24 март 2017
Либертариум Либертариум

Privacy по-русски

Обсуждается значние слова "privacy", дается подробное определение. Обсуждаются связь между понятием "прайвеси" и СОРМ.

Один мой знакомый провайдер написал мне:

"Для себя я выяснил одно - старое мое ощущение, что понятие privacy как элемент повседневной жизни и даже часть системы ценностей является ярким проявлением cultural differences между нами и Америкой, оказалось, имеет еще и юридический аспект... Давние мучения мои с переводом этого термина в повседневной речи - мелочь по сравнению с тем, что это понятие непереводимо и для юриста, а не только обывателя.

Отсюда и проблема в обсуждении. Все немедленно скатываются на проблему крипто, и совершенно не печалятся, что даже при условии интенсивного шифрования остается проблема составления очень серьезного досье с использованием СОРМ. Такая технология легко позволяет получать и накапливать информацию о корреспондентах, с которыми поддерживается связь по электронной почте, наборе посещаемых страниц и чатов, читаемых и отвечаемых сообщениях в ньюсгруппах и их тематике, точках входа в Интернет и т.д. За получение и постоянную актуализацию такого рода информации традиционными методами пришлось бы выкладывать колоссальные деньги в расчете на каждого "опекаемого" - так что можно было не опасаться массового применения таких приемов. Здесь же составление profile даже на каждого пользователя провайдера и автоматическое его пополнение элементарно автоматизируются и позволяют создавать в итоге базы данных для дальнейшей оперативной разработки... на сотни тысяч человек сегодня и много больше - in years to come."

Со своей стороны замечу, что на вопрос о переводе термина privacy мне пришло с десяток писем - но ни одно из них не содержало приемлемого варианта. Видать, нужно переодить privacy как прайвеси - хотим мы этого или не хотим (кстати, в некоторых словарях - "привеси").

Англо-саксонское значение прайвеси означает не только "конфиденциальность", "безопасность" или "приватность", "уединеность". Я приведу в пояснение значения этого слова часть выступления 1996г. Энн Кавукян (Ann Cavoukian, cavouk@io.org), помощника комиссионера по прайвеси штата Онтарио (перевод мной делался быстро и некачественно, поэтому я привожу также данный фрагмент в конце страницы по-английски):

Эта статья начнется кратким прикосновением к значению прайвеси, так как временами этот термин используется взаимозаменяемо с конфиденциальностью/безопасностью.

Но позвольте вас уверить, что это не одно и то же. В то время, как прайвеси может подразумевать и то, что присуще конфиденциальности, это гораздо более широкий концепт, включающий право свободы от вторжений, право оставаться автономным, и право управлять циркуляцией информации о себе.

Прайвеси включает право контролировать собственную персональную информацию, и возможность определить, факт и способ, которым эта информация получена и использована. В Германии это назвали "информационное самоопределение": в 1983 Германский Конституционный Суд определил, что все граждане имеют право на информационное самоопределение (как возможность индивидуума определять использование собственной информации). В то время, как большинство стран с законами о прайвеси имеют это упоминание самостоятельного контроля как одну из целей их регулирования, обычно они не имеют явных конституционных гарантий прайвеси, как в случае Германии.

В этом смысле прайвеси гораздо более широкий концепт, чем конфиденциальность, так как она содержит ограничение на широкий диапазон деятельностей, затрагивающих персональную информацию: это сбор, сохранение, использование и раскрытие. Конфиденциальность, однако, означает только защиту персональной информации, обычно в форме ограждения информации от несанкционированного раскрытия третьим лицам.

Конфиденциальность вступает в игру только после того, как проблемная информация получена компанией, организацией или государством (обычно называемые "пользователями данных"). Ожидается, что пользователи данных ответственны за безопасное хранение доверенной им персональной информации. В этом смысле, они имеют обязательства хранителя защищать информацию, находящуюся на их попечении.

Таким образом, отношения доверия существуют между субъектами данных и пользователями данных, требуя обязанности присмотра и ожиданий конфиденциальности. Последнее включает политику сдерживания желающих получить доступ к персональной информации, а также охрану ее от раскрытия третьим лицам.

Средства, которыми это достигается, включают безопасность.

Чтобы защитить персональную информацию от широкого диапазона угроз - неумышленное или несанкционированное раскрытие, намеренные попытки в пересечениях, потерях данных, уничтожения или модификации, попытки компрометировать целостность данных и надежность и так далее - , должны быть внедрены полный спектр безопасности данных, компьютерная и сетевая безопасность, физическая безопасность и процедурный контроль. Меры, которые усиливают безопасность, усиливают прайвеси: эти сущности комплементарны, но не равны друг другу. Поэтому просто фокусироваться на безопасности недостаточно. В то время, как это существенный компонент защиты прайвеси, это недостаточно само по себе. Для истинной защиты прайвеси мы должны развернуться к проверенным временем принципам защиты данных, общеизвестных как "кодекс честных информационных практик".

Эти международно признаваемые принципы были впервые формально зафиксированы европейской организацией ОЭСР (Организация экономического сотрудничества и развития) в 1980, для цели сравнения прав субъектов данных и ответственности пользователей данных (как Канада, так и США поставили свои подписи). Они ввели ограничения на сбор персональных данных, ввели ограничения на из использование, ввели ответственность специфицировать цели, декларировали необходимость открытости, прозрачности, подконтрольности, и создали права индивидуального доступа и исправления. Восемь принципов, управляющие защитой данных следующие:

  • Ограничение сбора. Ограничивает сбор персональных данных; данные должны быть получены законным и честным путем и, где это возможно, при знании или согласии субъекта данных;

  • Качество данных. Персональные данные должны соответствовать целям, для которых они должны быть использованы, и в этом отношении должны быть точны, полны и актуальны.

  • Спецификация цели. Цели, для которых собираются персональные данные, должны быть специфицированы не позднее, чем ко времени, сбора данных, а последующее использование данных ограничивается удовлетворением этим целям или другим таким, которые не являются несовместимыми с этими целями, и подобная спецификация происходит при каждом случае изменения целей.

  • Ограничения использования. Персональные данные не должны раскрываться, делаться доступными или другим образом использоваться для целей, не специфицированных в соответствии с Параграфом 9 [принцип спецификации цели] за исключением а) с согласия субъекта данных, или б) в соответствии с законом.

  • Средства безопасности. Персональные данные должны быть защищены разумными средствами безопасности от таких рисков, как потеря или несанкционированный доступ, уничтожение, использование, модификация или раскрытие данных.

  • Открытость. Должна быть общая политика открытости по разработкам, практикам и политикам в отношении персональных данных. Должны быть всегда доступные средства для установления существования и природы персональных данных, главной цели их использования, также, как и их подлинности, а также обычного местонахождения контролера данных.

  • Индивидуальное участие. Индивидуум должен иметь право

    a) получать от контролера данных, или иначе, подтверждение, имеет ли контролер данных данные, относящиеся к нему;

    b) при общении с ним, данные относящиеся к нему

    • i) в разумное время,
    • ii) за не избыточную плату, если она есть
    • iii) разумным способом, и
    • iv) в форме, действительно доступной им для понимания;

    c) узнавать причины в случае отклонения запросов по подпараграфу (a) или (b), и быть способным оспорить такое отклонение запросов; и

    d) оспаривать данные, относящиеся к нему, и если это успешно, получить стирание, очистку, завершение или актуализацию данных.

  • Подотчетность. Контролер данных должен быть подотчетен за соблюдение мер, которые позволят работать согласно вышеприведенным приципам.

Перевод не слишком хорош - но дает представление, о чем беспокоится вышеупомянутый провайдер. Модификация СОРМ, безусловно, нарушает все эти цивилизованные принципы обеспечения прайвеси - даже в случае, если "субъект данных" ведет шифровку всех своих сообщений.

Единственный аргумент, приводимый в защиту СОРМ оперативниками, что традиционно оперативно-разыскная деятельность (ОРД) выводится в непроцессуальное (я читаю: неправовое) поле. Существует давняя законотворческая дискуссия, хорошо это или плохо. В целом, за последние десятилетия в развитых странах "процессуальщики" (за регламентацию ОРД) отхватывают от "силовиков" (за неограниченную ОРД) все большие и большие куски. Так, американская полиция все чаще начинает снимать свои ОРМ на видео, чтобы защищаться в суде от обвинений в избыточном применении силы. Я думаю, что избыточное применение силы в случае оперативно-розыскных мероприятий в сетях связи тоже возможно. И против этого нужно бороться.

Но для этого нужно более подробно ознакомиться с аргументами тех людей которые писали Закон об ОРД, и ставить защиту на уровне изменений в этом Законе. По этому поводу сейчас идет довольно большая дискуссия специалистов. Примером может, например, служить разбирательство Конституционного Суда по закону об ОРД, завершившееся решением от 14 июля 1998г. (по делу Черниковой или Чернышевой - я точно не помню: у кого есть доступ в правовые базы данных, пришлите, пожалуйста, файл с текстом решения). Увы, в Сети пока нет материалов дискуссии, развернувшейся в связи с этим делом, но такая дискуссия существует.

Конечно, работа на этом уровне требует большой теоретической подготовки, и довольно медленна. Но иначе не будет ничего: кавалерийским наскоком проблемы избыточного правопринуждения не решались ни в одной стране мира - по вполне понятным причинам. Именно по этим причинам провайдер, цитировавшийся в начале текста, попросил оставить его безымянным.


Оригинальный текст Ann Cavoukian, cavouk@io.org:

This paper will begin by touching briefly on the meaning of privacy since this term is at times used interchangeably with confidentiality/security.

But let me assure you that the two are not one and the same. While privacy may subsume what is implied by confidentiality, it is a much broader concept involving the right to be free from intrusions, to remain autonomous, and to control the circulation of information about oneself.

Privacy involves the right to control one's personal information, and the ability to determine if and how that information should be obtained and used. The Germans have referred to this as "informational self-determination": In 1983, the German Constitutional Court ruled that all citizens had the right to informational self-determination (an individual's ability to determine the uses of one's information). While most countries with privacy laws have this notion of self-control as one of the goals of their legislation, they do not usually have an explicit constitutional guarantee to privacy, as in the case of Germany.

It is in this sense that privacy is a much broader concept than confidentiality since it entails restrictions on a wide range of activities relating to personal information: its collection, retention, use and disclosure. Confidentiality, however, is only one means of protecting personal information, usually in the form of safeguarding the information from unauthorized disclosure to third parties.

Confidentiality only comes into play after the information in question has been obtained by a company, organization or government (commonly referred to as "data users"). Data users are expected to be responsible for the safekeeping of the personal information entrusted to them. In this sense, they have a custodial obligation to protect the information in their care.

Thus, a relationship of trust exists between data subjects and data users, requiring a duty of care and an expectation of confidentiality. The latter involves containment of the personal information to those permitted access to it, and safeguarding it from disclosure to unauthorized third parties.

The means by which this is achieved involves security.

The full spectrum of data security, computer and network security, physical security and procedural controls must be deployed to protect personal information from a wide range of threats: inadvertent or unauthorized disclosure, intentional attempts at interception, data loss, destruction or modification, attempts to compromise data integrity and reliability, and others. Measures that enhance security enhance privacy: the two are complementary, but not one and the same. Therefore, simply focussing on security is not enough. While it is an essential component of protecting privacy, it is not sufficient by itself. For true privacy protection we must turn to the time-honoured principles of data protection commonly referred to as "the code of fair information practices."

These internationally-recognized principles were first formally launched by a European organization, the OECD (Organization for Economic Co-operation and Development) in 1980, for the purpose of conferring rights upon data subjects and responsibilities upon data users (both Canada and the United States are signatories). They place limitations on the collection of personal data, place restrictions on its uses, place an onus on purpose specification, declare a need for openness, transparency, and accountability, and create the right of individual access and correction. The eight principles governing data protection are as follows:

  • Collection Limitation Limited to the collection of personal data; data should be obtained by lawful and fair means and, where appropriate, with the knowledge or consent of the data subject.

  • Data Quality Personal data should be relevant to the purposes for which they are to be used, and, to the extent necessary for those purposes, should be accurate, complete and kept up-to-date.

  • Purpose Specification The purposes for which personal data are collected should be specified not later than at the time of data collection and the subsequent use limited to the fulfilment of those purposes or such others as are not incompatible with those purposes and as are specified on each occasion of change of purpose.

  • Use Limitation Personal data should not be disclosed, made available or otherwise used for purposes other than those specified in accordance with Paragraph 9 [Purpose Specification Principle] except: a) with the consent of the data subject, or b) by the authority of law.

  • Security Safeguards Personal data should be protected by reasonable security safeguards against such risks as loss or unauthorized access, destruction, use, modification or disclosure of data.

  • Openness There should be a general policy of openness about developments, practices and policies with respect to personal data. Means should be readily available of establishing the existence and nature of personal data, and the main purpose of their use, as well as the identity and usual residence of the data controller.

  • Individual Participation An individual should have the right: a) to obtain from a data controller, or otherwise, confirmation of whether or not the data controller has data relating to him; b) to have communicated to him, data relating to him: i) within a reasonable time; ii) at a charge, if any, that is not excessive; iii) in a reasonable manner; and iv) in a form that is readily intelligible to him; c) to be given reasons if a request made under subparagraph (a) and (b) is denied, and to be able to challenge such denial; and d) to challenge data relating to him and, if the challenge is successful, to have the data erased, rectified, completed or amended.

  • Accountability A data controller should be accountable for complying with measures which give effect to the principles stated above.

Комментарии (2)

Последние темы: Privacy по-русски | Все темы
  • Privacy по-русски

    Варианты перевода "privacy" с точки зрения юриста:

    "неприкосновенность" - см. ст. 22-25 Конституции.
    "неприкосновенность частной жизни" - т.е. "privacy" в более узком смысле - см. ст. 23, 24 Конституции.

    Переводить по другому (напр. "прайвеси" или "привеси" или "уединенность") бессмысленно с точки зрения юриста, т.к. получаются неопределенные в российском праве понятия. "Привеси" ("уединенность") - это по-русски для юриста ничто. В отличие от "неприкосновенности" которую можно защищать по закону и "всеми иными не запрещенными законом способами" (ст 45 Конституции).

  • Privacy по-русски

    аноним, 25.06.2006
    в ответ на: комментарий (Strakh Alexander, 21.09.2001)

    Слово "приватность" уже вошло в русский язык. Яндекс находит 1561 сайтов и 438 тыс страниц. Для сравнения, "прайвеси" - сайтов — 880, страниц — 10 тыс.

liberty@ice.ru Московский Либертариум, 1994-2017