Международное право и интернет. международные

on

МЕЖДУНАРОДНОЕ ПРАВО И ИНТЕРНЕТ. МЕЖДУНАРОДНЫЕ ИНИЦИАТИВЫ США В ОТНОШЕНИИ КИБЕРПРОСТРАНСТВА Интернет формирует и диверсифицирует процессы социальной регуляции, и современная логика регулирования социальных отношений так или иначе связана с Интернетом. Международно-правовые инициативы Правительства США, получившие отражение в двух основополагающих документах, «Национальной стратегии идентификации в киберпространстве» и «Международной стратегии США в отношении киберпространства. Процветание, безопасность и открытость сетевого мира», со всей очевидностью свидетельствует о том, что без международно-правового сотрудничества, без использования международно-правовых институтов и механизмов невозможно регулирование отношений в области Интернета, в частности, решение вопросов кибербезопасности. Ключевые слова: Интернет, кибербезопасность, международное право, защита персональных данных, международная политика США, сотрудничество государств. Kasenova M. INTERNATIONAL LAW AND THE INTERNET. US INTERNATIONAL CYBERSPACE INITIATIVES The Internet forms and diversifies processes of social regulation and the contemporary logic of regulating social relations that are in one way or another connected with the Internet. The international law initiatives of the US Government are reflected into fundamental documents, the National Strategy for Trusted Identities in Cyberspace and the International Strategy for Cyberspace, Prosperity, Security and Openness in a Networked World. It is self-evident that it will be impossible to regulate relations in the field of Internet, and in particular to solve cyber security problems without international cooperation and without the use of international legal institutions and mechanisms. Keywords: Internet, cyber security, cyberspace, international law, protection of personal data, US international policy, cooperation of states. Почти треть населения мира пользуется Интернетом, и гораздо больше людей соприкасаются с ним в повседневной жизни. Сегодня в мире насчитывается свыше четырех миллиардов цифровых телекоммуникационных устройств. 2011 год в определенном смысле будет иметь историческое значение в контексте международных инициатив США относительно развития Интернета, создания механизмов его эффективного управления и безопасного развития. Речь идет о двух, на наш взгляд, основополагающих документах, а именно: «Национальной стратегии идентификации в киберпространстве» (National Strategy for Trusted Identities in Cyberspace) и «Международной стратегии США в отношении киберпространства. Процветание, безопасность и открытость сетевого мира» (International Strategy for Cyberspace. Prosperity, Security and Openness in a Networked World). I. Проект, названный «Национальная стратегия идентификации в киберпространстве» (далее — Стратегия идентификации), был разработан Администрацией Президента США с привлечением всех заинтересованных сторон: гражданского общества, научного сообщества, частного сектора и правительства. Стратегия идентификации, неофициально названная «ObamaNet», была распространена в июне 2010 года для широкого обсуждения. В апреле 2011 года была опубликована окончательная редакция Стратегии идентификации. Поскольку это довольно объемный документ, а формат статьи не дает возможность проанализировать его полностью, представляется целесообразным остановиться на ключевых положениях Стратегии идентификации. 1. Основная задача Стратегии идентификации состоит в кардинальном повышении надежности идентификационных данных и укреплении защиты информации, позволяющей установить реальную личность пользователя. 2. Киберпространство рассматривается в качестве одного из важнейших элементов существенной инфраструктуры государства. Киберпространство нуждается в такой же системе безопасности, как и любая существенная, жизненно важная инфраструктура государства, и создание системы кибербезопасности Соединенные Штаты считают «национальным приоритетом». 3. Кибер-атаки, кибер-кражи, диффамация, кибер-мошеннические операции в банковской сфере, розничной торговле и проч., как правило, осуществляются с помощью хищения персональных данных и информации, которое не может контролироваться самими пользователями Интернета в силу слабой защищенности такой информации и ограниченных возможностей пользователей. 4. Поскольку пользователи Интернета используют значительное число учетных записей, паролей, иных личных авторизаций, необходимых для получения различных услуг в режиме он-лайн от различных организаций, предложено создать «Систему идентификации» («Identity Ecosystem»). 5. Identity Ecosystem предполагает создание системы единых параметров идентификации пользователей Интернета и позволяет, с одной стороны, идентифицировать «подлинность» пользователя (физическое или юридическое лицо) в Сети, с другой — повысить само качество надежности идентификации в киберпространстве с возможностью сохранения анонимности пользователя. 6. Identity Ecosystem основывается на следующих основных началах. Во-первых, добровольное участие любого заинтересованного лица в использовании персональных (учетных) данных для получения «удостоверения идентификации». Во-вторых, использование механизмов усиления безопасности персональных (учетных) данных в целях защиты информации интернет-пользователей. В-третьих, совместимость персональных (учетных) данных, используемых при идентификации. В-четвертых, Identity Ecosystem должна быть экономически эффективной, простой в использовании и легкодоступной для поставщиков и пользователей сервисов. 7. Предполагается, что Identity Ecosystem имеет три уровня: уровень руководства (governance layer), на котором вводятся правила идентификации, уровень управления (management layer) и уровень исполнения (execution layer), на котором в соответствии с правилами будут проводиться операции идентификации. 8. Identity Ecosystem позволит субъектам коммуникаций обмениваться информацией в пределах, необходимых в данном контакте, без полной идентификации пользователей. Средства, идентифицирующие личность, будут существовать в форматах смарт-карт, чипов безопасности, встроенных в компьютеры, мобильных телефонов, программного обеспечения и сертификатов, USB-устройства и проч. 9. Субъектами Identity Ecosystem являются физические лица, юридические лица, государства, деятельность которых охватывает только «он-лайн» операции. При этом Стратегия идентификации предполагает корреляцию с операциями, осуществляемыми в режиме «офф-лайн». 10. Использование персональных данных (Personally Identifiable Information) в Identity Ecosystem зиждется на Принципах добросовестного использования информации («Fair Information Practice Principles»). 11. Реализация Стратегии идентификации осуществляется соответствующим Федеральным Агентством США. Стратегия идентификации исходит из того, что Принципы добросовестного использования информации («Fair Information Practice Principles», далее — FIPP) являются основополагающими в разработке стандартов на надежные механизмы удостоверения подлинности идентификаторов, неотъемлемой частью Стратегии идентификации и основой функционирования Identity Ecosystem. В Стратегии идентификации отмечается, что FIPP являются общепризнанной базой для разработки методов, которые должны использоваться для анализа и определения систем, процессов или программ, влияющих на конфиденциальность персональной информации. FIPP призваны защищать информацию при осуществлении операций в режиме он-лайн. Универсальность применения FIPP обеспечивает основу конфиденциальности и достоверности операций, осуществляемых в онлайновом формате. Исторически закрепление FIPP относится к 1974 году, когда они получили системное изложение в докладе Департамента здравоохранения, образования и социального обеспечения США, названном «Информация, компьютеры и права граждан». Позднее FIPP послужили основой Закона США «О защите персональных данных» 1974 года и были закреплены в законодательных актах ряда штатов. FIPP также получили свое закрепление в документах национальных и международных организаций, частных и некоммерческих организаций. Основу FIPP составляют восемь основополагающих принципов: — прозрачность (Transparency). Организации должны быть максимально прозрачными и уведомлять лица о сборе, использовании, обработке и хранении персональных данных для идентификации личности, Идентификационной персональной информации (Personally identifiable information, PII, далее — Идентификационная персональная информация); — личное участие (Individual Participation). Организации должны привлекать лиц к участию в процесс использования Идентификационной персональной информации и, в пределах возможного, запрашивать их персональное согласие на получение, обработку, передачу и хранение Идентификационной персональной информации. Организации также должны обеспечивать механизм соответствующего доступа, корректировки и переадресации Идентификационной персональной информации; — определение цели использования (Purpose Specification). Организации должны четко сформулировать полномочия, на основании которых разрешается сбор Идентификационной персональной информации, и особенно точно указать цель или цели ее использования; — минимальное количество информации (Data Minimization). Организации должны собирать только такую Идентификационную персональную информацию, которая имеет непосредственное отношение и необходима для выполнения определенной цели (целей), и сохранять ее, пока это является необходимым для выполнения поставленной(ных) цели(целей); — ограничение использования (Use Limitation). Организации должны использовать Идентификационную персональную информацию исключительно в целях, обозначенных в уведомлении лица, предоставляющего информацию. Обмен такой информацией может быть только в целях, соотносимых с целями, для которых она была предоставлена; — качество и достоверность информации (Data Quality and Integrity). Организации должны, насколько возможно, следить за тем, чтобы Идентификационная персональная информация была точной, относящейся к делу, актуальной и полн й; — безопасность (Security). Организации должны охранять Идентификационную персональную информацию (на всех носителях) с помощью соответствующих мер обеспечения безопасности против таких рисков, как потеря данных, несанкционированный доступ, уничтожение, изменение либо непреднамеренное или неподобающее раскрытие; — учет и контроль (Accountability and Auditing). Организации должны нести ответственность за соблюдение этих принципов, проводить соответствующее обучение всех работников и подрядчиков, использующих Идентификационную персональную информацию, проводить проверку ее целевого использования для демонстрации соблюдения принципов и всех иных требований в отношении защиты персональной информации. Пока не совсем ясно, каким образом будет реализована Стратегия идентификации и функционировать Identity Ecosystem, но важно, что она устанавливает стандарты безопасности и совместимости. Стратегия идентификации осуществляется под контролем Правительства США, поэтому идентификационные сервисы, созданные частным сектором, будут совместимыми (интероперабельными) с государственной системой по уровню надежности. Оставляя в стороне разнообразные аспекты дискуссии относительно Стратегии идентификации и функционирования Identity Ecosystem, сошлемся на мнение Винта Серфа (Vint Cerf), одного из пионеров Интернета, бывшего Председателя Совета Директоров Корпорации Интернета по распределению имен и адресов (The Internet Corporation for Assigned Names and Numbers, ICANN), вице-президента и главного евангелиста интернет-технологий компании Google: «Стратегия идентификации создает техническую базу и жизнеспособную экосистему конкурирующих, но совместимых (интероперабельных) систем и сервисов удостоверения подлинности. Если предлагаемые стандарты получат применение за пределами США, то это будет способствовать безопасности онлайн-бизнеса и в международном масштабе». II. В мае 2011 года США представили документ «Международная стратегия США в отношении киберпространства. Процветание, безопасность и открытость сетевого мира» (International Strategy for Cyberspace. Prosperity, Security and Openness in a Networked World, далее — Стратегия безопасности). Правительство США неоднократно выражало озабоченность по поводу политических вызовов, сопровождающих сетевые технологии, но впервые был предложен комплексный подход к широкому международному сотрудничеству по всему спектру вопросов, относящихся к сфере киберпространства. Стратегия безопасности не просто очерчивает параметры будущего киберпространства, она позиционируется Правительством США как своего рода программа действий в контексте будущих усилий, необходимых для выработки совместных подходов в целях сохранения природы киберпространства и снижения возникающих угроз. Представляя Стратегию безопасности, Президент США Барак Обама обратил внимание на следующее: «Сам по себе Интернет не возвещает новую эру международного сотрудничества. Над этим еще предстоит поработать нам, получающим выгоды от использования Интернета. Сообща мы сможем работать над формированием будущего киберпространства — открытого, универсально совместимого, безопасного и надежного. Это то будущее, к которому мы стремимся, и мы призываем все страны и народы присоединиться к нашим усилиям». Международная политика США в области киберпространства связана с усилиями по содействию в построении и поддержанию открытых, функционально совместимых (интероперабельных), безопасных и надежных сетей внутри страны и за рубежом, как для граждан США, так и для мирового сообщества. Подход США базируется на фундаментальных принципах, определяется генеральной целью и поддерживается политической линией, сформулированной Стратегией безопасности, а в совокупности все это составляет основу международной стратегии Соединенных Штатов Америки по вопросам киберпространства. В Стратегии безопасности Соединенных Штатов определены семь взаимосвязанных стратегических направлений, по каждому из которых Правительство США намеревается сотрудничать на международном, региональном и национальном уровне с частными и государственными структурами. Все направления создают вектор действий Правительства США в сфере киберпространства. 1. «Экономика: укрепление международных стандартов и инноваций, открытые рынки». Глобальный охват Интернета во многом отражается в распространении более дешевых и повсеместно доступных компьютеров и сетевых технологий. Конкуренция на этих рынках стимулирует инновации, а среда свободной торговли дает производителям возможность поддерживать конкурентные цены и высокие стандарты. Уважительное отношение к международным стандартам разработки технологий и торговли представляет собой существенную часть поддержания открытых рынков и позволяет компаниям, занимающимся высокими технологиями, быстро доводить до потребителя преимущества своих инновационных продуктов и услуг. В течение нескольких будущих десятилетий глобализация разработки технологий будет только нарастать, принося ощутимые выгоды для сетей и потребителей. Реализация экономического направл