{294} за три месяца 2017 г. потратил на лоббирование $6 млн. Впрочем, и без этих вливаний технологические компании – источник стабильных доходов США, и Конгресс не хочет рисковать ими.
Примеров уклонения от регулирования более чем достаточно. Один из них – рассказанная выше история о том, как разработчики фитнес-устройств{295} убедили FDA, что их продукция не является медицинским оборудованием и поэтому не подпадает под действие установленных правил. Брокеры данных тоже осуществляют{296} изощренные лоббистские маневры в отношении личной информации, хранящейся на их серверах. Как заметила Джули Коэн, профессор права, специализирующаяся в области неприкосновенности частной жизни:
Для сильных мира сего регулирование{297} – источник неприятностей, и они стремятся обойти его везде, где только можно.
Регулирование должно быть и справедливым, и действенным, однако практика показывает, что обе эти цели трудно достижимы. Многие нормативные акты просто не работают. Мы уже видели такие примеры в области интернет-безопасности: Закон CAN-SPAM, который так и не остановил спаминг{298}, Закон о защите детей в интернете, который так и не оправдал себя, и DMCA, который не смог предотвратить пиратское копирование музыки и фильмов. Но, к сожалению, в этой сфере существуют и еще более неэффективные и контрпродуктивные законодательные предложения. Мы подробно рассмотрим их в главе 11.
Заметим, наконец, что регулирование эффективно ровно настолько, насколько эффективно правоприменение. В США FTC приняла судебные меры против массовых роботизированных обзвонов{299}, против попыток обхода черных списков телефонов{300}, против недобросовестных рекламодателей{301}, а также против чрезмерного сбора данных умными игрушками{302} и телевизорами{303}. Размеры штрафов, налагаемых FTC, варьируются от нескольких сотен тысяч до миллионов долларов. Однако комиссия не обладает достаточными ресурсами, чтобы вести расследования и подавать иски против всех компаний, которые этого заслуживают. Это позволяет предприимчивым или богатым бизнесменам обходить правила FTC, бесконечно долго балансируя на грани дозволенного. Вероятность быть пойманным и предстать перед судом США в этом случае настолько мала, что большинство компаний не считают нужным соблюдать правительственные требования.
Нормативные акты и законы имеют свойство постоянно вовлекаться в сферу чьих-то интересов. Вместо того чтобы работать на общее благо, они используются в частных целях. Это происходит повсеместно, и самый близкий к моей сфере пример – ведомство по авторскому праву. Оно не является рупором народа, и его нормативные акты не направлены на обеспечение справедливости. Ведомство продвигает интересы владельцев авторских прав – крупных компаний, таких как Disney, – и его нормативные акты в основном разработаны для продвижения интересов подобных компаний. То же самое я могу сказать о правовом регулировании во многих других отраслях промышленности. Это и есть захват регулирования, и рассмотрению этой темы можно было бы посвятить отдельную главу. В основе этого явления множество причин, оно широко распространено, и я не вижу способов защиты регулирования интернета от этой угрозы. Превращение регулирующего органа в правоприменительный орган какой-нибудь монопольной отраслевой группы может привести к гораздо более плачевным результатам, чем последствия полного отсутствия государственного контроля.
Проблема четвертая: возможность торможения и даже подавления инноваций. Полагаю, мы должны принять это как данность, а в некоторых (редких) случаях – даже способствовать этому. Беспрепятственный рост инноваций приемлем только для «доброкачественных» технологий. Мы регулярно ограничиваем развитие технологий, несущих угрозу жизни людей. Правило предусмотрительности гласит, что, если потенциальный вред от внедрения новой технологии слишком велик, нам следует отказаться от этого до тех пор, пока безопасность технологии не будет доказана. И такая позиция должна стать основополагающей{304} в мире, где злоумышленник одним кликом способен открыть все дверные замки или взломать все электростанции. Мы не можем и не хотим останавливать технологический прогресс, но мы в состоянии сделать сознательный выбор между тем или иным технологическим будущим, ускорить или замедлить развитие одних технологий по сравнению с другими.
Да, вероятно, в будущем мы не сможем расширять функции наших компьютеров и умных устройств в том бешеном темпе, в каком это происходит сейчас, и это лучше с точки зрения безопасности. К тому же, как я неоднократно наглядно показывал, нормативные акты могут даже ускорять инновации. Если стимулировать частную промышленность к решению проблем безопасности, мы, возможно, вскоре получим более защищенную продукцию.
Нам нужно тщательно проработать этот вопрос. Обширные перечни правил часто бывают выгодны крупным компаниям, у которых есть деньги на их соблюдение. В отношении же малых компаний, часто являющихся двигателем прогресса, обилие нормативных актов может стать серьезным барьером на пути к рынку и тормозом здоровой конкуренции. Я не хотел бы недооценивать эти проблемы, однако замечу, что мы сумели искоренить их в других отраслях, а значит, сможем найти золотую середину и в цифровом бизнесе.
Наступило время для одного важного признания. На протяжении этой главы я продвигал идеи без учета международного характера проблемы. Как я вообще могу предлагать гражданам США принимать внутренние нормативные акты для решения вопросов, которые, по своей сути, не имеют национальных границ? Даже если США и ЕС примут самые строгие правила по безопасности интернета вещей, разве остановят они поток дешевой, но небезопасной продукции, устремившийся к нашим границам из Азии и других стран?
Подобная критика вполне справедлива. Каждая страна имеет полное право регулировать производство и продажи в пределах своих границ, и многие поступают так в отношении едва ли не всех потребительских товаров. США со своей стороны могут создать черный список товаров или производителей и обязать компании, такие как Amazon и Apple, удалить их из своих интернет-магазинов. Но эффект от таких действий будет краткосрочным. Мы не сможем регулировать то, что пересекает границу в чемоданах и почтовых посылках, как и то, что попадает к нам при скачивании через интернет. Мы не можем регулировать программные услуги, приобретаемые на иностранных сайтах. Цензура как ограничительный метод недопустима, поскольку ее несостоятельность и неэффективность давно доказаны. В этом нет ничего нового, и нам придется с этим смириться.
Тем не менее даже наши внутренние правила могут оказать сильное влияние на весь мир. В отличие от автомобилей, при производстве которых учитываются законы стран, куда они будут экспортироваться, например законы о контроле над выбросами, ПО создается однократно и затем продается повсюду. Если достаточно крупный рынок контролирует производство некоего программного продукта или услуги, скорее всего, их производитель внесет универсальные изменения в один вид товара для глобального потребителя, а не будет поддерживать сразу несколько национально ориентированных продуктов. Поскольку интернет – продукт глобальный, регулирование кибербезопасности сродни введению национальных стандартов на выбросы: если страна регулирует их сама, то она и несет все издержки от этого, в то время как остальной мир пользуется преимуществами единого стандарта.
Международное сотрудничество расширяется{305}. Согласование разными странами своих национальных законов часто отвечает внутренним интересам их правительств. Большинство стран озабочены защитой своей экономики и инфраструктуры от сбоев и заинтересованы в сотрудничестве, направленном против киберпреступности. Не секрет, что наиболее квалифицированные организованные преступные группы занимаются тем, что я называю юрисдикционным арбитражем: они намеренно сосредотачивают свою деятельность в странах, где законы о киберпреступности слабы, полицейские силы легко подкупаются, а договоры об экстрадиции отсутствуют. Хакерские убежища{306} есть в Нигерии, Вьетнаме, Румынии и Бразилии. Как бы ужасно это ни звучало, для бедных стран организованная киберпреступность становится источником дохода. Отдельные государства, такие как Северная Корея{307}, активно спонсируют киберпреступность, чтобы пополнить казну и поддержать свои экономически недееспособные режимы.
В области межгосударственной защиты от хакеров появились весьма перспективные разработки. Например, в мире существуют сотни национальных групп реагирования (называемые обычно Computer Emergency Response Team – CERT или Computer Security Incident Response Team – CSIRT). Эти группы из разных стран часто сотрудничают между собой и предоставляют специалистам по реагированию на инциденты возможность обмениваться информацией друг с другом. В частности, Будапештскую конвенцию о киберпреступности ратифицировали 52 страны (хотя некоторые крупные игроки, такие как Россия, Бразилия, Китай и Индия, ее проигнорировали). Этот договор{308}