В Евросоюзе наблюдается тенденция на усиление регулирования интернета (мы поговорим об этом подробнее в главе 10), и некоторые штаты США движутся в том же направлении. Хотя в Вашингтоне пока с сомнением относятся к идее цифрового регулирования, мнение федеральных властей может быстро измениться, если однажды произойдет катастрофа, которая унесет значительное число жизней или уничтожит важную часть нашей экономики.
На федеральном уровне в США вводится регулирование, но очень постепенно и только на отраслевой основе. Например, FDA выпустило руководство для производителей медицинских приборов по нормативным требованиям к устройствам, подключаемым к интернету. При этом агентство не проводит тестирование{285}: разработчики самостоятельно проверяют свои продукты и услуги на соответствие стандартам и затем представляют документацию в FDA для утверждения. Производство медицинской техники – серьезный бизнес, сопряженный с рисками для здоровья, поэтому FDA может не пустить на рынок продукцию, не прошедшую испытания, или потребовать отзыв товара, нанесшего вред пациентам.
Правила, обеспечивающие конфиденциальность персональных данных, связанных со здоровьем{286}, существенно отличаются от правил сохранения конфиденциальности потребительской информации. Как и следовало ожидать, правила, касающиеся медицины, гораздо строже. Разработчики продуктов и услуг, связанных со здоровьем, часто пытаются позиционировать свои новые товары как потребительские устройства, не требующие одобрения FDA. Иногда это срабатывает – как, например, в случае с фитнес-трекерами наподобие тех, что выпускает Fitbit. А иногда FDA дает отпор{287} таким компаниям, как это было с 23andMe, осуществляющей сбор генетических данных.
Обратите внимание, что для автомобильной промышленности Министерство транспорта ввело только добровольные стандарты безопасности. Такие стандарты никогда не будут столь же эффективными, как обязательные, но и они могут заметно улучшить безопасность. Дело в том, что в ходе судебного разбирательства происходит оценка качества соблюдения рекомендаций добровольного характера с целью определить, была ли допущена халатность со стороны производителя.
Иной подход применяет Федеральное авиационное агентство США к регулированию беспилотных аппаратов. Оно не требует предъявления сертификата на конструкцию каждого нового дрона, но может сократить цели его применения и ограничить территорию использования.
В истории цифровой регуляции уже наметились некоторые сдвиги. Так, в 2015 г. FTC подала в суд на компанию Wyndham Hotels{288} из-за проблем с компьютерной безопасностью. Защита данных в компании была на очень низком уровне, что позволяло хакерам неоднократно похищать их. Представители FTC утверждали, что обнародование политики конфиденциальности Wyndham, некоторые пункты из которой не были выполнены, можно трактовать как недобросовестное отношение компании к своим клиентам.
Судебный процесс был сложным, и исход его в основном зависел от ряда факторов, обсуждать которые здесь не имеет смысла. Однако примечательно, что одним из аргументов стороны защиты Wyndham был такой: FTC не имеет права штрафовать компанию за недостаточную безопасность, поскольку никогда не объясняла Wyndham значение этого понятия. Федеральный апелляционный суд{289} принял сторону FTC, заявив, что Wyndham должна была прояснить для себя значение выражения «достаточно безопасный», а не сделав этого, она сама загнала себя в ловушку.
Интернет – самая динамичная из всех ныне существующих технологических сред. Регулирование, особенно если оно будет чрезмерным или неверно направленным, способно затормозить развитие новых технологий и даже остановить прогресс. В том числе оно может негативно отразиться на гибкости систем безопасности, необходимой для того, чтобы разработка средств защиты шла в ногу с возникающими угрозами.
Что касается регулирования интернета+, я вижу здесь четыре проблемы: скорость, масштаб, эффективность и возможность подавления инноваций.
Проблема первая: скорость. Курс государственной политики меняется гораздо медленнее, чем возникают новшества в технологической сфере. Раньше все было наоборот: с момента изобретения телефона Александром Беллом до того времени, как это устройство вошло в каждый дом, прошло почти 40 лет. В области телевидения развитие шло такими же темпами. Но те времена прошли. Электронная почта, мобильные телефоны, Facebook[73], Twitter – все это проникало в нашу жизнь несопоставимо быстрее, чем технологии предыдущих десятилетий. (Например, Facebook[74] за 13 лет собрал 2 млрд{290} постоянных пользователей по всему миру.) Мы живем в эпоху, когда право отстает от технологий. К тому времени, когда издаются нормативные акты, они успевают до смешного устареть. Хороший пример – правила ЕС, требующие размещения на веб-сайтах уведомлений о файлах cookie: это имело смысл в 1995 г., но к тому времени, когда правила вступили в силу (2011 г.), отслеживание веб-страниц стало гораздо более сложным. В результате суды то и дело будут пытаться применить устаревшие законы к сегодняшним ситуациям, и, что еще хуже, технологические сдвиги приведут к тому, что старые законы получат новые, непредвиденные последствия.
Проблема вторая: масштаб. Законы, как правило, пишутся узконаправленно, с ориентацией на конкретные технологии. Эти законы могут перестать работать, как только технологии поменяются. Большинство наших законов о конфиденциальности были написаны в 1970-е гг., и, хотя сами проблемы конфиденциальности остались прежними, изменились технологии, влияющие на них. Вот пример: в 1986 г. был принят Закон о конфиденциальности электронных коммуникаций (Electronic Communications Privacy Act). Одним из его пунктов было регулирование конфиденциальности электронной почты, предусматривающее различные меры защиты для двух разных случаев. Чтобы получить доступ к недавно полученной электронной почте, правительству был необходим ордер, однако доступ к письмам, пролежавшим на сервере более 180 дней, правительство могло получить без каких-либо ограничений. В 1986 г. это еще имело смысл. Хранение данных тогда стоило дорого. Люди получали доступ к своей электронной почте с помощью почтового клиента, перенося почту с сервера на свой компьютер. Все, что оставалось на сервере более шести месяцев, считалось ненужным клиенту, а у нас нет прав на неприкосновенность частной жизни в отношении «заброшенной» собственности. Сегодня все оставляют свою электронную почту на сервере хоть на шесть месяцев, хоть на шесть лет. Так работают Gmail, Hotmail и остальные веб-системы электронной почты. Старый закон учитывал важное различие{291} между услугами обеспечения связи и услугами обработки и хранения данных, но сейчас это потеряло смысл. Итак, логика старого закона{292} была полностью обессмыслена новыми технологиями, тем не менее сам закон все еще остается в силе.
Подобные казусы будут повторяться до тех пор, пока мы не начнем писать законы, нейтральные к технологиям. Если мы сосредоточимся на человеческих аспектах, мы сможем защитить законы от проблем, связанных как со скоростью технологического прогресса, так и с их масштабированием. Например, мы можем написать законы, которые касаются «общения», независимо от того, каким образом оно осуществляется – вживую, посредством видео, телефона, электронной почты, текстовых сообщений, личной переписки или же любой другой технологии, которой пока еще нет. Наше технологическое будущее непредсказуемо, и оно все время будет удивлять нас.
Есть и другая, совершенно иная проблема, связанная с нормативными актами: насколько общими они должны быть? С одной стороны, очевидно, что стандарты для автомобилей и самолетов должны отличаться от стандартов, применяемых к игрушкам и другим бытовым предметам, а правила для финансовых баз данных должны быть принципиально иными, чем правила для анонимных данных о состоянии дорог. С другой стороны, взаимосвязанность всего сущего в интернете (и в жизни) делает такие вещи, как игрушки и данные о выбоинах на дороге, куда более значительными, чем может показаться.
Кроме того, сложно определить, где именно регулирование должно остановиться. Да, мы собираемся регулировать то, что воздействует на мир непосредственно, физически, но, поскольку все взаимосвязано и угрозы взаимосвязаны тоже, невозможно вычленить какую-либо часть интернета и однозначно сказать, что она не имеет существенного значения еще для чего-то. Можно было бы, например, не заниматься регулированием недорогих интернет-устройств, но уязвимости в них при определенном стечении обстоятельств могут повлиять на критически важную инфраструктуру. Кто-то, возможно, предложил бы вывести из-под регулирования программные системы, потому что они не оказывают непосредственного физического воздействия на инфраструктуру, однако программные ошибки все равно могут иметь реальные последствия: подумайте о судебном ПО, которое решает, кто будет освобожден под залог или условно-досрочно. С учетом таких последствий правила должны распространяться и на эти системы.
Проблема третья: эффективность. Хорошо известно, что крупные корпорации весьма успешно уклоняются от государственного регулирования. Технологические гиганты{293} тратят баснословные деньги на лоббирование своих интересов в Вашингтоне – в два раза больше, чем субъекты банковской отрасли, и во много раз больше, чем нефтяные компании, оборонные подрядчики и другие участники рынка. Один лишь Google