Проблема: Злочин без адреси
На практиці мають місце непоодинокі випадки порушення прав інтелектуальної власності та інших суміжних прав у мережі Інтернет. У зв’язку з цим виникають проблеми, пов’язані з можливістю ідентифікації особи-правопорушника через IP-адресу
Українське законодавство тільки недавно почало розвиватися у сфері захисту прав інтелектуальної власності та прав на захист персональних даних в Інтернеті, а правове врегулювання цього питання у Всесвітній мережі й до сьогодні залишає бажати кращого. Проблема можливості ідентифікації правопорушника через IP-адресу вже давно має глибокий відбиток на міжнародному рівні. (Court of Justice of the EU Judgment in case № 70/10 Scarlet vs. SABAM; Decision of German court in case № 133 C 5677/08; Judgment of England and Wales High Court (Administrative Court) in case № CO/7354/2010).
За своєю правовою природою IP-адреси мають потенційну можливість ідентифікувати особу. IP-адреса (інтернет-протокол) являє собою цифровий код, який призначається постачальником інтернет-послуг та ідентифікує персональний пристрій, наприклад комп’ютер, у мережі Інтернет. IP-адреси бувають статичні (завжди однакові) або динамічні (змінюються, коли користувач входить у систему).
Ключовим моментом є той факт, що постачальник послуг Інтернет, обробляючи IP-адреси, може ідентифікувати місто, в якому використовується комп’ютер, але не може встановити конкретну територіальну адресу в межах цього міста. До того ж IP-адреса ідентифікує передплатника інтернет-послуг, а не людину, яка використовує комп’ютер. Таким чином, IP-адреса може ідентифікувати інтернет-кафе або бізнес-структуру, але не обов’язково конкретного індивіда — користувача комп’ютером. Така ж позиція викладена у Кодексі сформованої практики Сполученого Королівства з питань використання персональних даних у середовищі Інтернет (Personal information online code of practice, July 2010, published by Informational Commissioner’s Office in UK). У положеннях Кодексу зазначено, що якщо неможливо визначити, чи збирається інформація про конкретну фізичну особу, в такому випадку на практиці потрібно розцінювати таку інформацію, як персональні дані.
Британський прецедент
Позиція Сполученого Королівства Великобританії та Північної Ірландії з цього питання розкривається через судовий прецедент: case № CO/7354/2010 British Telecommunications Plc & Anor, R vs. The Secretary of State for Business, Innovation and Skills, 20 April 2011. Вищим адміністративним судом Англії та Уельсу було розглянуто питання, чи обробляв інтернет-провайдер персональні дані як співвідношення IP-адреси, наданого власником авторських прав, з іменем користувача, електронною адресою та електронними листами. Надаючи відповідь, суд послався на висновок Європейської робочої групи із захисту даних і конфіденційності (Opinion 4/2007 № 01248/07/EN, WP 136 adopted on 20th June 2007 by European Working Party on Data Protection and Privacy), в якому вказано, що служби доступу до Інтернету і менеджери локальних мереж можуть ідентифікувати користувача, якому присвоєно IP-адресу, через аутентифікацію (перевірка відповідності введеного користувачем пароля до облікового запису пароля в базі даних), дату, час і тривалість використання IP-адреси (в тому числі й динамічної), а також через відомості, які зберігаються в електронному реєстраційному журналі доступу. У тих випадках, коли обробка IP-адреси здійснюється, наприклад, власником авторських прав з метою виявлення та притягнення до відповідальності користувачів комп’ютера, які порушують авторські права, правовласник припускає, що в нього достатньо правових можливостей для ідентифікації особи і для звернення до суду за захистом порушеного права. У таких випадках суд розглядає зібрану інформацію про користувача як його персональні дані в розумінні статті 2 (а) Директиви 95/46/ЄС Європейського парламенту і Ради Європейського Союзу від 24 жовтня 1995 року про захист прав приватних осіб стосовно обробки персональних даних та про вільний рух таких даних.
Рішення Вищого адміністративного суду визначило, що дані, які оброблялися інтернет-провайдером, мали відношення до особи, яка ідентифікована або могла бути ідентифікована, виходячи з того, що інформація (логін і пароль) про особу, яка здійснила авторизацію, співвідносилася з відомостями про порушення авторських прав та інформацією про динамічну IP-адресу користувача. Таким чином, суд дійшов висновку, що інформація, яка опрацьовувалася, була нічим іншим як персональними даними правопорушника.
На підставі вищевказаного Управління уповноваженого з інформації Сполученого Королівства Великобританії і Північної Ірландії (Information Commissioner’s Office) зробило висновок, що IP-адреса сама по собі може бути персональними даними особи лише в тому випадку, коли така особа є єдиним користувачем комп’ютера.
Правила та винятки
Важливою є і позиція Суду Європейського Союзу в справі Scarlet Extended SA (Scarlet) vs. Societe belge des auteurs, compositeurs et editeurs (SABAM), Case C-70/10. У своєму рішенні суд вказав, що для обробки P2P (peer to peer) файлів бельгійському постачальнику інтернет-послуг не потрібно було отримувати дозволи від уповноваженого органу згідно із законодавством ЄС. Суд також постановив, що будь-які національні заходи для захисту авторських прав мають встановлювати справедливий баланс між захистом авторських прав та захистом основних прав громадян, які постраждали від таких заходів. Далі в цьому ж рішенні суд констатував, що IP-адреса є персональними даними. Таке судження ґрунтувалося на тому, що постачальнику послуг Інтернету необхідно було встановити систему обробки (фільтра) інформації. Ця система передбачала б систематичний аналіз всього вмісту, а так само збір та ідентифікацію IP-адреси користувача, через яку здійснюється неправомірне розміщення інформації в мережі. Суд відзначив, що такі IP-адреси мають захищатися як персональні дані, оскільки вони дають можливість точно ідентифікувати користувачів.
Федеральний суд Швейцарії (Federal Supreme Court decision issued in Lausanne on the 8th September 2010) постановив, що компанія Logistep, використовуючи програмне забезпечення, яке визначало IP-адреси, через які здійснювалися несанкціоновані завантаження аудіофайлів, порушила законодавство про захист персональних даних. Програмне забезпечення (File Sharing Monitor) компанії Logistep проводило пошук порушень авторських прав в P2P мережі і, коли знаходило такі порушення, одразу ж фіксувало IP-адресу користувача. Далі ця інформація передавалася власникам авторських прав, які могли використовувати її як основу при складанні позовних заяв. Однак суд вказав, що оброблювані компанією Logistep IP-адреси були персональними даними, і обробка таких адрес без повідомлення її власника та отримання дозволу порушують закон. При цьому суд зазначив, що економічний інтерес діяльності правовласників, спрямований на усунення неправомірного поширення матеріалів, не виправдовував вторгнення у приватне життя кожного постраждалого користувача.
Аналізуючи вищенаведене, треба зазначити, що позиції ґрунтуються на обставинах певних ситуацій. Виходячи з цього, до визначення IP-адреси як персональних даних фізичної особи варто ставиться обережно і критично.
Так, Єврокомісія 25 січня 2012 року надала проект Інструкції щодо захисту персональних даних (Regulation of the European Parliament and of the Council on protection of individuals with regard to the processing of personal data and on free movement of such data, Brussels, 25/1/2012 COM (2012), у пункті 24 якої вказано, що в інтернет-послугах інформація про фізичну особу може співвідноситися з мережевими ідентифікаторами, які надаються пристроями, додатками, інструментами та протоколами (IP-адреси). Виходячи з цього, ідентифікаційні номери, онлайн-ідентифікатори та інша пов’язана інформація, виходячи з обставин, не завжди може вважатися персональними даними.
Наприклад, можна звернутися до справи EMI Records (Ireland) Limited & Ors vs. Eircom Limited (2010) IEHC 108 від 16 квітня 2010 року, в якій IP-адреса розглядалася як персональні дані. Така позиція ґрунтувалася на тих обставинах, що компанія звукозапису збирала IP-адреси правопорушників і надавала їх з відомостями про правопорушення компанії Eircom для досудового та судового врегулювання спору. За матеріалами справи суд встановив, що ім’я та адреса власника IP-адреси не переходили у володіння компанії звукозапису, оскільки такі повноваження здійснювала компанія Eircom. Таким чином, суд дійшов висновку, що IP-адреса сама по собі не була «персональними даними» в руках компанії звукозапису.
Варто відзначити позицію Касаційного суду Франції у справі des auteurs, compositeurs et de musique (SACEM) et autres vs. Cyrille S., 13 janvier 2009, який постановив, що збір IP-адрес агентами суспільства SACEM не є автоматизованою обробкою персональних даних. Діяльність таких агентів де-юре регулювалася Актом захисту персональних даних (French Data Protection Act), в якому таким агентам від імені правовласників авторських прав було надано право на обробку інформації про порушення за попереднім дозволом від уповноваженого органу. Незважаючи на це, де-факто касаційний суд вказав, що дозволу від уповноваженого органу не вимагалося, оскільки такі агенти вручну зайшли в список файлів користувача, який їх завантажив на P2P мережу з порушенням авторських прав, що не було обробкою персональних даних. При цьому суд вказав, що такі IP-адреси не ідентифікували особу і не розцінювалися в такому випадку як персональні дані, а мали характер доказів, які подавалися до суду в справі про порушення авторських прав.
Таким чином, можна сказати, що, за загальним правилом, обробка (збір, реєстрація, накопичення, зберігання, використання, поширення тощо) IP-адрес з метою ідентифікації особи (наприклад, правовласниками авторських прав для притягнення правопорушника до відповідальності) має розцінюватися як обробка персональних даних у розумінні статті 2 (а) Директиви 95/46/ЄС і відповідно до статті 2 Закону України «Про захист персональних даних». Але, як показує міжнародна практика, із загального правила є винятки. В Україні на сьогодні немає однозначного положення з цього питання, що створює в національному законодавстві правовий «лімб».
