В декабре 2013 г., когда руководители хайтека собрались в Белом доме, чтобы призвать президента Обаму изменить практику правительства в сфере сбора информации, разговор в какой-то момент изменил направление. Президент задумался и изрек пророческую фразу. «Предполагаю, это коснется и вас», — сказал он, намекая на то, что многие компании, представленные за столом, владеют более значительным объемом персональных данных, чем любое правительство на планете. Придет время, заметил он, когда претензии, высказываемые в адрес правительства, будут предъявляться и технологическому сектору.

Во многих отношениях было удивительно, что этого не произошло до сих пор. В Европе, например, это случилось давным-давно. Европейский союз принял жесткую директиву по защите персональных данных еще в 1995 г. Она создала прочную основу для защиты частной информации, намного более прочную, чем в Соединенных Штатах. Европейская комиссия, опираясь на эту директиву, предложила еще более жесткое регулирование в 2012 г. На это ушло четыре года, но ЕС все-таки принял всеобъемлющий Общий регламент по защите данных в апреле 2016 г. Когда Великобритания проголосовала за выход из ЕС всего два месяца спустя, ее ведомства, отвечающие за защиту данных, поспешили подтвердить свою поддержку применения новых правил на территории страны. Как премьер-министр Тереза Мэй сказала руководителям технологических компаний на встрече в начале 2017 г., правительство признает, что экономика Великобритании и дальше будет зависеть от потока данных с континента, а потому единообразие правил защиты персональной информации жизненно необходимо.

Ну а что же Соединенные Штаты? В условиях, когда правила по защите персональных данных вводятся по всему миру, они остаются в стороне. В Европе официальные лица все больше пекутся о защите неприкосновенности частной жизни своих граждан в мире, где данные пересекают границы и поступают в американские дата-центры, а Соединенные Штаты не могут обеспечить защиту на национальном уровне. Я сам выступал на Капитолийском холме в 2005 г. с призывом принять национальный закон о защите персональных данных. Однако, если не считать HP и несколько других компаний, подавляющая часть отрасли либо не обратила внимания на идею, либо вообще выступила против. А конгрессу эта тема неинтересна.

Чтобы заставить США задуматься об изменении отношения, потребовались совершенно неожиданные инициативы со стороны двух людей. Первым, кто ввязался в полемику по вопросу защиты персональных данных, был студент юридического факультета Венского университета Макс Шремс. Во время остановки в Европе в 2019 г. Макс познакомил нас с австрийским деликатесом из отварной говядины и поведал свою невероятную историю.

Шремс довольно известен в Австрии, и, если вы поинтересуетесь трансатлантической сагой о неприкосновенности частной жизни, то сразу же натолкнетесь на него. «Я лишился неприкосновенности в деле о неприкосновенности частной жизни», — смеется он.

Неприкосновенность частной жизни, в том числе и ее американская трактовка, всегда занимала его. Когда Шремсу было 17, жизнь забросила его в «глухой уголок» штата Флорида по программе обмена учащимися средней школы. Крошечный городок Себринг стал для Шремса культурным шоком, но совсем не по той причине, которую можно было ожидать. Его сразили не мероприятия, проводимые организацией «Будущие фермеры Америки» или баптистской церковью, а методы слежения за учащимися в школе.

«Там была выстроена целая пирамида контроля, — сказал он. — В школе располагался полицейский участок, а в каждом коридоре стояли камеры. Следили за всем от повседневных оценок до результатов экзаменов, посещаемости и маленьких наклеек на ученических карточках, которые позволяли нам пользоваться интернетом».

Шремс с гордостью рассказывал, как он помогал своим американским одноклассникам обходить школьные блокировки на поиск в Google. «Я показал им, что существует , который прекрасно работает, поскольку школа блокировала только домен .com, — говорил он. — Учащийся по обмену открыл для школы международные домены верхнего уровня!»

После такого было очень приятно возвратиться в Вену, «где мы пользовались свободой».

Неприкосновенность частной жизни занимала Шремса и в 2011 г., когда он в свои 24 вновь приехал в Соединенные Штаты для обучения в течение семестра в Школе права в Университете Санта-Клары, Калифорния. Приглашенный лектор, который оказался юристом из Facebook, читал курс по неприкосновенности частной жизни. Когда Шремс спросил его об обязательствах компании по европейскому закону о неприкосновенности, тот ответил, что этот закон не соблюдается. «По его словам, "можно было делать все", поскольку санкции в Европе настолько несерьезны, что о соблюдении закона речи не идет, — сказал Шремс. — По всей видимости, он не подозревал, что в аудитории есть европеец».

Этот разговор заставил Шремса более глубоко изучить вопрос и написать курсовую работу о недостатках представлений Facebook об обязательствах в соответствии с европейским законодательством.

Для большинства студентов на этом история и закончилась бы. Но Шремс не относился к разряду обычных студентов. В том же году он, опираясь на то, что узнал, подал жалобу в ведомство по защите данных в Ирландии, где находился европейский дата-центр Facebook. Его жалоба была незатейливой, однако ее последствия могли оказаться поворотными для глобальной экономики. Шремс утверждал, что от Международных принципов защиты персональных данных, которые приняли для передачи европейских данных в Соединенные Штаты, необходимо отказаться. Причина заключалась в том, что Соединенные Штаты не предоставляют достаточных правовых гарантий защиты европейских данных.

Эти принципы были одним из столпов трансатлантической экономики, однако о них мало кто знал за исключением экспертов по вопросам неприкосновенности частной жизни. Они родились как результат принятия в ЕС в 1995 г. директивы по защите персональных данных, которая допускала перемещение европейской персональной информации в другие страны только в случае обеспечения адекватной защиты. С учетом отсутствия в Соединенных Штатах соответствующего национального закона, для поддержания потока данных через Атлантику требовалась толика политической изобретательности. Решением, принятым в 2000 г., стала утвержденная Министерством торговли США добровольная программа, позволявшая компаниям самостоятельно сертифицировать свое соответствие семи принципам защиты персональных данных. Эти принципы отражали правила ЕС и позволяли Европейской комиссии считать, что Соединенные Штаты обеспечивают адекватную защиту в соответствии с требованиями директивы 1995 г. Так появились Международные принципы защиты персональных данных, или Safe Harbor.

Спустя 15 лет мир стал свидетелем взрывного роста трансатлантического потока данных. Более 4000 компаний пользовались принципами Safe Harbor при предоставлении цифровых сервисов на $240 млрд в год. В них входило все — от страхования и финансовых услуг до книг, музыки и фильмов. Однако финансовые аспекты были лишь верхушкой информационного айсберга. На американские компании работали 3,8 млн человек в Европе, которые зависели от безопасной передачи разнообразной информации от платежных чеков и медицинских страховок до кадровых обзоров. Совокупный объем европейских продаж у американских компаний достиг умопомрачительных $2,9 трлн и они по большей части требовали передачи цифровых данных, подтверждающих доставку товаров и размер выручки. Это был своего рода индикатор чрезвычайной зависимости мира от данных.

Хотя представители правительств и руководители компаний воспринимали принципы Safe Harbor как предмет первой необходимости в современных условиях, Макс Шремс видел в них нечто совершенно другое. Подобно ребенку в сказке Ганса Христиана Андерсена он смотрел на эти принципы и фактически говорил, что «король-то голый».

Шремс был пользователем Facebook с 2008 г. и на этом основании считал, что имеет право подать жалобу ирландскому комиссару по защите данных. В 2012 г. он вернулся в Вену. После «обмена 22 электронными письмами» с Facebook Шремс получил CD с pdf-файлом, содержащим 1200 страниц с его персональными данными. «Это была лишь половина или даже треть того, что у них имелось на меня, однако на трех сотнях страниц фигурировали вещи, которые я удалил — в каждом посте значилось "удалено"».

На взгляд Шремса, соглашение Safe Harbor, позволявшие Facebook собирать и использовать так много данных подобным образом, не обеспечивало той защиты, которая требовалась по европейскому законодательству.

Шремс дал огласку своим претензиям, запустив небольшой новостной цикл в Европе, в котором объяснял, почему следует отказаться от принципов Safe Harbor. Facebook не замедлила отправить в Вену двух своих высокопоставленных европейских представителей, которые попытались убедить его в необходимости пересмотреть взгляды. На протяжении шести часов в конференц-зале гостиницы рядом с аэропортом они уговаривали Шремса сузить претензии. Однако он не поддавался и твердо стоял на том, что ирландский комиссар должен рассмотреть вопрос.

В технологическом секторе и сообществе по защите персональных данных с интересом следили за развитием этого дела, однако большинство не ожидало, что оно завершится победой Шремса. В конце концов, он потратил больше времени на формулирование своих претензий, чем на завершение курсовой работы в Санта-Кларе, которая оставалась незаконченной, но содержала пояснение от преподавателя. Вскоре и в самом деле ирландский комиссар по защите данных вынес решение против Шремса на том основании, что Европейская комиссия в 2000 г. признала принципы Safe Harbor адекватными. Казалось, что Шремсу осталось лишь одно — вернуться к своей курсовой работе в школе права. Но он не отступил.

Его дело в конечном итоге добралось до Европейского суда, и 6 октября 2015 г. началось настоящее светопреставление.

Я был во Флориде и готовился к проведению встречи с клиентами из Латинской Америки, когда ранним утром у меня зазвонил телефон. Суд признал недействительными Международные принципы защиты персональных данных. Он пришел к выводу, что европейские органы по защите национальных данных имеют право давать собственную оценку условий передачи данных по соглашению. Фактически суд расширил полномочия независимых регуляторов, хотя это и должно было привести к более жесткому анализу практики защиты персональных данных в Соединенных Штатах.

Сразу же возник вопрос, не означает ли это возврата к цифровому средневековью? Не приведет ли это к прекращению передачи данных через Атлантику? Мы заранее предусматривали такую возможность, и у нас были наготове юридические меры, позволяющие клиентам и дальше пользоваться нашими сервисами по международной передаче данных. Мы поспешили успокоить клиентов. Хотя в технологическом секторе делали вид, что все в порядке, решение Европейского суда не могло не вызывать беспокойства. Как сказал один из юристов, который помогал в проведении переговоров по Safe Harbor, «мы теперь не можем считать надежным ничего. Решение суда настолько широкое, что любой механизм, используемый для передачи данных из Европы, может оказаться под угрозой».

Это решение привело к лихорадочным переговорам, которые продолжались не один месяц. Все это смахивало на попытку склеить разбитое вдребезги. Министр торговли США Пенни Прицкер и европейский комиссар Вера Йоурова занялись выработкой подхода, который мог бы удовлетворить суд и европейских регуляторов. Когда я приехал в штаб-квартиру Европейской комиссии в январе 2016 г. для обсуждения ситуации с Йоуровой, меня удивило, что она спустилась вниз прямо к проходной. Улыбнувшись, она сказала, что просто вышла на минуту. Тут к ней подошел молодой человек, которого она раньше не видела, и произнес: «Нам следовало бы знать друг друга. Меня зовут Макс Шремс».

Несмотря на непрекращающиеся международные переговоры, технологический сектор готовился к худшему. В Microsoft изучали возможность использования близости Сиэтла к Канаде и переноса ключевой поддержки операций в Ванкувер, где у нас уже была база. Некоторым из тех, кто работал в Редмонде, пришлось бы постоянно ездить туда и обратно, но решение суда не затрагивало передачу данных между Канадой и Европой, и это позволило бы обеспечить более надежную работу.

В конечном итоге все это не потребовалось. В начале февраля 2016 г. Прицкер и Йоурова обнародовали новый документ. Они заменили принципы Safe Harbor соглашением Privacy Shield, которое предусматривало более жесткие требования к защите персональных данных и ежегодное проведение двухстороннего анализа. Microsoft стала первой технологической компанией, которая публично обязалась соблюдать новые требования.

Цифровая катастрофа была предотвращена. Однако произошедшее показало, как все изменилось.

Прежде всего, стало ясно, что такой вещи, как остров конфиденциальности, не существует — никто больше не может считать, что все его данные останутся в пределах одной страны. Это относится и к такому большому континенту, как Европа, и к такой большой стране, как Соединенные Штаты. Персональная информация перемещается из страны в страну при цифровых операциях любого типа, и люди по большей части не подозревают этого.

В результате появился новый внешний политический рычаг, оказывающий большое потенциальное воздействие на защиту персональных данных в Соединенных Штатах. Члены Европейского суда фактически наделили регулирующие органы континента, славящиеся своим пристрастием к защите персональных данных, правом требовать ужесточения американских стандартов защиты.

Если у кого и были сомнения на этот счет, то их полностью развеяли заслуживающие доверия сообщения из правительственных кругов после судебного решения 2015 г. Один из членов суда, который принимал активное участие в формулировании решения, лично встречался с рядом национальных регуляторов в сфере защиты персональных данных с тем, чтобы разъяснить им детали и порекомендовать линию поведения на переговорах с Белым домом и Министерством торговли. Такой шаг открыто противоречит принципу разделения судебной и исполнительной власти в Соединенных Штатах. Он необычен и в Европе, однако не так уж редок во многих других частях мира.

Хотя американские политические лидеры могут обвинять европейских регуляторов в превышении полномочий, одну вещь они не в силах изменить — критическую зависимость экономики США от способности американских фирм перемещать данные из одной страны в другую. В сегодняшнем мире можно спорить о том, строить или не строить стену для сдерживания потока людей. Но ни одна страна не может допустить, чтобы появился барьер, перекрывающий поток данных через границы. Это означает, что трансатлантические переговоры по практике американских компаний в сфере защиты персональных данных являются суровой реальностью экономической жизни.

Даже для Китая это имеет большое значение. Со временем европейский подход может привести к усилению давления на Китай и заставить его сделать выбор. Он может и дальше обходиться без защиты персональных данных на своей территории, а может пойти на расширение связей с Европой с неизбежным наращиванием потоков данных. Однако делать и то и другое одновременно будет очень трудно.

Как и во многих других случаях, когда мир оказывался на грани катастрофы, немедленное начало переговоров по соглашению Privacy Shield вызвало вздох облегчения. Это был еще один тревожный звонок, но люди опять нажали на кнопку «отбой». Передача данных могла продолжаться, а компании могли и дальше вести бизнес. Большинство технологических компаний и представителей правительства отложили вопрос глубокого осмысления долгосрочных геополитических последствий еще на один день.

В некоторых отношениях это было более чем понятно. В оставшуюся часть 2016 г. внимание людей занимали голосование по Брекзиту и президентские выборы в Америке. И в течение нескольких месяцев все сосредоточились на другом событии в сфере защиты персональных данных в Европе. В ЕС приближалась дата вступления в силу Общего регламента по защите данных (General Data Protection Regulation — GDPR).

Аббревиатура GDPR быстро стала привычной для работающих в технологическом секторе. У юристов использование аббревиатур для обозначения правительственных документов всегда было обычным делом, а здесь аббревиатура GDPR прочно вошла в язык инженеров, маркетологов и торговых представителей. И это не было случайностью. Регулирование требовало изменения архитектуры многих мировых технологических платформ, так что работа предстояла огромная. Хотя такое преобразование могло и не входить в планы ЕС, оно стало вторым рычагом воздействия Европы на стандарты защиты персональных данных в Соединенных Штатах и по всему миру.

GDPR отличается от многих существующих норм регулирования. Чаще всего регулирование запрещает компаниям что-то делать. Например, включать в рекламные объявления информацию, вводящую в заблуждение, или использовать асбест при строительстве зданий. Философия свободной рыночной экономики поощряет поиск нововведений, а регулирование вводит определенные запреты, но в целом оставляет компаниям свободу экспериментировать.

Одной из самых больших особенностей GDPR является то, что в нем, фактически, содержится билль о правах в отношении персональных данных. Предоставляя потребителям определенные права, он требует, чтобы компании не просто избегали некоторых видов практики, а создали новые бизнес-процессы. Например, компании, владеющие персональной информацией, должны обеспечивать доступ потребителей к ней. Клиенты имеют право знать, какой информацией о них располагает компания. У них есть право корректировать эту информацию, если она неточна. Им позволяется удалять информацию при разных обстоятельствах. И, наконец, предусмотрено право клиентов по желанию переносить свою информацию к другим провайдерам.

Во многом GDPR походил на Великую хартию вольностей для данных. Это была вторая волна защиты персональных данных в Европе. Первая в 1995 г. ознаменовалась принятием директивы по защите персональных данных, которая требовала от веб-сайтов уведомления потребителей и получения от них согласия на сбор и использование данных. Однако на фоне взрывного развития интернета люди утонули в этих уведомлениях и просто перестали обращать на них внимание. С учетом этого европейский GDPR требовал, чтобы компании предоставляли потребителям реальную возможность просматривать и контролировать все собранные о них данные.

Неудивительно, что последствия этого для технологии оказались такими масштабными. Для начала любой компании с миллионами — и даже тысячами — клиентов требовался специальный бизнес-процесс, чтобы справиться с реализацией этих новых прав клиентов. В противном случае они рисковали утонуть в неэффективном и почти наверняка неполном ручном поиске пользовательских данных. Более того, этот процесс нуждался в автоматизации. Для быстрого и не слишком финансово обременительного исполнения требований GDPR компаниям был нужен унифицированный доступ к целому набору баз данных. Все это требовало изменения технологии.

Для такой диверсифицированной компании, как Microsoft, трудно было представить более масштабную задачу. У нас насчитывалось более двух сотен продуктов и сервисов, и многие команды разработчиков имели право создавать и поддерживать собственные инфраструктуры обработки данных. Конечно, у них было определенное сходство, но существовали и различия в информационной архитектуре.

Быстро выяснилось, что эти различия сильно осложняли исполнение требований GDPR. Потребители в ЕС рассчитывали получить один процесс, позволяющий им просматривать информацию по всем нашим сервисам одинаковым образом. Единственным способом добиться этого было создание новой информационной архитектуры, которая охватывала бы все наши сервисы — от Office 365 до Xbox Live, Bing, Azure, Dynamics и всего прочего.

В начале 2016 г. мы собрали команду лучших системных архитекторов. До вступления GDPR в силу, намеченного на 25 мая 2018 г., оставалось два года, но времени на раскачку не было.

Сначала архитекторам пришлось обратиться к юристам, которые определили, что именно необходимо в соответствии с GDPR. Совместно с юристами были составлены технические требования с перечнем всех функций, которыми должны обладать наши сервисы. Затем архитекторы разработали принципы обработки и хранения информации, позволявшие нашим сервисам выполнять необходимые функции.

В конце августа план был готов для рассмотрения на совещании с участием Сатьи и команды высших руководителей компании. Все понимали, что проект потребует огромного объема технических работ. Нам придется выделить для его реализации более трех сотен инженеров как минимум на полтора года. А в последние полгода перед вступлением GDPR в силу число участников проекта наверняка увеличится до тысяч. С финансовой точки зрения это было мероприятие на сотни миллионов долларов. Такое совещание никто не хотел пропустить. Некоторым пришлось прервать отпуск, чтобы присутствовать на нем.

Команды инженеров и юристов проработали концепцию, сроки и распределение ресурсов. Проект произвел впечатление на всех. В некотором смысле даже поразил. Во время совещания Сатья неожиданно воскликнул с ноткой удивления: «Ну разве это не замечательно?» И продолжил: «Сколько лет казалось, что заставить инженеров по всей компании согласиться на единую архитектуру защиты персональных данных, практически невозможно. И вдруг регуляторы с юристами сказали нам, что делать. Задача создания единой архитектуры стала намного проще».

Это была интересная мысль. Разработка — творческий процесс, а инженеры — творческие люди. Когда две команды разработчиков берутся за одну и ту же проблему с двух концов, невероятно трудно убедить их договориться об устранении разногласий и выработать общий подход. Даже если разногласия не касаются сути фундаментально важной функции, люди не хотят отказываться от того, что они создали.

С учетом широты, разнообразия и самостоятельности технической структуры в Microsoft эта проблема временами стояла более остро, чем в других технологических компаниях. Она не раз заставляла нас в прошлом годами поддерживать дублирующие друг друга сервисы — подход, который практически никогда не заканчивается добром. Apple, в отличие от нас, решала эту проблему с помощью более узкой продуктовой сфокусированности и централизованных решений Стива Джобса. Как ни парадоксально, европейские регуляторы оказали нам услугу, заставив определить единый подход, который требовал компромисса от всех разработчиков.

Сатья подписал план. Затем он обратился ко всем с новым требованием. «Раз уж мы решили вложить столько времени и денег в изменения, я хочу, чтобы все это делалось не только для себя, — сказал он. — Я хочу, чтобы каждая новая функция, которая становится доступной для нашего использования как первой стороне, была бы доступной нашим клиентам как третьей стороне».

Другими словами, речь шла о том, чтобы создать технологию, которую мог использовать каждый клиент с целью соблюдения требований GDPR. В мире, опирающемся на данные, это имело прямой резон, однако добавляло нам работы. У инженеров в зале перехватило дыхание. Они уходили с совещания, понимая, что на проект придется отрядить еще больше людей.

С огромным объемом технических требований была связана вторая быстро проявившаяся тенденция, которая имела серьезные геополитические последствия. С развертыванием технической работы, связанной с соблюдением требований GDPR, заметно поубавилось стремление к созданию индивидуальных архитектур для других мест. Стоимость и техническая сложность поддержания отличающихся систем была слишком высокой.

Это привело к интересному разговору с премьер-министром Канады Джастином Трюдо в начале 2018 г. Когда Сатья и я встречались с ним и его советниками, зашла речь о проблеме защиты персональных данных, которая по-прежнему волновала канадскую публику. Трюдо обмолвился о возможном изменении канадского законодательства о защите данных, а Сатья предложил ему просто принять положения GDPR. Заметив удивление на лицах собеседников, Сатья пояснил, что в случае фундаментальных отличий от них стоимость поддержания другого процесса или архитектуры в одной стране, скорее всего, перекроет все потенциальные выгоды.

Наш энтузиазм в отношении GDPR был прямой противоположностью настроению некоторых представителей технологического сектора, которых больше волновала обременительная сторона регулирования. Хотя в GDPR действительно присутствовали спорные моменты, мы считали, что главным для долгосрочного успеха технологического сектора является стабильное доверие публики в сфере защиты персональных данных. Такой подход был еще одним результатом нашего участия в антимонопольных разбирательствах 1990-х гг. и высокой репутационной цены, которую мы заплатили. Более сбалансированный взгляд на потенциально неоднозначные вопросы регулирования мог казаться некоторым отраслевым коллегам и даже нашим собственным инженерам чрезмерно дипломатичным. Однако я чувствовал, что во многих отношениях это был более мудрый курс.

Были и такие в технологическом секторе, кто, несмотря ни на что, указывал на неоднозначность отношения американской публики к защите персональных данных как на причину игнорировать регулятивное давление в США. «Неприкосновенность персональных данных канула в прошлое, — говорили они. — С этим нужно просто смириться».

Подозреваю, что проблема защиты персональных данных так и лежала бы под спудом, пока гром не грянет. Взрыв общественного негодования мог возникнуть без видимых политических оснований для требования более взвешенного подхода. Неоднозначность отношения публики к защите персональных данных напомнила мне ситуацию в атомной энергетике несколько десятилетий назад.

В 1970-е гг. атомная энергетика упустила из виду необходимость активного публичного обсуждения рисков, связанных с техническим прогрессом, из-за чего и общество, и политики оказались неготовыми к аварии, которая произошла на АЭС Three Mile Island в Пенсильвании в 1979 г. Как результат, эта катастрофа и, в отличие от других стран, политический резонанс, вызванный событиями на АЭС, заблокировали строительство атомных электростанций в Америке. Прошло 34 года, прежде чем в Соединенных Штатах началось строительство новой АЭС.

На мой взгляд, на этом историческом уроке надо было учиться, а не повторять его.

В марте 2018 г. мы получили цифровой эквивалент аварии на АЭС Three Mile Island, когда разразился скандал вокруг компании Cambridge Analytica. Пользователи Facebook узнали, что их персональные данные собирала фирма, занимающаяся политическим консалтингом, и использовала их для целенаправленной рассылки рекламы в поддержку избирательной кампании Дональда Трампа. Хотя такое использование данных было против правил Facebook, ее системы защиты информации не смогли обнаружить нарушения. Это была проблема, которая вызывает поток критики, но оставляет компанию без реальной защиты. Единственное, что Facebook могла предложить, это извинения, которые принес Марк Цукерберг.

За несколько недель настроение в Вашингтоне изменилось. Вместо отказа от регулирования политики лидеры хайтека наконец-то заговорили о нем, как о неизбежном. Однако они умолчали о том, что именно, на их взгляд, должно делать регулирование.

Ответ на этот вопрос пришел с другого конца страны, почти из самой Кремниевой долины. Главным действующим лицом этого действа был второй человек, оказавшийся на первых ролях так же неожиданно, как и Макс Шремс.

Это был американец по имени Аластер Мактаггарт. В 2015 г. этот застройщик устроил званый обед у себя дома в зеленом пригороде Пидмонта, штат Калифорния, расположенном на противоположном от Кремниевой долины берегу залива Сан-Франциско. Во время обеда Мактаггарт завел разговор с одним из гостей о его работе в Google. Ответы гостя на вопросы не просто потрясли хозяина, они испугали его.

Какие персональные данные собирают технологические компании? Что они с ними делают? Могу ли я отказаться от этого? Если бы люди знали, что о них известно Google, ответил инженер, «они бы пришли в ужас».

Этот разговор за бокалом вина дал начало двухлетнему крестовому походу стоимостью более $3 млн. «Это было очень важно. Я считал, что "кто-то должен разобраться с этим вопросом", — сказал нам Мактаггарт почти три года спустя, когда мы встретились в Сан-Франциско. — А потом подумал, почему бы мне самому не взяться за это?»

У отца троих детей и мысли не возникало идти в поход против технологической отрасли. Он был преуспевающим бизнесменом и твердо верил в свободные и открытые рынки. В конце концов, он зарабатывал на росте цен на недвижимость в регионе, главным двигателем которого были технологические компании. Но он твердо решил изменить ситуацию в расчете рассказать когда-нибудь своим детям, что это он помог защитить нечто очень ценное — наши персональные данные.

Во времена, которые Мактаггарт и некоторые другие называют «эпохой коммерческой слежки», наши поисковые запросы в сети, коммуникации, цифровая локация, покупки и действия в социальных сетях говорят о нас больше, чем мы, возможно, хотели бы. По его мнению, это давало кучке компаний невероятную власть. «Вы обязаны принять их условия обработки информации, иначе вам не будут предоставлять услуги, — сказал он, ссылаясь на бесплатные онлайновые инструменты, за которые мы невольно расплачиваемся своей информацией. — Однако без этих услуг мы не можем жить в современном мире. У нас реально нет возможности отказаться от них».

Отсутствие надзора заставило Мактаггарта собрать единомышленников и разработать проект нового закона о защите персональных данных для штата Калифорния. «Лично я живу в жестко регулируемом мире, — сказал он, имея в виду общепринятые правила и строительные кодексы, действующие в мире недвижимости. — Это нормально. Закон должен распространяться и на технологии, иначе люди так и будут переходить границы дозволенного».

Мактаггарт многое знал о механизмах функционирования правительства из своей практики в сфере недвижимости. Он разбирался в политике и понимал, что противодействие Кремниевой долины наверняка сделает принятие закона в Сакраменто, столице штата, не менее трудным, чем принятие федерального закона в Вашингтоне. Однако в Калифорнии, как и в некоторых других западных штатах США, была политическая альтернатива. В этих штатах, образованных в середине и конце 1800-х гг., существовали гарантированные конституцией процедуры, которые, при достаточном количестве подписей, позволяли поставить инициативу на голосование избирателей.

Процесс принятия законодательных инициатив в Калифорнии в прошлом уже менял ход американской истории. Четыре десятилетия назад в 1978 г. избиратели штата приняли «Предложение 13», ограничивавшее налоги. Эта инициатива касалась снижения налога на недвижимость в штате, однако ее эффект был намного шире. Она способствовала укреплению общественного движения в стране, которое придало импульс президентской избирательной кампании Рональда Рейгана в 1980 г. и усилило требование сократить размер правительства и снизить налоги. Все это привело к перелому в политике, отражавшему в определенной мере тот факт, что каждый восьмой американец — это житель Калифорнии.

Если скандал с Cambridge Analytica смог стать эквивалентом аварии на АЭС Three Mile Island, то мог ли Аластер Мактаггарт создать цифровой эквивалент «Предложения 13»?

Довольно быстро возникло впечатление, что ответ на этот вопрос будет, скорее всего, положительным. Мактаггарт собрал вдвое больше подписей, чем требовалось для того, чтобы поставить предложение на голосование. Опрос показывал, что 80% избирателей поддерживают законопроект. Мактаггарта расстроило то, что 20% избирателей не сделали этого, но те, кто проводил опрос, сказали, что им еще не проходилось видеть такой активной поддержки. Хотя хорошо финансируемые кампании в поддержку инициатив почти всегда приносят более высокий результат в конце, было очевидно, что, если Мактаггарт не пожалеет своих заработанных на недвижимости миллионов на эффективную агитацию, он получит очень хороший шанс на успех во время голосования в ноябре.

В Microsoft к инициативе Мактаггарта относились неоднозначно. С одной стороны, мы с давних времен поддерживали идею принятия закона о защите персональных данных в Соединенных Штатах, в том числе и на федеральном уровне. С подачи Джули Брилл, бывшего члена Федеральной торговой комиссии, которая теперь отвечала в компании за работу в сфере защиты персональных данных и регулирования, мы решили принять не такой подход, как все остальные компании технологического сектора, после вступления в силу GDPR в мае 2018 г. Вместо применения регулирования только к пользователям из ЕС мы хотели распространить его на всех наших клиентов в мире. Это было сделано по ряду неожиданных соображений. Очень быстро выяснилось, например, что американские потребители заинтересованы в соблюдении своих прав еще больше, чем европейцы. Таким образом, получало подтверждение наше предчувствие в отношении, что дуга американской истории в конечном итоге приведет к принятию права на защиту персональных данных в Соединенных Штатах.

С другой стороны, мы считали текст законопроекта Мактаггарта слишком сложным и в определенных отношениях противоречивым. Нас беспокоило то, что он может привести к применению технических требований, не совпадающих с GDPR по одной простой причине. Проблемы такого типа можно решать в законодательных органах с их детальной процедурой обсуждения и принятия проектов, а не путем голосования, когда нужно безальтернативно сказать «да» или «нет». Вопрос был в том, как убедить всех в необходимости перенести инициативу с избирательных участков в ноябре в законодательный орган штата, не загубив ее в процессе этого.

Другие технологические компании развернули кампанию по сбору средств на противодействие инициативе. Кремниевая долина сочла, что для успеха необходимо собрать более $50 млн. Мы внесли $150 000. Этого было достаточно, чтобы оставаться на связи с отраслью, но не так много, чтобы придать противодействию заметный импульс.

В конечном итоге значительность суммы финансирования, связанного с калифорнийской инициативой, создавала стимул для обеих сторон сесть за стол переговоров. Мактаггарт был готов работать с ключевыми представителями над утрясанием деталей законопроекта. Некоторые технологические компании никак не могли решить, что именно они хотят. Мы же направили двух наших специалистов по защите персональных данных в Сакраменто, которые работали там чуть ли не круглые сутки над формулировками вместе с руководителями законодательного органа и командой Мактаггарта.

В последнюю минуту законодательный орган штата принял закон Калифорнии о защите персональных данных 2018 г., а губернатор Джерри Браун быстро подписал его. Это был самый жесткий закон по защите персональных данных в истории Соединенных Штатов. Как и GDPR, он наделял резидентов Золотого штата правом знать, какие данные о них собирают компании, запрещать их продажу и привлекать фирмы к ответственности, если они не обеспечивают защиту персональных данных.

Эффект в масштабах страны проявился практически мгновенно. Через несколько недель даже противники в Вашингтоне, с давних времен сопротивлявшиеся принятию закона о всеобъемлющей защите персональных данных, стали находить что-то близкое для себя в новой религии. После того, как Калифорния открыла шлюзы, было очевидно, что ее примеру вскоре последуют и другие штаты. Чтобы не получить сборную солянку из правил штатов, бизнес-группы стали лоббировать в конгрессе принятие общенационального закона о защите персональных данных, который должен иметь приоритет (или фактически отменять) перед законами Калифорнии и других штатов. Хотя сделать предстояло еще очень много, Мактаггарт изменил отношение страны к вопросу защиты персональных данных. Это было важнейшее достижение.

Когда мы разговаривали с Мактаггартом в Сан-Франциско, произошедшее казалось просто удивительным. Его так легко можно было принять за угрозу — активиста, который хотел обуздать отрасль, ставшую слишком могущественной. Однако мы увидели внушающего симпатию прагматика, который думал о будущем.

«Процесс вовсе не закончен, — сказал он. — Мы будем говорить о технологии и защите персональных данных еще лет сто. Точно так же, как это было с антимонопольным законодательством после дела Standard Oil».

Как компания, прошедшая через антимонопольное разбирательство спустя 80 лет после того, как Министерство юстиции раздробило Standard Oil, мы очень хорошо понимали справедливость такого сравнения. В конце концов, исторический пример Мактаггарта дает пищу для размышлений.

В сумме инициативы Макса Шремса и Аластера Мактаггарта позволяют сделать ряд важных выводов на будущее.

Во-первых, вряд ли стоит надеяться на то, что проблема защиты персональных данных потихоньку сойдет на нет, как предсказывали некоторые в технологическом секторе пару десятилетий назад. Люди осознали тот факт, что практически каждый аспект их жизни оставляет определенный цифровой след. Персональные данные необходимо защищать, и более жесткое законодательство в сфере защиты становится неизбежным. В один прекрасный день Соединенные Штаты по примеру Европейского союза и других стран примут закон, аналогичный GDPR.

Во-вторых, скорее всего, мы станем свидетелями третьей волны защиты персональных данных в ближайшие несколько лет, особенно в Европе. Если избыток уведомлений о сборе и обработке персональных данных, которые люди не успевали читать, привел к появлению на свет GDPR, то сейчас беспокойство вызывает то, что пользователям некогда анализировать все данные, которые GDPR сделал доступными онлайн. Это с большой вероятностью спровоцирует новую волну нормотворчества, нацеленную на регулирование процесса сбора и использования данных.

Это также означает, что технологическому сектору следует направить больше усилий на поиск инноваций, защищающих персональные данные и обеспечивающих их правильное использование. Уже появился ряд новых технических подходов вроде применения искусственного интеллекта к обработке данных, которые остаются зашифрованными и, следовательно, более защищенными. И это только начало.

Наконец, опыт Шремса и Мактаггарта ясно показывает сильные стороны и возможности мира демократий. Лидеры авторитарных правительств могут с беспокойством смотреть на непредсказуемую способность какого-то студента-юриста и застройщика перевернуть с ног на голову правила регулирования самых могущественных технологий нашего времени. Однако есть и другой взгляд на это — и в конечном итоге он представляется более разумным. Шремс и Мактаггарт воспользовались общепринятым судебным процессом и процедурой рассмотрения инициатив для исправления того, что они считали неправильным. Их успех говорит о способности демократического общества, когда оно работает должным образом, подстраиваться к изменяющимся потребностям людей и корректировать законодательство страны в нужном направлении с меньшими потрясениями.

Интегрированный характер глобальной экономики и широкие последствия внедрения европейских правил защиты персональных данных заставляют даже страны вроде Китая ужесточать защиту данных. Другими словами, Европа — это не просто родина демократии и колыбель защиты неприкосновенности частной жизни. Вполне возможно, что это самый многообещающий источник надежды на защиту персональных данных в будущем.