Попробуйте быстро ответить - какой у вас пароль для сайта New York Times? Немногие вещи раздражают больше, чем пытаться запомнить множество разных имен пользователей и паролей. Один для вашего банка, другой для вашей электронной почты, еще один для пенсионного счета, который вы проверяете раз в год - все это быстро утомляет.
В 1999 году Microsoft предложила решение: программу «dot-NET Passport», систему цифровой идентификации, предназначенную для упрощения навигации по сайтам, защищенным паролем. Идея заключалась в том, чтобы зарегистрировать соответствующую личную идентификационную информацию один раз в Microsoft, а затем использовать имя паспорта dot-NET и идентификационный номер для доступа к множеству веб-страниц и, таким образом, автоматически передавать соответствующую личную информацию на сайт при необходимости. Паспорт dot-NET удобно хранит всю вашу секретную информацию для вас, избавляя от необходимости осуществлять вход в систему каждый раз.
Это затронуло проблему конфиденциальности. Будет ли Microsoft хранить личную информацию в безопасности? Как она будет использовать эту информацию? Может продаст или обменяет? Должна ли Microsoft раскрывать информацию третьим лицам? Десять лет назад интернет-эксперты утверждали, что такие вопросы конфиденциальности должны решаться только интернет-сообществом, и что правительства в значительной степени не имеют к этому отношения. Однако, как и во многих других вопросах, ожидаемый крах национального суверенитета не произошел. Вместо этого произошел сдвиг. Многие американцы будут удивлены, узнав, что последнее слово о законности паспорта Microsoft dot-NET ставится не в Вашингтоне, в округе Колумбия или в Силиконовой долине, а в Брюсселе. Для многих целей Европейский Союз сегодня является эффективным сувереном глобального права на неприкосновенность частной жизни.
Первым регулятором системы dot-NET Passport, безусловно, была Федеральная торговая комиссия США (FTC). После ряда жалоб со стороны групп потребителей, FTC объявила в августе 2002 года, что Microsoft ложно представила свои средства защиты для паспорта dot-NET, и потребовала от компании поддерживать более комплексную программу защиты информации. Microsoft согласилась внести изменения, и казалось, что ее юридические проблемы с Dot-NET Passport закончились.
Но проблемы остались. Ранее в том же году следователи Европейского Союза вызвали Microsoft в Брюссель. Это был знакомый путь для компании, которая уже годами борется с европейскими чиновниками, которые рассматривают компанию как незаконного монополиста. На этот раз, вызвали чиновники по вопросам конфиденциальности из «Рабочей группы по защите данных по статье 29». Европейские чиновники по вопросам конфиденциальности хотели узнать больше о том, как Microsoft собирает пользовательские данные и что делает с ними.
Как ЕС может заявить о своей правовой власти над американской компанией? В ЕС действуют самые детальные и самые строгие в мире законы о конфиденциальности данных. Европейская директива о защите данных была введена в 1998 году. Он регулирует любой «контроллер данных», то есть любого, кто «обрабатывает» собираемые ими данные. Помимо всего прочего, это означает, что закон распространяется на обычных людей, которые случайно получают информацию о своих друзьях. Например, в 2003 году шведка по имени Бодил Линдквист была оштрафована на 450 евро. Ее нарушение состояло в том, что она опубликована личные данные своих прихожан без получения от них предварительного согласия.
Для хранителей персональных данных, таких как Microsoft и Ms. Lindqvist, Директива предъявляет три относительно жестких требования. Во-первых, они должны сообщить потребителям, почему они собирают личные данные и получить на это «однозначное» согласие. Во-вторых, данные должны использоваться только для целей, указанных при их сборе, и не перенаправляться на другие цели. Наконец, собранные данные должны иметь разумное отношение к целям, для которых они собираются. К этим основным требованиям Директива добавляет дополнительную защиту «специальной информации», а именно защиту «данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзе, данные о здоровье и сексуальной жизни и т. д». Именно это последнее положение доставило мисс Линдквист неприятности. Она открыла миру, что один из членов церкви повредил ногу и, следовательно, он будет некоторое время отсутствовать. Что касается данных, касающихся здоровья, то они охранялись законодательством ЕС, поэтому г-жа Линдквист была оштрафована.
Что делает закон Европейского Союза особенно спорным, так это его тотальный географический охват. Статья 4 Европейской директивы применяется не только к компаниям, созданным в Европе, но и к любой компании, которая использует «оборудование» или «средства» обработки данных, которые находятся в Европе, и применяются к любой компании, к которой может быть применено международное право. Это положение было истолковано европейскими официальными лицами очень расширительно и позволяло охватить деятельность практически любой компании, которая собирает информацию о европейских гражданах.
В соответствии с Директивой 1998 года Комиссия ЕС вызвала Microsoft и выразила обеспокоенность, тем, что Microsoft собирает больше данных, чем необходимо для целей своей программы. У Microsoft был выбор: она могла бы начать соответствовать юридическим требованиям ЕС или вообще выйти из европейского рынка, что сделало бы невозможным применение законов ЕС. Второй вариант был исключен: на европейский рынок приходится около трети всех продаж Microsoft. Решение было предрешено, и к январю 2003 года Microsoft и ЕС заключили соглашение. Microsoft приняла условия Европейская комиссия, что повлекло «радикальные» изменения в том, как dot-NET Passport управляет пользовательскими данными, включая контроль над процедурой передачи данных.
Гораздо интереснее было то, что Microsoft пошла дальше. Она решил внедрить свои изменения в dot-NET Passport не только для своих европейских операций, но и во всем мире. Независимо от того, находитесь ли вы в Майами, Окленде, Тимбукту или где-то посередине, при использовании Паспорта dot-NET вы используете продукт, созданный европейскими органами по защите конфиденциальности. Европейский Союз регулировал паспорт dot-NET от имени европейцев, но оказалось, что это было влияние на весь мир, по крайней мере, в отношении глобальных компаний, которые ведут бизнес в Европе.
Решение Microsoft подчиниться европейскому правилу отражает обычную, но важную для крупных компаний практику. В предыдущей главе мы видели, что решение Австралии по делу Гутника не оказало существенного влияния на бизнес издания Dow Jones, потому что Dow Jones может либо отфильтровывать своих австралийских читателей, либо вообще прекратить вести бизнес в Австралии. Это был реальный вариант для Dow Jones, потому что скрининг контента в этом контексте выполним, и потому что у него был относительно небольшой рынок в Австралии. Но ситуация Microsoft отличалась кардинально. У них был огромный рынок в Европе, от которого невозможно было отказаться, и система паспортов dot-NET предполагала смешивание данных пользователей из различных стран, что исключало фильтрацию по географическому местонахождению. В такой ситуации, когда большой и важный рынок налагает ограничительное правило, и где географическая дискриминация практически невозможна, ограничительное правило во многих случаях будет доминирующим правилом для всего мира.
Здесь нет ничего нового или необычного. Доминирование правила ЕС - это то, что Марк Ротенберг из Электронного информационного центра конфиденциальности называет «эффектом Калифорнии», применяемым в глобальном масштабе. Когда Калифорния установит новые стандарты выбросов для автомобилей, General Motors будет производить автомобили в соответствии с калифорнийским стандартом для всей территории США. Этот выбор объясняется тем, что создавать автомобили, изготовленные по индивидуальным заказам для Калифорнии, дороже, чем просто разработать один автомобиль для всей страны. Калифорния, как правило, больше заботится об окружающей среде, чем другие штаты, и по этой причине она устанавливает для всех стандарты в производстве автомобилей. Европа больше заботится о конфиденциальности, чем другие регионы, и поэтому она является законодателем моды в стандартах конфиденциальности. Но если бы Саудовская Аравия, Мексика или Россия ввели стандарты конфиденциальности, более строгие, чем стандарты ЕС, Microsoft не смогла бы соблюдать еще более ограничительный стандарт в глобальном масштабе. Они будут вынуждены либо вообще покинуть эти рынки, либо заплатят штраф за нарушение конфиденциальности, в зависимости от того, что дешевле. Одностороннее глобальное законодательство такого рода, которое ЕС выдвигает в контексте конфиденциальности, зависит от их значительной рыночной власти.
Таким образом, европейские законы о неприкосновенности частной жизни являются четвертым типом глобального права: это не договор, как Конвенция о киберпреступности; не влияние через архитектуру Интернета, как например, власть ICANN с доминированием в США; и не торговый спор, как в примере с азартными играми в Интернете. Это, скорее, глобальный закон, проистекающий из необычного сочетания огромной рыночной власти Европы и ее особой заботы о неприкосновенности частной жизни своих граждан. Для Соединенных Штатов, страны, которая много сделала для того, чтобы уйти от влияния европейского правления два века назад, звучит необычно перспектива жить по правилам, установленным европейцами. Многим американцам может понравиться правило, пришедшее из Европы, где защита неприкосновенности частной жизни гораздо более высокая, чем защита, предусмотренная американскими законами. Конечно, это означает, что все американские пользователи паспорта dot-NET должны принять и оплатить дополнительную защиту конфиденциальности, которую должна обеспечить Microsoft, независимо от того, хотят ли они этого или нет. И затем возникает вопрос о том, нравится ли американцам руководствоваться законами, которые они не принимали, - вопрос, который обычно задают в других странах в связи с влиянием американской мощи.