Копирайт-фильтрация контента противоречит правилам ЕС о конфиденциальности данных

Возможно, принятый недавно закон об удалении защищённых авторским правом материалов вступит в конфликт с другим европейским законом — GDPR, которым гарантируется контроль граждан Евросоюза над собственными персональными данными.  

Новые правила Европейского Союза в области авторского права находятся в противоречии с правилами конфиденциальности данных ЕС. GDPR защищает информацию, конфиденциальность и другие основные права при обработке персональных данных. И, вероятно, в отношении этого права возникла угроза злоупотреблений со стороны автоматизированной системы принятия решений, которую гарантированно начнут использовать в соответствии со ст. 17 о поиске и фильтрации нелегальных материалов, защищенных авторским правом. Здесь мы детально изучим действия ЕС, и почему государства-члены должны обеспечить соблюдение Директивы об авторских правах без использования автоматизированных фильтров, нарушающих GDPR и подвергающих пользователей цензуре и дискриминации.

Are copyright upload filters at odds with the GDPR? Check out my blog-post, in which I explain why national lawmakers should better opt for a policy of legislative self-restraint. https://t.co/51AyTcnd9x

— christoph schmon (@cSchmon) March 3, 2020

.
Онлайн-сервисы становятся новой «полицией» авторских прав

Ст. 17 (ранее ст. 13) Директивы об авторском праве на едином цифровом рынке Европейского Союза делает онлайн-платформы ответственными за пользовательский контент, который нарушает чьи-либо авторские права. Чтобы избежать ответственности, операторы платформ должны демонстрировать, что делают все для получения от авторов разрешения на публикацию, и убедиться, что их ресурсы не содержат незаконный контент. Далее они должны быстро удалять противоправный контент и предотвращать его повторную загрузку после уведомления правообладателей.

До принятия Директивы об авторском праве защитники прав пользователей предупреждали законодателей о том, что операторам придется использовать фильтры для распознавания незаконного контента. Они говорили, что в силу этого статья 13 превратит онлайн-сервисы в «полицию по авторским правам», которая может сканировать и фильтровать миллиарды сообщений, видео, аудиофайлов и фотографий пользователей соцсетей на предмет возможных нарушений.

Любая автоматизированная система обнаружения и блокировки контента, нарушающего авторские права, несет риск ошибочного удаления легитимного контента пользователей. Вместо того, чтобы безоговорочно защищать свободы пользователей, разработанный компромисс фокусируется на процедурных гарантиях защиты от противоправной блокировки. И хотя механизм подачи жалоб и возмещения ущерба в теории обеспечивает быстрое решение проблемы, существует вероятность того, что подвергшимся цензуре европейцам придется стать в очередь жертв алгоритмов.
.
За деревьями леса не видно: GDPR

Есть что-то ужасно знакомое в идее автоматизированной системы, которая оценивает пользовательский контент и оказывает значительное влияние на положение людей. На недавней дискуссии в ЕС о технических и правовых ограничениях фильтров правила защиты данных, ограничивающие использование автоматики в принятии решений, не были вынесены на повестку дня должностными лицами ЕС. Не было также и экспертов по GDPR, которые поднимали этот вопрос в прошлом (читайте анализ Софи Сталла-Бурдийон или посмотрите панельную дискуссию CPDP этого года по фильтрам нелегального контента).

Согласно ст. 22 GDPR «Субъект данных имеет право не быть субъектом такого решения, которое основано только на автоматической обработке, в том числе профилировании, которое в отношении субъекта данных создаёт правовые последствия, или которые подобным образом существенно воздействуют на субъект данных». За некоторыми исключениями, это положение защищает пользователей от незаконных решений, принимаемых алгоритмами. На языке регламента слово «исключительно» означает процесс принятия решений, который полностью автоматизирован и исключает любое реальное влияние человека на результат.

.

ТЕСТ НА АВТОРСКОЕ ПРАВО:

Персональные данные

GDPR обычно применяется, когда провайдер обрабатывает персональные данные, которые определяются как любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных», ст. 4(1) GDPR). Почти все сообщения, анализируемые фильтрами в соответствии со ст. 17, будут исходить от пользователей с учетными записями.

Из-за регистрационных данных учетной записи фильтры работающие в соответствии с Директивой об авторском праве, должны соблюдать GDPR, поскольку даже анонимные сообщения имеют метаданные, такие как IP- адреса (C-582/14, Breyer v Germany), которые могут быть использованы для идентификации пользователя.

Даже анонимизация не удовлетворит GDPR, если контент связан с профилем пользователя в социальных сетях Facebook или YouTube.
Защитники фильтров могут возразить, что эти фильтры не принимают в расчет метаданные. Вместо этого они скажут, что фильтры сравнивают загруженный контент с информацией, предоставленной правообладателями. Однако принятие решений алгоритмами в соответствии с директивой об авторских правах — это больше, чем просто сопоставление контента. Это решение о том, имеет ли конкретный пользователь право публиковать конкретную информацию.

Вопрос, соответствует ли загруженная информация предоставленной правообладателями, — это всего лишь один шаг на этом пути. Фильтры могут не всегда использовать личные данные для определения того, следует ли удалить контент, но решение всегда зависит от того, что может сделать конкретный человек. Другими словами, как может решение об удалении контента пользователей не основываться в том числе на знании особенностей этого человека?

Более того, понятие «персональные данные» очень широко. Европейский суд (дело C-434/16, Nowak v Data Protection Commissioner) постановил, что персональные данные — это любая информация, относящаяся к субъекту данных, будь это контент (селфи, загруженное на Facebook), или информация, которую можно получить путем анализа данных о нем, например, на основе оценки предпочтений. Фильтр удаляет любой контент, который соответствует материалам от любого претендующего на то, чтобы быть правообладателем. Цель фильтрации — решить, будет ли материал опубликован или нет. Следствием применения фильтрации в качестве превентивной меры является то, что работы одних пользователей будут заблокированы по ошибке, в то время как работы других, более удачливых, — нет. Таким образом, фильтрация может привести к дискриминации.

Что более важно, руководящие принципы автоматизированного принятия решений, разработанные WP29, официальным европейским консультативным органом по защите данных (в настоящее время EDPB), предоставляют ориентированную на пользователя интерпретацию требований к автоматизированному индивидуальному принятию решений. Статья 22 применяется к решениям по любым типам данных. Это означает, что статья 22 GDPR применяется к алгоритмам, которые оценивают пользовательский контент, загружаемый на платформу.
.
Нежелательные последствия

Влекут ли фильтры к «законным» или «значительным» последствиям, предусмотренным GDPR? GDPR не определяет эти термины, но руководящие принципы, одобренные Европейским Советом по защите данных, перечисляют некоторые «юридические последствия», включая отказ в предоставлении льгот и расторжение контракта.

Руководящие принципы разъясняют, что даже в тех случаях, когда решение фильтра не имеет юридической силы, оно все равно подпадает под действие статьи 22 GDPR, в случае если процесс принятия решения потенциально может существенно повлиять на поведение пользователя. Например, оказать длительное воздействие на него или повлечь дискриминацию. Так, если ваш материал был ошибочно заблокирован, это может привести к неблагоприятным финансовым обстоятельствам или потере экономических возможностей. Чем более навязчиво решение и чем больше разумных ожиданий не оправдывается, тем выше вероятность неблагоприятных последствий.

Рассмотрим удаление или блокировку художественного видео его создателем, аудитория которого ждет показа (возможно, они поддержали краудфандинговую кампанию автора). Это может навредить бизнесу автора, что приведет к финансовым потерям. Или представьте себе критическое эссе о политических событиях. Его блокировка — цензура, ущемляющая право автора на свободное выражение мнения. Есть еще много примеров того, что неблагоприятные последствия часто будут неизбежны.
.
Легитимные основания для автоматизированного принятия решений в отношении конкретных лиц

В соответствии со статьей 22(2) GDPR автоматизированное принятие решений может быть разрешено по трем следующим основаниям. Это
— необходимость для заключения или исполнения договора;
— разрешено законодательством ЕС или государств-членов;
— сделано на основании явного согласия пользователя.
.
Необходимость для заключения или исполнения договора

«Необходимость» в данном случае понимается узко, в рамках защиты данных. Она все равно должна соответствовать целям GDPR и не может использоваться, если существуют более подходящие меры. Простое участие в онлайн-сервисе не порождает такой «необходимости» и потому не дает серьезных оснований для автоматизированного принятия решений.
.
Авторизация

Возможно, сторонники фильтров будут утверждать, что фильтры будут разрешены законом государства-члена ЕС, который реализует Директиву об авторском праве. Является ли это тем, чего требует директива, было неясно с самого начала.

The new proposal for #copyrightdirective does not forsee any measures/„upload filter“ ….
Now I expect everyone who was against the previous proposal because of this to support the new proposal.

— Axel Voss MdEP (@AxelVossMdEP) August 31, 2018

Докладчик по директиве об авторских правах, депутат Екропарламента Аксель Восс настаивал на том, что директива об авторских правах не будет требовать фильтров для контента, а утверждения об обратном назвал запугиванием со стороны защитников цифровых прав.

Действительно, после нескольких месяцев переговоров между институтами ЕС окончательная версия директивы избегала каких-либо явных ссылок на технологии фильтрации. Вместо этого статья 17 требует «превентивных мер» для обеспечения запрета на нелегальную публикацию защищенного авторским правом контента и ясно говорит, что его применение не должно приводить ни к идентификации отдельных пользователей, ни к обработке персональных данных, за исключением случаев, предусмотренных GDPR.

Даже если Директива об авторском праве «разрешает» использование фильтров, статья 22(2) (b) GDPR гласит, что одного лишь разрешения регулирующих органов недостаточно для обоснования принятия решений алгоритмами. Разрешающий закон, который каждое государство-член ЕС будет принимать для реализации директивы об авторском праве, должен включать уместные меры для защиты прав, свобод и законных интересов пользователей. Неясно, предоставляет ли статья 17 государствам-членам достаточную свободу действий при внедрении этих стандартов.
.
Согласие

Без первых двух пунктов единственным оставшимся способом обосновать фильтры в соответствии с GDPR является явное согласие пользователей. Для обработки данных алгоритмами необходим высокий уровень личного контроля. GDPR требует, чтобы согласие давалось свободно, конкретно, на основе полного информирования пользователя и недвусмысленно. В каждом случае необходимо оценивать, является ли фильтрация необходимой для предлагаемой услуги. И согласие должно быть явным, что означает, что пользователь очевидно и прямо дает разрешение. Вполне вероятно, что немногие пользователи согласятся на обременительную фильтрацию.

Статья 22 говорит, что даже если фильтры оправданы согласием или договорной необходимостью, платформы должны гарантировать права и свободы пользователя. Пользователи всегда имеют право высказать свое мнение об удалении контента и оспорить решение. Поэтому GDPR требует, чтобы платформы были прозрачны в плане того, почему и как материал пользователей был удален или заблокирован.
.
Вывод: Фильтры Должны Уважать Права Пользователей На Частную Жизнь

Значительные негативные последствия для пользователей в условиях фильтрации контента и правовая неопределенность в отношении ситуаций, когда фильтры разрешены, лучше всего устранять с помощью политики законодательного самоограничения. Независимо от того, какое решение принимают национальные законодатели, они должны обеспечить гарантии конфиденциальности пользователей, свободы слова и других основных прав до того, как любые загруженные файлы будут заблокированы или удалены.

Если государства-члены ЕС в соответствии с этим выполнят свои юридические обязательства в духе правил конфиденциальности ЕС, это приведет к отказу от полностью автоматизированных фильтров и заложит основу для обсуждения общих обязательств по мониторингу и фильтрации контента в предстоящем законе «О цифровых услугах».

Christoph Schmon, EFF

Оригинал статьи.