Страх номер один. Налог на Google
В 2018 году беларуские власти собираются взимать налог с продажи цифровых продуктов. По факту, иностранные компании, оказывающие беларусам электронные услуги, должны встать на налоговый учет в Беларуси и уплачивать НДС от стоимости реализованных в Беларуси электронных услуг. Причем, это не касается сектора B2B – речь только про физлица. По сути, у нас уже есть налог на Google – по крайней мере прописан в налоговом кодексе для определенного круга компаний (в рекламе, софтах или big data). Когда с 2018 году закон введут в действие, в Беларусь придут чисто российские проблемы – далеко не все захотят платить налог. И не потому, что жалко, а потому, что для этого каким-то образом нужно присутствовать в Беларуси: регистрироваться в Министерстве по налогам и сборам, подавать декларации и т.д. С учетом того, что беларуский рынок маленький, далеко не каждая корпорация будет готова нести дополнительные издержки. По факту платить этот налог будем мы – то есть конечные пользователи услуг.
Скачаешь ты себе новую лицензионную «винду» или новый альбом Rihanna – она будет для тебя стоить дороже, потому что в нее будет заложен НДС налога на Google (правообладатель закладывает расходы в стоимость продукта).
По словам Алексея Козлюка, сложно оценивать готовность беларуского пользователя к платным приложениям и ПО, учитывая то, что у нас до сих пор много пиратского контента. С учетом налога, любое повышение цен будет замедлять развитие рынка.
Страх номер два. Как работает право на забвение
Теперь другая проблема. С 2010 года в мире существует закон, позволяющий физическим лицам обратиться в офисы поисковых компаний с просьбой удалить ссылки с недостоверной информацией о себе из поисковой выдачи. Началось это с обращения в Суд гражданина ЕС Марио Костеха Гонсалеса, которого преследовала негативная история, потерявшая актуальность много лет назад. Когда кто-то вводил имя гражданина в поисковое системе, пользователи видели ссылки о продаже его дома на аукционе в счет долга, хотя долг уже давно был погашен. В 2014 году суд стал на сторону истца, заявив, что человек не должен быть заложником поисковой машины. Однако здесь тоже есть свои белые пятна.
Право на забвение позволяет исключить выдачу определенных ссылок в окне поисковика, однако со страниц источника информация не может быть удалена. Проще говоря: сайт есть, а ссылка в поисковике не показывается. Некоторые авторы сравнивают это право с лежачим полицейским: вы все еще можете найти информацию, если она вам нужна, но есть некий барьер от случайности. У права на забвение в Европейском Союзе есть оговорка. Оно действует в отношении публичных лиц иначе, чем для обычных граждан (почтальон, продавец), поскольку это может нарушать право свободы слова. Как правило, публичным лицам отказывают в удалении информации из выдачи, если она достоверная.
В России, например, самые большие опасения касаются того, как правом на забвение пользуются политики, бизнесмены и чиновники, которые в свое время имели проблемы с законом и хотят, чтобы эта информация не дошла до людей.
В числе последних ярких примеров – ограничение выдачи российским поисковиком запроса «Илья Скирневский» и «Илья Скирневский фонд». Россиянин владел Фондом информационной безопасности, который был ликвидирован в 2013 году. В популярных поисковиках можно найти информацию лишь о прекращении его деятельности. В настоящее время Скирневский выступает совладельцем Российско-китайского центра развития торговли. Второй пример – удаление информации о Евгении Пригожине, рестораторе, обслуживавшем президентов России. Евгений подал аж 15 исковых заявлений к Яндексу, чтобы последний «почистил» выдачу ссылок по запросам, касающейся информации, порочащей его репутацию. А репутация Евгения, заметьте, наполнена довольно интересными фактами: девятилетний срок в тюрьме, слухи о причастности к «фабрике троллей», государственные контракты о поставке питания в школы Москвы и ресторан в Санкт-Петербурге, в котором Путин отмечал день рождения.
Ну, и не стоит забывать о том, что право на забвение можно «обойти» с помощью малоизвестных поисковых систем, типа DuckDuckGo, Нигма, not Evil (функционирует в сети Tor), Pipl и других поисковиков, на которые не распространяется юрисдикция Европейского союза. Например, в США право на забвение не действует по причине Первой поправки, касающейся свободы информации – никто не имеет право удалять или скрывать достоверные факты. Теоретически это выглядит так: если поисковик «подумает», что вы американский пользователь, то google.com покажет вам то, что скрыл google.it.
Возможно ли появление права на забвение в Беларуси? Если бы Беларусь была членом ЕС, то Google просто распространил бы это правила на территории нашей страны. Но, к сожалению, на территории РБ свои законы, и Google придется нанимать отдельную службу поддержки для Беларуси, которая бы разбиралась только с вопросами «забвения» и решала бы их в рамках законов РБ. А поскольку местный рынок маленький, это никому не надо. Можно, конечно, прописать правила для Google в точности так, как это закреплено в ЕС, но тогда что делать с российским Yandex?
Страх номер три. Как защитить свои персональные данные
В Беларуси юристы пока только обсуждают принятие закона о защите персональных данных – и это уже достаточно позитивная тенденция. Разрабатывается концепция, которую должны принять до конца этого года (после нам придется подождать еще около года, пока концепция трансформируется в закон). С регулированием защиты персональных данных в Беларуси есть проблемы, потому что у нас недостаточно чётко определено: что мы защищаем, как защищаем, от кого и на каких принципах.
Все наши ближайшие соседи и экономические партнеры имеют законы, касающиеся защиты персональных данных. Большинство из них основано на Европейской конвенции о защите персональных данных 1981 года, к которой наша страна пока не присоединилась. Было бы неплохо, если бы Беларусь пошла по этому же пути. Но здесь есть важный аспект – права человека. Право на защиту персональных данных прописано как отдельное право в Европейской Хартии прав человека. Но у нас такой графы в законе нет. То есть собрав определенное количество информации о человеке и имея возможность автоматической обработки данных, можно без труда влиять на поведение одной личности или целой группы людей, манипулировать, воровать идентичность, чтобы брать от его имени кредиты, заказывать услуги и так далее.
В качестве свежего примера хочется вспомнить недавнее письмо крупного портала в налоговую с просьбой не разглашать информацию о том, что указанный портал предоставляет информацию о своих пользователях третьим лицам.
Налоговая имеет право запрашивать данные у подобных ресурсов, но открытым в ситуации остался вопрос: что за информацию они запрашивают? Если, например, о деятельности магазина на предмет проверки уклонения от налогов – это вполне оправданная практика с точки зрения государства. Но в письме говорится о предоставлении данных пользователей, которые приобретали товар в том же магазине – вряд ли последние были предупреждены.
Если процедура запроса персональных данных государством не соблюдена, портал мог бы начать судебное разбирательство. Зарубежная практика показывает, что большие корпорации начинают публичные судебные процессы и раскрывают информацию, какие данные были запрошены, кем и для чего. Даже если компании проигрывают эти судебные процессы, то их репутация страдает меньше, поскольку пользователи видят, что компания приложила усилия, чтобы их персональные данные не раскрывать. В нашей ситуации можно было сделать что-то подобное, и это выглядело бы более ответственной позицией, нежели наивная просьба в адрес проверяющего органа никому не рассказывать о сливе информации. Насколько мне известно, ни одна компания в Беларуси пока не пыталась публично оспорить запрос пользовательских данных.
Еще одним хрестоматийным примером является утечка персональных данных потенциальных клиентов (анкет на получение кредита) с сайта одного частного беларуского банка. Как сообщил сам банк, он не рассматривал эти анкеты как данные клиентов, поскольку договоры еще не были заключены. Во-вторых, по их словам, подрядчик IT-услуг не обеспечил должного уровня безопасности. Рассмотрим ситуацию с точки зрения европейского права: банк выступает в качестве контролера данных и несет полную ответственность за их безопасность с того момента, когда данные переданы субъектами (гражданами), независимо от того, стали они клиентами или еще нет. Оправдание в стиле «виноват подрядчик, предоставивший сервера» не работает, потому что люди не должны думать о том, надежный ли подрядчик используется банком для передачи данных. Очень простая правовая ситуация, в которой сразу же можно определить степень ответственности каждого из участников инцидента и компенсациях для пострадавших.
Стоит ли говорить, что в отсутствие в Беларуси таких понятий как субъект данных, контролер и обработчик (как, впрочем, и самого законодательства о защите персональных данных) инцидент не имел публичного продолжения и мы не слышали о серьезных последствиях для виновной стороны.
Вместо вывода
Условный час Х для наших компаний наступит в 2018 году, когда в Евросоюзе старую Директиву 95-го года заменит Регламент о защите персональных данных. Новые правила будут распространяться на более широкий круг зарубежных компаний, а санкции за нарушения многократно возрастут. Если сейчас европейским компаниям на территории Беларуси туго, то через год будет еще хуже. Что делать? Принимать Европейскую конвенцию о защите персональных данных 1981 года, чтобы хоть как-то приблизиться к цивилизованному миру в сфере защиты персональных данных.
Арт: James Kerr