Обзор статьи Daniel J. Solove, Murky Consent: An Approach to the Fictions of Consent in Privacy Law

В новой статье Д. Дж. Солоува предметом анализа выступили роль согласия в регулировании в области персональных данных, его основные недостатки как инструмента выражения воли субъекта, а также возможная траектория развития регулирования в области персональных данных.

Автор отмечает, что согласие играет значительную роль практически в любом регулировании в области персональных данных и называет согласие «золотым билетом», предоставляющим организациям обширные полномочия по сбору и дальнейшей обработке персональных данных.

При этом согласие, - считает автор, — в подавляющем большинстве случаев является не более, чем фикцией, поддерживаемой и законом и практикой. Согласие должно быть «осмысленным» [meaningful], что подразумевает его информированность, свободу предоставления (отсутствие принуждения и манипуляций со стороны организаций, в пользу которых предоставляется согласие) и возможность для субъекта оценить цену, преимущества и риски предоставления согласия. Закон, в частности, предъявляет к согласию требования «свободы…конкретности, информированности, сознательности, предметности и однозначности». Автор выражает сомнение по поводу того, что такое согласие в принципе реализуемо.

Автор выделяет два основных подхода к пониманию согласия в регулировании в области персональных данных: notice-and-choiceapproach(имеется в виду подход opt-out, при котором отсутствие возражения против опубликованной политики обработки персональных данных считается согласием) и expressconsentapproach(подход, требующий явно выраженного согласия), однако считает оба подхода несостоятельными, первый – из-за отсутствия какого-либо подтверждения наличия согласия, второй – из-за отсутствия масштабируемости такого подхода и невозможности ознакомиться с деятельностью организации, которой предоставляется «явное согласие».

Д. Солоув выделяет ряд системных недостатков актуальной концепции согласия на обработку персональных данных, которые можно условно разделить на три группы: связанные с субъектом, связанные с оператором и связанные с регулированием.

К недостаткам концепции, связанным с субъектом, относится невозможность соблюсти требование «информированности» согласия ввиду того, что объем информации и времени, необходимый для того, чтобы действительно оценить риски предоставления каждого согласия, превышает разумные пределы и ожидания субъекта. Автор отмечает, что система, которая бы предусматривала обязательный период ожидания длительностью 15-30 минут перед тем, как предоставить пользователю возможность принять политику, чтобы обеспечить ознакомление с ней, была бы неприменима на практике.

Многочисленные исследования, на которые ссылается автор, также продемонстрировали, что субъекты практически не читают политики обработки персональных данных, а если и читают, то едва ли понимают их из-за больших объемов специальной лексики и технических подробностей.

К этой же группе недостатков относятся многочисленные «предубеждения» [biases] и иллюзорность свободы воли, присущие субъектам в информационном обществе: несмотря на то, что при подходе «соглашайся или уходи» [take-it-or-leave-it terms] (когда у субъекта есть выбор или пользоваться сервисом на условиях поставщика, или не пользоваться им вовсе), у субъекта есть возможность «уйти», цена такого решения зачастую слишком высока, чтобы считать выбор «остаться» поистине свободным. К числу «предубеждений» также относится так называемое «предубеждение оптимиста» или «ошибка оптимизма» [optimism bias], которая заключается в том, что люди в среднем склонны переоценивать вероятность наступления положительных событий и недооценивать вероятность наступления событий негативных и потому редко задумываются о последствиях совершенных в мире электронной коммерции выборах.

К тому же, субъекты – «тоже люди», в связи с чем большое количество запросов на предоставление согласий, – а именно этого требует современное регулирование в области персональных данных практически в каждой юрисдикции, где оно в принципе представлено, – неизбежно вызывает «усталость от согласий» [consent fatigue], которая существенно снижает или даже полностью рассеивает внимание субъекта во время предоставления того или иного согласия.

К недостаткам концепции, связанным с регулированием, относятся глобальный сохраняющийся тренд на использование согласия в качестве одного из ключевых оснований обработки персональных данных, несмотря на его многочисленные недостатки, а также уверенные попытки законодателей различных стран мира разрешить существующие проблемы формальными инструментами (например, некоторые законы в области персональных данных вместо молчаливого согласия требуют явно выраженное действие, игнорируя, тем не менее, отсутствие возможности подтвердить, что это действие было сделано осознанно, с пониманием всех рисков и последствий).

Также к недостаткам, связанным с регулированием и опосредующей его правоприменительной практикой, является распространенная практика включения в различные документы, определяющие условия обработки персональных данных, положения о возможности одностороннего изменения этих документов, что, по сути, приводит к тому, что субъекты подписываются под «пустым листом».

Еще одним, не менее важным недостатком концепции, связанным с регулированием, является его формальность, зачастую перевешивающая практичность: так, Д. Солоув ссылается на исследование политик обработки персональных данных до вступления в силу нового общеевропейского регулирования (General Data Protection Regulation) и после, не выявившее существенных улучшений в части прозрачности обработки персональных данных и понятность таких политик. Более того, если в 2008 году средняя длина таких политик составляла 2514 слов, в 2018 году средняя длина составила уже 3964 слова – на 58% больше.

К недостаткам концепции согласия, связанным с оператором персональных данных (организацией, которая обрабатывает персональные данные), относится многообразие возможностей операторов по принуждению и манипулированию субъектами с целью получения согласия и легализации дальнейшей обработки персональных данных.

К той же категории относится и широта усмотрения оператора персональных данных по обеспечению прозрачности их обработки: даже опубликовав на первый взгляд «прозрачную» и понятную политику обработки персональных данных, оператор может использовать многочисленные уловки для того, чтобы получить дополнительную выгоду из собранных данных (например, делая предположения [inferences] с помощью технологий больших данных, тем самым обогащая персональные данные без ведома субъекта).

Более того, едва ли операторы персональных данных могут эффективно обеспечить прозрачность обработки персональных данных, так как для того, чтобы предоставить по-настоящему всеобъемлющую информацию о подобных процессах, потребовалось бы опубликовать многочисленные внутренние нормативные документы, сертификаты безопасности, договоры с контрагентами, типовые оговорки, формы согласий и многое-многое другое.

При этом, как метко замечает Д. Дж. Солоув, «тот факт, что люди не задумываются о приватности, не значит, что им все равно» [The fact that people fail to think about privacy does not indicate they do not care], в связи с чем описанные проблемы необходимо принимать во внимание и разрешать в кратчайшие сроки. В качестве решения автор предлагает «туманное согласие» – концепцию, изначально исходящую из того, что идеальное согласие недостижимо, а существующая концепция – не более, чем еще одна юридическая фикция.

«Согласие [в текущем виде] не работает, но не работает и его отсутствие» [consent doesn’t work, but not having consent also doesn’t work], а «механизм электронной коммерции должен быть смазан ложью» [the machinery of the digital economy must be lubricated by lies]. «Туманное согласие» – то, что отвечает на эти вызовы, – считает автор.

Концепция «туманного согласия» предполагает существенные ограничения широты предоставляемых согласием полномочий по обработке персональных данных – эффективности согласия как основания, то есть, инструмента легализации обработки персональных данных.

Во-первых, автор предлагает отказаться от «бинарного» подхода к концепции согласия, так как между информированным согласием и его отсутствием, по его мнению, - не один шаг, а целый спектр различных вариантов, и допустимо не исключать возможность обработки при отсутствии однозначно информированного согласия, а пропорционально ограничивать ее.

Во-вторых, вместе с довольно противоречивым утверждением, приведенным выше, автор заявляет о необходимости внедрения дополнительных защитных мер [guardrails], ограничивающих «силу туманного согласия»: ограничение срока обработки и объема обрабатываемых персональных данных, особые обязанности по защите интересов субъекта, адекватные процедуры получения и отзыва согласия, а также избегание вреда обществу (третьим лицам, их правам и т. д.).

По сути, описанные защитные меры во многом раскрывают классические принципы обработки персональных данных, прочно закрепившиеся в большинстве, если не во всех актах регулирования в области персональных данных.

«Туманное согласие» должно позволять обрабатывать лишь минимально необходимый для достижения заявленной цели объем данных и только в течение минимально необходимого периода времени; интересы субъекта должны быть учтены, а риски, не обоснованные выгодой для субъекта, должны быть исключены; согласие не должно быть получено с нарушением закона или с использованием манипуляции (принцип «чистых рук» [clean hands]) и должно всегда быть отзываемо; согласие не должно влечь какого-либо вреда обществу.

Автор считает, что подобный подход – единственный выход из сложившейся ситуации, в которой к согласию предъявляются все большие требования, обуславливающие все большую легитимность, но остающиеся неисполнимыми.

Концепция «туманного согласия» действительно может обеспечить иронично более высокую степень «прозрачности» и предсказуемости отношений в области обработки персональных данных, однако, реализация такой концепции потребует разработки или адаптации объемного инструментария, который должен будет обеспечить функционирование всех предлагаемых ограничений: понадобятся исчерпывающие критерии того, что является манипуляцией, что является обоснованным риском и в каком случае интересы субъекта считаются учтенными или нет – это и многое другое отделяет неидеальный, но идеалистический мир, критикуемый автором, от неидеального практического мира, предлагаемого им.

Независимо от того, будет в дальнейшем выбран предлагаемый автором подход или сохранен действующий подход, нельзя не согласиться с Д. Дж. Солоувом в том, что «законодательство в области персональных данных [privacy] по-прежнему нуждается в существенной доработке для того, чтобы действительно обеспечивать безопасность».

Автор: Кирилл Зюбанов

Аспирант 1 года обучения