Суд Евросоюза отменил обязанность провайдеров хранить сведения о коммуникациях клиентов

 Настоящая статья посвящена анализу недавнего решения Суда Евросоюза, отменившего Директиву о массовом сборе персональных данных. Поскольку эта тема в последнее время вызывает множество острых споров, начнем с краткого обзора ситуации.

Пока США, согласно все новым сведениям, любезно предоставляемым Э.Сноуденом, упражняются в том, какие еще личные данные пользователей можно собрать без их ведома, страны Европейского союза последовательно движутся в противоположном направлении, пытаясь обеспечить сведениям о личной жизни более надежную защиту. В этом русле находится и модернизация действующего законодательства об обработке и защите персональных данных, и решения европейских судов о недопустимости мониторинга активности интернет-пользователей, и судебное подкрепление права пользователей на удаление из интернета некоторых персональных данных (речь о процессе по делу Google и праву “быть забытым”, к которому еще вернемся), и недавняя отмена Судом ЕС Директивы 2006/24/ЕС о сборе и предоставлении персональных данных компетентным органам. Более подробно это решение будет рассмотрено далее.

Европейская тенденция основана на двух посылках. Во-первых, без скрупулезной проработки и аккуратной системы сдержек и противовесов законодательство о сборе частной информации стремится разрастись за пределы необходимого и разумного, посягая на права и свободы человека. Во-вторых, сбор такой информации на самом деле мало что дает для достижения той благой цели, ради которой принимается подобное законодательство (улучшение борьбы с серьезными преступлениями: терроризмом и организованной преступностью). Например, в 2011 году в Германии была тщательно проанализирована статистика расследования преступлений до и после появления закона о сборе личных данных (на основе Директивы 2006/24). Цифры показали, что предоставление правоохранительным органам широкого доступа к информации о коммуникациях пользователей практически не отражается на эффективности борьбы с преступностью. Даже в принципах построения новой системы эксперты видят серьезные проблемы. Из-за чрезмерных объемов накапливаемых данных поиск нужных сведений может растягиваться на годы, то есть итоговая результативность системы будет низкой. С другой стороны, даже максимальная точность процедуры анализа данных не исключает случайных ошибок. А исходя из объемов баз данных на одно реально обнаруженное преступление может приходиться до миллиарда ложных срабатываний. Так что большую часть времени правоохранительные органы будут вынуждены пресекать несуществующие «террористические заговоры». Эксперты обратили внимание еще на один важный момент: от тотального сбора персональных данных страдают прежде всего добросовестные пользователи. Возрастает риск разглашения или злоупотребления сведениями об их личной жизни. Тогда как потенциальные нарушители пользуются множеством способов обойти требования закона. Так что массовый сбор данных не только нарушает фундаментальные права граждан, но и попросту неэффективен.

В России же ожидает вступления в силу новый закон, предусматривающий сбор и хранение в течение 6 месяцев множества сведений обо всех электронных коммуникациях пользователей. Федеральный закон от 05.05.2014 г. №97-ФЗ, вносящий изменения в закон «Об информации, информационных технологиях и о защите информации», вступает в силу с 1 августа 2014 г. Из содержания данного закона остается неизвестным ни правовое основание для столь существенного ограничения фундаментальных прав и свобод, ни причины, по которым закон не содержит никаких гарантий его добросовестного исполнения и защиты интересов пользователей. Впрочем, в рамках общей российской тенденции ужесточения государственного контроля за общественной жизнью граждан это уже не вызывает удивления. Отметим лишь, что такой подход будет противоречить как международным принципам охраны прав и свобод человека, так и праву Европейского союза, о сближении с которым Россия заявляла в Соглашении о партнерстве и сотрудничестве.

Но перейдем к рассмотрению решения Суда Европейского союза. С запросом в Суд ЕС обратились правительства Ирландии и Австрии, получившие от недовольных граждан более 11 000 жалоб на применение Директивы 2006/24/ЕС Европейского Парламента и Совета от 15.03.2006 о сохранении данных, генерируемых или обрабатываемых в ходе оказания общедоступных услуг электронной коммуникации или функционирования публичных коммуникационных сетей (так называемая Data Retention Directive).

8 апреля 2014 г. Суд ЕС вынес решение по объединенным делам С-293/12 и C-594/12. Его итоговый вывод: Директива 2006/24/ЕС «признается не имеющей юридической силы» с даты ее принятия. Связано это с тем, что содержание Директивы противоречит важному принципу европейского права: ограничение основополагающих прав граждан допустимо лишь при условии соблюдения принципа пропорциональности.

Директива 2006/24/ЕС призвана гармонизировать законодательство государств-членов ЕС, посвященное сбору поставщиками общедоступных услуг электронных коммуникаций и публичных коммуникационных сетей определенных сведений, которые ими создаются или обрабатываются. Провайдеры обязаны собирать достаточно большой перечень данных, помогающие установить и идентифицировать источник коммуникации и ее адресата, определить дату, время, продолжительность и тип сообщения, установить коммуникационное оборудование пользователя, и обнаружить местоположение мобильного коммуникационного или компьютерного устройства. Также провайдеры сохраняют, помимо прочего, имя и адрес подписчика или зарегистрированного пользователя услуг, телефонные номера вызывающего и вызываемого абонентов, а также IP-адрес используемого интернет-сервиса. Сведения должны позволять выяснить частоту общения пользователя с определенным лицом за определенный период времени. Хранить собранные данные следует не менее 6 и не более 24 месяцев. В этот период они предоставляются государственным органам по их запросам в целях предотвращения, расследования серьезных преступлений, таких как организованные преступления и терроризм, и привлечения к ответственности за их совершение.

Насколько совместимо подобное вмешательство в частную жизнь с выполнением государством своих публичных обязательств? Разъяснения Суда ЕС создают четкое понимание, что преследование государством благих целей, в том числе в виде борьбы с преступностью, не может служить оправданием для масштабного посягательства на интересы общества. Государство обязано обеспечивать национальную безопасность, но должно изыскивать такие способы исполнения своего долга, которые не будут нарушать фундаментальные права множества добропорядочных граждан.

Суд ЕС пришел к выводу, что положения Директивы ущемляют два основополагающих права: на уважение частной жизни и коммуникаций (ст. 7 Хартии основных прав Европейского союза), а также на защиту персональных данных (ст. 8 Хартии). Отметим, что право на уважение неприкосновенности частной жизни и тайны коммуникаций предусмотрено также статьей 8 Европейской конвенции о защите прав человека и основных свобод, к которой присоединилась и Россия. Суд ЕС также указал на несоответствие Директивы праву на свободу выражения мнений, предусмотренному ст. 11 Хартии.

В чем же проявилось противоречие Директивы положениям Хартии?

По мнению Суда, хотя содержание сообщений провайдеры не сохраняют, тотальное накопление предусмотренных Директивой данных (blanket data retention) представляет собой серьезное вмешательство в частную жизнь граждан. Совокупность этих сведений позволяет многое узнать о личной жизни пользователей, об их повседневных привычках, постоянном и временном местонахождении, ежедневных и разовых перемещениях, активности, социальных связях и привычном социальном окружении. Злоупотребления тут практически неизбежны. Более того, поскольку никто не информирует людей о том, какие сведения о них собираются и как используются, многих может угнетать чувство, что их личная жизнь находится под постоянным наблюдением. Масштабный сбор данных губительно воздействует на свободное выражение гражданами своих мнений (ст. 11 Хартии). Если вспомнить серьезные сомнения в эффективности систем массового сбора личных данных, не исключено, что назначение подобных законов в ряде случаев сведется к управлению поведением добросовестных граждан через психическое подавление их активности.

Приведенный довод Суда ЕС основывается на важной для европейского права концепции: жесткий государственный контроль за жизнью граждан подавляет их самоопределение и инициативу в осуществлении принадлежащих им прав и свобод, от чего тормозится развитие свободного, демократического общества. Ярче всего эта мысль была выражена в Решении Конституционного суда Германии 1983 г., посвященном закону о переписи населения:

«С правом на информационное самоопределение несовместим общественный порядок, равно как поддерживающая его правовая система, при которых ни одному гражданину доподлинно неизвестно, кто, что, когда и при каких обстоятельствах знает о нем. Тот, у кого есть опасения в том, что сведения о его отличающемся поведении постоянно фиксируются, длительное время хранятся, используются и передаются, будет стремиться не привлекать внимания к своим действиям. Например, человек, ожидающий, что его участие в каком-либо собрании или общественной акции будет официально зарегистрировано и это создает для него определенный риск, вероятнее всего откажется от реализации своих фундаментальных прав (Ст. 8,9 Конституции Германии). Подобная ситуация наносит вред не только праву отдельного человека на развитие его личности, но и общественному благу, поскольку самоопределение является основным условием существования свободного и демократического общества, основанного на свободе граждан действовать и принимать участие в общественной жизни. Из этого следует: В современных условиях обработки данных свободное развитие личности предполагает защиту отдельного человека от неограниченного сбора, сохранения, использования и передачи его персональных данных. Эта защита обеспечивается основными конституционными правами (статья 2 абзац 1 и статья 1 абзац 1). Таким образом, основные права гарантируют отдельному человеку право самостоятельно принимать решения о разглашении или использовании его персональных данных» (1983 BVerfGE 65, 1).

Подчеркнем еще раз важную мысль Европейского суда. От чрезмерного государственного вмешательства в частную жизнь должен удерживать не только риск недобросовестного использования персональных данных, но и соображения о том, как отражаются на психологическом состоянии людей предпринимаемые меры. Руководители государств не могут считаться выполнившими свой публичный долг после внедрения наиболее очевидных, и в силу этого массовых и болезненных для многих граждан, процедур обеспечения безопасности. Они должны найти такие варианты регулирования, которые не нарушают фундаментальные права и свободы, и не умаляют уважения к неприкосновенности частной жизни. Пока сбалансированный подход не найден, принимаемые законы могут признаваться неконституционными.

Итак, Суд Европейского союза увидел нарушение ст. 7 и 8 Хартии в следующих обстоятельствах.

Статья 52(1) Хартии допускает какое-либо ограничение прав и свобод строго на основе закона и только на началах пропорциональности и соблюдения сущности права, если такое ограничение необходимо и явно соответствует общим интересам, признаваемым Союзом, или осуществляется для защиты прав и свобод других граждан. Суд отмечает: хотя Директива 2006/24 вмешивается в право, предусмотренное ст. 7 Хартии, она не причиняет ущерба его сущности, поскольку не предполагает приобретения посторонними знаний о содержании электронных коммуникаций. Не будет причинен вред и существу права по ст. 8 Хартии: Директива устанавливает обязанность провайдеров соблюдать определенные требования по защите данных и их безопасности. Государствам-членам следует конкретизировать требования к организационным и технологическим мерам, предпринимаемым провайдерами против случайного или противоправного уничтожения, потери или изменения данных. Суд также признал, что вмешательство само по себе соответствует общим интересам: Директива предполагает сохранение данных для эффективной борьбы с серьезными преступлениями, в том числе терроризмом, а это признанный в Союзе общественный интерес. Кроме того, Директива служит обеспечению общественной безопасности, что, согласно ст. 6 Хартии, является самостоятельным основополагающим правом.

Принцип пропорциональности требует, чтобы нормативные акты ЕС преследовали законные цели и в их достижении не выходили за пределы подходящих и необходимых мер. Согласно практике Суда ЕС, когда речь идет о фундаментальных правах, свобода усмотрения законодателя существенно ограничивается, исходя из конкретной сферы, характера права, серьезности вмешательства и преследуемой им цели. Директива 2006/24 принята для содействия компетентным органам в борьбе с преступностью. Учитывая серьезную роль электронных коммуникаций, сохранение сведений о них способно серьезно помочь в сборе доказательств по делу. С этой позиции, сохранение данных является подходящей мерой для достижения целей Директивы. Существование иных способов коммуникации, не охваченных Директивой или обеспечивающих анонимность пользователей, не опровергает целесообразность инструментов Директивы.

Наконец, что касается соотнесения предусмотренных Директивой процедур с пределами необходимого. Суд ЕС подчеркнул, что одного факта принятия мер в общественных интересах недостаточно для признания их необходимыми. Тогда как доказательств выхода за пределы необходимого в рассматриваемом случае более чем достаточно. Судебная практика разъясняет, что любые меры, посягающие на фундаментальное право, должны подчиняться ясным и четким правилам их осуществления, вписанным в ограниченные рамки строго необходимого, и сопровождаться гарантиями защиты от злоупотреблений. Особенно важны подобные гарантии в случаях автоматизированной обработки данных и серьезного риска неправомерного доступа к ним. Однако, по мнению Суда, нормы Директивы 2006/24 нельзя назвать разумно ограниченными. Директива предполагает сохранение данных, касающихся фиксированной и мобильной телефонной связи, доступа в Интернет, электронной почтовой корреспонденции и интернет-телефонии, т.е. всех средств электронной коммуникации, использование которых стало широко распространенным, и затрагивает повседневную жизнь множества людей. Директива также касается любых подписчиков и зарегистрированных пользователей. Таким образом, вмешательство в фундаментальное право затрагивает все население Европейского союза. При этом никаких исключений применительно к кругу лиц или содержанию данных не предполагается. Сведения собираются и по тем лицам, относительно которых нет никаких данных, что они прямо или косвенно могут быть связаны с преступной деятельностью. Директива также не предусматривает никаких ограничений относительно сбора данных лиц, несущих согласно законодательству обязанность сохранять профессиональную тайну. Нет в ней и никаких требований относительно взаимосвязи собираемых данных с угрозой безопасности. Данные не ограничиваются ни по периоду, ни по географической территории, ни по кругу лиц, которые участвуют или могли бы тем или иным образом содействовать предотвращению, раскрытию преступлений и привлечению к ответственности.

Далее, Директива 2006/24 не предусматривает объективных критериев, определяющих лимиты доступа компетентных органов к собранным данным и их последующему использованию, которые оправдывали бы серьезное вмешательство в фундаментальные права, установленные ст. 7 и 8 Хартии. Не содержит Директива существенных процедурных условий доступа компетентных органов к персональным данным, не определяет, допуск какого количества сотрудников можно признать разумным и соответствующим ее целям. Не предписывает, чтобы доступ предоставлялся строго в целях предотвращения и раскрытия преступлений или уголовного преследования. Директива лишь делегирует государствам-членам право устанавливать процедуры и условия раскрытия компетентным органам собранных данных на началах необходимости и пропорциональности. Но не обрисовывает разумные требования к подобным процедурам. Согласно рассматриваемому документу, для доступа не требуется предварительное одобрение суда или иного независимого административного органа, которые могли бы исследовать необходимость и пропорциональность доступа.

Статья 6 Директивы 2006/24 требует хранить все данные не менее 6 месяцев. Но не проводит различий применительно к отдельным категориям сведений, с точки зрения их пригодности для целей борьбы с преступностью. Указывая максимальный срок хранения данных (24 месяца), Директива не требует ограничивать реальный срок хранения тем, который крайне необходим. В тоже время иные нормы европейского права требуют, чтобы передача персональных данных по электронным сетям осуществлялась конфиденциально, а по окончании пересылки данные незамедлительно удалялись или обезличивались, если только они не требуются для целей выставления счетов (и то с условием хранения минимальный период времени).

Суд ЕС подытоживает: «Из вышесказанного следует, что Директива 2006/24 не устанавливает ясных и четких правил, регулирующих пределы вмешательства в фундаментальные права, предусмотренные статьями 7 и 8 Хартии. Таким образом, Директива 2006/24 влечет широкомасштабное и крайне серьезное вмешательство в указанные фундаментальные права в правовой сфере ЕС. В то время как в ней отсутствует четкое правовое описание пределов такого вмешательства, позволяющее ограничить его строго необходимым».

Наконец, касательно безопасности и защиты данных, собираемых провайдерами общедоступных услуг электронной коммуникации и публичных коммуникационных сетей, Директива 2006/24 не предусматривает достаточной защиты против злоупотреблений, неправомерного доступа и использования персональных данных, хотя ее положения представляют собой явное вмешательство в сферу права, установленного ст. 8 Хартии. С точки зрения Суда, каждый акт сбора данных о коммуникациях является актом обработки персональных данных. А потому порядок сбора информации должен соответствовать положениям европейского законодательства об обработке и защите данных. Директива не содержит специальных правил, адаптированных применительно к (а) широкому перечню собираемых данных, (б) их конфиденциальному характеру, (в) риску неправомерного доступа к данным; а равно правил, четко регулирующих охрану и безопасность данных, чтобы обеспечить их целостность и конфиденциальность. Не содержит она и обязанности государств-членов разработать подобные правила. Директива 2006/24 (вместе с нормами директив 2002/58 и 95/46) не требует от провайдеров высокого уровня охраны данных, но позволяет им при принятии мер исходить из соображений экономической целесообразности, т.е. отдавать приоритет собственным коммерческим интересам. Не требует она и необратимого уничтожения данных после окончания срока их хранения. Поскольку Директива не обязывает хранить данные в пределах ЕС, в ряде случаев невозможен контроль со стороны независимого органа за соблюдением провайдерами требований охраны и безопасности.

Таким образом, Суд ЕС пришел к выводу, что принятие Директивы 2006/24 является выходом за пределы требования пропорциональности. Поэтому дозволяемое ею ограничение основных прав, предусмотренных статьями 7, 8 и 11 Хартии, нарушает статью 52(1) Хартии, а потому признается незаконным. Суд ЕС упрочил понимание, что сбор одних мета-данных коммуникаций, даже без их контента, может представлять собой недопустимое ограничение гражданских прав.

Стоит отметить, что рассматриваемое решение Суда ЕС отменяет лишь Директиву, тогда как во многих государствах-членах все еще сохраняется национальное законодательство, дозволяющее чрезмерный сбор персональных данных. До тех пор, пока не будут разработаны новые общеевропейские правила, или отдельные законодатели не проявят добросовестную инициативу в их отмене. Уникальный пример в этом отношении подала Германия. Ее Конституционный суд еще в 2010 году признал неконституционным и отменил закон о сборе пользовательских данных, принятый во исполнение Директивы 2006/24. Фактически, он на четыре года опередил Суд Евросоюза, обосновав свое решение нарушением принципа пропорциональности. Как указал германский суд, пространные формулировки закона не содержат ни прозрачных, контролируемых процедур его исполнения, ни твердых гарантий защиты собираемых данных, ни разумного ограничения целей их использования. Любопытно, что после этого новый закон в Германии так и не был принят, хотя Европейская Комиссия предупреждала об инициировании правовых процедур против правительства Германии, не соблюдающего требования Директивы 2006/24. В 2011 году примеру Германии последовала Чехия, Конституционный суд которой отменил аналогичный национальный закон, а затем Румыния и, частично, Кипр и Болгария. В дальнейшем правительства этих стран внесли исправления в национальные законы. В остальных государствах-членах ЕС продолжают действовать изначальные нормы. Насколько национальные законодатели будут связаны рассматриваемым решением Суда ЕС, пока неизвестно. Возможно, пройдет еще значительное время, прежде чем на европейском пространстве будут согласованы новые общие правила игры.

Количество просмотров: 1 971

Оставьте комментарий