Екатерина Дейкало о взломе базы обращений: «Важно соизмерять цель и средство, и стараться избегать неоправданного ущерба для человека»
Взлом баз данных и ответственность. Неправовые методы как вынужденный инструмент и правовая рамка. Обнародование персональных данных и общественный интерес. Как использовать правовые принципы необходимости и соразмерности в журналистской практике. Media IQ поговорили с кандидаткой юридических наук, эксперткой Беларусского Хельсинского Комитета Екатериной Дейкало.
Екатерина Дейкало
– Киберпартизаны выложили скачанную базу обращений на сайте КГБ. Её сразу назвали базой доносов. Но там много действительно обращений, к примеру, о поиске информации о родственниках. Насколько правомерно опубличивание таких данных?
– С точки зрения общей правовой рамки такие действия нарушают право на уважение частной жизни, могут затрагивать и другие права. Все обращения людей должны быть защищены, и их персональные данные не должны опубличиваться. Так, в Евросоюзе действует «Общий регламент по защите данных» (GDPR – General Data Protection Regulation). В Беларуси тоже принят закон о защите персональных данных, написанный во многом на основе европейского регламента, но понятно, что в нынешних условиях он работает очень выборочно. Но вообще общепринятый правовой стандарт обращения с персональными данными на сегодня предусматривает согласие человека на обработку персональных данных, определённые условия их хранения и обращения с ними, и ответственность того, кто ими оперирует, за несоблюдение всего этого.
Поэтому по общему правилу любой взлом базы, получение чужих персональных данных и их опубличивание – это неправомерное действие и нарушает права людей, чьи данные опубличены.
Это исходная линия, первый базовый тезис, который важно понимать.
Но, к сожалению, бывают ситуации, которые выводят нас за пределы правовой рамки. Иногда из-за совокупности факторов, в том числе, когда человек лишён самим государством всех средств правовой защиты, приходится совершать неправомерные действия.
Наши обстоятельства выглядят так, что люди не могут добиться справедливости иным способом по вине самого государства. Государство лишило нас права участвовать в государственных делах, влиять на политику в своей стране и пользоваться правовыми инструментами для защиты своих интересов. И, более того, не просто лишило, но жёстко преследует и репрессирует за попытки это сделать. Государство не выполняет свои обязательства по привлечению к ответственности виновных за совершение грубых и массовых нарушений прав человека, тем самым тоже нарушая наши права. В такой ситуации у людей возникает естественное желание защититься и добиться хоть какой-то справедливости, так как государство не выполняет свою функцию.
Для внеправовых действий в таких случаях с использованием сети Интернет часто используется специальный термин – цифровой вигилантизм.
Вообще это касается не только такой ситуации как наша, это явление есть и в нормальных правовых государствах, если люди считают, скажем, что официальное правосудие неэффективно. Если кратко и очень популярно – вигилантизм, в принципе, это современная форма своего рода смеси из вендетты и действий Робин Гуда. В нашей конкретной ситуации, если говорить юридическим языком, такие действия частично являются крайней необходимостью. Говорю частично – потому что не всё в рамках этих действий.
Скриншот: zerkalo.io
«Мы должны стараться минимизировать ущерб для людей»
– Как работать с базами, личной и чувствительной информацией в рамках правового поля в таких ситуациях, как наша?
– Второй базовый тезис: даже если мы вынуждены действовать неправовыми методами по вине государства, это не значит, что у нас развязаны руки полностью и мы можем делать всё, когда речь идёт о потенциальном ущербе для людей.
Вообще и в нормальных условиях в случае правомерных действий в том же GDPR прописаны цели, ради которых можно в той или иной мере отступить от общих правил обработки персональных данных: в том числе публичный интерес, цели журналистской деятельности, что часто связано между собой.
В случае с действиями, выходящими за правовое поле, точно также должна присутствовать сдерживающая рамка. Вообще в праве во многих случаях, когда предусмотрен отход от общего правила, используются критерии (или принципы) необходимости и соразмерности. Условная «необходимая самооборона» – необходимая, а не любая; «крайняя необходимость» – крайняя, а не любая. Логика любых исключений в ситуациях, которые могут затрагивать права человека, основана на этих принципах, исключения GDPR в том числе. Потому что эти критерии позволяют измерить необходимость и разумно объяснить цель – зачем и почему нам нужно отойти от общего правила. Это, в свою очередь, позволяет балансировать права нескольких субъектов, если они сталкиваются.
Если мы вынуждены действовать неправовым образом, то мы тем более должны стараться минимизировать ущерб, в котором не было необходимости, и стараться максимально избежать любого ущерба для людей, которые не виноваты и не причастны. Важно соизмерять цель и средство.
Безусловно, это не всегда получается, но это важно держать в голове и стараться избегать неоправданного ущерба для человека.
Например, публичный интерес – это то, что важно для общества и для его благосостояния (well-being). Соблюдение прав человека, конечно, сюда входит, но и справедливость, и наказание за преступления – тоже.
В этой связи понятна необходимость раскрывать и опубличивать информацию о том, что сделали силовики, и о них самих. Мы, грубо говоря, привлекаем их к ответственности, и таким образом включаем механизмы саморегулирования, потому что государство отказывается это делать.
Но так ли необходимо раскрывать, например, персональные данные их семей, жён/мужей и детей. Для чего? Они причём к пыткам, которые он/она совершали?
Понятно, что с точки зрения общества это может восприниматься как часть восстановления справедливости и публичного интереса – необходимость их публичного общественного осуждения. Чтобы этим людям стало некомфортно. Но тут тем более важен баланс, тут всё такое – «на тоненького». Они в любом случае не могут отвечать за то, что совершил их супруг_а и отец/мать. Опять же, стоит ли обнародовать адреса собственности, номера и марки машин, номера телефона? Это всё ведёт к ненужной радикализации и усилению градуса противостояния.
Когда есть человек, в его ситуации не может быть никаких обобщений.
Как говорится, дьявол в деталях, всегда есть нюансы. И когда мы перестаём разбираться в нюансах: он пытал, а его жена должна висеть в этой базе, потому что у неё такой муж…, то рано или поздно может случиться ситуация, что кто-то не разберётся в деталях в отношении нас.
Это правило работает безотказно.
То же самое и с «базой доносов» КГБ: необходимость узнать, кто доносит в ситуации, когда любое попадание к силовикам (даже на условные одни сутки) чревато пытками и жестоким обращением с человеком, ущербом здоровью и жизни – можно объяснить общественным интересом. Но вот опубличивание всего остального – точно нет.
Часто можно услышать аргумент, что мы на войне и «на войне все средства хороши». Но на войне тоже есть правила. Мы же призываем не расстреливать военнопленных, не бомбить гражданские объекты. То, что стороны сегодня часто не соблюдают эти правила, не означает, что их нет. Это означает, что по ним меряют поведение, противоправность, и будут давать правовую оценку, когда возникнет такая необходимость.
Логика, по которой люди считают, что они не связаны никакой рамкой вообще и борются с кровавым режимом Лукашенко любой ценой, не видя Человека, близка к большевистской.
Нельзя не думать о побочных эффектах для непричастных людей: кому может быть нанесён ущерб в результате тех или иных действий.
Очевидно, что невозможно вообще избежать ненужного и «лишнего» ущерба. К сожалению. И кто-то всё равно будет «случайными» жертвами этой борьбы, но задача в том, чтобы стараться максимально минимизировать такие ситуации.
Скриншот: euroradio.fm
«Каждый человек имеет право на процессуальные гарантии»
– Где та грань между борьбой с режимом всеми доступными способами и презумпцией невиновности?
– В нормальной картине мира мы понимаем, что даже фото предполагаемого преступника нельзя публиковать до того, как пройдёт суд, потому что есть презумпция невиновности.
В этом суть демократического общества, когда есть процедура и она соблюдается. И это важно, потому что каждый человек имеет право на процессуальные гарантии, и даже самый кровавый маньяк тоже, как бы нам это ни было неприятно.
Когда мы говорим о нашей ситуации, то формально, конечно, силовики также не могут считаться виновными, пока это не признано судом. Но их деанон можно объяснить публичным интересом и ситуацией крайней необходимости, в которой мы находимся, как я сказала выше, т. к. мы видим, что государство не собирается их привлекать к ответственности, в стране не работают правовые процедуры. Когда мы станем разбираться, то всплывёт много нюансов: кто-то пытал, кто-то бил, кто-то проходил мимо или выполнял свою работу конвоира. Поэтому суд и будет назначать разные наказания или оправдывать. Есть множество оттенков. Но, безусловно, мы не можем учесть их все в этих действиях, которые сейчас вынужденно совершаются.
– Как остаться в рамках этичности? Некоторые редакции в публикациях сами решили, какие имена «доносчиков» обнародовать, а какие – нет.
– Опять же, важно разбираться в деталях и оценивать каждое опубличивание чьих-то данных с точки зрения необходимости и соразмерности.
Так, например, мы узнали, что в Координационный Совет хотели пойти люди, которые писали доносы. Можно сказать, что опубличивание информации о них – в интересах общества, чтобы они не попали в какие-то демократические структуры (в том числе и по соображениям безопасности). Что необходимо раскрыть в данной ситуации – их имена точно, содержание доноса. Есть ли необходимость при этом раскрывать их адрес и телефон? Для этих наших целей – точно нет. Соответственно, эти данные закрываются в публикациях.
Но с другой стороны, безусловно, нет никакого публичного интереса и необходимости в том, чтобы раскрывать имена и тем более данные людей, которые спрашивали о своих родственниках или, например, хотели устроиться на работу в КГБ. В последнем случае он может быть, если это было после 2020 года, и кто-то из этих людей, скажем, находится в демократических структурах или организациях гражданского общества, активен в диаспоре и т. д. Если же этого ничего нет, но вы заметили какую-то интересную закономерность, можно рассказать про явление в целом и не вдаваться в конкретные детали.
Всегда надо задаваться вопросами: так ли необходимо оставлять незакрытыми все данные или достаточно оставить просто имя? В каком случае достаточно написать о факте? Нет таблицы умножения, где есть правильные ответы на все возможные вопросы. Есть критерии и необходимость постоянно соизмерять и искать баланс. Примеры, которые я привела, можно довесить дополнительными деталями, и в каждом конкретном случае дальше рассуждать и принимать решение.
«Мы должны думать о долгосрочных последствиях этих действий»
– В чём опасность для будущего Беларуси, построения правового государства появление такого рода информации в открытом доступе?
– Важно соблюдать баланс. С одной стороны, мы имеем неправомерное действие, которое можем объяснить необходимостью и публичным интересом. С другой стороны, мы всегда должны думать стратегически – о долгосрочных последствиях таких действий.
Люди, которые выкладывают данные в сеть, могут не думать о таких последствиях, но есть люди, которые в обществе играют другую роль – юристы, правозащитники, которые должны удерживать в обществе этот баланс. Я бы сказала, это их обязанность. Когда мы говорим о правах человека и демократических ценностях, если мы строим правовое государство и уходим от авторитаризма, хотим какой-то трансформации общества, то мы не можем не говорить об ущербе, который наносится людям в связи с опубличиванием скачанных баз данных. Иначе странно заявлять про европейскую нацию, демократическую Беларусь, про стремление к демократии, говорить о верховенстве права и всём прочем, что регулярно декларируют люди из демсообщества. Эти все декларации предполагают не только свободу, но и ответственность перед обществом, которое мы хотим построить.
Важно чётко отдавать себе отчёт в том, к каким долгосрочным последствиям может привести ненужная радикализация и усиление противостояния в обществе, провокация насилия, совершение действий, способствующих самосуду (а публикация всяких адресов и прочего к этому тоже относится).
Это только отпусти и потом не соберёшь. Государство и так уже отпустило эту планку донельзя. Если добавится с другой стороны то же самое – обществу может быть причинён ещё больший ущерб. Чем дольше продолжается радикализация, и чем выше вероятность применения насилия, тем больше вероятность открытия ящика Пандоры, отголоски которого добавятся ко всему «наследству 2020», и разгребать это потом будет очень тяжело.
Даже если мы отойдём от насилия и радикализации. В пабликах нет разговоров о долгосрочных последствиях таких действий вот в каком аспекте: базы взламываются, но там же не только данные силовиков и чиновников – «виноватых».
Взломана база «Паспорт». Там данные всех нас. И возникает простой вопрос: кто имеет доступ к этим данным, в каких условиях они хранятся, как это остановится? Даже если, условно, люди, которые это делают, скажут нам, что как только придёт к власти демократическое правительство, мы прекращаем свою деятельность, мы больше ничего не взламываем, даже уничтожим все данные, которые утекли, есть какая-то гарантия? Кто её даст? И сейчас люди живут с тем, что информация о них находится неизвестно где: в интернете, в чьём-то компьютере. Сколько людей имеет доступ к нашим паспортным данным?
Кто гарантирует безопасность наших данных, скачанных во время борьбы с режимом?
Это хотя бы должно декларироваться, проговариваться со стороны тех, кто этим занимается.
Не видела, чтобы хоть одно медиа, хоть один журналист_ка задавали эти вопросы. Это тоже сфера публичного интереса и ответственности. Ещё какая. Об этом нужно говорить, чтобы люди слышали и держали в голове все эти неудобные вопросы.
Скриншот: svaboda.org
– Кто несёт ответственность за попадание личных данных в сеть?
– Надо учитывать два момента. Те, кто хранит данные и управляет ими, несёт ответственность за то, чтобы они были защищены в соответствии с законом. Если не было предпринято всех действий, чтобы эти данные были защищены, то, безусловно, наступает ответственность за то, что они утекли.
При этом они могли утечь, но не попасть в паблик или попасть, но не все. Поэтому дальше уже наступают различные грани ответственности того, кто выкидывает их в паблик, и в каком количестве. Киберпартизаны выкинули базу обращений, но не отфильтровали её. Мы не знаем, думали они о том, как её отфильтровать, и не смогли это сделать, или не думали вообще. А это важно знать, потому что намного лучше, если бы они думали, но не смогли сделать, чем посчитали, что это не важно или даже не задумались об этом.
Можно ли её отфильтровать в принципе – мне сказать сложно, теоретически можно, наверное, но в реальности ясно, что это, может быть, практически невозможно или очень сложно. Но даже если это невозможно, важно понимать, что интересы и права этих людей (тех, что спрашивали о родственниках, тех, в отношении кого была раскрыта адвокатская тайна) – были затронуты вашими действиями. И ответственное поведение в данном случае: как минимум признать это, публично извиниться перед этими людьми и декларировать, что вы думаете о том, как минимизировать такой ущерб для непричастных людей в будущем. И стараться его минимизировать.
А далее по цепочке добавляются акторы, которые что-то делают с этими данными. В том числе и медиа. И, соответственно, определяется мера их ответственности.
Когда мы говорим о деаноне людей, данные о которых публикуются и распространяются в медиа, или о чьих-то персональных данных, независимо от того, был ли это перепост или собственный материал, то это уже совершенно осознанные действия.
Часто можно услышать аргументы, что данные уже опубличены и находятся в свободном доступе, поэтому не важно, мол. Ну, во-первых, каждый отвечает за себя и свои действия. И если кто-то пописал посреди площади, вы же не пойдёте это тоже делать только поэтому. Во-вторых, например, когда мы говорим об этой конкретной базе обращений, то их огромное количество, и то, что она в открытом доступе, не означает, что именно эти обращения увидели, если бы их не опубликовали. Возможность есть, но это не значит, что все ей воспользовались. Поэтому, когда пользуемся этой базой, нужно понимать, что, может быть, ваше медиа будет первым, кто опубличит эту информацию и зафиксирует внимание на этих персональных данных, а без вас их бы никто и не увидел. Поэтому каждый раз возникает вопрос необходимости и соразмерности.
Вообще, у каждого своя роль в обществе: революционеры делают революцию, политики занимаются политикой, правозащитники и юристы должны блюсти рамку прав человека и верховенства права, журналисты – доносят объективную и правдивую информацию, хакеры взламывают системы. В идеальной картине мира рамка прав человека должна быть общей ценностью для них всех. Потому что человек – это высшая ценность (опять же исходя из той системы координат, к которой мы, как заявляем, стремимся как «европейская нация»). У многих из них эта рамка входит в стандарт профессиональной этики. Тем не менее, в реальности у этих групп и внутри них могут быть и есть совершенно разные ценностные установки.
Но если мы все хотим жить в одном обществе, перестраивать и развивать его – нам важно держать баланс интересов и прав.
В нормальной ситуации есть государство, которое обеспечивает условия для этого баланса через правовые институты и процедуры. У нас сейчас нет такого государства, поэтому всё это – только и исключительно наша ответственность. Чем более ответственно мы сейчас будем себя вести, тем меньше придётся разгребать после.