Копирайт-фильтрация контента противоречит правилам ЕС о конфиденциальности данных
Возможно, принятый недавно закон об удалении защищённых авторским правом материалов вступит в конфликт с другим европейским законом — GDPR, которым гарантируется контроль граждан Евросоюза над собственными персональными данными.
Новые правила Европейского Союза в области авторского права находятся в противоречии с правилами конфиденциальности данных ЕС. GDPR защищает информацию, конфиденциальность и другие основные права при обработке персональных данных. И, вероятно, в отношении этого права возникла угроза злоупотреблений со стороны автоматизированной системы принятия решений, которую гарантированно начнут использовать в соответствии со ст. 17 о поиске и фильтрации нелегальных материалов, защищенных авторским правом. Здесь мы детально изучим действия ЕС, и почему государства-члены должны обеспечить соблюдение Директивы об авторских правах без использования автоматизированных фильтров, нарушающих GDPR и подвергающих пользователей цензуре и дискриминации.
Ст. 17 (ранее ст. 13) Директивы об авторском праве на едином цифровом рынке Европейского Союза делает онлайн-платформы ответственными за пользовательский контент, который нарушает чьи-либо авторские права. Чтобы избежать ответственности, операторы платформ должны демонстрировать, что делают все для получения от авторов разрешения на публикацию, и убедиться, что их ресурсы не содержат незаконный контент. Далее они должны быстро удалять противоправный контент и предотвращать его повторную загрузку после уведомления правообладателей.
До принятия Директивы об авторском праве защитники прав пользователей предупреждали законодателей о том, что операторам придется использовать фильтры для распознавания незаконного контента. Они говорили, что в силу этого статья 13 превратит онлайн-сервисы в «полицию по авторским правам», которая может сканировать и фильтровать миллиарды сообщений, видео, аудиофайлов и фотографий пользователей соцсетей на предмет возможных нарушений.
Есть что-то ужасно знакомое в идее автоматизированной системы, которая оценивает пользовательский контент и оказывает значительное влияние на положение людей. На недавней дискуссии в ЕС о технических и правовых ограничениях фильтров правила защиты данных, ограничивающие использование автоматики в принятии решений, не были вынесены на повестку дня должностными лицами ЕС. Не было также и экспертов по GDPR, которые поднимали этот вопрос в прошлом (читайте анализ Софи Сталла-Бурдийон или посмотрите панельную дискуссию CPDP этого года по фильтрам нелегального контента).
Согласно ст. 22 GDPR «Субъект данных имеет право не быть субъектом такого решения, которое основано только на автоматической обработке, в том числе профилировании, которое в отношении субъекта данных создаёт правовые последствия, или которые подобным образом существенно воздействуют на субъект данных». За некоторыми исключениями, это положение защищает пользователей от незаконных решений, принимаемых алгоритмами. На языке регламента слово «исключительно» означает процесс принятия решений, который полностью автоматизирован и исключает любое реальное влияние человека на результат.
ТЕСТ НА АВТОРСКОЕ ПРАВО:
Персональные данные
GDPR обычно применяется, когда провайдер обрабатывает персональные данные, которые определяются как любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных», ст. 4(1) GDPR). Почти все сообщения, анализируемые фильтрами в соответствии со ст. 17, будут исходить от пользователей с учетными записями.
Из-за регистрационных данных учетной записи фильтры работающие в соответствии с Директивой об авторском праве, должны соблюдать GDPR, поскольку даже анонимные сообщения имеют метаданные, такие как IP- адреса (C-582/14, Breyer v Germany), которые могут быть использованы для идентификации пользователя.
Даже анонимизация не удовлетворит GDPR, если контент связан с профилем пользователя в социальных сетях Facebook или YouTube.
Защитники фильтров могут возразить, что эти фильтры не принимают в расчет метаданные. Вместо этого они скажут, что фильтры сравнивают загруженный контент с информацией, предоставленной правообладателями. Однако принятие решений алгоритмами в соответствии с директивой об авторских правах — это больше, чем просто сопоставление контента. Это решение о том, имеет ли конкретный пользователь право публиковать конкретную информацию.
Вопрос, соответствует ли загруженная информация предоставленной правообладателями, — это всего лишь один шаг на этом пути. Фильтры могут не всегда использовать личные данные для определения того, следует ли удалить контент, но решение всегда зависит от того, что может сделать конкретный человек. Другими словами, как может решение об удалении контента пользователей не основываться в том числе на знании особенностей этого человека?
Более того, понятие «персональные данные» очень широко. Европейский суд (дело C-434/16, Nowak v Data Protection Commissioner) постановил, что персональные данные — это любая информация, относящаяся к субъекту данных, будь это контент (селфи, загруженное на Facebook), или информация, которую можно получить путем анализа данных о нем, например, на основе оценки предпочтений. Фильтр удаляет любой контент, который соответствует материалам от любого претендующего на то, чтобы быть правообладателем. Цель фильтрации — решить, будет ли материал опубликован или нет. Следствием применения фильтрации в качестве превентивной меры является то, что работы одних пользователей будут заблокированы по ошибке, в то время как работы других, более удачливых, — нет. Таким образом, фильтрация может привести к дискриминации.
Влекут ли фильтры к «законным» или «значительным» последствиям, предусмотренным GDPR? GDPR не определяет эти термины, но руководящие принципы, одобренные Европейским Советом по защите данных, перечисляют некоторые «юридические последствия», включая отказ в предоставлении льгот и расторжение контракта.
Руководящие принципы разъясняют, что даже в тех случаях, когда решение фильтра не имеет юридической силы, оно все равно подпадает под действие статьи 22 GDPR, в случае если процесс принятия решения потенциально может существенно повлиять на поведение пользователя. Например, оказать длительное воздействие на него или повлечь дискриминацию. Так, если ваш материал был ошибочно заблокирован, это может привести к неблагоприятным финансовым обстоятельствам или потере экономических возможностей. Чем более навязчиво решение и чем больше разумных ожиданий не оправдывается, тем выше вероятность неблагоприятных последствий.
Возможно, сторонники фильтров будут утверждать, что фильтры будут разрешены законом государства-члена ЕС, который реализует Директиву об авторском праве. Является ли это тем, чего требует директива, было неясно с самого начала.
Докладчик по директиве об авторских правах, депутат Екропарламента Аксель Восс настаивал на том, что директива об авторских правах не будет требовать фильтров для контента, а утверждения об обратном назвал запугиванием со стороны защитников цифровых прав.
Действительно, после нескольких месяцев переговоров между институтами ЕС окончательная версия директивы избегала каких-либо явных ссылок на технологии фильтрации. Вместо этого статья 17 требует «превентивных мер» для обеспечения запрета на нелегальную публикацию защищенного авторским правом контента и ясно говорит, что его применение не должно приводить ни к идентификации отдельных пользователей, ни к обработке персональных данных, за исключением случаев, предусмотренных GDPR.
Без первых двух пунктов единственным оставшимся способом обосновать фильтры в соответствии с GDPR является явное согласие пользователей. Для обработки данных алгоритмами необходим высокий уровень личного контроля. GDPR требует, чтобы согласие давалось свободно, конкретно, на основе полного информирования пользователя и недвусмысленно. В каждом случае необходимо оценивать, является ли фильтрация необходимой для предлагаемой услуги. И согласие должно быть явным, что означает, что пользователь очевидно и прямо дает разрешение. Вполне вероятно, что немногие пользователи согласятся на обременительную фильтрацию.
Значительные негативные последствия для пользователей в условиях фильтрации контента и правовая неопределенность в отношении ситуаций, когда фильтры разрешены, лучше всего устранять с помощью политики законодательного самоограничения. Независимо от того, какое решение принимают национальные законодатели, они должны обеспечить гарантии конфиденциальности пользователей, свободы слова и других основных прав до того, как любые загруженные файлы будут заблокированы или удалены.
Если государства-члены ЕС в соответствии с этим выполнят свои юридические обязательства в духе правил конфиденциальности ЕС, это приведет к отказу от полностью автоматизированных фильтров и заложит основу для обсуждения общих обязательств по мониторингу и фильтрации контента в предстоящем законе «О цифровых услугах».