Европейский подход к «технологическому суверенитету»

За последние несколько лет Европейский союз неоднократно выражал свою обеспокоенность растущим влиянием неевропейских IT-компаний, контроль над которыми затруднён не только ввиду их подотчетности законодательству других стран, но и внутренних характеристик самого киберпространства, среди которых следует отметить взаимосвязанность и трансграничность. Эта обеспокоенность подкрепляется двумя факторами: во-первых, высокая конкурентоспособность неевропейских компаний, которым сложно составить альтернативу на технологическом рынке; во-вторых, вероятность преднамеренного встраивания уязвимостей и дефектов с целью получения несанкционированного доступа к персональной информации или оборудованию.

Подход Европейского союза к утверждению своего «технологического суверенитета» в собственно европейском дискурсе позиционируется как отличный от подхода таких стран, как США, Китай и Россия. Урсула фон дер Ляйен в своей программе говорит о «европейском пути» в сфере IT, который предполагает следование этическим стандартам, а также стандартам безопасности и защищённости личных данных. Высказываются мнения о том, что подход ЕС должен определяться демократическими ценностями в противовес авторитарной модели КНР и монополистической модели США. Таким образом, ЕС позиционирует свой подход как отдельную модель, чьей первоочередной задачей является нахождение баланса между демократическими ценностями и свободами и технологическим развитием. Более того, Урсула фон дер Ляйен говорит о том, что Европейский союз будет стремиться к тому, чтобы выработать такие стандарты нового поколения технологий, которые станут «глобальной нормой». Можно сделать вывод о том, что ЕС стремится стать лидером в выработке норм и стандартов в сфере технологий, оберегая тем самым свой «технологический суверенитет».

Меры, реализуемые в рамках европейской модели «технологического суверенитета», можно разбить на следующие направления: нормативный вектор (в котором Евросоюз стремится стать глобальным лидером), финансирование предприятий и инициатив по разработке новых продуктов и технологий, а также вектор кибербезопасности. Во всех трех направлениях отдельно акцентируется роль индивидуального пользователя и важность защиты его прав и интересов, что, согласно видению самого ЕС, и отличает его модель от китайского и американского вариантов. В качестве заключения можно сказать, что в вышеупомянутых моделях взаимодействия государства с IT-сферой цель по утверждению собственного «технологического суверенитета» не имеет существенных различий. Однако методы, которыми достигается данная цель, варьируются как по степени вовлеченности государства или группы государств, так и по направленности деятельности. Европейский союз стремится найти баланс между необходимостью обеспечения безопасности информации на своей территории и требованиями тесной взаимосвязанности для нормального функционирования всего киберпространства, однако на данный момент трудно сказать, насколько реализуемые меры эффективны именно в сфере защиты государственных интересов от внешних угроз.

За последние несколько лет Европейский союз неоднократно выражал свою обеспокоенность растущим влиянием неевропейских IT-компаний, контроль над которыми затруднён не только ввиду их подотчетности законодательству других стран, но и внутренних характеристик самого киберпространства, среди которых следует отметить взаимосвязанность и трансграничность. Эта обеспокоенность подкрепляется двумя факторами: во-первых, высокая конкурентоспособность неевропейских компаний, которым сложно составить альтернативу на технологическом рынке; во-вторых, вероятность преднамеренного встраивания уязвимостей и дефектов с целью получения несанкционированного доступа к персональной информации или оборудованию. Например, в 2019 г. Европейский парламент принял резолюцию, в которой были высказаны опасения по поводу вероятности того, что в оборудовании 5G, произведенном в Китае, могут быть предусмотрены различные уязвимости. Отставание ЕС от США и Китая по отдельным направлениям развития ИКТ [1], обеспокоенность монополией технологических гигантов и вопросами обеспечения безопасности закономерно привело к повышению внимания к проблеме утверждения собственного «цифрового»/«технологического» суверенитета. О такой необходимости отдельно отметила Урсула фон дер Ляйен, председатель Европейской комиссии, в документе Political Guidelines for the next European Commission 2019–2024. О необходимости «установления цифрового суверенитета как лейтмотива европейской цифровой политики» также высказывалась и германская сторона в своей программе председательства в Совете ЕС от июля 2020 г.

Анастасия Толстухина:
Бизнес и государство — вместе в светлый «кибермир»?

Стоит отметить отсутствие единого подхода к терминологии в данной сфере. Тогда как Германия использует концепт «цифровой суверенитет», Европейский союз ограничивается использованием таких терминов как «технологический суверенитет» и «стратегическая автономия». Согласно немецким источникам, идея о «стратегической автономии» появилась в рамках обсуждения вопросов безопасности и обороны после событий 2013 г., связанных с разоблачениями Э. Сноудена, а потому имеет узкоспециализированное применение. «Технологический суверенитет», в свою очередь, представляется более близким по своему характеру к «цифровому». Он предусматривает по большей части развитие собственных технологий и инфраструктуры и содействие конкуренции. По версии немецкой стороны, «цифровой суверенитет», уделяющий больше внимания индивидуальному суверенитету пользователей, является наиболее широким понятием и включает в себя как «технологический суверенитет», так и «стратегическую автономию». Несмотря на использование более узкого термина, Европейский союз не пренебрегает защитой прав индивидуальных пользователей. Возможно, предпочтение таких терминов обуславливается стремлением сохранить ясность документов и избежать употребления пересекающихся концептов. Также, возможно, что причиной этому являются те же опасения, которые сдерживают Германию от употребления термина «цифровой суверенитет» на многосторонних форумах: согласно докладу Digital sovereignty: a new key concept of digital policy in Germany and Europe, ФРГ опасается возможности того, что авторитарные правительства могут использовать немецкий дискурс в данной сфере для реализации мероприятий по контролю над собственными гражданами и ограничению гражданских прав и свобод, что может стать ударом по позициям Германии с точки зрения престижа (тем не менее вопрос об оправданности этих опасений остаётся открытым). Так или иначе, различия в терминологии на национальном и наднациональном уровнях не являются значительным препятствием для реализации конкретных инициатив на данном этапе, в связи с чем для удобства в данной статье будет использоваться термин «технологический суверенитет», принятый на уровне Евросоюза.

Подход Европейского союза к утверждению своего «технологического суверенитета» в собственно европейском дискурсе позиционируется как отличный от подхода таких стран, как США, Китай и Россия. Урсула фон дер Ляйен в своей программе говорит о «европейском пути» в сфере IT, который предполагает следование этическим стандартам, а также стандартам безопасности и защищённости личных данных. Высказываются мнения о том, что подход ЕС должен определяться демократическими ценностями в противовес авторитарной модели КНР и монополистической модели США. Подобному видению соответствует и определение «технологического суверенитета», данное председателем Европейской комиссии: «это способность, которой должна обладать Европа, чтобы делать выбор на основе собственных ценностей и в соответствии с собственными правилами». Таким образом, ЕС позиционирует свой подход как отдельную модель, чьей первоочередной задачей является нахождение баланса между демократическими ценностями и свободами и технологическим развитием.

Общий регламент по защите данных 2016 г., вступивший в силу в 2018 г., подтверждает такие намерения. Регламент разрабатывался с целью наделения индивидуальных пользователей возможностями регулировать параметры передачи личных данных. Так, для обработки информации, получаемой от пользователя, необходимо получить его согласие на хранение и использование данной информации (кроме случаев, описанных отдельно, таковыми являются, например, наличие контракта с лицом, передающим данные, хранение данных ради обеспечения жизненно важных интересов и т.д.). Также, согласно документу, пользователь получает право отозвать своё согласие на обработку и хранение данных в любой момент и получить доступ к своим персональным данным, сделать запрос на их редактирование и инициировать их удаление. Спорным вопросом на данном этапе является вопрос применимости положений Регламента (в особенности так называемого права на забвение) за пределами ЕС. Так, в 2019 г. произошёл спор между французским агентством по защите данных и Google, в связи с чем Суд Европейского союза вынес заключение о том, что «право на забвение» должно реализовываться в европейских поисковых системах, при этом запрет на глобальное «право на забвение» не подразумевается, что даёт возможность национальным правительствам настаивать на применении этого права за пределами ЕС.

Алексей Чихачев:
Франция: киберреспублика на марше

Принятие Регламента представляет собой серьёзный шаг, однако меры, реализуемые в рамках европейской модели «технологического суверенитета», не ограничиваются сугубо нормативной деятельностью. Инвестирование и финансирование также занимает важное место и осуществляется в рамках программ Horizon. До 2020 г. действовала программа Horizon 2020 с бюджетом 80 млрд евро. Новая программа на период с 2021 по 2027 гг. носит название Horizon Europe и находится на стадии утверждения, предлагаемый бюджет — 100 млрд евро. В рамках программы Horizon 2020, например, была запущена инициатива 5G PPP (The 5G Infrastructure Public Private Partnership), которая направлена на стимулирование разработки стандартов 5G и «обеспечения европейского лидерства в тех областях, в которых у неё есть преимущество или в которых есть потенциал для создания новых рынков».

Европейский союз также проявляет активность и в сфере кибербезопасности [2]. Так, в 2018 г. был принят Европейский акт по вопросам кибербезопасности (European Cybersecurity Act), в рамках которого европейское агентство ENISA (European Union Agency for Network and Information Security) было уполномочено запустить и впоследствии поддерживать европейскую систему сертификации цифровых продуктов, услуг и процессов, которая унифицировала разрозненные системы сертификации, существовавшие на территории ЕС. Также Агентство наделялось обязательством по увеличению уровня взаимодействия государств-членов ЕС и осуществлению поддержки в случае киберинцидентов. Также стоит отметить стремление Европейского союза реализовать принцип «безопасность и конфиденциальность по умолчанию» (security and privacy by design), что предусматривает ответственность производителя за свой продукт на протяжении всего производственной цепочки: от разработки до использования конечным пользователем.

Павел Карасев:
Кибервойска Европы и НАТО

Интересным в данном контексте является предложение «Шенгенской маршрутизации», которая означает практику маршрутизации трафика таким образом, чтобы он не покидал пределы стран — членов Шенгенской зоны. Предложение было выдвинуто крупным немецким провайдером Deutsche Telekom на фоне разоблачений Э. Сноудена. Однако, согласно проведённому в 2015 г. анализу, уровень соответствия стран шенгенской зоны концепту «шенгенской маршрутизации» варьируется от 34% до 39%. Более того, данный проект мог бы предоставить возможности национальным правительствам по контролю над большим объёмом информации, а также создал бы препятствия для свободного трансграничного движения услуг, не предоставив при этом гарантий от вмешательства третьих стран.

Безусловно, предложенные примеры мер не охватывают весь спектр инициатив Европейского союза по утверждению своего «технологического суверенитета», однако они иллюстрируют основные направления его деятельности: нормативный вектор, в котором ЕС стремится стать глобальным лидером, финансирование предприятий и инициатив по разработке новых продуктов и технологий, а также вектор кибербезопасности. Во всех трех направлениях отдельно акцентируется роль индивидуального пользователя и важность защиты его прав и интересов, что, согласно видению самого ЕС, и отличает его модель от китайского и американского вариантов. В качестве заключения можно сказать, что в вышеупомянутых моделях взаимодействия государства с IT-сферой цель по утверждению собственного «технологического суверенитета» не имеет существенных различий. Однако методы, которыми достигается данная цель, варьируются как по степени вовлеченности государства или группы государств, так и по направленности деятельности. Европейский союз стремится найти баланс между необходимостью обеспечения безопасности информации на своей территории и требованиями тесной взаимосвязанности для нормального функционирования всего киберпространства, однако на данный момент трудно сказать, насколько реализуемые меры эффективны именно в сфере защиты государственных интересов от внешних угроз.

1. Так, несмотря на то что доля европейских компаний в данной сфере составляет 20%, Европа отстаёт от США по такому параметру как внедрение технологий, особенно в сфере интернета вещей (IoT). Также наблюдается отставание по некоторым параметрам развития технологий искусственного интеллекта: финансирование и внедрение технологий, количество суперкомпьютеров и их производительность.

2. В Российской Федерации принято говорить об «информационной безопасности» (охватывает безопасность информации в целом и на любых носителях), тогда как западные страны отдают предпочтение более узкому термину «кибербезопасность» (безопасность данных в компьютерных системах и безопасность самих этих систем). В связи с тем, что в статье рассматривается европейский подход, здесь и далее используется термин «кибербезопасность».