Право на приватне життя: історія, розвиток, українські реалії

Термін “приватне життя” часто використовується в повсякденному житті, а також у філософських, політичних та юридичних дискусіях. Його переважно описують як стан, у якому людина може бути на самоті, щоб за нею не спостерігали. Концепція приватності має глибокі історичні корені в різних культурах.

Історичні довідки свідчать, що прагнення людей до усамітнення спостерігається протягом 3000 років. Ще давньогрецький філософ Аристотель проводив розмежування між суспільною сферою політичної діяльності й приватною, пов’язаною із сімейним життям. Є гіпотези, які описують становлення приватності на прикладі архітектури, релігії та всесвітніх пандемій.

Поняттю конфіденційності, яке ми сьогодні розуміємо, близько 150 років. Цікаво, що понад століття тому люди заговорили про приватність із тієї ж причини, яка робить цю тему популярною й зараз, – через розвиток технологій. Філософські дебати навколо цього визначення розпочалися ще в другій половині 20-го століття й точаться досі. Зокрема, через розбіжність думок щодо переваг та ризиків втручання в особисте життя з боку держави. Але сьогодні проблема загострилась у зв’язку з появою ще одного суб’єкта, який хоче знати якомога більше інформації про особу, – приватних корпорацій.

Тож, щоб краще зрозуміти, в чому суть, пропоную коротко розглянути хронологію того, як люди боролися за право на повагу до свого приватного життя, як змінювалося це поняття з часом та в різних країнах. Адже, не знаючи минулого, нам буде складно розуміти, що нас чекає в майбутньому.

Історична хроніка

Вважається, що широке обговорення концепції недоторканності приватного життя розпочалося в Америці, а саме з відомого есе американських юристів Семюеля Воррена і Луї Брандейса під назвою “The Right to Privacy” (“Право на приватне життя”), опублікованого в 1890 році в журналі Harvard Law Review. Автори стверджували, що напруженість життя, притаманна цивілізації, яка розвивається, призводить до потреби людини мати схованку від зовнішнього світу, тобто мати “право бути залишеним на самоті” (“right to be let alone”). Зміст цієї статті ліг в основу серії прецедентних рішень Верховного суду США.

У 1948 році право на приватність фіксується в Загальній декларації прав людини (стаття 12), а в 1950-му – у Європейській конвенції з прав людини і основоположних свобод  (стаття 8). Підвищена увага до прав людини в той час пояснюється наслідками Другої світової війни.

Суворий європейський підхід до забезпечення конфіденційності людини, який бачимо сьогодні, значною мірою перегукується з історією Німеччини, коли нацисти збирали особисті дані для ідентифікації євреїв та інших меншин, стверджує Ану Бредфорд, професор права і директор Центру європейських досліджень юридичної школи Колумбії. Нацистський режим, прийшовши до влади, взяв під контроль бізнес та технології. У 1930-х роках у Німеччині провели перепис населення, де в спеціальних картках вказували національність, рідну мову, релігію та професію жителів. Уся інформація систематизувалася за допомогою перших процесорів, відомих як Hollerith, що встановлювалися німецькою філією компанії IBM, у той час Deutsche Hollerith Maschinen GmbH (Dehomag).

Ця історія стала відомою після публікації у 2001 році документальної книги журналіста Едвіна Блека “IBM і Голокост“, у якій детально описано відносини компанії International Business Machines (IBM) з урядом Адольфа Гітлера в період Другої світової війни. У книзі розповідається, як за допомогою технологій IBM вчиняли геноцид єврейського народу. Зокрема, не тільки ідентифікували людей, а й управляли потягами, які доставляли їх до концентраційних таборів. Компанія не заперечувала, що її машини використовувалися під час Голокосту, але водночас заявила, що “більшість” документів про операції “втрачено”. Ця історія демонструє, що технології можуть бути як корисними, так і завдати шкоди людям: усе залежить від того, з якою метою їх використовують.

Після війни державний нагляд здійснювався спецслужбою Східної Німеччини, відомою як Штазі. Посадовці могли вільно перевіряти пошту, обшукувати квартири та катувати людей, які викликали в них підозру. Агенти Штазі збирали інформацію про все: від кола друзів до сексуальних звичок. Ще в 1949 році англійський письменник Джордж Орвелл написав роман-антиутопію під назвою “1984”, у якому розкриває теми націоналізму, футурології, цензури та стеження.

На початку другої половини XX століття починають розвиватися інформаційні технології, що дозволяють значно швидше збирати великий обсяг інформації. З огляду на сумні історичні приклади це викликає занепокоєння в Ради Європи. Тому в 1968 році Парламентська асамблея  публікує рекомендацію №509 щодо усунення загроз правам людини в результаті використання автоматизованого оброблення даних. 

У 1970 році саме західнонімецька земля Гессен стала першою, хто в Європі ухвалив закон про конфіденційність даних у державному секторі. Важливо зазначити, що це був лише локальний закон, який застосовувався виключно на території цієї землі, а не на федеральному рівні.

Трьома роками пізніше подібний закон був ухвалений у Швеції – Datalgen (букв. Data Act). Але на відміну від німецького Datalgen регулював тільки приватний сектор. Тому навряд чи можна сказати, що цей акт захищав права людей, радше, навпаки, його функція полягала в тому, щоб контролювати їх.

У 1977 році Німеччина стає першою країною, яка ухвалила на федеральному рівні повноцінний закон про захист даних, який був покликаний забезпечити право людини на приватність (Bundesdatenschutzgesetz). До сьогодні Німеччина вважається одним зі світових лідерів у сфері захисту приватного життя та персональних даних.

Далі за нею пішла Франція, ухваливши в 1978 році закон про інформатику та громадянські свободи. До речі, це також було пов’язане з локальними подіями, коли французький уряд розробив проєкт єдиного реєстру даних громадян для соціального страхування. Оброблення всієї цієї інформації планувалося здійснювати за допомогою автоматизованих програм. На це відреагувала газета Le Monde, опублікувавши статтю під назвою “SAFARI ou la chasse aux Français” (“Сафарі або полювання на французів”), у якій розкритикувала такий намір з боку держави. Тиск громадськості підштовхнув до ухвалення вищезгаданого акта.

Німецький і французький закони дали значний імпульс для розвитку сфери захисту персональних даних. На цю проблему почали звертати увагу дедалі більше країн та міжнародних організацій. У 1980 році Організація економічного співробітництва і розвитку публікує гайдлайни щодо захисту даних у комп’ютерних системах під час комерційних транзакцій. У 1981 році Рада Європи ратифікувала Конвенцію про захист осіб у зв’язку з автоматизованим обробленням персональних даних. У 1995 році Євросоюз ухвалив Директиву 95/46/ЄС “Про захист фізичних осіб під час оброблення персональних даних і про вільне переміщення таких даних”, яка стала основою законодавства країн ЄС. Ці документи визначили загальні принципи захисту даних, а також наділили людей правом знати, яка інформація про них збирається, де зберігається і з якою метою.

Але технології далі продовжують розвиватися та створювати вже нові проблеми у сфері приватності. До кінця 90-х років формуються основні гіганти-корпорації, які ще заведено називати великою п’ятіркою або GAFAM (Google, Amazon, Facebook, Apple, Microsoft). Спочатку в соціальних мереж та інтернет-кампаній не було прямих джерел капіталізації, тому вони почали продавати рекламу, ґрунтуючись на аналізі поведінки користувачів (таргетинг). Контекстна реклама стає швидко популярною, бо компанії зрозуміли цінність персональних даних та скільки на них можна заробляти. Тому щороку покращується система аналізу та збираються дедалі більші обсяги інформації про людей з усього світу. У відповідь на це у 2002 році ЄС ухвалює Директиву ePrivacy, яка регламентує використання всіх програм, зокрема відомих нам cookies, які збирають дані для реклами.

А 2014 року Європейський Суд підтвердив так зване право на забуття – право людини вимагати видалення особистих даних з пошукових систем і постановив, що Google має виконувати запити користувачів на видалення даних, які видаються неадекватними або більше неактуальними.

Далі світ почали накривати хвилі скандалів про витоки даних, масового стеження та кіберзагроз. Серед знакових прикладів – сенсаційна заява колишнього співробітника АНБ Едварда Сноудена про програму PRISM, яку використовують для стеження за клієнтами зв’язку в США та за межами країни. А також історія про консалтингову компанію Cambridge Analytica, яка зламала дані понад 50 мільйонів користувачів Facebook, щоб вплинути на результат президентських виборів у США у 2016 році та на компанію виходу Великобританії з ЄС. Ще одним яскравим прикладом було поширення даних з канадського сайту знайомств Ashley Madison. Усю приватну інформацію виклали в мережу, що спричинило хвилю розлучень та навіть випадки суїциду. До того ж у вільному доступі виявилися дані користувачів із Саудівської Аравії, де за зраду можуть засудити до страти.

У зв’язку з цими всіма подіями в Європейському Союзі дійшли висновку про необхідність вдосконалення чинного законодавства. Тому з 2012 по 2016 рік розробляється Загальний регламент захисту даних (далі – GDPR / Регламент), який набрав чинності 25 травня 2018 року. Цей закон став одним з найжорстокіших у сфері захисту приватності людини за останні 20 років. Він спрямований на те, щоб у людини було більше законодавчих інструментів для контролю за власними даними. Сума штрафу за порушення норм GDPR може становити до 4 % річного обігу або 20 мільйонів євро. Регламент вплинув на процес оброблення даних не тільки в державних органах та в бізнес-середовищі, але й у сфері приватних стосунків.

Водночас законотворча діяльність Євросоюзу в цій сфері не припинилася. GDPR не регламентує оброблення даних у межах кримінального правосуддя, тому 2016 року була ухвалена Директива 2016/680 (ЄС), покликана захисти фізичних осіб під час оброблення їхніх персональних даних з метою запобігання, розслідування кримінальних злочинів або виконання покарань. Того ж року також ухвалюється Директива NIS (Network and Information Security), покликана підвищити загальний рівень кібербезпеки в ЄС. Наступним кроком має стати ухвалення регламенту ePrivacy, який замінить уже згадану раніше директиву 2002 року, щоб можна було краще контролювати оброблення даних в інтернеті. Проєкт цього регламенту був опублікований на початку 2017 року.

Усі ці закони є результатом політики Європейського Союзу та прагнення жителів цих країн до поваги особистості та сімейного життя. Культура приватності не формується тільки законами, це ще й усвідомлення суспільством такої потреби.

Звичайно, що реформа законодавства в цій сфері відбувалась і в інших країнах. У 2017 році в Китаї набув чинності перший закон про кібербезпеку, який зобов’язує компанії захищати персональні дані користувачів. Цей закон ділить інформаційні системи на п’ять категорій. До перших двох потрапляють компанії, чия кібербезпека не становить цікавості для держави, а компанії, починаючи з третьої категорії, зобов’язані раз на два роки проходити спеціальну перевірку в одного з агентств-підрядників і звітувати про результати аудиту перед Бюро громадської безпеки. У Китаї дуже жорстка політика щодо локалізації даних. Тому після ухвалення нового закону міжнародним компаніям довелося перенести дані китайських користувачів iCloud у дата-центри на території Китаю.

Для того щоб краще розібратись у законодавстві різних країн світу, міжнародна компанія DLA Piper створила мапу, що наочно демонструє відмінності між ними.  

Право на повагу до приватного життя в Україні

Хочеться одразу сказати, що на відміну від більшості країн світу в Україні право на повагу до приватного життя закріплено в Конституції. У статті 32 визначено, що не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.  

Це право також узгоджується з міжнародно-правовими актами, які ратифіковані Україною. Поняття “сімейне життя” визначено в Сімейному кодексі. Щодо терміна “приватне”, то в правовому полі виникало багато дискусій, тому Конституційний Суд України в рішенні від 20 січня 2012 року обґрунтував, що неможливо визначити абсолютно всі види поведінки особи у сферах особистого та сімейного життя, оскільки вони є невичерпними й реалізуються в різноманітних відносинах, стосунках, явищах, подіях тощо. Отже, Конституційний Суд, даючи офіційне тлумачення статті 32 Конституції, вважає, що інформація про особисте та сімейне життя особи (персональні дані про неї) – це будь-які відомості чи сукупність відомостей про фізичну особу, за допомогою яких вона може бути ідентифікована.  

У січні 2011 року набрав чинності Закон “Про захист персональних даних”, який регулює правові відносини, пов’язані із захистом і обробленням персональних даних. Але цей закон писали за зразком Директиви ЄС 1995 року, коли інтернет-технології були не такі поширені, як зараз. Тому сьогодні ми зіткнулись із ситуацією, коли в Україні фактично відсутні законодавчі стандарти регуляції захисту даних у мережі, зокрема електронної комерції та цифрової трансформації державних та приватних послуг. Неконтрольовані витоки даних створюють репутаційні ризики для держави щодо її сервісів та інформаційної безпеки людини загалом. Тож нам потрібна реформа, щоб захистити суспільство від загроз 21-го століття та створити суспільство, у якому гарантовано захист персональних даних.

Отже, ми стисло розглянули історичну хронологію того, як зароджувалося та розвивалося право людини на недоторканність приватного життя. У цьому контексті може виникнути питання: а чому ж святкування Міжнародного дня захисту персональних даних саме 28 січня?

Ініціатива відзначати день захисту приватності виникла в Європі після того, як опитування показало, що люди погано розуміють свої права в цій сфері. Тому 2007 року Рада Європи за підтримки Європейської комісії відзначила перший День захисту даних 28 січня. Саме цього дня в 1981 році була ухвалена Конвенція про захист осіб у зв’язку з автоматизованим обробленням персональних даних. Ознаменування цього дня спрямоване на те, щоб спонукати суспільство краще дізнатися про захист персональних даних, а також про свої права та обов’язки.

Шадська Уляна, юристка у сфері цифрового права та технологій