Текст книги "Международное и зарубежное финансовое регулирование. Институты, сделки, инфраструктура. Часть 2"

Впервые термин «электронный обмен данными» (далее – ЭОД, electronic data interchange – EDI) получил нормативное закрепление на международном уровне в октябре 1988 г. в виде стандарта Международной организации по стандартизации (ISO) UN/EDIFACT (EDI for administration, commerce and transport – Электронный обмен данными в области управления, торговли и транспорта), который был разработан Рабочей группой № 4 по упрощению международных торговых процедур европейской экономической комиссии ООН (так называемая группа WP.4)[501]501
  В 1996 году на ее основе был создан Центр ООН содействия торговле и электронному бизнесу (United Nations Centre for Trade Facilitation and Electronic Business – UN/CEFACT).


[Закрыть]. Практически одновременно со стандартами UN/EDIFACT МТП в сентябре 1987 г. были приняты Унифицированные правила поведения при обмене торговыми данными путем телетрансмиссии 1987 г. (UN-CID – Uniform Rules of Conduct for Interchange of Trade Data by Teletransmission), содержащие «согласованные правила поведения сторон, осуществляющих такой обмен». Общие принципы UN-CID получили затем развитие в Типовом законе об электронной коммерции. UN/EDIFACT стали основой в финансовой сфере для стандартов SWIFT, позже их развитие привело к разработке в 2004 г. в рамках Технического комитета ISO 68 «Финансовые операции» стандарта ISO 20022 для финансовых сообщений (применение данного стандарта стало обязательным в ЕС с принятием Регламента европейского парламента и Совета ЕС от 14 марта 2012 г. № 260/2012 «Об установлении технических и бизнес-требований для кредитовых переводов и прямых дебетов в евро и изменении Регламента № 924/2009»)[502]502
  Рассмотрен в параграфе 2.1.


[Закрыть].

В Типовом законе об электронной коммерции при определении ЭОД используется подход, согласно которому к числу охватываемых средств передачи данных относятся как передача данных между компьютерами в стандартизированном формате, так и передача электронных сообщений с использованием общедоступных или патентованных стандартов, передача текста свободного формата с помощью электронных средств, например через сеть Интернет. В результате ЭОД был определен в ст. 2 Типового закона как электронная передача с одного компьютера на другой информации с использованием согласованного стандарта структуры информации.

С начала работы над международными стандартами ЭОД предполагалось, что правовым основанием для ЭОД будут специальные соглашения об ЭОД. Структура договорных отношений по ЭОД может быть троякой. При двухсторонней структуре в ЭОД участвуют только инициатор и адресат, заключающие между собой соглашение о прямом обмене сообщениями данных (trading partners agreement). При этом инициатором признается любое лицо (физическое или юридическое), которое или от имени которого, в том числе автоматически, формируется, хранится или передается сообщение данных. При трехсторонней структуре договорных отношений по ЭОД кроме инициатора и адресата присутствует также посредник (intermediary[503]503
  Этот термин использует и Директива об электронной коммерции.


[Закрыть]), в функции которого входят получение, передача и хранение сообщения данных от имени другого лица, а также предоставление других услуг в отношении данного сообщения. Трехсторонняя структура юридически оформляется специальным соглашением (third-party service agreement).

Введение специального понятия «посредник» было необходимо только для того, чтобы отграничить стороны в соглашении об ЭОД от третьих лиц. При многосторонней структуре договорных отношений в ЭОД могут участвовать инициатор, посредники, адресат; несколько инициаторов, посредник (посредники), адресат; инициатор, посредник (посредники), несколько адресатов и т. п. В целях облегчения заключения специальных соглашений по ЭОД Рабочей группой № 4 в мае 1995 г. было разработано Типовое соглашение об обмене данными при международном коммерческом использовании электронного обмена данными (Рекомендация № 26 европейской экономической комиссии). Типовое согла шение регулирует любую передачу сообщений между сторонами электронным способом, если структура сообщений соответствует стандартам UN/EDIFACT. К Типовому соглашению дается техническое приложение, в котором изложено описание согласованных сторонами технических и процедурных требований. В случае несоответствия между условиями соглашения и техническим приложением преимущество имеют условия Типового соглашения. Используя опыт применения Типового соглашения, Центр ООН по содействию торговле и электронному бизнесу в марте 2000 г. рекомендовал к применению Соглашение об электронной коммерции (E-Agreement), оформленное Рекомендацией № 31. В ЕС был разработан собственный аналог Типового соглашения – европейское типовое соглашение об электронном обмене данными (European Model EDI Agreement).

В Типовом законе об электронной коммерции закреплен ряд принципов ЭОД (ст. 13–15), которые воспроизводятся в той или иной форме почти во всех зарубежных законах, включая законы европейских стран, реализующие модель Директивы об электронной коммерции. Принципы ЭОД затрагивают три основные группы вопросов:

1) атрибуцию (установление источника) сообщения данных – адресат имеет право считать, за исключением ряда случаев (уведомление инициатора, получение информации об ошибке, дублировании и др.), что сообщение данных отправлено инициатором, если он надлежащим образом применил процедуру, предварительно согласованную с инициатором для этой цели, или полученное адресатом сообщение данных явилось результатом действий лица, отношения которого с инициатором или любым агентом инициатора дали такому лицу возможность доступа к способу, используемому инициатором для идентификации сообщений данных как своих собственных;

2) подтверждение получения сообщения данных – когда инициатор указал, что сообщение данных обусловливается получением подтверждения, сообщение данных считается неотправленным до получения подтверждения;

3) определение времени и места отправления и получения сообщений данных – время отправления и получения связано с поступлением сообщения данных в информационную систему соответствующего участника ЭОД, место – с местонахождением коммерческого предприятия сторон.

Структура компьютерных сетей предполагает наличие между инициатором и адресатом как минимум одного информационного посредника (далее – ИП), обеспечивающего обмен данными. Нормативное закрепление функций ИП, возможность их сочетания и степень детализации зависят от национальной практики регулирования, анализ которой позволяет сделать вывод о следующих моделях (в скобках приводится используемый термин):

• закрепление института ИП с общим описанием его функций – Типовой закон об электронной коммерции («посредник»);

• закрепление института ИП без детализации его функций, но с определением оснований освобождения от ответственности – Закон Индии «Об информационных технологиях» 2000 г. («сетевой сервис-провайдер»);

• закрепление института ИП с общим описанием его функций и с определением оснований освобождения от ответственности – Директива об электронной коммерции («сервис-провайдер»);

• закрепление института ИП с подразделением на виды – Закон Филиппин «Об электронной коммерции» («провайдер онлайновых услуг или сетевого доступа» и «провайдер технических средств»);

• общее описание обязанностей и (или) ответственности ИП – Унифицированные правила поведения при обмене торговыми данными путем телетрансмиссии 1987 г. («посредник в передаче»), Типовое соглашение об электронном обмене данными 1995 г. («независимый провайдер»).

Конвенция и Директива о защите данных при определении персональных данных (далее – ПД) исходят из одного и того же принципа идентификации (действительной или потенциальной) физического лица (субъекта данных), возлагая обязательства по защите ПД при их автоматической (с использованием информационных систем) обработке на всех лиц (контролеров[504]504
  В Конвенции – «контролеров автоматизированных файлов данных».


[Закрыть]), включая юридические лица, при заключении ими договоров с клиентами, определяющих цели и средства обработки ПД (Директива о защите данных) либо создания файлов данных, категорий хранимых ПД и типы осуществляемых с ними операций (Конвенция). Следует отметить, что при сходных принципах, заложенных в Конвенции и Директиве о защите данных, последняя содержит гораздо более развернутый перечень требований, который и проанализируем (соответствующие статьи Конвенции приведены в сносках).

Качество данных[505]505
  Статья 5 Конвенции.


[Закрыть]. ПД должны обрабатываться добросовестно и правомерно, собираться в установленных, явных и законных целях и не обрабатываться в дальнейшем способом, несовместимым с этими целями, быть достаточными, соответствующими и неизбыточными в отношении целей сбора или обработки, точными и актуальными, а также поддерживаться в форме, позволяющей идентификацию субъекта данных.

Критерии допустимости обработки. Директива о защите данных устанавливает в ст. 7 три основных критерия допустимости обработки ПД: 1) недвусмысленное (включая по умолчанию) согласие субъекта данных; 2) обработка в договорных целях (касающихся субъекта данных или контролера); 3) обработка в целях защиты определенных интересов (жизненных интересов субъекта данных, публичных интересов, законных интересов контролера либо третьих лиц). Наряду с общими критериями вводятся специальные нормы в отношении так называемых специальных категорий данных, применительно к которым Директивой о защите данных вводится более строгий стандарт – прямое согласие (explicit consent) субъекта данных, – допускающий некоторые исключения[506]506
  Конвенция о защите данных в ст. 6 не допускает автоматическую обработку данных, если только национальное право не предусматривает надлежащие гарантии.


[Закрыть]. Принцип получения согласия субъекта данных, введенный в Директиву, является наиболее характерным отличием от Конвенции, где эти вопросы вообще не рассматриваются, хотя Конвенция предоставляет государствам-участникам в ст. 11 возможность устанавливать более высокий уровень защиты ПД, что и имеет место в европейском праве.

Гарантии субъекту данных[507]507
  Статья 8 Конвенции.


[Закрыть]. В случаях сбора данных от субъекта данных или их передаче третьему лицу субъекту данных должна предоставляться информация о личности контролера (его представителя), цели обработки и некоторая дополнительная информация. Кроме того, каждому субъекту данных гарантируется право получать от контролера подтверждение об обработке его данных и нформацию о целях обработки, категориях данных и получателях, возможность стирания или блокирования ненадлежащих данных, а также обязательность уведомления об этом третьих лиц, которым раскрываются данные. Субъект данных вправе заявлять свои возражения по «неопровержимым законным основаниям», касающимся обработки его данных, а также в любом случае при обработке в целях прямого маркетинга получать информацию до первого раскрытия данных третьим лицам или использования в указанных целях.

Безопасность обработки данных[508]508
  Статья 7 Конвенции.


[Закрыть]. Контролер обязан реализовать технические и организационные меры в целях защиты ПД от случайного или незаконного разрушения или случайных утраты, изменения, несанкционированного разглашения или доступа, в том числе при их сетевой передаче, с учетом состояния технической мысли и стоимости реализации меры безопасности. Аналогичные требования к безопасности должны выполняться оператором при осуществлении им обработки данных от имени контролера и быть отражены в договоре с контролером.

Средства правовой защиты[509]509
  Статья 8 (d) и ст. 10.


[Закрыть]. Каждому лицу гарантируется судебная защита от любого нарушения прав, гарантированных ему национальным законодательством, применимым к обработке данных, а любому лицу, понесшему ущерб в результате незаконной обработки, – получение компенсации от контролера (который может быть освобожден от ответственности при отсутствии своей вины).

Несмотря на общность принципов Директивы о защите данных для всех стран ЕС, на ее имплементацию влияет как предшествующий опыт регулирования (например, в Австрии, Дании, Франции прообразы законов о защите данных были приняты еще в 1978 г.), так и подходы к защите «чувствительных данных» (Бельгия, Франция, Дания и Германия расширили категории данных, требующие явного согласия субъекта данных, включив финансовую информацию, идентификаторы и сбор данных в целях создания «профилей» клиентов)[510]510
  Соответственно в Австрии действует Закон о защите данных 1978 г. (с изменениями) и специальный Закон о защите данных 2000 г., имплементирующий Директиву о защите данных, в Бельгии – Закон о защите частной жизни в отношении обработки данных персонального характера 1992 г. и специальный закон, имплементирующий Директиву о защите данных 1998 г., в Дании – законы о частных реестрах и реестрах публичных органов 1978 г. (с изменениями), Закон об обработке персональных данных 2000 г., во Франции – Закон об обработке данных, файлах данных и свободах 1978 г. (с изменениями), в Германии – Федеральный закон о защите данных 1977 г. (с изменениями) и законодательство земель.


[Закрыть].

Принятие Директивы о защите данных сразу вызвало напряжение между ЕС и США. Причиной тому послужило включение в Директиву ст. 25 и 26, регулирующих передачу ПД третьим странам (т. е. за пределы ЕС). В соответствии с данными статьями ПД могут передаваться только в те третьи страны, которые обеспечивают достаточный уровень защиты. Степень достаточности оценивается исходя из перечня приводимых в Директиве критериев общего характера (характер данных, цель и продолжительность обработки, страна-источник и страна назначения данных, а также законодательство третьей страны). В отношении стран, не обеспечивающих достаточный уровень защиты, передача ПД допускается при наличии недвусмысленного согласия субъекта данных на передачу данных, а также в ряде других случаев, включая достаточные гарантии защиты ПД со стороны контролера, которые могут вытекать из договорных условий (ст. 26 Директивы). С учетом того, что США были отнесены к числу стран, не обеспечивающих достаточный уровень защиты, американским банкам приходилось после вступления в силу Директивы (с 25 октября 1998 г.) решать проблему трансграничной передачи данных на договорном уровне либо обеспечивать соблюдение требований Директивы по месту нахождения своих европейских подразделений. Включение в Директиву о защите данных указанных норм соответствует принципам, предусмотренным Конвенцией (ст. 12 «Трансграничные потоки ПД и национальное право»), согласно которым провозглашается свобода трансграничной передачи данных между сторонами Конвенции (США ее не подписали), где установлен принцип передачи ПД только получателям из тех стран, не являющихся сторонами Конвенции, которые гарантируют адекватный уровень защиты данных.

Нормы о защите ПД представлены в ряде законов США и могут быть условно сгруппированы следующим образом:

• законодательство о коммуникациях – Закон о телекоммуникациях 1996 г. (ст. 702) запрещает использование информации частной клиентской сети с целью иной, чем предоставление телекоммуникационных услуг. В случае нарушения абонент может подать жалобу в Федеральную комиссию по связи или иск в федеральный окружной суд. Закон о защите частной жизни в электронных коммуникациях 1986 г. запрещает несанкционированный доступ к межкомпьютерным передачам, электронным сообщениям, а также несанкционированное раскрытие хранимых электронных сообщений;

• законодательство о финансовых услугах – наиболее яркий пример дают нормы Закона о модернизации финансовых услуг 1999 г. (Закон Gramm – Leach – Bliley), в который включен специальный раздел V («Тайна частной жизни») с двумя подразделами: «Раскрытие непубличной персональной информации» и «Обманный доступ к финансовой информации». Учитывая, что целью Закона является облегчение универсализации финансовых услуг через совмещение банковской, инвестиционной и страховой деятельности, его значение для клиентов трудно переоценить. Важными новеллами Закона являются включенные в его перечень обязательства финансового учреждения в отношении раскрытия персональной информации (уведомление клиента, предоставление права выбора по умолчанию[511]511
  Данное право не распространяется на маркетинг собственных продуктов или услуг финансового учреждения либо совместно с другим финансовым учреждением на основании соглашения.


[Закрыть], ограничение (с определенными исключениями) на повторное использование информации, в том числе номера счета или кредитной карты в целях маркетинга), а также требований к раскрытию проводимой политики в сфере защиты частной жизни (время, предмет раскрытия и содержание раскрываемой информации). К сожалению, эффективность данных норм снижается множеством исключений, включая возможность передачи персональной информации аффилированным лицам или финансовым учреждениям при наличии соглашения об этом. К другим законам в сфере финансовых услуг, имеющим отношение к защите частной жизни, относятся законы, регулирующие сбор и использование информации при потребительском кредитовании. В частности, Закон о реформе отчетности потребительского кредитования 1996 г. требует уведомления и права доступа для субъектов кредитной отчетности.

Конец долгой дискуссии между ЕС и США о принципах достаточности уровня защиты ПД был положен только летом 2000 г., когда Комиссией ЕС было принято специальное Решение от 26 июля 2000 г. № 2000/520/EC[512]512
  Official Journal, L 215, 25/8/2000. Р. 0007–0047.


[Закрыть], где излагался европейский подход к условиям, при которых ЕС готов допускать передачу ПД через океан.

Указанный подход отражен в так называемых Принципах безопасной гавани для тайны частной жизни (safe harbour privacy principles, далее – Принципы). Вместе с тем в связи с принятием Закона Gramm – Leach – Bliley финансовые услуги исключены США из сферы действия Принципов, а финансовым учреждениям было предложено использовать Стандартные договорные условия для передачи ПД третьим странам, одобренные Решением Комиссии ЕС от 15 июня 2001 г. № 2001/497/EC (с изменениями, внесенными Решением от 27 декабря 2004 г. № 2004/915/EC)[513]513
  O. J., L 181, 4/7/2001. Р. 0019–0031; Official Journal, L 385, 29.12.2004. P. 74–84.


[Закрыть]. Это предложение вызвало возражение американских финансовых учреждений еще на этапе разработки стандартных условий, поскольку наряду с основными принципами Директивы о защите данных в договорных условиях содержатся положения, устанавливающие более высокие требования по сравнению с требованиями Директивы, в частности:

• солидарная ответственность экспортера и импортера (т. е. передающей и получающей данные стороны) перед субъектом данных;

• право субъекта данных осуществлять принудительное исполнение против бенефициаров – третьих лиц (third-party beneficiary clause);

• депонирование копии договора в надзорный орган, если это требуется национальным правом;

• императивное установление в качестве применимого к договору права, права государства – члена ЕС, в котором образован экспортер данных.

Для организаций из третьих стран, обрабатывающих персональные данные (процессоров), были предложены Стандартные договорные условия для передачи ПД процессорам, учрежденным в третьих странах, одобренные Решением Комиссии ЕС от 27 декабря 2001 г. № 2002/16/EC[514]514
  O. J., L 006, 10.1.2002. Р. 52.


[Закрыть] и основанные на сходных принципах.

Вместе с тем до 2007 г. оставался открытым вопрос о правовом режиме передачи финансовых персональных данных из ЕС в США такими организациями, как SWIFT. Проблема заключается в нормах Закона патриота США 2001 г. (USA Patriot Act)[515]515
  Полное название – Закон 2001 г., сплачивающий и укрепляющий Америку путем предоставления надлежащих инструментов, требуемых для пресечения и воспрепятствования терроризму (Public Law. № 107-56). Более подробный анализ см.: Власихин В. Угрожает ли «Акт патриота» Биллю о правах? Новый антитеррористический закон США // Российская юстиция. 2002. № 2. С. 56.


[Закрыть] и принятой Министерством финансов США Программе отслеживания финансов террористов (Terrorist Finance Tracking Program, TFTP), в соответствии с которыми Ведомство по контролю за иностранными активами (Office of Foreign Assets Control, OFAC) вправе получать по своему запросу информацию о финансовых операциях лиц, подозреваемых в террористической деятельности[516]516
  Shea Courtney. A need for SWIFT change: the struggle between the European Union’s desire for privacy in international financial transactions and the United State’s need for security from terrorists as evidenced by the SWIFT scandal, J. HIGH TECH. L. 143 (2008). Vol. VIII. No. 1.


[Закрыть]. В 2006 году были выявлены факты предоставления SWIFT доступа OFAC к своему американскому операционному центру и Бельгийская комиссия по защите частной жизни признала SWIFT, учрежденный в Бельгии, виновным в нарушении бельгийского законодательства о защите персональных данных. При этом бельгийский орган, констатируя нарушение, исходил из статуса SWIFT в качестве контролера данных, тогда как сам SWIFT относил себя только к процессорам[517]517
  Jacobs Edwin. SWIFT Privacy: Data Processor Becomes Data Controller // Journal of Internet Banking and Commerce. April 2007. Vol. 12. No.1 (URL: http://www.arraydev.com/commerce/jibc/)


[Закрыть]. В целях исправления ситуации в 2007 г. SWIFT присоединился к Принципам, а Министерство финансов США приняло ряд односторонних обязательств перед ЕС, касающихся контрольных и защитных мер при обработке, использовании и распространении данных в рамках TFTP. В 2010 году вступило в силу Соглашение между ЕС и США об обработке и передаче сообщений финансовых данных из ЕС в США в целях Программы отслеживания финансов террористов[518]518
  Official Journal, L. 195, 27.7.2010. Р. 5–14.


[Закрыть], в соответствии с которым SWIFT был определен в качестве провайдера услуг передачи международных финансовых платежных сообщений, обязанного выполнять юридически значимые запросы Министерства финансов США при условии подтверждения их соответствия требованиям Соглашения со стороны европола, принятия Министерством финансов США предусмотренных защитных мер в отношении предоставляемых данных и мониторинга соблюдения этих мер со стороны уполномоченного представителя европейской комиссии.

Главным международным оператором услуг электронного обмена финансовыми сообщениями является Сообщество международных интербанковских финансовых телекоммуникаций (Society for Worldwide Interbank Financial Telecommunication, SWIFT), предоставляющее услуги по защищенной передаче финансовых сообщений между 9500 банками и другими финансовыми учреждениями в более чем 200 странах мира.

Отношения SWIFT и пользователей регулируются Руководством пользователя SWIFT (SWIFT User Handbook)[519]519
  Доступно на сайте URL: www.swift.com


[Закрыть]. Наибольший интерес с частноправовой точки зрения представляют Общие положения и условия (General Terms and Conditions, версия 2010 г.), которые определяют взаимные обязательства SWIFT и пользователей, основания и пределы ответственности SWIFT.

В соответствии с Общими положениями и условиями SWIFT обязуется предпринимать все оправданные с коммерческой точки зрения усилия для предоставления услуг и продуктов SWIFT, а также гарантирует аккуратное их предоставление в соответствии со сложившейся практикой. Вместе с тем SWIFT не дает никаких гарантий, что предоставление услуг и продуктов будет бесперебойным, безошибочным или что все дефекты будут устранены. SWIFT вправе приостановить предоставление услуг и продуктов полностью или частично по основаниям, предусмотренным Общими положениями и условиями.

Пользователь несет общие и специальные обязательства. К общим обязательствам относятся обязательства, касающиеся надлежащего доступа и использования услуг и продуктов SWIFT, включая возникающие в связи с этим риски. В частности, пользователь обязуется не предоставлять доступ к услугам и продуктам SWIFT третьим лицам, за исключением случаев, указанных в документации SWIFT.

К специальным обязательствам пользователя относятся обязательства в случае возникновения проблем, по обеспечению безопасности данных, по обеспечению соответствия операционным требованиям.

Общая ответственность SWIFT перед всеми пользователями по искам, предъявляемым в течение года в связи с предоставлением или использованием услуг и продуктов SWIFT, ограничена случаями грубой небрежности, умышленного неисполнения или обманных действий со стороны SWIFT и следующими суммами:

1) 5 млн евро по требованиям, связанным с физическим ущербом или утратой материального имущества;

2) 50 млн евро по требованиям, связанным с использованием услуг и продуктов SWIFT;

3) 1 млн евро по другим требованиям.

В случае если общая сумма исков, предъявленных SWIFT в течение года, превышает данную сумму, то сумма каждого удовлетворенного иска должна быть уменьшена пропорционально той части, в которой данный иск относится к сумме всех удовлетворенных исков, предъявленных SWIFT в течение года.

Общие положения и условия SWIFT подчинены бельгийскому праву.