Суд Европейского Союза принял решение, которое фактически делает невозможным законное функционирование любого вебресурса на территории ЕС, если он позволяет публиковать контент пользователям. Речь идет о толковании, расширяющем ответственность платформ до такого уровня, что выполнить эти требования технически или организационно практически невозможно.
Современный интернет эволюционировал в формат Веб 2.0, который предполагает, что контент на сайтах будет размещаться силами пользователей, а не администрации сайта. Именно формат Веб 2.0 заставил почти каждый сайт в интернете трансформироваться в соцсеть, где пользователи активно общаются и делятся контентом.
Вопрос ответственности сайтов за опубликованный на них контент обсуждается десятилетиями. Американская модель, закрепленная в главе 230, предусматривает, что ответственность должен нести тот, кто создал незаконный контент, а не платформа, которая его разместила. ЕС традиционно применяет более жесткие подходы, сначала через Директиву об электронной коммерции, а сейчас через Регламент О цифровых услугах. Однако даже эти подходы не приближались к тому, что было закреплено в решении суда на этой неделе.
Дело инициировало истица, в отношении которой неизвестное третье лицо разместило ложное и вредоносное объявление сексуального характера, использовав ее фотографии и номер телефона без согласия. Платформа Russmedia Digital удалила объявление менее чем через час после получения жалобы, однако копии уже были размещены на других сайтах.
Румынский суд первой инстанции признал, что Russmedia не может быть ответственной, поскольку лишь предоставляла хостинг без участия в создании объявления, а также оперативно удалила контент. Однако суд ЕС в своем решении пришел к выводу, что из-за наличия «чувствительных персональных данных» в объявлении платформа фактически является «общим контроллером персональных данных» в соответствии с GDPR. Это означает применение полного комплекса требований к контроллерам данных и резкое отбрасывание базовых принципов ограниченной ответственности посредников.
Во время толкования суд ЕС заявил, что оператор платформы не может избегать статуса контроллера только потому, что сам не создавал объявления. Таким образом любой сайт с пользовательским контентом может быть признан ответственным за любые персональные данные в контенте, даже если сайт узнает об этом постфактум и даже если контент был немедленно удален после жалобы.
Платформы должны, по логике решения, ввести предварительную проверку любого контента до его публикации. Это фактически налагает требование осуществлять общий мониторинг всех материалов, включая определение наличия чувствительных категорий персональных данных. Кроме того, платформы должны собирать идентификационные данные всех пользователей, чтобы убедиться, что они публикуют свои собственные данные, а не чужие. Кроме того, платформа, согласно решению, должна принимать все возможные технические меры, чтобы предотвратить копирование или распространение контента третьими сторонами, что технически является недостижимым требованием.
В самом решении прямо указано, что операторы должны создавать соответствующие технические и организационные механизмы для выявления чувствительных данных еще до публикации объявлений, а также обязаны верифицировать пользователя, который размещает такие данные, чтобы подтвердить, что речь идет именно о субъекте этих данных. Анонимность в такой модели становится невозможной.
Отдельный аспект решения требует, чтобы платформы блокировали возможность копирования и воспроизведения контента другими сайтами, хотя интернет технологически функционирует именно на возможности обмена и воспроизведения данных.
Последствия такого подхода создают ситуацию, в которой ни одна платформа не может полностью соответствовать требованиям. Единственными реалистичными вариантами остаются игнорирование решения, закрытие деятельности в ЕС или полная блокировка доступа из ЕС. Однако такая модель приводит к состоянию, когда нормы применяются выборочно, а компании вынуждены работать в условиях неопределенности и риска штрафов.
В решении используются положения GDPR, которые требуют обрабатывать персональные данные законно, точно и прозрачно, обеспечивать их актуальность, безопасность и недопущение несанкционированной обработки. Обязанность соблюдения этих требований возложена на контроллера независимо от того, кто создал контент и имел ли контроллер возможность повлиять на его появление.
Таким образом, согласно решению суда ЕС, любая платформа, позволяющая пользователям публиковать информацию, должна предварительно сканировать контент, определять наличие чувствительных персональных данных, собирать и проверять личность каждого автора и предотвращать любое дальнейшее копирование материала другими ресурсами. Функциональная работа открытого интернета при таких условиях становится фактически невозможной.
