Що таке зміни до Закону про електронні комунікації в 5 році ери Рейва (2023 рік)? Детальний опис регулювання щодо Cookie

У 2023 році (5 рік ери Рейва) планується введення змін до Японського закону про телекомунікаційний бізнес. Враховуючи зміни у сфері телекомунікаційного бізнесу, ці зміни спрямовані на забезпечення гладкого надання послуг та захисту користувачів, і включають різноманітні зміни правил. Особливо важливим є регулювання, що стосуються Cookie.

На сьогоднішній день онлайн-сервіси, які використовують Cookie, дуже різноманітні, і зміни до Японського закону про телекомунікаційний бізнес можуть вплинути на їхнє управління. Це стає предметом інтересу для багатьох компаній. Також очікується значна зміна в маркетингу в Інтернеті.

У цій статті ми розглянемо Японський закон про телекомунікаційний бізнес, який було змінено у червні 2022 року і який планується ввести до 17 червня 2023 року, а також відповідні правила виконання цього закону. Ми також детально розглянемо регулювання щодо Cookie, яке привертає особливу увагу.

Основні положення змін до Закону про електрокомунікаційний бізнес

Закон про електрокомунікаційний бізнес – це закон, який регулює діяльність в галузі електрокомунікацій з огляду на їх громадський характер, сприяє справедливій конкуренції між операторами та захищає інтереси користувачів (стаття 1 Закону про електрокомунікаційний бізнес). Щоб сказати простіше, його мета – забезпечити надійне надання послуг електрокомунікацій, таких як Інтернет та мобільний зв’язок, та захистити інтереси користувачів та зручність громадян.

Діяльність, яка відноситься до операторів електрокомунікацій, включає надання інфраструктури інформаційних та комунікаційних послуг, таких як телефонія та Інтернет. У цьому випадку зміни включають розширення сфери дії для операторів та такі зміни:

• Перетворення послуг зв’язку на універсальні послуги, подібні до електроенергії, газу та водопостачання
• Включення пошукових систем та соціальних мереж до об’єктів реєстрації
• Створення справедливої конкуренції між великими мобільними операторами та операторами з дешевими SIM-картами

Після 2020 року робота на відстані, веб-конференції, дистанційна освіта та інші стали широко поширеними. Інтернет вже можна вважати інфраструктурою, доступною для всіх, а не послугою, яку обирає окрема особа, подібно до електроенергії або газу. У цих змінах було створено систему субсидій, щоб забезпечити стабільне надання послуг навіть в регіонах, де інтернет-провайдери не можуть отримати прибуток.

Сфера дії “операторів електрокомунікацій” також змінилася. Великі пошукові сервіси та соціальні мережі, які раніше не були включені, тепер також підпадають під регулювання. Тобто, якщо ви перевищуєте певний розмір, як Google або соціальні мережі, такі як Twitter та Instagram, ви повинні зареєструватися як оператор електрокомунікацій.

Нижче наведені умови для операторів, які тепер підлягають реєстрації.

1. Пошукові послуги електрокомунікацій (наприклад, Google): кількість користувачів перевищує 10 мільйонів, а пошуковий сервіс є універсальним
2. Послуги електрокомунікацій, єквівалентні посередництву (наприклад, Twitter): кількість користувачів перевищує 10 мільйонів, а основною є реальне посередництво між невизначеними користувачами

Також було чітко вказано, що для забезпечення справедливої конкуренції між трьома великими мобільними операторами та іншими MVNO, необхідно встановити обов’язок вказувати метод розрахунку тарифів.

Що таке “спеціальна інформація користувача”, що була недавно створена

Згідно з Правилами виконання Закону Японії про телекомунікаційний бізнес (Japanese Telecommunications Business Law Enforcement Regulations), було створено нове поняття “спеціальна інформація користувача”. Регулювання стосується телекомунікаційних операторів, які надають телекомунікаційні послуги, що мають значний вплив на інтереси користувачів. Конкретно, регулювання стосується операторів, кількість активних користувачів яких щомісяця становить 10 мільйонів для безкоштовних послуг та 5 мільйонів для платних послуг. Прикладами можуть бути оператори фіксованого телефону, мобільного телефону, інтернет-провайдери, а також пошукові сервіси, такі як Google, та соціальні мережі, такі як Twitter.

“Спеціальна інформація користувача” включає в себе секрети комунікації, такі як електронні листи та записи телефонних розмов, ідентифікаційні дані користувача, такі як ID користувача та номери, та іншу інформацію, яка дозволяє ідентифікувати користувача (Правила виконання Закону Японії про телекомунікаційний бізнес[ja] статті 2-2, 22-2-21). Інформація, збережена в cookie, також входить до цієї спеціальної інформації користувача. Оператори мають наступні обов’язки щодо обробки цієї інформації (ті ж Правила, стаття 22-2-22):

1. Розробка та подання правил обробки
2. Розробка та публікація політики обробки
3. Самооцінка стану обробки щорічно та відображення її в правилах та політиці обробки
4. Призначення та подання керівника з усебічним контролем в зазначений час
5. Повідомлення про витоки

Оператори, які обробляють спеціальну інформацію користувача, мають обов’язок розробити та опублікувати свою політику обробки. Вони також повинні проводити самооцінку технологічних тенденцій та ризиків кібератак, та вносити необхідні зміни в свою політику.

Крім того, було встановлено обов’язок призначити керівника з усебічним контролем, який має досвід роботи не менше трьох років, та негайно повідомити Міністра внутрішніх справ та комунікацій у випадку витоку інформації більше ніж 1,000 користувачів.

Крім того, створення зовнішніх правил відправки, так званих правил регулювання cookie, є, мабуть, найбільш важливим пунктом цієї ревізії. Далі ми пояснимо це детальніше.

Регулювання щодо Cookie, яке було чітко визначено

Що таке Cookie? Його переваги та проблеми

Cookie – це механізм, який зберігає інформацію про користувача, який відвідав сайт, у браузері. Детальніше кажучи, це файл, який веб-сервер зберігає на пристрої користувача (ПК, смартфон, планшет тощо), коли він отримує доступ до веб-сервера. Веб-сервер може звертатися до Cookie, збереженого на пристрої користувача, коли він отримує доступ від користувача.

Завдяки цьому, коли користувач повторно відвідує сайт веб-служби, яку він вже використовував, система може розпізнати, що цей користувач вже відвідував сайт раніше. Наприклад, коли ви робите покупки на сайті електронної комерції, ви, напевно, знаєте ситуацію, коли “ви додаєте товар, який вам сподобався, до кошика, переглядаєте інші товари, а потім знову дивитеся кошик і бачите, що товар, який ви додали раніше, все ще там”. Насправді, цей механізм використовує Cookie.

Cookie, простими словами, – це дані, які агрегують широкий спектр інформації про користувача, такої як ID для ідентифікації користувача, дата та кількість відвідувань сайту. Завдяки Cookie, які можуть ідентифікувати користувача, можна надати найкращу інформацію, коли користувач відвідує сайт вдруге або більше разів.

Використовуючи Cookie, можна також збирати особисту інформацію користувача без його відома. Збираючи інформацію про те, який користувач, з якого пристрою і на який веб-сайт отримує доступ, можна аналізувати інтереси та вподобання користувача.

Однак, більшість користувачів не можуть знати, коли і які дані записує Cookie, і які дані він передає серверу. Дані Cookie можуть використовуватися компаніями-третіми особами для бізнес-цілей без відома користувача. Тому, з точки зору порушення приватності, згідно зі змінами до Закону про захист особистих даних в квітні 2022 року (2022 рік за Григоріанським календарем), Cookie визначено як “інформація, пов’язана з особою”.

До цього часу багато операторів веб-сайтів використовували Cookie для отримання інформації про користувачів та проведення більш точного та ефективного маркетингового підходу. Однак, у багатьох країнах, починаючи з ЄС, порушення приватності за допомогою Cookie стало проблемою, і були вжиті заходи. Ви, напевно, помітили, що при перегляді веб-сайтів в ЄС ви часто бачите повідомлення, яке просить вас погодитися на використання Cookie.

Першосторонні та третьосторонні Cookie

Cookie можна умовно поділити на два типи: першосторонні та третьосторонні.

Першосторонні Cookie – це Cookie, які випускаються безпосередньо з домену веб-сайту, який відвідує користувач. Тобто, це Cookie, для яких “домен, що випускає Cookie” = “домен відвідуваного веб-сайту”. Першосторонній (first party) означає “учасник”. Ці Cookie називаються першосторонніми, оскільки обмін Cookie відбувається між сервером веб-сайту, який відвідує користувач, та пристроєм користувача.

З іншого боку, третьосторонні Cookie – це Cookie, які випускаються сервером, що не є веб-сайтом, який відвідує користувач (третьою стороною). Ці Cookie називаються третьосторонніми, оскільки обмін даними за допомогою Cookie не обмежується взаємодією між сервером відвідуваного веб-сайту та пристроєм користувача, а включає взаємодію з іншими серверами.

Основним об’єктом регулювання Cookie в рамках змін до Закону України “Про телекомунікації” є використання третьосторонніх Cookie.

Третьосторонні Cookie дозволяють отримувати інформацію про історію перегляду користувача на декількох доменах. Якщо можна отримати історію перегляду певного пристрою, то можна профілювати інтереси користувача цього пристрою. Це може викликати тривогу у користувача, якщо його вподобання профілюються без його відома та використовуються для реклами, і це може породити проблеми з точки зору приватності. Багато людей, напевно, зіткнулися з ситуацією, коли їм все частіше показують рекламу сайтів, які вони відвідували раніше, або рекламу пов’язаних товарів.

В Україні до цього часу не існувало юридичних норм, які б безпосередньо регулювали використання Cookie. У дослідницькому звіті “Економічний ефект та захист користувачів від реклами, спрямованої на поведінку”, опублікованому Міністерством інформаційної політики України у березні 2010 року, вказується, що бажано, щоб компанії, які використовують рекламу, спрямовану на поведінку, явно вказували про це та отримували попередню згоду. Однак, як і випливає зі слова “бажано”, не було жодних чітких юридичних обов’язків.

Ці зміни до Закону України “Про телекомунікації” виходять за рамки “бажаного” і чітко стверджують, що “повинні”, тому вони можуть бути розглянуті як спроба встановити нові юридичні норми, які безпосередньо регулюють використання Cookie.

Зміст регулювання щодо Cookie

Стаття 27-12 Закону Японії про телекомунікаційний бізнес (змінена) встановлює, що “при наданні телекомунікаційних послуг користувачам, коли планується виконати команду передачі інформації, яка робить телекомунікаційне обладнання цього користувача місцем призначення, відповідно до положень, встановлених Міністерством внутрішніх справ та комунікацій, заздалегідь повідомляти користувача про зміст інформації, що стосується цього користувача, яка буде передана за допомогою функції передачі інформації, яку активує ця команда передачі інформації, про телекомунікаційне обладнання, яке стане місцем призначення цієї інформації, та інші питання, встановлені Міністерством внутрішніх справ та комунікацій, або забезпечувати, щоб користувач міг легко отримати цю інформацію.”

Це трохи складний текст, але якщо його узагальнити, то:

• При наданні телекомунікаційних послуг (тобто онлайн-сервісів) користувачам
• Коли планується виконати команду передачі інформації, яка робить телекомунікаційне обладнання користувача (комп’ютер або смартфон) місцем призначення

Необхідно повідомити користувача про визначені питання або забезпечити, щоб користувач міг легко отримати цю інформацію.

Але що конкретно означає “визначені питання”, які повинні бути повідомлені користувачу?

Згідно зі статтею 27-12 Закону Японії про телекомунікаційний бізнес (змінена) та статтею 22-2-29 Правил виконання Закону Японії про телекомунікаційний бізнес (змінена), коли планується виконати таку команду передачі інформації, необхідно повідомити користувача про наступні питання або забезпечити, щоб користувач міг легко отримати цю інформацію:

• Зміст “інформації, що стосується користувача”, яку планується передати
• Ім’я/назва особи, яка обробляє “інформацію, що стосується користувача”, за допомогою сервера призначення
• Мета використання “інформації, що стосується користувача”, яку планується передати

Отже, при використанні Cookie, які підпадають під регулювання щодо Cookie, необхідно впровадити механізм повідомлення користувача про інформацію, яку збирає Cookie, про місце призначення, про мету використання та іншу інформацію, або, наприклад, опублікувати політику щодо Cookie, щоб користувач міг легко отримати цю інформацію.

Чотири винятки з регулювання щодо Cookie

Згідно з пунктом 12 статті 27 Закону про електронний зв’язок (японський Закон про електронний зв’язок), в чотирьох наступних випадках не потрібно повідомляти користувача про визначені питання або забезпечувати, щоб користувач міг легко дізнатися про них:

Перше. Інформація, яка необхідна для коректного відображення символів, звуків або зображень, які передаються в рамках даного електронного зв’язку, на екрані обладнання користувача, або інша інформація, яку користувач повинен передати при використанні електронного зв’язку, як визначено в наказі Міністерства внутрішніх справ і комунікацій.

Згідно з пунктом 30 статті 22-2 Правил виконання Закону про електронний зв’язок, це стосується наступного:

• Інформація, яка дійсно необхідна для надання послуг
• Інформація, необхідна для повторного відображення інформації, введеної користувачем під час використання послуг (включаючи дані для автентифікації)
• Інформація, необхідна для виявлення та зменшення шкоди від незаконних дій
• Інформація, необхідна для належного управління сервером

Друге. Ідентифікаційний код, який оператор електронного зв’язку або особа, яка здійснює діяльність за третім номером, передає на обладнання користувача при наданні електронного зв’язку користувачу, і який передається на обладнання оператора електронного зв’язку або особи, яка здійснює діяльність за третім номером, за допомогою функції передачі інформації, яку активує команда на передачу інформації.

Це трохи складно, але це передбачає “випадок, коли ID, який ми передали на пристрій користувача, передається на наш сервер”. Тобто, випадки з використанням першої сторони Cookie є винятком, і лише Cookie третьої сторони підпадають під регулювання.

Третє. Інформація, на передачу якої на обладнання користувача користувач погодився.

Це пояснює часто зустрічаєму фразу “Ви погоджуєтеся з використанням Cookie?”. Для користувачів, які погодилися, це повідомлення та інші не потрібні.

Четверте. Інформація, на яку не поширюється застосування заходів, визначених користувачем, якщо команда на передачу інформації відповідає наступним вимогам.

Це означає, що вживаються так звані заходи відмови від підписки, і користувач може в будь-який час відмовитися від збору та використання інформації Cookie.

Підсумок: Рекомендуємо звертатися до фахівців для вжиття заходів щодо змін в Законі про електрозв’язок

Через стрімкий розвиток онлайн-сервісів, в цій галузі дуже часто вносяться зміни до законодавства. Через інтенсивні зміни, література є обмеженою, і зрозуміти та відреагувати на найновішу інформацію може бути непросто.

Ми рекомендуємо вживати заходів щодо Закону про електрозв’язок та пов’язаних з ним правил, отримуючи поради від фахівців.

Інформація про заходи, що вживаються нашим бюро

Юридичне бюро “Моноліт” – це юридична фірма з багатим досвідом у сфері ІТ, особливо в інтернеті та праві. Змінений Японський закон про телекомунікаційний бізнес складний у своїх положеннях і його важко зрозуміти без спеціаліста. Для законного ведення бізнесу необхідна юридична перевірка, тому будь ласка, зверніться до нас для консультації. Деталі наведено в статті нижче.

Сфери діяльності юридичного бюро “Моноліт”: Юридичні питання ІТ-стартапів та корпорацій[ja]