Конечно, правительство США продолжает настаивать на том, что нет необходимости в создании законодательных актов, всесторонне регламентирующих защиту приватности личности, поскольку вполне достаточно добровольно устанавливаемой политики, несмотря на тот факт, что Федеральная комиссия по торговле докладывала конгрессу США о неотложной необходимости принятия новых законодательных актов в области приватности.[256]

Вместо того чтобы сопротивляться принятию законодательных актов в области приватности, индустрия США должна сфокусироваться на разработке набора правил и методик по соблюдению приватности, которые были бы приемлемы как для Интернета, так и для обычной жизни. Эти методики должны учитывать как директиву Евросоюза о персональной информации [European Union’s Directive on Personal Information], так и выпущенное ОЭСР в 1980 году Руководство по контролю над защитой приватности и перемещением через государственные границы персональных данных. (ОЭСР – Международная организация по экономическому сотрудничеству и развитию, объединяющая 29 стран-членов и занимающаяся обсуждением, развитием и работами по улучшению экономической и социальной политики.) В конце концов, американские компании ведут бизнес в Европе, Канаде и многих других странах, уже имеющих соответствующие законы в области приватности, базирующиеся на этих принципах. Эти компании лицемерят, когда говорят, что законодательные акты по защите приватности могут стать неприемлемой преградой их бизнесу.

История с MetroCard

Через день после того, как я начал свой «книжный тур»[p82] с этой книгой, в Нью-Йорке состоялось мое радиоинтервью репортеру «Голоса Америки» Ларри Фройнду [Larry Freund]. Фройнд передал мне опубликованную в New York Post статью, описывающую, как полиция Нью-Йорка получает доступ к данным из компьютеров системы метрополитена. Похоже, что администрация метрополитена [Metropolitan Transit Authority, МТА] запрограммировала компьютеры на запоминание времени и места каждого использования всех карточек MetroCard в городе. Полиция прослышала об этой базе данных и взяла за практику получать данные о проходе через турникеты метро задержанных ею людей: один звонок в управление метрополитена, и полиция получала подробную распечатку, с указанием всех станций метро, где была использована карточка задержанного.

Согласно статье из Post, полиция уже неоднократно пользовалась этой возможностью для опровержения алиби. В одном из случаев человек был задержан по подозрению в совершении кражи в магазине. Подозреваемый заявил, что не покидал Стейтен Айленд в день преступления, но, согласно данным компьютера, его MetroCard была использована через пять минут после совершения преступления на станции метро, находящейся рядом с магазином. Автор статьи в Post рассказывал еще о нескольких случаях, когда система опровергла алиби, и об одном случае, когда алиби было доказано (что заставило полицию искать другого подозреваемого).

Однако наибольшее беспокойство вызывало то, что статья в Post была написана совершенно спокойным тоном, без тени критики. Когда администрация метрополитена анонсировала внедрение новой системы MetroCard, она ничего не говорила гражданам Нью-Йорка о том, что устанавливает широкомасштабную систему слежки, которая будет запоминать маршруты их перемещений. Автор статьи не поинтересовался у МТА, кто имеет доступ к этой базе данных: только полиция или любой частный детектив, которому заплатил клиент? Что если служащий МТА захочет отследить перемещения своей подруги, чтобы узнать, не ездила ли она в Бронкс, на станцию подземки, находящуюся недалеко от квартиры ее бывшего приятеля? Есть ли какие-нибудь средства обнаружения несанкционированного просмотра базы? И конечно, автор статьи не акцентировал внимание на том, что система наблюдения на самом деле отслеживает не передвижение людей в системе метрополитена, – она отслеживает передвижение карточек.

Чтобы прояснить ситуацию, я позвонил в МТА. Менеджер по рекламе МТА был ошарашен моими вопросами: они не могли предоставить мне письменную копию инструкции, определяющей, что можно и что нельзя делать с информацией из системы MetroCard, поскольку этой инструкции не существовало. Правоохранительным органам доступ был предоставлен в порядке любезности; не существует формализованного процесса контроля и защиты гражданских прав, определяющего порядок предоставления полиции информации и какой именно информации. Служащим не разрешается просматривать записи в базе данных, но не принято никаких мер по предотвращению просмотра. С другой стороны, МТА создало систему, в которой люди могут получить доступ к своей информации: просто пошлите нам номер своей карточки MetroCard, сказали мне, и мы вышлем вам распечатку перечня станций, на которых вы были. Я думаю, что несомненно это существенно упрощает жизнь частным детективам и ревнивым супругам: все, что нужно сделать, это стащить ненадолго карточку – и все данные по ней будут доступны для запроса.

Взгляд за границу

Четыре месяца спустя после выхода в свет этой книги правительство Канады приняло всеобъемлющий пакет законов, защищающих право граждан на приватность. Названный C-6 и известный также под названием «Закон о защите персональной информации и электронных документах» [Personal Information Protection and Electronic Documents Act], этот законодательный акт устанавливает ряд правил, которые канадские компании обязаны выполнять при сборе и обработке персональной информации. В настоящее время закон распространяется только на канадские компании, находящиеся под федеральным регулированием, такие как банки и страховые компании, но через три года действие закона будет распространено также и на компании, регулирование деятельности которых находится в ведении провинций.[257]

За последний год больше всего внимания было уделено вопросам обеспечения приватности в Интернете. Но канадский закон касается всей деятельности по сбору информации, независимо от того, онлайновая она или нет. Именно так и должно быть, сказал член канадского парламента Джон Кэннис [John Cannis], один из авторов закона. Выступая этой весной непосредственно перед принятием закона, Кеннис, являющийся также парламентским секретарем министра промышленности, сказал:

Для того чтобы Канада смогла стать лидером в интеллектуальной экономике и электронной коммерции, потребители и бизнесмены должны спокойно чувствовать себя с новыми технологиями и влиянием, которое эти технологии будут оказывать на их жизнь. Канадцы хотят знать, что их сделки конфиденциальны и безопасны, что существуют правовые и финансовые схемы поддержки сделок и что информационная инфраструктура работает.[258]

Закон создает условия, в которых все канадские компании будут придерживаться одинаковых правил защиты персональной информации, говорит Кеннис:

Индустрия прямого маркетинга, IT-компании, телекоммуникационные компании, банки – все понимают, что Канаде необходима инфраструктура законов в области приватности. Они понимают также, что гибкое, но эффективное законодательство поможет потребителям перейти на электронные способы ведения бизнеса и будет для компаний менее затратным, чем самостоятельное создание правил.[259]

Положенные в основу C-6 принципы базируются на модельном стандарте приватности под названием «Свод правил по защите персональной информации» [Code for the Protection of Personal Information], который Канадская ассоциация стандартов [Canadian Standards Association, CSA] приняла в сентябре 1995 года. Свод правил обеспечения приватности CSA [CSA Privacy Code] стал для организаций пошаговой инструкцией по защите приватности личности. Эти шаги включают, в первую очередь, определение целей сбора информации, получение разрешения от людей, ограничение сбора, обеспечение точности и принятие адекватных мер против случайного разглашения (см. краткое изложение этих шагов в рамке).

Краткое изложение канадских принципов

Модельный «Свод правил по защите персональной информации», выпущенный Канадской ассоциацией стандартов, базируется на десяти независимых принципах.[260]