Ситуация не изменилась.
Ключевые темы
- Рийгикогу объявил невыборочное хранение данных связи жителей Эстонии противозаконным
- Уже шестой год подряд приходится, к сожалению, констатировать, что несмотря на серьезнейшее противоречие действующему международному праву, а также практике Суда Европейского союза и Государственного суда, продолжается практика хранения данных связи на основании статьи 1111Закона об электронной связи.
- Пандемия COVID-19 обусловила большую готовность к ограничению основных прав, включая право на неприкосновенность семейной и частной жизни.
Политические и институциональные направления развития
Если не углубляться в детали, то можно утверждать, что в рассматриваемый период в области, являющейся предметом данной главы, не произошло каких-либо значимых политических или институциональных изменений. Тем не менее, это не означает, что вопросы права на неприкосновенность семейной и частной жизни в ситуации пандемии были малозначимыми – многие риски и возможности последних двух лет напрямую зависели от наличия и доступности данных о частной жизни. В связи с этим исключительно важным стал вопрос того, можно ли и в каком пределе можно ограничить право на приватность и защиту данных. В конце марта 2020 года Эстония присоединилась к странам, которые сообщили Совету Европы о том, что они активировали статью 15 Европейской конвенции по правам человека (ЕКПЧ), которая дает возможность частично ограничить следующие из конвенции права. Среди прав, обеспечить соблюдение которых во время действия особого положения в Эстонии удавалось не всегда, следует упомянуть и право на уважение частной и семейной жизни. Во время действия особого положения Департамент статистики проанализировал на основании полученных от телекоммуникационных операторов обезличенных данных движение эстонцев и находящихся в стране иностранцев в зонах охвата мачт сотовой связи. Кроме того, использовалось добровольное мобильное приложение Департамента здоровья HOIA,[1] которое с помощью радиосигналов Bluetooth осуществляло обмен обезличенными кодами и позволяло определять возможных близких контактных лиц пользователей, которые зарегистрировали свое заболевание. К октябрю 2021 года у приложения было 272 378 пользователей, однако лишь немногие из них зарегистрировали свое заболевание.[2]
Законодательные направления развития
Порядок хранения данных связи представляет собой проблему, разрешить которую не удается уже семь лет. Это достаточно длинный срок, и поэтому неудивительно, что в течение последних двух лет данный вопрос снова стал актуальным в сферах, которые непосредственно с ним не связаны, и он снова стал активно обсуждаться в прессе. При этом мы имеем дело с уже старой и практически бесконечно тянущейся проблемой. К счастью, в этот раз произошли реальные изменения, хотя прежде всего они затронули судебную практику. Действующее в Эстонии универсальное обязательство хранить мета-данные относительно сетевой и телефонной связи и передавать такие данные различным публичным учреждениям для проведения расследований следует из директивы по хранению данных ЕС, которая была признана недействительной. До сих пор в Эстонии хранение таких данных связи продолжалось на основании внутригосударственного права, а именно положения о применении данной недействительной директивы – статьи 1111 Закона об электронной связи. В отчете за 2018–2019 год рассматривался инициированный Министерством юстиции «План по разработке Проекта изменения Закона об электронной связи и других законов в связи с этим», в котором среди прочего было обещано «установить более точные и ясные, чем ранее, критерии относительно ситуаций, в которых разрешено хранить данные связи и впоследствии использовать их в производствах различных типов, обеспечив таким образом неприкосновенность личной жизни лиц и лучшую защиту персональных данных». Этот план по разработке не принес быстрых изменений. Частично отсутствие изменений обосновывалось желанием дождаться решений по ходатайствам о предварительных решениях, которые на тот момент находились в производстве Суда Европейского союза. В настоящее время данные решения уже имеются, и они сформулированы очень четко (см. следующий подраздел), и тем более странным выглядит то, что 15 сентября 2021 года Государственный суд оставил статью 1111находившегося в третьем чтении Проекта изменения Закона об электронной связи и других законов без изменений.[3]
29 июня президент Керсти Кальюлайд обнародовала Закон об изменении Закона о документах, удостоверяющих личность, и других законов в связи с этим, на основании которого будет создана электронная база данных ABIS (т.е. Система автоматической биометрической идентификации лиц).[4] ABIS будет представлять собой обеспечивающую перекрестное использование базу данных, в которой будут консолидироваться биометрические данные, собранные различными учреждениями с различными целями, но которая не будет позволять связывать их с биографическими данными. Главная проблема ABIS заключается в ее централизованности и возможности перекрестного использования – так, например, предоставленный для ходатайства о виде на жительство отпечаток пальца в будущем может быть использован в рамках уголовного расследования. Централизованный сбор и перекрестное использование деликатных данных является проблематичным моментом, требующим очень точных правил относительно доступа, периодов хранения, удаления и прав субъектов данных. Соответственно, ABIS может и не являться самой лучшей и безопасной возможностью для систематизации биометрических данных, находящихся в расположении государства, однако предыдущая раздробленная система, о которой владельцы данных зачастую даже и не знали, и в которой действовали весьма размытые правила по всем процедурам, также обуславливала существование больших рисков для безопасности и конфиденциальности. Тем не менее, к сожалению, процесс создания базы данных ABIS также не привел к появлению более точных правил относительно того, какие данные и в течение какого срока будут в ней храниться. Если новая база данных в итоге не позволит обеспечить систематизированность и ясность относительно собираемых биометрических данных, а также правила по хранению и доступу к данным, то она приведет к созданию среды, способствующей нарушениям основного права на приватность и правил по защите данных.
Судебная практика
Суд Европейского союза в октябре 2020 года в рамках дела, инициированного французской организацией по защите интересов Quadrature du Net,[5] объяснил допустимость общего и невыборочного хранения данных связи после признания директивы о хранении данных недействительной в решении по делу Digital Rights Ireland. Данное решение также уточняет вопросы, рассмотренные в решениях по делам Tele2 Sverige[6] и Ministerio Fiscal[7], а также несколько отступает от резолюций по делам Digital Rights Ireland и Tele 2 Sverige. В деле Quadrature du Net суд объясняет, что государство может обязать поставщиков услуг по электронной связи хранить данные о движении и местоположении всех пользователей средств электронной связи в течение ограниченного времени, если оно сталкивается с непосредственной и серьезной угрозой безопасности.[8] Таким образом, обязательство по хранению данных связи принципиально не противоречит праву ЕС, если такое хранение служит достаточно весомой и правомерной цели и поддерживается доступной и ясной системой ограничений и средств правовой защиты. Напомним, что в решении по делу Tele2 Sverige отмечалось, что общее и невыборочное хранение является недопустимым, независимо от любых дополнительных условий. Однако согласно Quadrature du Net, можно требовать хранения данных определенного пользователя в интересах расследования тяжких преступлений и можно также требовать выдачи данных, которые уже были собраны для достижения какой-либо другой цели поставщика услуги, например для обеспечения качества обслуживания или способности продолжать осуществлять деятельность.[9] Решение по делу Quadrature du Net внесло в предыдущий категорический запрет некоторую гибкость и могло привести к отсутствию ясности как для тех, кто по какой-либо причине считает полное и невыборочное хранение данных связи полезным, так и для тех, кто активно боролся против допустимости такого хранения.
2 марта в ответ на ходатайство Государственного суда о предварительном решении Суд Европейского союза озвучил свои позиции относительно порядка хранения данных связи и их использования в уголовном производстве исходя из статьи 1111 Закона об электронной связи и статьи 901 Уголовно-процессуального кодекса, действующих в Эстонии.[10] Предварительное решение совершенно очевидно возвращается к принципам, выраженным в делах Digital Rights Ireland и Tele2 Sverige, а также вновь подчеркивает, что несмотря на недействительность директивы о хранении данных и принадлежности вопросов внутренней безопасности сфере внутригосударственного регулирования, практика хранения и использования данных связи по-прежнему входит в область регулирования права ЕС, так как данный аспект непосредственно касается деятельности поставщиков услуг и основных прав жителей ЕС.
По оценке суда, внутригосударственное право Эстонии не соответствует праву ЕС и судебной практике, так как:
- оно предусматривает общее и невыборочное хранение данных связи;
- в условиях, когда прокуратура руководит досудебным производством и при необходимости представляет государственное обвинение, она не может считаться независимым учреждением, которое могло бы быть уполномочено предоставлять разрешение на истребование данных связи от поставщиков услуг.
Суд Европейского союза объяснил, что непропорциональное обязательство хранить данные связи всех пользователей услуг не может являться основанием для сбора правомерных доказательств. В уголовном судопроизводстве на собранные таким образом доказательства нельзя основываться и в случае, если прокуратура потребовала информацию только относительно данных, зарегистрированных в течение ограниченного периода, и независимо от количества и типа доступных данных. Если же у поставщика услуги связи истребуются данные какого-либо точно идентифицированного подозреваемого, которые были собраны с какой-либо другой целью, это является допустимым только в интересах расследования тяжких преступлений или уменьшения серьезных угроз безопасности.
18 июня Государственный суд также вынес знаковое для судебной практики Эстонии решение по уголовному делу Х.К. (см. также отчет за 2018-2019 годы), в котором он согласился со всеми выраженными Судом Европейского союза позициями и пришел к выводу, что при расследовании преступлений нельзя запрашивать данные телефонной связи, которые предприятия связи хранили на основании противоправной статьи.[11] Таким образом, противоправность статьи 1111 Закона об электронной связи больше не должна вызывать сомнений, и касающееся Эстонии решение в свете предыдущей практики Суда Европейского союза также ни в коем случае не должно быть неожиданным.
Статистика и исследования
В ноябре 2020 года Министерство юстиции опубликовало результаты исследования «Права на приватность лиц и защита персональных данных 2020».[12] Согласно исследованию, больше всего жители Эстонии доверяют практикам обработки данных, применяемым государственными и особенно медицинскими учреждениями, и меньше всего – практикам поставщиков услуг частного сектора. При этом, в том же году Инспекция по защите данных отметила то обстоятельство, что большинство жалоб были связаны именно с неавторизованным доступом к данным о здоровье. В то же время исследование показывает, что примерно у одной трети жителей Эстонии отсутствует четкое понимание того, какие учреждения и предприятия собирают данные относительно них.
Согласно исследованию по основным правам за 2021 год, проведенному Агентством Европейского союза, 75% опрошенных в рамках исследования эстонцев подтвердили, что они умеют менять настройки веб-приложений, сайтов и услуг таким образом, чтобы такие приложения, сайты и услуги не собирали их персональные данные. Этот показатель является самым высоким в Европе. Что касается беспокойства о том, что поставщики услуг, правоохранительные или розыскные органы, государственные или иностранные разведывательные органы или киберпреступники получат доступ к данным людей и будут злонамеренно использовать такой доступ, то полученные исходя из ответов эстонцев показатели соответствуют средним по Европе, не выделяясь особо сильным уровнем доверия или сомнения. Эстонцы считают, что их уровень осведомленности о правовых актах, на основании которых можно узнать, какие именно персональные данные были собраны поставщиками услуг и как они использовались, несколько ниже среднего по Европе. В части отношений с публичным сектором свою степень осведомленности о собственных правах эстонцы считают немного более высокой. При этом, по оценкам самих респондентов, уровень осведомленности эстонцев об Общем регламенте по защите данных является одним из самых низких во всей Европе. В целом люди более молодого возраста и с более высоким доходом выразили большую степень доверия, и в то же время они более высоко оценили свою осведомленность о технических и правовых возможностях по защите собственной приватности. Сильных различий между респондентами мужского и женского пола не наблюдалось.[13]
Обнадеживающие и положительные практики
Обнадеживающей и положительной практикой можно считать вышеупомянутую относительно хорошую оценку самих эстонцев касательно осведомленности о настройках приватности в веб-средах и о возможностях по их адаптации в соответствии со своими предпочтениями.[14] Безусловно положительной, хотя и еще достаточно новой, является практика по расширению сферы действия и возможностей неправительственных организаций по защите интересов в данной области. Например, область защиты данных и цифровых технологий с 2021 года стала одной из основных сфер деятельности Эстонского центра по правам человека – в ее рамках предлагаются услуги по консультированию, и в будущем планируется заниматься защитой интересов и стратегическим ведением тяжб.[15] [16]
Самые важные общественные дискуссии
Темой общественных дискуссий нередко становилось как хранение данных связи, так и сбор и использование биометрических данных. В случае первого вопроса чаще всего подчеркивается незаменимость таких данных при борьбе с преступностью, однако найти публично доступные статистические доказательства этому, например отношение количества выданных на основании ходатайств прокуратуры данных связи к успешно завершенным делам по уголовным преступлениям, достаточно сложно. В то же время нередко упоминается и то обстоятельство, что обязательство по невыборочному хранению данных на сегодняшний день представляет собой реликт старой юридически ничтожной директивы ЕС, и нет никакого смысла предполагать, что хранение данных связи могло бы продолжаться в Эстонии в своем нынешнем виде и в будущем. Ранее хранению биометрических данных не уделялось столь же много внимания, в связи с чем совершенно справедливо уже высказывался ряд критических вопросов относительно пропорциональности и необходимости системы ABIS, а также возможных способов использования биометрических данных для обеспечения безопасности. Хаотичный характер действовавшей до сих пор системы также был подвергнут некоторой критике.
Тенденции и перспективы
В качестве тенденции можно отметить рост правовой осведомленности, а также большей готовности к ограничению основных прав, обусловленной, вероятно, пандемией. При этом в противовес большей осведомленности и положительной судебной практике существует и реальная тенденция смелого и публичного выбора подхода, ограничивающего приватность (примером этого могут служить обстоятельства, связанные с ABIS и Проектом изменения Закона об электронной связи), а также обусловленная пандемией более высокая цифровая зависимость и уязвимость.
Описание случая
Самым важным индивидуальным случаем, который был разрешен в рассматриваемый период, является, несомненно, уголовное дело, касающееся мелких краж, совершенных лицом Х.К. Х.К. был осужден судом за кражи, совершенные в 2015–2016 годах. Х.К. был осужден судами первой и второй инстанции частично на основании данных электронной связи, полученных исходя из Закона об электронной связи от предприятия связи. Следственное учреждение получило эти данные связи от предприятия связи на основании различных разрешений, предоставленных в ходе досудебного производства прокурором окружной прокуратуры. Защитник оспорил обвинительные приговоры в Государственном суде. По оценке защитника, данные, которые были получены от предприятия связи в результате обязательства по невыборочному хранению, должны считаться недопустимыми доказательствами. В ноябре 2018 года Государственный суд представил Суду Европейского союза ходатайство о предварительном решении, в котором он желал узнать, представляет ли собой, по оценке Суда Европейского союза, хранение мета-данных и их предоставление государственному учреждению настолько серьезное ущемление, что оно должно быть предусмотрено только для расследования тяжких преступлений независимо от того, какого периода касаются рассматриваемые данные. Во-вторых, был представлен вопрос относительно того, связано ли количество получаемых таким образом данных (в значении как объема, так и временного предела) с тяжестью расследуемых преступлений, т.е. сбор меньших объемов данных представляет собой меньшее ущемление и является допустимым и для расследования более легких преступлений, а более обширные по содержанию и периоду данные можно собирать только для борьбы с тяжкими преступлениями. В третьих, Государственный суд интересовало то, можно ли ведущую досудебное производство прокуратуру считать независимым административным учреждением, предварительному разрешению и надзору которого доступ к данным должен быть подчинен в соответствии с решением по делу Tele2 Sverige.[17] Суд Европейского союза признал действующий в Эстонии порядок хранения данных связи противоречащим праву ЕС (данное решение более подробно описано в подразделе «Судебная практика»). 18 июня 2021 года Государственный суд также вынес знаковое для судебной практики Эстонии решение, в котором он согласился со всеми мнениями Суда Европейского союза и сделал вывод, что при расследовании преступлений нельзя запрашивать данные телефонистов, которые предприятия связи хранили на основании противоправной статьи 1111 Закона об электронной связи. Тем не менее, к сожалению, Проект изменения Закона об электронной связи отмены обязательства по невыборочному хранению не предусматривает.
Рекомендации
- Незамедлительно привести порядок хранения данных связи в соответствие с судебной практикой государства и ЕС.
- Провести масштабный аудит действовавшего до сих пор порядка сбора и хранения биометрических данных, охватывающий как технические и правовые, так и более широкие общественные аспекты.
[1] TEHIK. 2020. Telefonirakendus “HOIA” privaatsustingimused, 21.08.2020.
[2] Allik, H. 2021. Ebaõnnestumiste rägastik: kuidas HOIA rakendus on läbi kukkunud, Postimees, 22.02.2021.
[3] Majandus- ja kommunikatsiooniministeerium. 2021. Elektroonilise side seaduse, ehitusseadustiku ja riigilõivuseaduse muutmise seadus.
[4] Riigikogu. 2021. Isikut tõendavate dokumentide seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise seadus 366 SE.
[5] Euroopa Liidu Kohtu 06.10.2020. a otsus liidetud kohtuasjades nr C‑511/18, C‑512/18 ja C‑520/18.
[6] Euroopa Liidu Kohtu 21.12.2016. a otsus Tele2 Sverige AB vs. Watson jt. ühendatud kohtuasjades nr C‑203/15 ja C‑698/15.
[7] Euroopa Liidu Kohtu 02.10.2018. a otsus kohtuasjas nr C-207/16.
[8] Euroopa Liidu Kohtu 06.10.2020. a otsus liidetud kohtuasjades nr C‑511/18, C‑512/18 ja C‑520/18, § 137.
[9] Euroopa Liidu Kohtu 06.10.2020. a otsus liidetud kohtuasjades nr C‑511/18, C‑512/18 ja C‑520/18, § 141.
[10] Euroopa Liidu Kohtu 02.03.2021. a otsus kohtuasjas nr C‑746/18.
[11] Riigikohtu kriminaalkollegiumi 18.06.2021. a otsus kohtuasjas nr 1-16-6179.
[12] Justiitsministeerium. 2020. Inimeste privaatsusõigused ja isikuandmete kaitsmine 2020, 05.11.20.
[13] Euroopa Liidu Põhiõiguste Amet. 2021. Fundamental Rights Survey, Data Protection and Privacy. [Põhiõiguste uuring, andmekaitse ja privaatsus].
[14] Ibid.
[15] Eesti Inimõiguste Keskus. 2021. Keskuse tegevus laieneb, 25.05.2021.
[16] Eesti Inimõiguste Keskus. 2021. Keskus alustab nõustamis andmekaitse ja privaatsuse vallas, 04.10.2021.
[17] Euroopa Liidu Kohus. 2018. Kohtuasi C-746/18: Eelotsusetaotlus, mille esitas Riigikohus (Eesti) 29. novembril 2018 – H. K. versusProkuratuur.
