Эти переговоры были финальными, велись в ночь на среду и касались General Data Protection Regulation — свода правил и регул, которые должны заменить давно и безнадежно устаревшую директиву ЕС о защите данных, принятую еще в 1995 году. Попытки продвинуть новые правила работы с данными частных лиц ведутся с 2012 года, поэтому то, что их наконец-то удалось согласовать, является большим достижением. Чтобы они вступили в силу, их еще должен одобрить Европейский парламент.
Строго говоря, до этой недели тема "цифрового возраста согласия" в связи с новым законопроектом вообще не всплывала. Как и в США, в Европе этот возраст сегодня составляет 13 лет. Каждый, кто регистрировался в Facebook, Twitter и прочих онлайн-сервисах, помнит, что ему надо было подтвердить свой возраст и заверить сервис в том, что он старше именно 13 лет. Его увеличение до 16 лет в последний момент стало неприятным сюрпризом не только для индустрии, но и для защитников прав детей.
Что из себя представляют новые правила?
Регула General Data Protection Regulation — давно ожидаема очень многими в ЕС. Что ни говори, а руководствоваться правилами 1995 года по работе с данными частных лиц в 2015 году не очень удобно — цифровая жизнь сегодня и тогда отличаются кардинально.
Ключевые моменты регулы:
- На всей территории ЕС будет действовать правило "быть забытым", в рамках которого пользователи смогут потребовать от любой интернет-компании удалить те их данные, которые устарели или более нерелевантные.
- Иностранные по отношению к ЕС компании будут иметь дело с одними нормами закона о защите данных частных лиц во всех странах ЕС.
- Регуляторы ЕС смогут штрафовать интернет-компании за неправильное использование данных европейцев на сумму до 4% от их оборота во всем мире.
- Компании будут обязаны уведомлять национальные регуляторы об утечках данных частных лиц в течение трех дней с момента, когда им самим это стало известно.
- Новый закон о защите данных частных лиц распространяется не только на европейские компании, но и на любые другие, юридически существующие и ведущие бизнес на территории ЕС.
- Компании будут обязаны обеспечивать возможность для пользователей взять свои данные и перенести их в конкурирующий сервис.
- Компании не будут иметь права обрабатывать данные лиц младше 16 лет без согласия на то их законных опекунов.
Еще раз подчеркнем — до начала этой недели последнего пункта в ней просто не было. Точнее, он был, но возраст был иным, 13 лет. Как сказано в заявлении коалиции "Зеленых" в Европарламенте, на его увеличении в последний момент настояли представители правительств ЕС, то есть переговорщики от Совета ЕС. Причина, по которой они это сделали — неизвестна, официального разъяснения их позиции по этому вопросу до сих пор нет.
В заявлении представителя "Зеленых" говорится о том, что переговорщики договорились: в финальном тексте должно быть указано "с 13 до 16 лет" с возможностью странам-членам ЕС самим решать, какой возраст устанавливать. Однако в тексте (PDF) документа прямо говорится о "младше 16 лет", правда, тоже с возможностью снизить порог при принятии законов в парламенте каждой стране-участнице. Но из текста документа сам собой вытекает вывод о том, что 16 лет будет новой нормой "по умолчанию", а снижение возраста — опцией, которой парламенты стран-членов ЕС могут воспользоваться. А могут и нет, особенно если склонны "брать под козырек" и пресмыкаться перед Брюсселем.
Что новые правила значат для обычного человека?
Регула ЕС в том случае, если она будет принята, коснется обычных людей опосредованно — она диктует правила работы интернет-компаниям, а не их пользователям. Но в теории после 2017 года онлайн-бизнес должен будет реализовать функции прозрачного удаления личных данных пользователя, а также требовать согласия родителей при регистрации лиц моложе 16 лет.
Отметим, что в Латвии компании и так обязаны удалять личные данные физических лиц, хотя добиться этого от гигантов уровня Facebook, которые юридически в нашей стране не присутствуют — невозможно. С 2017 года бизнесу придется уважать латвийцев не меньше, чем немцев, британцев или французов. Закон будет един.
Что касается запрета на обработку данных лиц моложе 16 лет, то индустрия предупреждает, что он по меньшей мере бесполезен, а по большей — просто вреден. Больше всего специалистов возмущает тот факт, что решение было принято в самый последний момент и без консультаций как с представителями индустрии, так и с защитниками прав детей. В лучших традициях российского "бешеного принтера", как часто называют Госдуму РФ, клепающую один без(д)умный закон за другим.
Почему увеличение возраста с 13 до 16 лет вредно и бесполезно
Мы были бы рады привести аргументы тех, кто поддержал увеличение "возраста цифрового согласия" до 16 лет, но они отсутствуют. Поэтому представлена будет исключительно точка зрения противников.
Например, Джанис Ричардсон, советник Международного союза электросвязи при ООН предупреждает, что новые правила могут сделать невозможным получение помощи унижаемыми и обижаемыми детьми, а также ЛГБТ-подростками, которые ищут в Сети консультации и информацию, которая могла бы помочь им в борьбе за свои права. Ведь даже консультационные сообщества для гомосексуальных подростков сегодня часто размещены просто-напросто в Facebook. По новым правилам добраться до них до 16 лет, не поставив в известность родителей, молодой человек не сможет.
Дарри Маджид из ConnectSafely.org отмечает, что больше всего от нововведения пострадают сами подростки — те из них, кто находится в конфликте с родителями или "заброшен" ими и потому не в состоянии получить их согласие.
Представители индустрии пересказывая (PDF) эти аргументы, также прямо говорят и о том, что подростки в этом возрасте не станут заморачиваться с каким-то там согласием родителей. В том случае, если им очень захочется, они просто начнут обманывать сервисы. Просто потому, что у интернет-сервисов нет никакой технической возможности определить точный возраст пользователя, а значит, никто не помешает 14-летнему подростку нажать на кнопочку "Да, мне 16 лет или более".
Единственным почти 100-процентным способом узнать точный возраст пользователя, является запрос у него документов, удостоверяющих личность. Вот только если европейские законодатели решат пойти по этому пути или своими действиями заставят интернет-компании пойти по этому пути, то они добьются ровно противоположного духу General Data Protection Regulation. Вся новая европейская инициатива направлена на то, чтобы интернет-компании собирали меньше данных частных лиц, а вовсе не больше.