Обзор статьи “Reconciling transparency and privacy through the European Digital Identity”. Автор: A.M. Mooij

Mooij A.M. (2023) Reconciling transparency  and privacy through the European Digital Identity //Computer Law & Security Review, Vol. 48
DOI:doi.org/10.1016/j.clsr.2023.105796 

Галимова Диана
Студент магистратуры НИУ ВШЭ “Цифровое право”

Автор статьи анализирует возможность сохранения баланса между конфиденциальностью и прозрачностью, основываясь на решение Суда Европейского Союза (CJEU) о правомерности распространения информации в The Ultimate Beneficial Ownership registry (UBO) - это реестр с информацией о компаниях и их бенефициарах, созданный для целей борьбы с отмыванием денег и финансированием терроризма. Реестр является публичным (данные в нем доступны любому желающему без ограничений), что и стало поводом для рассмотрения судом вопроса: законно ли предоставлять доступ к обширным персональным данным «любому представителю широкой общественности» ( «any member of the general public», Directive 2018/843). 

Реестр действует в рамках Европейского Союза, каждая страна которого, отдельно регламентирует деятельность реестра на уровне своего законодательства. В соответствии с законодательством Люксембурга, данные включают полное имя, гражданство, дату рождения, место рождения, страну проживания, полный адрес и идентификационный номер. Также предусмотрена возможность скрывать информацию по запросу при наличии риска мошенничества, похищения, шантажа, вымогательства, преследования, насилия или запугивания, перечень оснований является закрытым.

Автор рассматривает два дела с отказами на данный запрос. В первом истец ссылался на наличие риска для него и его семьи в связи с его профессиональными обязательствами ездить в командировки в страны с нестабильными режимами и высокой преступностью. Во втором деле истец ссылался на нарушение прав на частную жизнь и защиту данных, закрепленных в статьях 7 и 8 Хартии основных прав ЕС (далее- Хартия).

Генеральный адвокат поставил три основных вопроса: соотношение деятельности реестра с Хартией; законность публичного доступа с точки зрения GDPR; возможность продолжения эффективной борьбы с финансированием терроризма и отмыванием денежных средств при отсутствии публичного доступа к реестру. 

Адвокат подтверждает наличие риска нарушения статей 7 и 8 Хартии, однако, подчеркивает, что цель реестра перевешивает по своей значимости. Также он говорит о необходимости предоставлять информацию из реестра только после регистрации (что позволит как минимум идентифицровать зарегистрированное лицо), так как тот, кто получает доступ, становится обработчиком и обязан соблюдать GDPR, по мнению генерального адвоката (в частности, соблюдать обязанности по уточнению, удалению данных по запросу субъекта). 

Суд решил, что публичный доступ не обязателен для целей предотвращения отмывания денег и финансирования терроризма, доступ необходим для ограниченного круга лиц - пресса, лица, заключающие сделки, и государственные органы, предотвращающие отмывание доходов и финансирование терроризма. Суд подчеркнул необходимость введения онлайн-регистрации для идентификации лиц.

Автор предлагает решить проблему через “кошелек данных” - это аналог кошелька с криптовалютой, то есть смарт-контракт, где данные будут передаваться посредством транзакции, что повысит безопасность. Кошельки данных создаются на базе технологий блокчейн или иных, сходных с похожими системами для управления криптовалютой, и будут содержать личную информацию бенефициаров. Однако, предполагается, что более общая информация будет в публичном доступе. Владельца кошельков предстоит решать, у кого есть законная цель в получении информации и предоставлять ее. Все это может быть реализовано посредством eID (карта eID позволяет гражданам Евросоюза и жителям Европейского экономического пространства осуществлять в цифровой форме взаимодействие с властями и бизнес-деятельность). Важно предусмотреть возможность совмещения eID разных стран, пока что на практике это является проблемой. Недостатком является невозможность простого просмотра информации, фактически каждый запрос данных посредством транзакции порождает получение, хранение, в общем, обработку данных, что подпадает под законодательство о персональных данных и налагает ряд обязательств.  Однако, в целом, данный вариант, действительно, сильно повышает безопасность и решает обозначенные в статье проблемы.