Свобода передачи данных и риски для национальной безопасности

В Соединенных Штатах в этом году были предприняты меры, регулирующие давно декларированную «неограниченную свободу» передачи персональных данных за пределы страны.

В феврале администрация президента Джо Байдена издала указ о том, чтобы запретить странам, чья злонамеренная активность в киберпространстве вызывает тревогу - Китаю, Кубе, Ирану, Северной Корее, России и Венесуэле - «получать даже в коммерческих целях персональные данные, которые могут быть использованы против американцев и в разведывательных целях».

Затем в апреле Конгресс принял, а президент США подписал Закон «о защите данных американцев от иностранных противников» (Protecting American's Data from Foreign Adversaries Act), запрещающий брокерам данных продавать конфиденциальные данные американцев Китаю, Ирану, Северной Корее и России.

Такой сдвиг в политике США в области глобального распространения персональных данных, хоть и направлен в основном на противостояние киберактивности Китая, также поднимает другие серьезные вопросы в этой области.

Чтобы обсудить их, вашингтонский «Атлантический Совет» собрал экспертов, представителей научных кругов и частного бизнеса на дискуссию.

Насколько значительны эти изменения для Соединенных Штатов?

Кеннет Пропп, старший научный сотрудник-нерезидент Европейского центра «Атлантического совета» (Kenneth Propp, Nonresident Senior Fellow, Europe Center, Atlantic Council) и автор доклада «Кто представляет угрозу национальной безопасности? Меняющаяся трансатлантическая геополитика передачи данных» (Who’s a national security risk? The transatlantic geopolitics of data transfers), пояснил, что отныне Соединенные Штаты взяли под контроль передачу данных на систематическом уровне, чего раньше правительство не делало.

Противники Запада во всем мире стараются использовать конфиденциальные персональные данные американцев: они покупают эти данные, чтобы использовать их для шантажа и слежки, использования тех, кого они считают диссидентами в США, и вовлечения их в злонамеренные действия. При этом главными объектами контроля, по словам эксперта, определены Китай и Россия.

«Закон теперь требует продажи или запрета TikTok, - обратил внимание аналитик. - Если вы поговорите с некоторыми представителями правительства США, они скажут, что эти две меры (указ президента и закон, принятый Конгрессом) являются значительным изменением, и показателем того, что США движутся в в том же направлении, что и Европа, где нескольких лет был принят «Общий регламент по защите данных» (GDPR), который обязывает организации, предоставляющие товары и услуги в Европейском союзе или занимающиеся сбором и анализом данных резидентов ЕС, соблюдать новые строгие правила обмена данными»

Джеффри Герц - старший научный сотрудник программы энергетики, экономики и безопасности Центра новой американской безопасности, бывший директор по международной экономике Совета по национальной безопасности США (Geoffrey Gertz, Senior Fellow, Energy, Economics & Security Program, Center for a New American Security), считает, что данные меры станут хорошей отправной точкой для действий США в этой области:

«Хотя есть и риск ошибки: как точно точное определить при осуществлении контроля - действительно ли это Россия или Китай, а не какая- то другая?», - добавил он.

«Долгое время транснациональные компании из разных стран получали доступ к большому количеству конфиденциальных личных данных американцев способами, которые могли поставить под угрозу национальную безопасность США, быть использованы в целях шпионажа, шантажа, в кампаниях влияния и др.», - напомнил Герц, рассказав об опыте Джастина Шермана, профессора Университета Дьюка, который проделал интересную работу, исследуя возможности использования данных.

Профессор смог купить данные о состоянии здоровья конкретных военнослужащих США.

Герц привел в пример дело об интернет-платформе для пользователей фитнес-клубами, по которой можно было установить американских военнослужащих, находящихся на базах в Афганистане.

Эксперт считает предпринятые меры основополагающим шагом в создании американского законодательства в области сбора и передачи персональных данных.

Есть ли перспектива того, что Европа и США договорятся о путях совместного решения проблемы?

«Многие государства-члены ЕС уже проводят работу со своими спецслужбами, - пояснил Гертц, - и вы знаете, они борются со теми же вызовами и проблемами, что и мы здесь, и я думаю, что было бы полезно провести публичные дебаты на эту тему у нас и в Европе. Очевидно, что этим активно занимается правительство США, но в мире есть и определенный интерес к широкому трансатлантическому сотрудничеству по этому вопросу и многостороннему сотрудничеству по этому вопросу в целом».

Кеннет Пропп добавил:

«Я думаю, что вообще происходит перекалибровка международной политики в области передачи данных»

Джеффри Герц согласился, что «на высоком уровне происходит сдвиг, который был ожидаем десятилетиями», - однако дилемма остается неразрешенной: с одной стороны, США «поддерживают открытие для Европы трансграничных потоков данных и стремятся к этому», с другой - «необходим ответ злоумышленникам из стран-противников».

Как контроль за передачей данных работает в ЕС?

Анна Бухта, руководитель отдела политики и консультаций Офиса Европейского инспектора по защите данных (Anna Buchta, Head of Policy and Consultation Unit, Office of the European Data Protection Supervisor), объяснила, что в Евросоюзе «национальная безопасность является довольно сложной темой для обсуждения институтами ЕС, и основная причина этого заключается в том, что пункт 2 статьи 4 Договора о ЕС прямо гласит, что “вопросы национальной безопасности являются исключительно исключительной прерогативой компетенции каждого государства-члена”».

Однако сдвиги в том, что касается кибербезопасности, налицо, считает эксперт.

«Европейская комиссия уже несколько месяцев назад сделала довольно решительный шаг, запретив своим должностным лицам, сотрудникам использовать TikTok на своих мобильных устройствах, которые они используют для работы. И это было вызвано как проблемами кибербезопасности, так и необходимостью защиты данных. И это только начало большого пути», - рассказала Анна Бухта и привела примеры.

На родине эксперта, Польше, правительство уже добавило конкретные положения в законодательство, которые исключают китайских поставщиков сетевого оборудования.

«Другие страны предпринимают схожие меры, следуя примеру Польши», - заявила Анна Бухта, при этом сделав добавление о том, что «практика стран ЕС показывает, что внутри ЕС люди отчаянно хотят иметь “больше Европы”, “больше гармонизации”, “больше свободы в обмене данными”, “больше сотрудничества”, однако с политической точки зрения это чрезвычайно деликатно и маловероятно».

«К примеру, для некоторых случаев тотального применения средств распознавания лиц в правоохранительных целях нам понадобился “закон об искусственном интеллекте”» - пояснила она.

Какие проблемы возникнут перед транснациональными компаниями в результате внедрения новых правил?

Сэм Сингер, главный юрисконсульт по кибербезопасности Боинга (Sam Singer, Chief Counsel for Cyber, Boeing), поддержал идею развития законодательства США в этой области.

«Любой компании, имеющей достаточно данных о сотрудниках на китайских серверах, следовало бы задуматься о том, как они собираются соблюдать этот закон, какие договоренности и лицензии им понадобятся. При этом надо понимать, что работа над контролем передачи персональных данных будет непростой. Данные
интегрированы и в сторонние программные платформы, которые сами работают на других облачных и смежных платформах. Слои стороннего программного обеспечения распределены в компьютерной инфраструктуре по всему миру. Так что это не просто - "взять и отключить" определенный поток данных. Вы должны выяснить, где он находится, и - и как бы “вытащить" его из соответствующих приложений. Все это потребует значительных капиталовложений и людских ресурсов», - охарактиризовал проблему юрист.

Есть ли перспектива для США и ЕС договорится об общих правилах?

Кеннет Пропп убежден, что эти вопросы можно и нужно эффективно решать только совместно - настолько они сложны и многогранны.

Он привел в пример дело, находящееся на рассмотрении в Нидерландах, в органах по защите данных. Оно связано с передачей данных в Яндекс, российскую поисковую систему в Интернете.

По сведениям эксперта, в нем описывается, как немецкие СМИ использовали личные данные, которые отправлялись в Яндекс (компанию, близкую к российскому правительству).

«По таким вопросам уже достаточно сходства в подходах между США и ЕС. США поддержали это дело из соображений национальной безопасности», - полагает аналитик.

Он убежден, что существуют возможности организовать процесс сближения законодательства и методов работы в этой области.

«Например, - считает Пропп, - использовать Совет по торговле и технологиям США и ЕС».

Джеффри Герц согласился с тем, что есть большие возможности для расширения трансатлантического сотрудничества в данной области.

«Обеим сторонам необходимо прибавить в технической и юридической компетентности, - уверен Герц, - Такого рода международные переговоры проходят намного лучше, когда в них участвуют люди, которые могут представлять мнения из сферы национальной безопасности, поэтому важно, чтобы в этой трансатлантической дискуссии участвовали сотрудники правоохранительных органов и национальной безопасности из разных стран, а также специалисты по защите данных внутри стран, члены Европейской комиссии по этой тематике. Необходимо также обсудить своего рода сертификацию услуг, удостоверяющую достаточную защиту данных. Это может быть трудная работа, но она необходима».