Запрос на приватность в эпоху мессенджеров и террористов: практика Европейского суда по правам человека

[стр. 186 - 197 бумажной версии журнала] 

 

Юлия Анатольевна Счастливцева – магистр права, журналист.

 

Немного истории

О защите внутреннего мира человека от агрессивного вовлечения в массовые коммуникации и его информационного «обнажения» зарубежные мыслители задумались еще в конце XIX столетия. В 1890 году американские философы Сэмюэль Уоррен и Луис Брэндейс писали о «праве на одиночество» (the right to be let alone)[1], указывая, что распространение через СМИ сведений личного характера может привести к уязвляющему человека вторжению в частную жизнь. Принцип «неприкосновенности личного» (inviolate personality), по их мнению, является частью «права быть личностью» (the right to one’s personality). Алан Уэстин в 1967 году определял privacy как возможность субъекта самостоятельно решать, как, когда и в какой мере распространяется информация о нем[2]. Уильям Парэнт отнес «приватность» к моральным ценностям людей, выбирающих индивидуальность и свободу[3], а «личными данными» назвал фактическую информацию, которой большинство людей предпочитают не раскрывать: о здоровье, финансовом благосостоянии, сексуальной ориентации. Современный философ Адам Мур определил privacy через понятие «контроль доступа»[4]. Рассматривая ее как культурную категорию, Мур называет приватность объективной ценностью в жизни человека, без которой тот будет испытывать моральные страдания. Приватность, по его мнению, необходима человеку, чтобы развиваться в качестве самостоятельного актора общественной жизни. Позднейшие исследования privacy сосредоточены на проблеме ее утраты в информационном обществе и способах защиты личных данных. Конфиденциальность предстает в них важным регулятором социальных отношений, интимных, семейных, профессиональных – в том числе отношений между врачом и пациентом, юристом или бухгалтером и клиентом, учителем и учеником, – пронизывая социальные взаимодействия на разных уровнях[5]. Современные концепции privacy, таким образом, сосредоточены на определении пределов допустимого вмешательства в частную жизнь.

Сегодня понятия «приватность» (privacy), «информационная приватность» (information privacy), «приватность данных» (data privacy), «защита персональных данных» (data protection) используются в США, Европе и за ее пределами для обозначения права индивида контролировать процессы, связанные со сбором и использованием персональных данных частными и государственными организациями, а также способы обработки и распространения личной информации[6]. Основная цель защиты данных личного характера – сохранить их конфиденциальность и целостность, а также ограничить возможность третьих лиц совершать какие-либо действия с личными данными индивида без его согласия и контролировать действия операторов, обрабатывающих эти данные. В документах Совета Европы и Европейского союза, кроме того, указана особая категория личных данных: «чувствительные данные» (sensitive personal data), обращение с которыми требует особой правовой регламентации и более строгих мер защиты[7]. К ним относятся, например: данные о расовой или этнической принадлежности, политических взглядах, религиозных или иных убеждениях, здоровье или сексуальной жизни, судимости.

 

О защите личных данных в современной Европе

В Конвенции Совета Европы 1981 года о защите частных лиц в отношении автоматизированной обработки данных личного характера[8] (далее – Конвенция о защите данных) «данные личного характера», или персональные данные, определяются как любая информация, касающаяся определенного или поддающегося определению физического лица («субъекта данных»). Иными словами, информация содержит персональные данные, если физическое лицо идентифицируется по имеющейся информации или может быть «узнано» с помощью дополнительных данных. Идентификация предполагает наличие элементов, описывающих человека уникальным, отличным от других образом и делающих его узнаваемым. Природа «личных данных» такова, что к ним в разных ситуациях может быть отнесена любая информация о человеке. В случае с публичными лицами маркером «узнаваемости», например, выступает уже указание на должность человека. Персональные данные, согласно решениям Европейского суда по правам человека (ЕСПЧ), могут быть представлены в любой форме: письменные или устные сообщения, изображения, видео, звук, информация в электронном виде, а также образцы тканей человека, поскольку они несут в себе уникальную информацию о ДНК.

Европейский суд по правам человека в своих решениях указывал, что защита личных данных является частью права на неприкосновенность частной и семейной жизни, закрепленного в статье 8 Европейской конвенции о защите прав человека. Право на «частную жизнь» в числе прочего защищает тайну передачи информации, безопасность и секретность почтовой, телефонной, электронной и иных форм коммуникации. Например, в деле «Узун против Германии»[9] суд назвал вмешательством в частную жизнь наблюдение полицейских за заявителем посредством глобальной системы позиционирования (GPS), а также обработку и использование полученной таким способом информации. ЕСПЧ также признал вторжением в privacy отбор и хранение ДНК-профиля, поскольку образцы тканей человека содержат уникальный генетический код, важный как для него, так и для его родственников. Поэтому не имеет значения, что для создания профиля ДНК используется лишь небольшая часть генетической информации и что человек не испытывает при этом очевидных неудобств[10]. В определенных обстоятельствах суд признает вторжением в личную жизнь и хранение отпечатков пальцев[11]. В перспективе «информационная тайна» в интерпретации ЕСПЧ, вероятно, охватит историю поисковых запросов и другие следы, оставляемые пользователями в Интернете.

В решениях по нескольким делам Европейский суд сформулировал принципиальную позицию: сами по себе сбор и хранение государством личных данных уже представляют собой вторжение в privacy: речь прежде всего идет о досье и базах данных спецслужб, полиции и других государственных органов. «Использование информации, касающейся даты и продолжительности телефонных разговоров и, в особенности, набранных номеров, может вызвать вопрос о применимости статьи 8, так как такая информация представляет собой неотъемлемую часть связи по телефону», – говорится в судебном решении по делу «Копланд против Соединенного Королевства»[12]. Даже публичная информация может быть отнесена к сфере частной жизни, если она систематически собирается и хранится в государственных досье.

Поскольку характер и объем «приватного» в национальных правовых системах государств-участников Совета Европы может трактоваться по-разному, экстерриториальная защита персональных данных требует формулировки общих принципов. Для гармонизации национальных правовых систем в 1981 году члены Совета Европы приняли упомянутую выше Конвенцию о защите данных, которая стала первым обязательным для исполнения международным договором такого характера. В ней и в практике ЕСПЧ содержатся основные принципы защиты данных, подвергающихся автоматизированной обработке и хранению. Россия ратифицировала Конвенцию 19 декабря 2005 года, сделав попутно несколько заявлений – о том, например, что не будет применять документ к персональным данным, собираемым частными лицами для личных и семейных нужд, а также к данным, отнесенным к государственной тайне, и что оставляет за собой право устанавливать ограничения на доступ лиц к своим данным, если того требует защита безопасности государства и общественного порядка.

Право на защиту личных данных не предполагает возможности в целом возражать против их использования государством[13], но подразумевает возможность возражать против законности оснований такого использования в конкретной ситуации – например, когда личные данные используются для прямого маркетинга[14]. Принцип законной обработки данных подразумевает, что их хранение государством допустимо лишь в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья и нравственности или защиты прав и свобод других лиц. Всякий раз, отвечая на вопрос о том, вторгаются ли хранимые властями данные в privacy человека, ЕСПЧ принимает во внимание характер информации, то, каким образом она получена и как используется. Например, в упомянутом деле «Узун против Германии» суд признал, что наблюдение за заявителем с помощью системы GPS, проводившееся по приказу генерального прокурора в рамках расследования покушения на убийство, ответственность за которое на себя взяла террористическая организация, служило интересам национальной безопасности и общественного порядка, поэтому было «необходимым в демократическом обществе». При этом при хранении полицией и спецслужбами данных, собранных в результате тайного наблюдения, власти должны обеспечить эффективные гарантии от злоупотреблений – на что суд указал в решении по делу «Аманн против Швейцарии». Санкционирующий такое хранение закон должен ясно обозначать сферу действия и условия применения властями дискреционных полномочий и предусматривать надзор за деятельностью соответствующих служб. По мнению суда, системы секретного наблюдения несут в себе риск разрушения демократии со ссылкой на необходимость ее защиты[15]. В деле «Ротару против Румынии»[16] ЕСПЧ признал нарушение статьи 8 Европейской конвенции по защите прав человека, поскольку румынский закон о секретных информационных базах не устанавливал ограничений для сбора и хранения в них личных данных граждан, не определял типа собираемой информации, категорию лиц, в отношении которых может быть проведено тайное наблюдение, обстоятельств его проведения и других процедур.

В Конвенции о защите данных закреплено право субъекта данных на доступ к информации о себе. В другом румынском деле[17] заявитель пять лет пытался получить доступ к своей личной информации, хранящейся у спецслужб. Суд счел, что ни объем хранимых данных, ни недостатки в системе их архивирования не оправдывают пятилетней задержки в предоставлении заявителю этих сведений. Право на доступ к личной информации может быть ограничено, когда это предусмотрено законом и необходимо для защиты безопасности государства, общественной безопасности, валютно-кредитных интересов государства или пресечения уголовных преступлений, а также для защиты самого субъекта данных или прав и свобод других лиц, – специальную оговорку об этом содержит статья 9 Конвенции о защите данных.

 

Европейский суд и информационная приватность

Увеличение в практике ЕСПЧ количества дел, связанных с реализацией права на приватность (на информационную приватность), можно рассматривать как результат повсеместного распространения информационно-коммуникационных технологий, позволяющих частным лицам и государственным органам свободно получать доступ к личным данным, в том числе через взаимодействие с корпорациями, работающими в сфере информационных технологий. Наиболее интересные дела в этой области связаны с использованием личных данных правоохранительными органами и спецслужбами. Современные методы расследования преступлений и борьбы с терроризмом вторгаются в сферу приватного очень глубоко, провоцируя не только жалобы частных лиц в национальные и международные судебные инстанции, но и громкие конфликты между службами безопасности и крупными ИТ-компаниями, как это было в показательном случае с «Apple» и американским ФБР. 2 декабря 2015 года в штате Калифорния произошел теракт. В ходе преследования полицией преступники были убиты, а телефон одного из них, iPhone 5c, был изъят. В резервной копии данных из облачного сервиса «iCloud» оказалась устаревшая копия данных, и для получения доступа к информации в самом смартфоне ФБР инициировало судебное предписание к «Apple», в котором потребовало: 1) отключить функцию, которая уничтожает данные на телефоне после десяти неправильных попыток ввода кода разблокирования; 2) обеспечить возможность ввода этого кода электронным способом; 3) отключить задержку между попытками ввода. Иными словами, ФБР ожидало, что компания создаст «черный ход» для взлома iPhone. По мнению представителей Министерства юстиции США, «Apple» имеет техническую возможность для использования системы перебора паролей, но не желает ее использовать. По информации СМИ, впоследствии Министерство юстиции прекратило судебное дело против «Apple», заявив, что уже получило доступ к данным, хранящимся на заблокированном телефоне.

Европейский суд в своих решениях указывает, что гарантиям Европейской конвенции о защите прав человека и основных свобод «будет нанесен непоправимый ущерб, если использование современных научных методов в системе уголовного правосудия будет разрешено без ограничений и без тщательного соблюдения баланса между потенциальной пользой от применения таких методов и интересами, связанными с защитой частной жизни»[18]. Применительно к судебной практике такого рода интерес представляет дело «S. и Марпер против Соединенного Королевства», постановление по которому было вынесено Большой палатой ЕСПЧ 4 декабря 2008 года. Заявители обжаловали бессрочное хранение в полицейской базе данных отпечатков пальцев, образцов клеток и профилей ДНК после того, как уголовное преследование закончилось для одного из них оправдательным приговором, а для другого – прекращением дела. Оба просили уничтожить информацию, однако получили отказ: по закону Великобритании «О полиции и доказательствах по уголовным делам» 1984 года, биоматериалы, взятые у подозреваемого в совершении преступления, могут храниться неограниченное время даже в том случае, если он оправдан и с него сняты обвинения. Само по себе хранение отпечатков пальцев и ДНК-профилей в данной ситуации Европейский суд признал правомерным. Вопрос заключался в том, оправдано ли хранение биологических данных заявителей, не признанных виновными в совершении преступлений, и оправдано ли постоянное хранение такой информации. Проанализировав законодательства других государств-участников Европейской конвенции, суд обнаружил, что большинство из них предпочли ограничить во времени хранение биологических данных. В решении по делу ЕСПЧ написал, что поражен всеобъемлющим и не делающим различий характером полномочий властей Англии и Уэльса по хранению информации личного характера без учета ее характера, степени тяжести преступления и возраста подозреваемого. Бессрочное хранение данных лиц, не признанных виновными, противоречит презумпции невиновности, – добавил суд. ЕСПЧ пришел к выводу о нарушении Соединенным Королевством положений Европейской конвенции и напомнил: «Защита, предоставляемая статьей 8 Конвенции, недопустимо ослабнет, если использование современных научных методов в ходе производства по уголовным делам будет разрешено любой ценой»[19].

 

Суд интересуется Россией

В декабре 2015 года ЕСПЧ вынес прецедентное решение по делу «Роман Захаров против России»[20], связанное с доступом спецслужб к данным о телефонных переговорах пользователей. Ранее, оценивая в своих решениях использование государствами методов скрытого наблюдения и «прослушки», ЕСПЧ указывал, что, поскольку «демократическим обществам в настоящее время угрожают весьма изощренные формы шпионажа и терроризма», государство должно иметь возможность вести скрытое наблюдение за лицами, осуществляющими подрывную деятельность на его территории»[21]. Однако оно не может делать всего, что ему кажется необходимым[22]. Заявитель по российскому делу, руководитель регионального центра Фонда защиты гласности в Санкт-Петербурге Роман Захаров, жаловался на то, что отсутствие в России строгих процессуальных гарантий позволяет спецслужбам бесконтрольно прослушивать мобильные переговоры с помощью оборудования, устанавливаемого операторами связи для проведения оперативно-розыскных мероприятий (СОРМ). В российских судах Захаров не смог доказать, что лично его телефонные переговоры прослушивались, но, несмотря на это, ЕСПЧ жалобу к рассмотрению принял. Позиция российских судов заключалась в том, что сама по себе установка СОРМ не может расцениваться как вмешательство в тайну коммуникаций. Европейский суд возразил: заявитель не обязан был доказывать применение «прослушки» лично к нему, поскольку оспариваемые положения российского законодательства затрагивают всех пользователей мобильных сетей. Поэтому в данном деле суд исследовал на соответствие Конвенции само российское законодательство о негласном массовом надзоре за гражданами.

Прослушивание мобильных телефонов в России предусмотрено федеральным законом об оперативно-розыскной деятельности (ОРД) от 12 августа 1995 года № 144-ФЗ, Уголовно-процессуальным кодексом РФ (УПК), федеральным законом «О связи» от 7 июля 2003 года № 126-ФЗ и приказами, изданными Госкомсвязи РФ и его преемниками (в частности, приказом № 70 от 20 апреля 1999 года). ЕСПЧ согласился, что цели «прослушки» – предотвращение преступлений и защита национальной безопасности, общественного порядка и экономического благосостояния страны – вполне законны, но во избежание «разрушения демократии под предлогом ее защиты» законодательство должно устанавливать гарантии против злоупотреблений и ограничивать применение «прослушки» лишь теми случаями, когда это действительно необходимо. Причем в случаях, когда правоохранительные органы имеют прямой технический доступ к мобильным переговорам, заслон от злоупотреблений должен быть особенно эффективным.

В результате анализа российского законодательства о «прослушке» ЕСПЧ пришел к следующим выводам:

1) Правоохранительные органы в России имеют слишком широкие дискреционные полномочия при определении, какие события или действия создают угрозу и является ли угроза настолько серьезной, чтобы оправдать прослушивание телефонных переговоров.

2) Российское законодательство нечетко определяет ситуации, в которых начатая «прослушка» должна быть прекращена. Требование об этом содержится в статье 186 УПК («производство контроля и записи телефонных и иных переговоров прекращается, если необходимость в данной мере отпадает, но не позднее окончания предварительного расследования по уголовному делу»), но его нет в законе об ОРД. Соответственно, прослушивание переговоров на основании закона об ОРД – для получения сведений о событиях или действиях, создающих угрозу государственной, военной, экономической, информационной или экологической безопасности, – осуществляется без достаточных гарантий против злоупотреблений.

3) В российском законодательстве нет требований о немедленном уничтожении материалов, очевидно не связанных с целями прослушивания, и не определяется, когда после окончания судебного процесса соответствующие фрагменты уголовного дела подлежат уничтожению.

4) Процедура выдачи разрешений на «прослушку» недостаточно прозрачна: в большинстве случаев сотрудники правоохранительных органов не прилагают к своим ходатайствам подтверждающих материалов, а судьи не требуют их представления. В результате российские суды порой выдают разрешения на прослушивание всех мобильных телефонных переговоров в районе совершения преступления без указания конкретного лица и телефонного номера или без указания срока действия разрешения.

5) Прокурорский надзор за законностью проведения негласных ОРМ не отвечает требованиям Конвенции по трем основаниям: независимости, достаточности полномочий и открытости общественному контролю. Правительство РФ не смогло представить суду ни одного прокурорского решения о пресечении нарушения прав частных лиц в делах о «прослушке» и привлечении виновных к ответственности. Таким образом, практическая действенность прокурорского надзора в этой области может быть признана нулевой.

6) Человек, подозревающий, что его прослушивают, лишен эффективных средств правовой защиты. В результате суд признал, что законодательство РФ о «прослушке» не соответствует базовым принципам защиты личных данных, выработанных в практике ЕСПЧ, не отвечает критерию «качества закона» и не способно ограничить применение негласных методов наблюдения лишь теми случаями, когда это действительно необходимо[23].

Интересно сравнить описанную выше процедуру доступа к телефонным переговорам в России с тем, как это происходит в Соединенных Штатах Америки. Некоторые федеральные и местные правительственные учреждения США могут направлять в суд требование о раскрытии пользовательской информации в реальном времени: такие типы распоряжений суда направлены на сбор еще не существующей информации. Из всех запросов госорганов, предусмотренных законом США «О защите информации, передаваемой при помощи электронных систем связи», ордер на «прослушку» отличается наиболее сложной процедурой получения. Запрашивающий должен доказать следующее: а) некто совершает преступление, входящее в список Акта о прослушивании телефонных разговоров; б) при прослушивании телефонных разговоров будет производиться сбор информации по этому преступлению; в) преступление действительно связано с номером телефона или аккаунтом, которые будут прослушиваться. Закон предусматривает предел длительности прослушивания телефонных разговоров и требует оповещать пользователей о прослушивании. Ордер на использование автоматического регистратора телефонных переговоров или на перехват и слежение подразумевает, что компания передает пользовательские данные об обмене информацией (без содержимого разговоров) в реальном времени. С таким ордером государственный орган может получить данные о наборе номеров, маршрутизации, адресации и служебных сообщениях, а также номера набранных телефонов или используемые IP-адреса. Подобный тип ордера получить проще, если государственные инстанции способны подтвердить, что требуемая информация имеет отношение к текущему расследованию преступления. Причем в своих отчетах «Google», например, подчеркивает, что уведомляет пользователя по электронной почте, прежде чем раскрывать информацию, связанную с его аккаунтом, за исключением тех случаев, когда такое уведомление запрещено законом или судом, когда существует угроза жизни или здоровью какого-либо человека, когда есть основания полагать, что уведомление не попадет к настоящему владельцу аккаунта.

 

Бесценный отечественный опыт

Некоторые специализированные структуры включили постановление по делу «Роман Захаров против России» в топ-10 наиболее важных для развития международного права событий 2015 года. Так, правозащитная организация «European Human Rights Advocacy Centre» отмечает, что оно окажет влияние на аналогичные дела против Великобритании, ожидающие рассмотрения в ЕСПЧ. Интрига заключается в том, как именно ЕСПЧ проведет различие между массовой «прослушкой», имеющей место в деле Захарова, и целевой «прослушкой», имеющей место в британских делах[24]. Однако вряд ли стоит ожидать немедленной реакции со стороны России в части исправления дефектов российского законодательства, указанных в постановлении европейских судей по делу Захарова. В январе 2016 года на «круглом столе» в Санкт-Петербурге заявитель и представлявшие его интересы адвокаты обсуждали дальнейшие действия по исполнению решения; в частности, речь шла об обращении в суд для отключения абонентских номеров Захарова от системы СОРМ. По его мнению, поскольку постановление ЕСПЧ фактически доказало незаконность СОРМ в нынешнем виде, любой абонент может требовать у суда обязать операторов отключить его от этой системы. Российское законодательство предусматривает также возможность пересмотра решений российских судов по данному делу после принятия Европейским судом соответствующего постановления. Правозащитная организация «Гражданский контроль» намерена взаимодействовать с Комитетом министров Совета Европы для составления рекомендаций по изменению российского законодательства и нормативных актов, регламентирующих СОРМ. Речь идет, например, о выведении аппаратно-программных средств СОРМ из ведения ФСБ и МВД в подчинение Министерства юстиции; снятии запрета на регистрацию факта прослушивания; обязательного введения в алгоритм проведения «прослушки» командной строки о решении суда, без которого оперативно-розыскная деятельность не сможет осуществляться технически; установлении прозрачных процедур контроля над СОРМ.

 

***

Несколько десятилетий назад, когда появлялись международные договоры о защите личных данных, дискуссия о праве на приватность велась в рамках доктрины о правах человека. Сегодня она не может быть отделена ни от вопросов национальной безопасности и террористической угрозы, ни от экономических интересов частных компаний. Так или иначе, процессы глобализации с точки зрения экономики, преступности, работы правоохранительных органов, развития СМИ, информационных и коммуникационных сетей, быстро уменьшают размеры мира и требуют единой международной политики по вопросам конфиденциальности.

Вопросы доступа к личным данным, надо полагать, будут приобретать все большее значение в практике ЕСПЧ и национальных судов в результате развития технологий и растущего интереса к персональным данным со стороны государств и частных компаний. Сегодня во всем мире очевидны попытки усилить меры по государственному мониторингу Интернета, государственному контролю над деятельностью операторов связи, расширению доступа к данным пользователей телекоммуникационных услуг. В России об этом свидетельствует принятый недавно пакет поправок («закон Яровой») в антитеррористическое законодательство, предоставивший государству неограниченные возможности в сфере контроля за коммуникациями граждан. Европейский союз в свою очередь готовится ужесточить правила для Интернет-сервисов типа «WhatsApp» и «Skype», обязав их соблюдать требования безопасности и конфиденциальности наравне с операторами сотовой связи. Аналогичные поправки в законы о связи и о СМИ лоббируют и российские операторы связи. Безусловно, такое регулирование позволит ввести акторов цифрового мира в понятное правовое поле, но одновременно сделает privacy пользователей более доступным для властей.