Qazaq24.com сообщает, ссылаясь на сайт Kazpravda.KZ.
– Екатерина Васильевна, адаптация главного закона страны к новым цифровым реалиям считается одним из аргументов принятия новой Конституции. На что оппоненты приводят пример Америки, где цифровизация развивается и без изменений правовой базы на таком уровне. Что вы думаете по этому поводу?
– Да, в качестве контраргумента действительно часто приводится Конституция США, которая действует столетиями. Но такое сравнение не совсем корректно, потому что мы живем в разных правовых системах, где конституции выполняют разную роль.
В США работает общее право, где развитие конституционных норм происходит прежде всего через судебные прецеденты. Суды интерпретируют конституционные положения и адаптируют их к меняющимся реалиям. То есть развитие конституционного содержания там происходит не столько через изменение текста, сколько через судебную практику.
Наша правовая система континентальная. В ней прецедент не является источником права, а суды опираются на нормы Конституции и законов. Поэтому нормы в таких системах более детализированы, а регулирование обновляется прежде всего через изменение законов, включая Конституцию.
Если в континентальной системе долго не обновлять нормативную основу, регулирование начинает отставать от реальности. В условиях перехода от цифровой эпохи к эпохе искусственного интеллекта это создает риски и для экономики, и для защиты прав граждан. И речь идет не столько о самих технологиях, сколько о новых общественных отношениях, которые возникают вместе с их развитием.
Поэтому с учетом различий правовых систем и роли Конституции в регулировании для нас конституционное закрепление принципов цифровой среды является оправданным и своевременным шагом.
– Хорошо, а как же Европа с континентальной системой права?
– Это тоже частый вопрос, потому что с европейскими странами у нас как раз совпадает правовая «семья». Но здесь есть несколько «но».
Во-первых, европейские конституции в целом изменялись значительно чаще, чем Конституция США. Во многих странах они пересматривались десятки раз, а в ряде государств за послевоенный период принимались и новые редакции конституций. То есть сама идея конституционной эволюции для континентальной Европы – это нормальная практика.
Во-вторых, европейские государства значительно старше нас институционально. Они имеют опытные, устойчивые и сильные институты конституционного правосудия и правоприменения. И именно зрелость этих институтов позволяет европейским системам права во многом адаптировать конституционные нормы через их интерпретацию на уровне судебной практики. То есть развитие происходит не только через изменение текста, но и через его устойчивое толкование авторитетными институтами.
В наших условиях институциональная система еще сравнительно молода, и такой масштабной компенсирующей роли судебной интерпретации пока объективно нет. Поэтому обновление базовых принципов регулирования в большей степени требует нормативного закрепления на конституционном уровне. Когда нашей конституционной системе будет столько же лет, сколько европейским, частота обращений к конституционным изменениям естественным образом снизится.
Кстати, в новом проекте Конституции именно для усиления конституционного правосудия заложено очень много норм. Так что мы идем очень последовательно.
– В контексте обсуждения новой редакции Конституции часто звучат тезисы о том, что в нее впервые включены цифровые права человека. Что это за новые права или это метафора?
– Сегодня термин «цифровые права» действительно широко используется, но важно понимать его природу. В нашем подходе, в том числе в Цифровом кодексе, мы сознательно избегаем формулировки «цифровые права» и говорим о правах человека в цифровой среде.
Сочетание «цифровые права» происходит из одной из современных, но пока не принятых научных теорий, согласно которой права, связанные с цифровой эпохой, рассматриваются как возможное четвертое поколение прав человека. К первому относятся гражданские и политические права, возникшие как ограничения абсолютной власти, ко второму – социально-экономические права, сформировавшиеся в индустриальную эпоху, к третьему – солидарные или коллективные права, связанные с глобальными вызовами и международным сотрудничеством.
В этом контексте некоторые исследователи говорят о цифровых правах как о новом поколении, возникшем под влиянием цифровых и сейчас уже когнитивных технологий. Однако эта концепция пока не является общепризнанной в юридической доктрине и тем более не закреплена в конституционном праве. С практической точки зрения речь идет не о принципиально новых правах, а о том, что базовые права человека реализуются в цифровой среде и требуют специальных гарантий. То есть меняется не сама природа прав, а условия их осуществления.
Поэтому то, что иногда называют «цифровыми правами», – это, по сути, традиционные права человека, актуализированные цифровой средой. К ним, например, относят защиту персональных данных и частной жизни, защиту от неправомерных автоматизированных и алгоритмических решений, право на доступ к цифровой инфраструктуре и Интернету.
В проекте новой Конституции речь идет о конституционном закреплении того, что права человека действуют и подлежат защите в цифровой среде.
– Вы назвали право на доступ к Интернету. Это актуально, поскольку он до сих пор есть не у всех. Почему в проекте Конституции нет права на Интернет как отдельной гарантии?
– В проекте Конституции действительно не закреплено отдельное право на Интернет. Но в этом и нет необходимости. Интернет – это среда и способ доступа к уже существующим конституционным правам и услугам. Через Интернет человек реализует право на образование, на получение медицинской помощи, на доступ к информации, на участие в общественной жизни, на инклюзивную среду. То есть Интернет выступает инфраструктурой реализации прав, а не отдельным объектом права.
Если в Конституции закреплены сами базовые права и гарантирован их доступ, то возможность пользоваться Интернетом для их реализации фактически уже подразумевается. Это инструмент обеспечения конституционных прав. Поэтому отдельное «право на Интернет» – скорее техническая конструкция, которая обычно не закрепляется на уровне Конституции. Хотя в ряде стран такие формулировки действительно появляются, но чаще они отражают принцип цифровой доступности, а не установление нового самостоятельного конституционного права.
– Вы отметили, что мы находимся на стыке двух эпох – цифровой и когнитивной – эпохи искусственного интеллекта. Если проект Конституции – это не только про настоящее, но и немного про будущее, то почему там не упоминается искусственный интеллект, хотя все называют его чуть ли не главным актором будущего?
– На самом деле здесь есть определенное публичное заблуждение, связанное с тем, что искусственный интеллект нередко воспринимается как самостоятельный актор. Но на сегодняшний день ИИ не является субъектом права и не может рассматриваться как участник конституционных правоотношений. Конституция регулирует отношения между людьми, обществом и государством.
В этом смысле отсутствие прямого упоминания искусственного интеллекта в Конституции не является пробелом. Напротив, принципиально важно, что Конституция признает субъектом права только человека. И этого уже достаточно, чтобы задать рамку защиты в любых взаимодействиях человека в цифровой среде, включая взаимодействие с ИИ.
Ключевой вопрос здесь не в том, чтобы описывать саму технологию, а в том, чтобы гарантировать права человека в ситуациях ее применения. И такие гарантии в проекте Конституции прямо закреплены. Прежде всего это право на защиту персональных данных и частной жизни, включая их защиту при применении цифровых технологий. Это право человека знать и получать доступ к затрагивающей его информации, что фактически обеспечивает прозрачность алгоритмических выводов. Это право на судебную защиту и оспаривание решений, в том числе основанных на автоматизированной обработке данных. Это гарантии защиты чести и достоинства личности, которые препятствуют алгоритмической дискриминации и неправомерному профилированию. И, наконец, это конституционные процессуальные гарантии – презумпция невиновности, право на защиту и справедливое разбирательство, которые исключают возможность безусловного автоматизированного принятия решений без участия человека.
Именно эти права становятся критически важными в цифровой среде, потому что основные риски ИИ-систем связаны именно с последствиями автоматизированных решений для человека. Поэтому конституционная защита строится вокруг человека.
– Что дает упоминание в Конституции права на защиту персональных данных?
– Конституционное закрепление права на защиту персональных данных фактически вводит поэтапный конституционный фильтр для любого обращения с информацией о человеке. Это означает, что всякий раз, когда кто-то использует персональные данные, возникает последовательная проверка. Каждому человеку должно быть понятно, кто и на каком основании берет данные, зачем они нужны и как они защищены. Но у этой нормы есть и более глубокий смысл.
Если раньше персональные данные представляли собой относительно ограниченный набор сведений – имя, адрес, дата рождения, которые фиксировались локально на бумаге в папочке, то сегодня их объем и природа радикально изменились. Интернет вещей порождает непрерывный поток цифровых сведений – геолокацию, поведенческие привычки, потребительские и финансовые данные, коммуникации, социальные связи и множество иных идентификаторов. Живя обычной жизнью, мы везде оставляем «цифровой след».
Эти разрозненные сведения сами по себе малоинформативны, но вот когда они собираются вместе и анализируются… В результате формируется целостный цифровой профиль человека, как резюме только в десятки раз подробнее. И нам важно защитить именно этот набор информации. Причем это особенно сложная сфера защиты, потому что цифровые следы трудно удалить, а профиль ИИ собирает очень быстро на основе больших массивов данных, зачастую вне прямого контроля самого человека.
Поэтому конституционное признание права на защиту персональных данных принципиально важно. Оно закрепляет саму идею того, что данные – это продолжение личности, а их использование затрагивает человека как субъекта. И тем самым Конституция закладывает основу парадигмы защиты цифрового профиля и цифровой личности человека в современной цифровой среде.
– Если предлагаемый проект будет принят, что нужно будет изменить в регулировании персональных данных?
– Повышение уровня защиты персональных данных до конституционного даст нам возможность продолжить работу над совершенствованием законодательства в этой сфере по ряду направлений. Приведу некоторые примеры.
Во-первых, нам уже сегодня важно четко отделить распространение данных для определенного круга лиц от размещения в общедоступных источниках как разных по правовой природе действий. Сегодня многие операторы, пользуясь согласием человека на передачу третьим лицам, делают данные публичными, что недопустимо.
Нужно будет поработать над повышением ответственности при использовании публичных данных. Ведь даже если человек сам разместил данные в открытом доступе, это не значит, что можно совершать с ними любые действия, в том числе незаконные.
Мы технически готовы заменить выгрузку баз данных передачей преимущественно через интеграцию цифровых систем. Вместо того чтобы передавать целые базы данных, системы должны обмениваться только необходимыми сведениями через защищенные цифровые каналы. Ведь при каждой выгрузке массивов данных мы фактически расширяем поверхность риска и увеличиваем объем защищаемой информации.
В случае нарушения правильным будет, если операторы будут информировать не только уполномоченный орган, но и самих субъектов персональных данных о нарушении их безопасности в установленный срок.
Если данные человека скомпрометированы, то в отношении его действий со счетами, кредитами и так далее должна быть определенная настороженность. Это можно осуществить через сервисы цифрового правительства.
Смещение акцентов о защите персональных данных на уровне главного закона страны позволит в целом переориентировать фокус защиты «от информации» (управления потоками, контентом, содержанием) к защите самой информации о человеке. Тем более что такая защита предполагает использование методов, которые лучше не импортировать. Поэтому речь не только об изменениях в законах, а о большой организационной работе по защите персональных данных граждан.
Будет, конечно, пересматриваться и ответственность. Но здесь важны именно обоснованные действия на базе расчетов и анализа регуляторного воздействия.
Нам также предстоит внедрить вопросы кибергигиены и цифровой грамотности во все сферы жизнедеятельности человека – от рабочего места до личного гаджета. Без этого компонента мы просто утонем в бесконечном потоке инцидентов, связанных с использованием персональных данных для совершения незаконных действий.
– Со взрослыми все понятно, мы часто сами даем согласие на обработку данных, а потом удивляемся, почему они утекли. А дети? Если согласие подписал ребенок, оно легитимно?
– Ключевой вопрос – точный возраст ребенка, потому что он определяет объем дееспособности. По гражданскому законодательству до 14 лет ребенок считается малолетним и не может самостоятельно давать юридически значимое согласие, каким является согласие на сбор и обработку персональных данных. В таких случаях согласие должно исходить от родителей или законных представителей, а собственное согласие ребенка юридической силы не имеет.
С 14 до 18 лет у подростка возникает частичная дееспособность. Он может самостоятельно совершать ряд действий, в том числе присоединяться к пользовательским соглашениям цифровых сервисов. Но если речь идет о более чувствительных операциях, например, о передаче данных третьим лицам или их коммерческом использовании, то участие родителей все равно требуется.
Важно понимать, что в Интернете ребенок обычно не подписывает отдельное согласие в классическом юридическом смысле. Чаще всего он присоединяется к пользовательскому соглашению (публичной оферте сервиса), ставя галочку. Это договор присоединения, внутри которого уже содержатся условия обработки данных.
Таким образом, до 14 лет согласие ребенка на обработку персональных данных юридической силы не имеет, с 14 до 18 лет оно ограничено по объему, а полная самостоятельность наступает только с совершеннолетием.
– Получается, что дети самостоятельно не могут регистрироваться в социальных сетях?
– Получается интересная ситуация. С одной стороны, в законе действительно имеется возрастной фильтр согласия, ведь возможность распоряжаться персональными данными напрямую связана с дееспособностью. То есть с точки зрения национального права регистрация ребенка в соцсети до 14 лет допустима только при согласии родителей.
Однако большинство платформ находятся в других юрисдикциях и не встроены в национальные механизмы проверки возраста и родительского согласия конкретной страны. Платформа предлагает стандартное пользовательское соглашение, и ребенок просто ставит галочку без проверки дееспособности по национальному праву. В результате возникает разрыв – по закону согласие ребенка до 14 лет недействительно, а на практике аккаунты детей существуют массово. И это уже не столько вопрос поведения детей или родителей, сколько системная коллизия между национальными режимами защиты данных и глобальной архитектурой платформ.
Поэтому для законодателя защита персональных данных детей в трансграничных цифровых сервисах – это задача со звездочкой. Она требует не только национальных норм, но и механизмов их применения в отношении глобальных платформ. И именно поэтому конституционное усиление права на защиту персональных данных имеет принципиальное значение. Оно задает более высокий стандарт защиты, в том числе для уязвимых субъектов, таких как дети. После его закрепления работа над практическими механизмами защиты детских данных на цифровых платформах будет продолжена уже на уровне отраслевого регулирования.
– Недавно широкое обсуждение вызвал кейс известного блогера и спортсменки. Из-за тиражирования ее личного статуса «разведенной». Можно ли говорить здесь о нарушении защиты персональных данных? Что в действительности нарушено?
– Это очень показательный и, к сожалению, типичный для цифровой среды кейс, и подобные ситуации будут возникать все чаще. Здесь речь не совсем о классической защите персональных данных от утечки. В данном случае человек сам публично раскрыл информацию о себе, и при этом речь идет о медийной личности.
В ситуациях, когда обсуждение личного статуса касается публичного человека, в правовой оценке появляется дополнительный фактор – публичный интерес. Современная практика исходит из того, что инфлюенсеры с большой аудиторией рассматриваются как публичные фигуры, и пределы допустимого обсуждения их личности шире, чем у частных лиц. Поэтому традиционные механизмы защиты персональных данных здесь действительно ослабевают, ведь возможности ограничивать их дальнейшее распространение существенно снижаются.
Но это не означает, что защита исчезает. Просто фокус смещается с защиты самих данных на способы их использования, с приватности – на достоинство и репутацию. То есть от отдельных фактов к цифровой личности как целостному образу человека в Сети.
В рассматриваемом кейсе мы видим редукцию личности, когда ее описание фактически сводится к одному признаку. В результате один факт биографии начал определять весь образ человека. И самое чувствительное здесь – утрата контроля, когда данные, раскрытые самим человеком, начинают жить отдельно от него и формировать его публичную идентичность без его участия. Таким образом, нарушена была не столько тайна персональных данных, сколько граница допустимого использования информации о человеке. Обсуждение перестало быть безобидным мнением и превратилось в устойчивое искажение его цифровой идентичности.
В правовой модели, заложенной в Цифровом кодексе и, в случае принятия конституционных изменений, подкрепленной нормами высшего уровня, цифровая идентичность рассматривается как личное нематериальное благо и может подлежать защите от искажения.