На прошедшей неделе ЕС создал курьёзный
прецедент, оштрафовав самого себя, и это только на первый взгляд глупо. Они, похоже, отнюдь не идиоты, хоть и убедительно разыгрывают таковых.
Немного предыстории.
В Евросоюзе действует суровый кодекс защиты приватности, именуемый GDPR («General Data Protection Regulation», «Общий регламент по защите данных»). Среди прочего, он ограничивает передачу так называемой «personally identifiable information» — информации, позволяющей идентифицировать личность пользователя — за пределы ЕС. Передача персональных данных возможна только организациям, «сертифицированным» Евросоюзом и соответствующим требованиям GDPR.
Сайты, требующие логина, часто используют не собственную систему аутентификации пользователей, а привлекают сторонние сервисы, так называемые «identity providers» (можно перевести как «службы идентификации»).
Работает это примерно так:
— вы заходите на сайт Х,
— последний перебрасывает вас на указанный вами сайт службы идентификации, где у вас есть аккаунт, например, Гугл,
— вы логинитесь в Гугле,
— тот возвращает ваш идентификатор сайту Х,
— и с этого момента вы залогинены на Х под именем, под которым вы известны Гуглу.
Службы идентификации готовы предоставлять свои сервисы бесплатно, поскольку это даёт их владельцам возможность шпионить за своими пользователями. В этом качестве, помимо Гугла, подвизаются Фейсбук, Микрософт, Эппл, Амазон, ГитХаб, Твитырь и ещё несколько.
Теперь собственно история.
Некий германский гражданин залогинился на одном из сайтов Еврокомиссии («Conference on the Future of Europe»), использовав Фейсбук в качестве службы идентификации, информация о чём ушла Цукербергу в Штаты. После чего гражданин подал иск к Еврокомиссии в Европейский суд общей юрисдикции, т.е. пожаловался в ЕС на ЕС. Суть иска была в том, что США не обеспечивают должную защиту личных данных — в частности, к этим данным могут иметь доступ американские спецслужбы — а Еврокомиссия не предоставила гарантий того, что этого не случится.
Суд счёл, что Еврокомиссия нарушила GDPR, т.е. свой собственный регламент. Гражданин просил 400 евро компенсации — их ему и присудили (он ещё просил 800 за невозможность отменить передачу персональных данных, но это требование было отклонено).
История предельно странная. Нелепую сумму 400 евро присудили за совершенно обычное, регулярно совершаемое огромным количеством людей действие. Всё это больше напоминает прощупывание почвы и поиск аргументов в грядущих дискуссиях.
Сюжетный твист в том, что Евросоюз сертифицировал Фейсбук в качестве службы идентификации летом 2023 года, а немецкий истец логинился в 2021 и 2022 годах. И теперь, по сути, Европейский суд подтвердил, что до 2023 года всякий раз, когда граждане ЕС пересылали свои личные данные Фейсбуку, происходило нарушение GDPR.
Ежедневно на Фейсбук заходят около 300 миллионов уникальных европейских юзеров, и у каждого есть свой IP адрес. В этом контексте, цифра 400 евро за один переданный Фейсбуку «айпишник» начинает играть яркими красками, и у ЕС появляется весьма крупнокалиберный прецедент, которым можно размахивать на грядущих переговорах о евро-цензуре в соцсетях.
Понятней становится и диковинный сюжет с Евросоюзом, наказавшим самого себя: если судиться с Фейсбуком, это будет тянуться долго и непредсказуемо, а так — сами себя обвинили, сами создали судебный прецедент, и поди подкопайся.
Случилось это сразу после того, как Трамп пробудил в мариковом сердце любовь к свободе слова и желание защищать оную везде, в том числе, в Европе. После, конечно, не значит вследствие. Но очень всё это вовремя.
PS. У других крупных провайдеров ситуация в Европе примерно аналогичная.
