DMA: Последствия новых антимонопольных законов ЕС для безопасности
Закон о цифровых рынках против "привратников" - балансирующий акт
Несколько ведущих технологических гигантов доминируют на цифровых рынках по всему миру, затрудняя проникновение на рынок для малого бизнеса. Перед ЕС стоит сложная задача - ограничить их монополию и предоставить гражданам ЕС больше контроля над своими данными с помощью Закона о цифровых рынках (DMA), но есть одна загвоздка…
Что такое Закон о цифровых рынках?
Закон о цифровых рынках или DMA - это свод правил, разработанных Европейской комиссией. Он применяется к операторам цифрового бизнеса в Европейском союзе, которые отвечают критериям, позволяющим считать их привратниками. Цель этих правил - обеспечить более справедливую среду для предприятий, которые зависят от этих привратников, чтобы предлагать свои услуги на едином европейском рынке.
Проще говоря: Крупные технологические компании, считающиеся привратниками, должны открыть свои платформы для более мелких конкурентов в целях обеспечения более справедливой конкуренции.
Новое законодательство призвано дать возможность технологическим стартапам конкурировать и внедрять инновации в среде онлайн-платформ без необходимости соблюдать несправедливые условия, навязанные платформами, которые могут ограничить их развитие или уменьшить их шансы представить свои продукты потребителям. Слишком большая власть в руках немногих избранных может подавить инновации и ограничить честную конкуренцию.
В то же время, Комиссия уверена, что новые меры приведут к тому, что потребители получат больше возможностей для выбора, прямой доступ к услугам, более справедливые цены и больше возможностей для смены поставщика, если они решат это сделать, в результате более здоровой конкурентной среды.
Комиссия стремится достичь этой цели, позволяя привратникам сохранить все имеющиеся у них возможности для внедрения инноваций и предложения новых услуг. Однако им больше не будет позволено использовать недобросовестную практику в своих интересах, ни по отношению к бизнес-пользователям, ни по отношению к клиентам, которые от них зависят. И хотя нынешняя фрагментация нормативно-правового регулирования в ЕС часто означает увеличение затрат на соблюдение требований для платформ, которые работают в трансграничном режиме, новое единое законодательство поможет решить и эту проблему и обеспечит большую правовую определенность для “привратников”.
Что такое Закон о цифровых услугах?
Новый Закон о цифровых услугах (DSA) представляет собой единый свод правил, действующих на всей территории ЕС, с механизмами, позволяющими Европейской комиссии и государствам-членам координировать свои действия. Его основная цель - борьба с незаконными товарами, контентом или услугами, распространяемыми в Интернете. Он включает в себя:
- Меры, позволяющие пользователям отмечать такой контент, а платформам - сотрудничать с “доверенными флагами”.
- Новые обязательства по отслеживанию бизнес-пользователей на онлайн-рынках
- Эффективные гарантии для пользователей, включая возможность оспаривать решения платформ по модерации контента
- Обязательства для очень крупных платформ, которые охватывают более 10% населения ЕС, по предотвращению злоупотреблений их системами
- Улучшение доступности платформ для людей с ограниченными возможностями
- Запрет на целевую рекламу для детей (или основанную на особых характеристиках пользователей) на онлайн-платформах
- Меры по обеспечению прозрачности онлайн-платформ, включая прозрачность онлайн-рекламы для пользователей и прозрачность алгоритмов, используемых для рекомендаций. Кроме того, органы власти и исследователи получат доступ к данным о ключевых платформах, чтобы тщательно изучить их работу.
- Структура надзора, соответствующая сложности онлайн-пространства. Государства-члены будут играть основную роль при поддержке нового Европейского совета по цифровым услугам; в отношении очень крупных платформ надзор и правоприменение будут осуществляться Комиссией.
- Малые и микропредприятия освобождаются от наиболее дорогостоящих обязательств, но могут свободно применять лучшие практики для обеспечения своих конкурентных преимуществ.
- Платформы и другие посредники не несут ответственности за незаконное поведение пользователей, если только они не знают о незаконных действиях и не устраняют их.
Кто может считаться привратником?
DMA определяет в качестве привратника крупную онлайн-платформу с сильной экономической позицией, значительным влиянием на внутренний рынок и активностью в нескольких странах ЕС (независимо от того, базируется ли она в ЕС или нет), которая связывает большую базу пользователей с большим количеством предприятий. Кроме того, такая платформа квалифицируется как гейткипер только в том случае, если она также стабильна во времени, то есть соответствует предыдущим критериям в каждом из трех последних финансовых лет.
Очевидно, что этим критериям будет соответствовать лишь небольшое количество крупных технологических платформ, оказывающих непропорционально большое влияние на рынок.
Такие компании, как Google / Alphabet Inc, Apple, Microsoft, Amazon и Meta, будут квалифицироваться в качестве привратников.
Например, в соответствии с DMA Amazon должен будет прекратить отдавать предпочтение собственным продуктам перед продуктами независимых поставщиков, которые размещает его платформа, а Google больше не будет иметь права собирать данные с таких сервисов, как Maps и YouTube, и объединять их с данными Google Search без явного согласия пользователей.
Каков текущий статус DMA?
DMA вступит в силу в мае 2023 года. Затем, в течение следующих 4 месяцев, компании, предоставляющие услуги основной платформы, уточнят у Комиссии, соответствуют ли они критериям привратников, а у тех, кто соответствует критериям, будет еще 6 месяцев с момента получения решения, чтобы обеспечить соблюдение обязательств, изложенных в DMA. Стремясь найти правильный баланс между конкурирующими потребностями, Комиссия организует технические семинары, чтобы узнать мнение заинтересованных сторон о соответствии привратников требованиям.
Если привратники не будут соблюдать новые правила по истечении разрешенных 6 месяцев, на них будет наложен штраф в размере до 10% от их общего мирового годового оборота или, в случае повторных нарушений, до 20%, а также они могут периодически выплачивать штрафы в размере до 5% от среднедневного оборота. Кроме того, в случаях систематических нарушений, после проведения рыночного расследования, в каждом конкретном случае на привратников могут быть наложены и другие меры воздействия, включая структурные меры воздействия, такие как отчуждение (части) бизнеса.
Текст, предварительно согласованный участниками переговоров Европейского парламента и Совета, направлен на крупные компании, предоставляющие так называемые “услуги основной платформы”, наиболее подверженные недобросовестной деловой практике, такие как социальные сети, мессенджеры, браузеры или поисковые системы, с рыночной капитализацией не менее 75 млрд евро или европейским оборотом в размере 7,5 млрд евро за последние три года или основной платформой, насчитывающей 45 млн европейских пользователей.
Что новые правила означают для привратников?
Привратники должны будут
- разрешать третьим сторонам взаимодействовать с собственными сервисами привратника “в определенных ситуациях”
- разрешить своим бизнес-пользователям доступ к данным об использовании, которые они генерировали на платформе
- позволить рекламодателям и издателям на своей платформе осуществлять больший контроль над собственным контентом
- позволяют своим бизнес-пользователям продвигать свои предложения и заключать контракты с клиентами за пределами платформы гейткипера.
В то же время привратникам больше не будет позволено отдавать предпочтение собственным продуктам и услугам перед теми, которые предлагают независимые продавцы, размещенные на их платформах, в плане ранжирования, или препятствовать пользователям удалять предустановленные приложения или программное обеспечение, или объединять данные своих различных подразделений, и, что наиболее важно с точки зрения конфиденциальности, им больше не будет позволено отслеживать конечных пользователей за пределами платформы привратника для целевой рекламы без их явного согласия.
Полный свод правил был опубликован в Официальном журнале Европейского союза и доступен на нескольких языках.
Каковы последствия для безопасности?
Хотя большинство предложенных нормативных актов - это отличная новость, есть две предложенные меры, которые вызывают обеспокоенность с точки зрения безопасности: требование к операционной совместимости в DMA и требования к прозрачности в DSA.
Пока неясно, кто квалифицируется как ключевая платформа в DSA - очень крупные платформы? - и какими данными они должны будут делиться. Что касается функциональной совместимости, то, несмотря на двусмысленность формулировки “в определенных ситуациях”, она означает, что приложения для обмена сообщениями, такие как WhatsApp и Facebook Messenger, должны быть совместимы с такими сервисами, как Signal, позволяя конечным пользователям обмениваться сообщениями, отправлять файлы или совершать звонки. Очевидно, что протоколы шифрования и политика конфиденциальности этих сервисов сильно отличаются друг от друга, поэтому многие задаются вопросом, не означает ли это ухудшение сквозного шифрования и Perfect Forward Secrecy, которыми до сих пор пользовались пользователи Signal, если они решили отправлять или получать межплатформенные сообщения или звонки. Созаконодатели согласились оценить в будущем обязательства по совместимости и для социальных сетей.
Другим непредвиденным последствием может стать принуждение магазинов приложений “привратников” ослабить проверку разработчиков, которым разрешено распространять свои приложения через эти платформы. Даже при наличии действующих стандартов, отчет Positive Technologies обнаружил уязвимости, классифицированные как “высокий риск”, в 38% приложений для iOS и 43% приложений для Android. Эти уязвимости представляют не только риск для конфиденциальности, но и делают пользователей более уязвимыми для злонамеренных хакеров, как частных, так и государственных.
Некоторые выражают опасения, что в случае принятия закона без должного рассмотрения, открытие цифровых платформ и принуждение к обмену данными может позволить “злонамеренным субъектам” “вести экономическую или, что еще хуже, военную кибервойну”. Для контекста следует отметить, что хотя цитируемый автор, профессор Бьорн Лундквист, является известным ученым в области конкурентного права, CEPA финансируется несколькими организациями, которые являются мишенью DMA: Amazon Web Services, Google и Microsoft. Но это не значит, что от этих опасений следует отмахнуться.
Многие риски безопасности возникают из-за определения “бизнес-пользователя” в законе, которое в настоящее время очень широкое и включает не только небольшие организации, пытающиеся развивать свой бизнес с помощью основных платформ, но и компании или даже правительства из недружественных юрисдикций, которые могут использовать правило доступа к данным для получения данных от привратников.
Худший сценарий того, как может быть использована текущая версия DMA, включает в себя принуждение Google поделиться европейскими поисковыми данными с конкурентами, такими как российский “Яндекс” или китайская Alibaba. Риски становятся еще выше, если учесть все данные, собираемые облачным сервисом Amazon или Alexa, а также автомобильными системами Apple и Android. Это почти как ужасная идея - разрешить любой компании собирать и хранить такое количество пользовательских данных…
Первым шагом для снижения этих рисков является более четкое определение того, кто может использовать правило доступа к данным, чтобы убедиться, что оно расширяет возможности только конечных пользователей и малых предприятий. В идеальном мире введение ограничений на тип данных, которые могут хранить привратники, также снизит риски безопасности, если злоумышленники получат доступ к этим данным.
DMA утверждает, что сквозное шифрование должно быть сохранено, но поиск технического решения для достижения совместимости без нарушения шифрования займет время (Meta объявила, что хочет соединить WhatsApp и Messenger в марте 2019 года, но пока не смогла этого сделать), и Комиссия должна скорректировать свои сроки соответствующим образом, чтобы убедиться, что все сделано правильно.
Кроме того, она должна обеспечить возможность для специалистов по защите прав пользователей выдвигать законные возражения против запросов о совместимости, которые могут поставить под угрозу безопасность пользователей, например, запросы от российских или китайских приложений для обмена сообщениями. Текущая версия закона предусматривает исключение по соображениям общественной безопасности, но очень важно обеспечить, чтобы это исключение могло применяться с необходимой скоростью и гибкостью.
Как советует Electronic Frontier Foundation, DMA должно прямо запретить любой службе обмена сообщениями, которая “нарушает обещание сквозного шифрования любым способом - в том числе сканируя сообщения в клиентском приложении или добавляя “призрачных” участников в чаты”, - требовать “совместимости”.
Текущая формулировка закона позволяет сторожам принимать “строго необходимые и пропорциональные” меры для сохранения безопасности. В рамках серии технических семинаров Комиссия стремится получить отзывы о текущем юридическом тексте. После того, как он будет доработан на техническом уровне и проверен юристами-лингвистами, его должны будут утвердить Парламент и Совет.
Надеюсь, что Комиссия найдет правильный баланс между противодействием просьбам цифровых воротил, которые просто хотят отсрочить или избежать регулирования, влияющего на их прибыль, и решением законных проблем безопасности.