Holy щит
О сложных решениях и о EU-US Privacy Shield
Привет!
А у тебя тоже есть ощущение, будто находишься в картине Сальвадора Дали? Все вокруг стало настолько сюрреалистичным, что засасывает и даже начинает нравиться.
Два дня назад Саакашвили презентовал вторую за последние а семь месяцев основательную судебную реформу. В этот раз реформа будет крайне радикальной; если кратко, то он хочет, чтобы суды принимали справедливые решения. Не заставить, а чтобы сами начали. Как это именно это сделать, он пока не определился, но цель ему понятна, и отступать от нее он не намерен. Великий Мастурбатор.
Эйнштейн говорил, что решение должно быть простым, но не проще, чем нужно. У меня немного другая теория — я принимаю простые решения тогда, когда мой уровень понимания вопроса находится в начале или в конце кривой Даннинга-Крюгера.
Две недели назад Европейский суд справедливости решил, что американские компании не могут обеспечить адекватную защиту данных, так как закон обязывает их передавать данные разведывательным органам США.
Это что же получается, европейские компании не могут пользоваться G-Suite или AWS потому, что не имеют права передавать данные американским Гуглу и Амазону?
В общем, в мире защиты персональных данных сейчас стоит растерянный мем Траволты. А за этим судебным решением стоит студент Макс и интересная история, которую я и вознамерился тебе очень коротко рассказать.
Четвертая поправка и младший Буш
Фильм Идентификация Борна учит нас тому, что секретные агенты ЦРУ не мальчики для битья, и унылое чтиво вроде американской Конституции не в силах помешать их желанию причинять справедливость. А унылое чтиво чуть ли не с момента написания гарантировало ее унылым читателям право на приватность: государству запрещено было нарушать это право без специального разрешения суда (это правило еще называется “четвертая поправка”).
Всего чуть больше двухсот лет понадобилось американскому Конгрессу чтобы понять, что четвертая поправка не работает, а ЦРУ зарвалось. Понимание пришло сразу после Уотергейтского скандала — так в 1978 году и появился Закон о наблюдении за внешней разведкой. По этому закону получить доступ к телефонным разговорам или переписке американца можно было только по специальному разрешению суда. Это означало, что разведывательные органы должны были доказывать необходимость вмешательства в каждом конкретном случае: это было долго, к тому же суд не всегда с ними соглашался.
Но после 9/11 младший Буш вернул все как было и подписал тайный указ, позволяющий Агентству национальной безопасности прослушивать разговоры людей на территории США без всяких слюнявых разрешений суда.
Об этом прознал американский Бигус (а.к.а. New York Times), и Конгрессу пришлось в срочном порядке превращать то, что втихаря напакостил Буш, в закон — в 2007 году появился Закон с громким именем “Акт о защите Америки”: он разрешал следить за теми, кто по разумному допущению находился за пределами США. Смешно, да: “по разумному допущению”? Но не суть. Еще одна цель этого закона — защитить телекоммуникационные компании, сотрудничающие с разведкой, от частных исков о нарушении права на приватность. Позже Конгресс добавил этот механизм в Закон о наблюдении за внешней разведкой.
Вот именно по этому механизму компании вроде Amazon, Apple, Cloudflare, Dropbox, Facebook, Google, Microsoft сливают данные иностранцев разведке США.
Но невротикам рано переходить на украинскую государственную электронную почту, пока в мире есть австралиец Макс.
Макс против Фейсбук
Паника и истерика вокруг Общего регламента ЕС о защите данных точно тебя задела, потому что с этим документом почти все эксперты Фейсбука связывали начало конца света.
Если кратко, то GDPR — это законище размером с два Улисса, которое защищает право граждан ЕС на приватность.
Так вот GDPR запрещает передачу персональных данных за пределы Европейской Экономической Зоны в разные банановые страны, т.е. страны, которые не в состоянии обеспечить адекватный уровень защиты персональных данных.
По мнению ЕС в список банановых стран входили и США, но вместо строго запретить передавать данные в США экономическая целесообразность вынудила ЕС придумать специальный костыль — EU-US Privacy Shield, или назовем его для удобства Щит конфиденциальности.
Этот костыль отлично бы работал, если бы однажды студент по имени Макс Шремс не поехал учиться в США по программе обмена. На лекциях он не пил певко в последнем ряду, а слушал, и услышал, как приглашенный лектор несет пургу о защите данных в ЕС. Приглашенным лектором оказался юрист Фейсбука.
С того самого момента Макс озлобился и начал атаковать Фейсбук жалобами. Писал он куда следует, а также в суд. В свои 24 года Макс заставил высокопоставленный менеджмент Фейсбука шесть часов выслушивать замечания к работе сайта. А еще в 2015 году по его иску Европейский суд справедливости (высшая инстанция в ЕС) признал незаконным US-EU Safe Harbor — аналог Щита конфиденциальности, который разрешал передачу данных из ЕС в США в доджипиарную эру.
И вот две недели назад пост-джидипиарный Щит тоже накрылся Кивой.
Как это вообще касается Украины?
Одна из коварных особенностей GDPR — как и законы физики, он экстерриториален. Украинские компании обязаны выполнять его требований в двух случаях:
когда в корпоративной структуре есть зарегистрированная в ЕС компания, и
когда зарегистрированная в Украине или в другом месте компания работает на рынке ЕС или просто собирает данные европейцев.
Следовательно, последствия отмены Щита для украинского бизнеса точно такие же, как и для европейского: если у компании есть обязательство соблюдать GDPR, то передавать данные в США больше нельзя.
Что со всем этим делать?
А никто не знает. И это сейчас не любимая фигура речи любого юриста, потому что ну и правда, свалилось как правки за час до релиза.
Ясно, что останавливать обмен данными с американскими компаниями никто не будет, но нарушение GDPR на лицо, а штрафы там размером с бюджет небольшой страны. Поэтому все нервничают, поглядывают друг на другу и выжидают, пока кто-нибудь из гигантов найдет решение.
Европейский совет очевидных рекомендаций (на самом деле совет защиты данных) говорит дословно так: “каждую ситуацию необходимо анализировать отдельно и искать решения в зависимости от обстоятельств”.
Пишу это и страдаю, что я — не господин Саакашвили и не могу по дороге от дома к машине придумать два-три простых решения проблемы обмена данными между ЕС и США.
