Онлайн-хранилища данных находятся на подъеме. Лидерами рынка являются, конечно же, американцы. Благодаря таким провайдерам, как Google Drive, iCloud и Dropbox, компании с другой стороны Атлантики занимают лидирующие позиции.
Однако, хотя их услуги отличаются высоким качеством, нельзя с уверенностью сказать, что они не виновны в национализме. Хранение данных Вашей компании в Интернете у американских поставщиков услуг может стать серьезной ошибкой.
Соединенные Штаты сегодня являются ведущей мировой державой, будь то в военном, экономическом или промышленном плане. При этом их правительство присваивает себе прерогативы, которые оно имеет полное право навязать всему международному сообществу.
В данном случае такие законы США, как Патриотический акт и Закон об облаках, являются вооруженным крылом политики управления, применяемой к неамериканским гражданам. Другими словами, в зависимости от Вашего выбора, администрация и судебные органы США имеют власть над Вами и Вашими данными.
Вы можете подумать, что Соединенные Штаты Америки, как оплот демократии в мире, имеют самую лучшую политическую систему, особенно в своей теории и конституционной практике сдержек и противовесов. Другими словами, здесь наиболее полно реализовано разделение властей, столь дорогое теоретикам государства, таким как Монтескье.
Реальность не совсем такова. Законы о массовой слежке, введенные Соединенными Штатами со второй половины двадцатого века и достигшие кульминации в Законе об облаках 2018 года, кажутся противоречащими не только их конституции, но и классическому представлению о верховенстве закона. Другими словами, любое другое государство, принявшее подобное законодательство, вероятно, сразу же получило бы клеймо полицейского государства.
Это потому, что, помимо Патриотического закона и Закона об облаках, Соединенные Штаты по-прежнему основывают свой правовой арсенал на законе и президентском указе: Законе о надзоре за иностранной разведкой и Исполнительном приказе. В свете этих юридических документов мы собираемся объяснить, почему хранение Ваших данных в «облаке», управляемом американской компанией, — рискованный выбор. Для этого мы рассмотрим законодательство, которое будет применяться к Вам, как только Вы решитесь на этот шаг.
Что такое Патриотический акт и как работают условия его экстерриториальности?
Патриотический акт — это американский закон о внутренней безопасности, принятый всего через 45 дней после терактов 11 сентября 2001 года. Другими словами, он был принят в большой спешке Конгрессом, все еще травмированным событиями в Нью-Йорке.
В результате полицейским властям был выдан «чистый чек» на проведение расследований. Почему так должно быть? Потому что, хотя ордер судьи необходим, судья больше не может отказать в его выдаче на том основании, что нет «достаточных оснований».
В результате все Ваши данные могут быть изъяты без Вашего уведомления или без того, чтобы американский судья мог возразить. Не думайте, что Конституция США Вам сильно поможет, поскольку, по словам Министерства юстиции США, Патриотический акт всего лишь кодифицирует прецедентное право, уже признанное Верховным судом.
Например, в 1979 году он постановил, что аргумент о неконституционности тайных обысков является «несерьезным». Двенадцатью годами ранее он уже постановил, что полицейские не обязаны сообщать обвиняемому причину или причины обыска.
Однако новым в Патриотическом акте для французских или европейских компаний является его экстерриториальное применение. Другими словами, с того момента, как Ваш бизнес заподозрят в связях с террористом или группой, угрожающей американской территории или ее интересам, против Вас может быть пущен в ход весь административный арсенал.
Не думайте, что это сойдет Вам с рук, даже если Вы не собирались устанавливать связи с террористическими группами или с клиентом, чьи радикальные идеи Вы, возможно, не заметили. Мы увидим, что на практике Патриотический акт гораздо менее однозначен, чем кажется. А перед этим давайте рассмотрим другой аналог закона о безопасности: Закон об облаках.
Что такое Закон об облаках?
Закон об облаках был принят в 2018 году, чтобы предоставить властям США более широкий доступ к данным пользователей онлайн-решений для хранения информации.
Официально он представлен Министерством юстиции как позволяющий властям третьих стран запрашивать данные любой американской компании-хостера с целью получения доступа к ним в рамках уголовного разбирательства.
Если говорить более подробно, то это позволяет любой американской администрации получать данные о любом пользователе, если они :
— хранятся в США
— или хранятся американской компанией в любой стране мира,
— и все это без чьего-либо ведома, кроме запрашиваемой компании и соответствующего правительственного ведомства.
Этот последний законодательный акт США — не единственный инструмент на службе американского правительства.
Что такое Закон о надзоре за иностранной разведкой (FISA)?
Закон FISA был принят в 1978 году Конгрессом, который хотел регулировать практику слежки федеральных властей. Как и Патриотический акт, этот закон был направлен на кодификацию существующей практики.
Раздел 702, добавленный в 2008 году, обязывает американские компании содействовать целенаправленной слежке за человеком, находящимся за пределами территории США.
Этот закон специально направлен на неамериканских граждан, подозреваемых в обладании, получении или передаче информации, представляющей интерес для борьбы со шпионажем. Его сфера действия, как и Патриотического акта, официально направлена на борьбу с международным терроризмом.
Исполнительный приказ 12333
Исполнительный указ 12333, подписанный Рональдом Рейганом в 1981 году, — это, как отмечает Washington Post, документ, предлагающий еще более широкие возможности, чем раздел 215 Патриотического акта.
Однако на этот раз Указ Президента 12333 распространяется только на граждан США, проживающих за границей. Это все равно позволит американским спецслужбам заглянуть в Ваши данные, если их заинтересует кто-то из Ваших американских клиентов.
Согласно этому указу, все данные, изъятые американскими спецслужбами, изымаются без какого-либо ордера, а значит, без какого-либо контроля со стороны судьи или даже Конгресса.
Как видите, закон не всегда является гарантией слабейшего от власти сильнейшего. Он далеко не всегда защищает индивидуальные свободы или, в более широком смысле, общественные свободы в целом. Особенно когда мы задумываемся о его применении, а значит, и о его интерпретации.
Закон существует только благодаря его интерпретации
Правильное понимание закона никогда не может быть достигнуто простым прочтением закона. Почему? Потому что всегда невозможно применять закон буквально. Другими словами, чтобы понять сферу действия законодательного акта, Вам необходимо понять, как он применяется. Именно такую проблему представляют собой Закон об американском патриотизме и Закон об облаках.
Когда в Законе о Патриотизме говорится о «подозрительной деятельности», как она определяется? Что включает в себя это понятие? Определить, что та или иная деятельность может быть названа подозрительной, можно только путем интерпретации. Проблема в том, что каждая администрация интерпретирует этот закон по-своему и в условиях полной секретности.
Это означает, что если Ваши данные хранятся в американской компании, то все они доступны по усмотрению таких администраций, как ЦРУ, АНБ и Казначейство, и это лишь некоторые из них. Скучно, не правда ли? И не думайте, что Вы защищены от расследования только потому, что Вы не преступник или террорист.
Главная цель этого юридического арсенала — не выслеживание террористов, а искажение свободной конкуренции. Вы думали, что Соединенные Штаты — образец свободной торговли? Вы ошибались.
Более того, сбор данных касается не только данных Ваших клиентов. Не зря Казначейство США также заинтересовано в сборе данных. Закон FCPA покажет Вам, что хранение цифровых данных может Вам дорого обойтись.
Закон о FCPA, или новый налог для неамериканских компаний
Закон о коррупции за рубежом, принятый в 1977 году, позволяет американским судам требовать от компаний выплаты значительных сумм штрафов. В 2014 году компания Alstom заплатила 772 миллиона долларов, Siemens — 800 миллионов в 2008 году, Daimler — 185 миллионов в 2010 году, а Alcatel-Lucent — 137 миллионов в 2010 году. Это лишь некоторые из крупных сумм.
Как, по-вашему, создаются доказательства? Любыми способами, в том числе с помощью данных, которые хранятся в Вашем «облаке». Если Вы думаете, что Вы в безопасности, потому что у Вас нет дочерних компаний или сотрудников в Соединенных Штатах, Вам следует знать, что FCPA применяется, как только на карту поставлены американские интересы. И в этом случае понятие «интересы США» можно интерпретировать, и важны не Ваши.
В свете всей этой информации о законодательстве США вариант облака, управляемого французской или европейской компанией на европейской территории, кажется более чем интересным. Однако все же необходимо вспомнить о знаменитом RGPD.
GDPR в свете французского и европейского законодательства
Общий регламент по защите данных (GDPR) был принят Европейским Союзом, чтобы гарантировать безопасность данных, которые пользователи доверяют в Интернете компаниям, работающим на европейской территории.
Важно рассмотреть обязательства, возлагаемые на компанию, ответственную за обработку данных своих пользователей, и связанные с этим штрафы, прежде чем понять ее роль в передаче данных, особенно в Соединенные Штаты.
Обязательства контроллера данных
В частности, RGPD гарантирует защиту прав детей в контексте сбора данных. В то время как сбор данных, касающихся ребенка младше 13 лет, по-прежнему запрещен, для детей в возрасте от 13 до 16 лет он разрешен только с разрешения родителей и если речь идет об услуге, непосредственно предназначенной для детей.
RGPD также требует, чтобы контролеры данных собирали только те данные, которые строго необходимы для целей, для которых они были собраны, и обеспечивали возможность удаления данных по запросу соответствующего лица.
Соблюдение всех обязательств, налагаемых RGPD, может привести к выдаче сертификата контролирующим органом. Этот сертификат действителен в течение трех лет с возможностью продления.
Для получения более подробной информации о деталях RGPD Национальная комиссия по информатике и свободам (CNIL) опубликовала онлайн-руководство для очень малых предприятий (VSE) и малых и средних предприятий (SME). Из этого руководства Вы узнаете, как составить список Ваших файлов, рассортировать данные и обеспечить их сохранность.
Несоблюдение обязательств, изложенных в RGPD, может привести к очень серьезным финансовым штрафам.
Штрафы, применяемые в случае несоблюдения
Во Франции CNIL принимает дело к рассмотрению тремя способами:
— после жалобы, поступившей от пользователей непосредственно на веб-сайт CNIL,
— после проверки веб-сайта или компании,
— после нарушения данных.
После этого в распоряжении CNIL имеется полный спектр санкций: от публичного объявления на сайте Légifrance и CNIL до финансового штрафа в размере до 20 000 000 евро или 4% от мирового оборота за предыдущий финансовый год.
CNIL оштрафовал Google на 150 миллионов евро за политику использования файлов cookie на сайтах Google и Youtube. CNIL раскритиковала американскую компанию за то, что она не позволяет пользователям отказываться от файлов cookie с той же легкостью, что и принимать их.
В тот же день, 31 декабря 2021 года, CNIL также оштрафовал Facebook на 60 миллионов евро по тем же причинам, что и Google.
Эти крупные штрафы сами по себе подчеркивают важность проблемы защиты данных в Европе. Однако в глобализированном мире, где, особенно в Интернете, все сети проникают друг в друга, обмен данными делает формулировку защиты данных несколько сложной.
От Privacy Shield до Shrem II: судья становится хранителем персональных данных
Данные, собранные в Европе, могут быть переданы в третьи страны. Особенно это касается отношений между Европой и США, когда материнская компания передает персональные данные дочернему предприятию или на другой сервер.
С 2016 по 2020 год правила, применимые к такой передаче данных из Европейского Союза в Соединенные Штаты, регулировались Щитом конфиденциальности. Это был двусторонний договор, предоставляющий гарантии европейским пользователям в отношении обработки их персональных данных в Соединенных Штатах.
Однако эта гарантия защиты данных не была настолько эффективной с американской стороны, как нам хотелось бы верить. Австрийский адвокат по фамилии Шрем обратился в суд с ирландской компанией Facebook, утверждая, что его личные данные, которые были полностью или частично переданы в США, не защищены так же, как данные всех пользователей социальной сети.
Суд Европейского Союза в решении, известном как Schrems II, вынес решение в пользу истца и тем самым положил конец Privacy Shield. Основные аргументы в решении касались легкости, с которой государственные органы США и их спецслужбы могли получить доступ к переданным персональным данным.
В самой Франции ассоциации выступили против правительственного сбора данных. Например, Государственному консилиуму пришлось принять решение по поводу партнерства между правительством и платформой Doctolib в связи с назначением вакцинации против вируса Ковид 19.
После проверки качества защиты данных Государственный совет отклонил запрос ассоциаций, сославшись на то, что медицинские данные не собираются.
Аналогичным образом, такие ассоциации, как La Quadrature du Net, оспорили в Государственном совете постановление от 25 февраля 2011 г., обязывающее интернет-провайдеров хранить цифровые данные.
Административные судьи отклонили их доводы, сославшись на соображения национальной безопасности, защиту фундаментальных интересов нации и борьбу с преступностью.
Тем не менее, европейские правоохранительные органы не могут реквизировать Интернет-провайдера или компанию без предварительного разрешения магистрата. Именно он оценивает целесообразность такого запроса в контексте расследования, о котором ему докладывают следователи.
Заключение
В заключение следует отметить, что ситуация в Европе с обработкой данных и доступом к ним государственных органов, независимо от того, входят ли они в компетенцию министерств внутренних дел или юстиции государств-членов Европейского Союза, сильно зарегулирована. В Европе не существует законов, сопоставимых с законами США.
В результате, если компания хочет хранить данные в Интернете с помощью облачных решений, важно выбрать европейского поставщика услуг, который хранит данные на европейской территории.
В этом случае также важно убедиться, что компания не передает данные дочернему предприятию, расположенному в стране за пределами Европейского Союза, особенно в США. Американским экстерриториальным законам будет очень сложно применяться к компании, не имеющей никаких связей с Соединенными Штатами.
Хранение данных через американские компании открывает широкие двери для промышленного шпионажа и самых высокотехнологичных методов недобросовестной конкуренции. Как мы видели в случае с Siemens, Alcatel-Lucent и Alstom, правительство США при поддержке судов не остановится ни перед чем, чтобы ослабить конкуренцию, с которой сталкиваются эти компании.
Так что давайте не будем ходить вокруг да около.
