Для хранителей персональных данных, таких как Microsoft и Ms. Lindqvist, Директива предъявляет три относительно жестких требования. Во-первых, они должны сообщить потребителям, почему они собирают личные данные и получить на это «однозначное» согласие. Во-вторых, данные должны использоваться только для целей, указанных при их сборе, и не перенаправляться на другие цели. Наконец, собранные данные должны иметь разумное отношение к целям, для которых они собираются. К этим основным требованиям Директива добавляет дополнительную защиту «специальной информации», а именно защиту «данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзе, данные о здоровье и сексуальной жизни и т. д». Именно это последнее положение доставило мисс Линдквист неприятности. Она открыла миру, что один из членов церкви повредил ногу и, следовательно, он будет некоторое время отсутствовать. Что касается данных, касающихся здоровья, то они охранялись законодательством ЕС, поэтому г-жа Линдквист была оштрафована.
Что делает закон Европейского Союза особенно спорным, так это его тотальный географический охват. Статья 4 Европейской директивы применяется не только к компаниям, созданным в Европе, но и к любой компании, которая использует «оборудование» или «средства» обработки данных, которые находятся в Европе, и применяются к любой компании, к которой может быть применено международное право. Это положение было истолковано европейскими официальными лицами очень расширительно и позволяло охватить деятельность практически любой компании, которая собирает информацию о европейских гражданах.
В соответствии с Директивой 1998 года Комиссия ЕС вызвала Microsoft и выразила обеспокоенность, тем, что Microsoft собирает больше данных, чем необходимо для целей своей программы. У Microsoft был выбор: она могла бы начать соответствовать юридическим требованиям ЕС или вообще выйти из европейского рынка, что сделало бы невозможным применение законов ЕС. Второй вариант был исключен: на европейский рынок приходится около трети всех продаж Microsoft. Решение было предрешено, и к январю 2003 года Microsoft и ЕС заключили соглашение. Microsoft приняла условия Европейская комиссия, что повлекло «радикальные» изменения в том, как dot-NET Passport управляет пользовательскими данными, включая контроль над процедурой передачи данных.
Гораздо интереснее было то, что Microsoft пошла дальше. Она решил внедрить свои изменения в dot-NET Passport не только для своих европейских операций, но и во всем мире. Независимо от того, находитесь ли вы в Майами, Окленде, Тимбукту или где-то посередине, при использовании Паспорта dot-NET вы используете продукт, созданный европейскими органами по защите конфиденциальности. Европейский Союз регулировал паспорт dot-NET от имени европейцев, но оказалось, что это было влияние на весь мир, по крайней мере, в отношении глобальных компаний, которые ведут бизнес в Европе.
Решение Microsoft подчиниться европейскому правилу отражает обычную, но важную для крупных компаний практику. В предыдущей главе мы видели, что решение Австралии по делу Гутника не оказало существенного влияния на бизнес издания Dow Jones, потому что Dow Jones может либо отфильтровывать своих австралийских читателей, либо вообще прекратить вести бизнес в Австралии. Это был реальный вариант для Dow Jones, потому что скрининг контента в этом контексте выполним, и потому что у него был относительно небольшой рынок в Австралии. Но ситуация Microsoft отличалась кардинально. У них был огромный рынок в Европе, от которого невозможно было отказаться, и система паспортов dot-NET предполагала смешивание данных пользователей из различных стран, что исключало фильтрацию по географическому местонахождению. В такой ситуации, когда большой и важный рынок налагает ограничительное правило, и где географическая дискриминация практически невозможна, ограничительное правило во многих случаях будет доминирующим правилом для всего мира.
Здесь нет ничего нового или необычного. Доминирование правила ЕС - это то, что Марк Ротенберг из Электронного информационного центра конфиденциальности называет «эффектом Калифорнии», применяемым в глобальном масштабе. Когда Калифорния установит новые стандарты выбросов для автомобилей, General Motors будет производить автомобили в соответствии с калифорнийским стандартом для всей территории США. Этот выбор объясняется тем, что создавать автомобили, изготовленные по индивидуальным заказам для Калифорнии, дороже, чем просто разработать один автомобиль для всей страны. Калифорния, как правило, больше заботится об окружающей среде, чем другие штаты, и по этой причине она устанавливает для всех стандарты в производстве автомобилей. Европа больше заботится о конфиденциальности, чем другие регионы, и поэтому она является законодателем моды в стандартах конфиденциальности. Но если бы Саудовская Аравия, Мексика или Россия ввели стандарты конфиденциальности, более строгие, чем стандарты ЕС, Microsoft не смогла бы соблюдать еще более ограничительный стандарт в глобальном масштабе. Они будут вынуждены либо вообще покинуть эти рынки, либо заплатят штраф за нарушение конфиденциальности, в зависимости от того, что дешевле. Одностороннее глобальное законодательство такого рода, которое ЕС выдвигает в контексте конфиденциальности, зависит от их значительной рыночной власти.