Electronic Communications (EC Directive) (Amendment) Regulations 2011» отвел один год на то, чтобы владельцы сайтов провели необходимые технические модификации программного обеспечения, чтобы соблюсти требования закона. Этот срок истекает 25 мая 2012 года. Исследования показывают, что на 17 мая лишь очень незначительная часть британских сайтов соответствует новому законодательству и, по всей видимости, остальные не успеют за оставшийся срок исправить положение. Как видим, переход к иным принципам взаимодействия с посетителями сайтов идет крайне медленно. И это с учетом того, что Директива 2009 года лишь дополняет обязанности владельцев сайтов по получению согласий пользователей, которые они должны соблюдать еще с 2002 года, но до сих пор успешно игнорируют.
Для того, чтобы упростить внедрение новых принципов работы сайтов, соответствующие подробные рекомендации сделали Управление уполномоченного по делам информации (Information Commissioner’s Office) (здесь) и британское отделение Международной Торговой палаты (International Chamber of Commerce) (здесь).