privacy by design что это
Privacy by Design, или Принцип спроектированной приватности (ст. 25 GDPR) – есть статья, но не было санкции?
Как правило, нарушение принципа спроектированной приватности при создании приложения влечет за собой и другие нарушения: например, прав субъектов или принципа минимизации данных, а за это полагаются серьезные санкции. И получалось, что надзорные органы ссылались не на 25 статью.
Год назад был обнаружен первый прецедент, где Национальный надзорный орган в области защиты персональных данных Румынии сослался на 1 параграф 25 статьи. Подразделение банка Unicredit в Румынии было уличено в нарушении принципов Privacy by Design. Они спроектировали систему платежей таким образом, что раскрыли персональные данные сотен тысяч своих клиентов.
Официальное сообщение Румынского надзорного органа гласило, что 337 тысяч субъектов персональных данных, которые осуществляли платежи из Unicredit, либо платежи, где данный банк выступал посредником, фактически поделились лишней информацией с получателями.
Например, вы осуществляете перевод через онлайн-банкинг в адрес какого-либо лица и, конечно, вы бы не хотели раскрывать получателю свой адрес проживания или номер мобильного телефона (то есть, избыточные персональные данные).
Идентификационный номер раскрывался в выписках — эта информация была получена всеми бенефициарами этих платежей. Как итог, произошло раскрытие персональных данных, а значит, была нарушена и статья 5 — принцип минимизации данных. Тем не менее, надзорный орган пришел к мнению, что здесь, в первую очередь, плохо сработали инженеры и системные администраторы, проектирующие данную систему и передавшие лишние сведения бенефициарам.
Это решение о штрафе в 130 000 евро, наверняка не является двумя процентами от оборота румынского подразделения Unicredit, но это довольно серьезное предупреждение в адрес финансовых организаций, IT-компаний, которые выступают в качестве подрядчиков, разрабатывающих программное обеспечение для подобных учреждений.
Игнорировать принципы Privacy by Design (спроектированной приватности) нельзя. Руководством по данном вопросу может стать мануал 2014 года, разработанный Европейским агентством в области информационной и сетевой безопасности, а также чек-листы Норвежского надзорного органа.
Для тех, у кого мало времени на реализацию подобных решений приватности, лучше не ждать, пока технические специалисты смогут хорошо разобраться в этой теме самостоятельно, а отправить их на соответствующее обучение.
Мы готовим второй тренинг по спроектированной приватности 28-29 октября 2021 года (первый состоялся в апреле 2021). Privacy by Design — это уникальный мастер-класс Марии Арнст, CIPP/E, CIPM, TÜV, Strategic Privacy by Design.
Присоединившись к курсу, вы узнаете как:
Мы подготовили для видео, в котором подробно рассказываем о штрафах по GDPR за нарушение Privacy by Design.
Privacy by Design. 7 основополагающих принципов (Энн Кавукиан (Ann Cavoukian), Ph.D. Уполномоченный по вопросам информации и защиты конфиденциальности, Онтарио, Канада)
Privacy by Design
7 основополагающих принципов
Энн Кавукиан (Ann Cavoukian), Ph.D.
Уполномоченный по вопросам информации и защиты конфиденциальности,
«Проектируемая конфиденциальность» исходит из того, что в будущем конфиденциальность, т.е. защита личной информации, не может быть обеспечена исключительно соблюдением нормативно-правовых актов; скорее, защита личной информации должна в идеале стать одним из высших приоритетов (более того, «правилом по умолчанию») в работе любой организации.
«Проектируемая конфиденциальность» охватывает целую триаду приложений: 1) информационные системы; 2) практику деловых отношений; 3) устройства, оборудование, сооружения и сетевую инфраструктуру.
Семь основополагающих принципов
1. Превентивные меры, а не только устранение последствий
Встраивание конфиденциальности в конструкцию системы должно быть активным, а не ограничиваться лишь мерами по устранению последствий. Такой подход предвидит и предотвращает случаи нарушения конфиденциальности еще до того, как они происходят. Подход «Проектируемая конфиденциальность» не ждет, пока факторы риска материализуются, и отнюдь не предлагает средства лечения уже возникших проблем; наоборот, он стремится не допустить их возникновения. Иными словами, личная информация должна быть защищена до того, как система запущена в работу, а не после выявления нарушений конфиденциальности.
2. Конфиденциальность как стандартная установка
3. Конфиденциальность как часть структуры
4. Полная функциональность с суммарным положительным результатом
«Проектируемая конфиденциальность» стремится учесть все законные интересы и цели «беспроигрышным» способом, т.е. получить в итоге положительную сумму результатов. Подход с нулевой суммой, при котором делаются ненужные компромиссы, является устаревшим. «Проектируемая конфиденциальность» не ищет предлогов для ложной дихотомии, таких, например, как укрепление безопасности системы в противовес защите личной информации, демонстрируя, что можно обеспечить и то, и другое.
5. Защита личной информации на протяжении всего цикла ее сбора, хранения, обработки и уничтожения
6. Доступность и открытость
«Проектируемая конфиденциальность» стремится гарантировать всем заинтересованным сторонам, что, вне зависимости от вида бизнеса или технологии, система действительно работает в соответствии с заявленными принципами и целями (это должно быть подтверждено независимой проверкой). Все компоненты и операции «Проектируемой конфиденциальности» остаются открытыми и доступными, как для пользователей, так и для обеспечивающих данный вид сервиса. Иными словами, доверяй, но проверяй.
7. Соблюдение конфиденциальности пользователей: система должна быть ориентирована на пользователя
«Проектируемая конфиденциальность» требует от разработчиков и операторов системы соблюдения, в первую очередь, интересов индивидуальных пользователей. Это достигается такими мерами, как защита личной информации по умолчанию, своевременное уведомление о сборе личной информации, предоставление пользователю свободы выбора в удобной и понятной форме. Иными словами, система должна быть ориентирована на пользователя.
Published: February 2011
Translation provided by: Dr. Sagi Leizerov and Ekaterina Shangina,
Ernst & Young LLP; and Dr. Alex Stoianov, IPC
Information and Privacy Commissioner of Ontario
2 Bloor Street East, Suite 1400 •Toronto, Ontario • CANADA • M4W 1A8
Privacy by design и privacy by default (спроектированная защита данных и конфиденциальность по умолчанию по GDPR)
В мае 2018 года вступил в силу новый закон о защите персональных данных – General Data Protection Regulation или Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (далее GDPR), который предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными, защита которых является фундаментальным правом в Европейском союзе. Статья 25 GDPR требует от компаний создания систем со встроенной защитой персональных данных и систем конфиденциальности по умолчанию — privacy by design и privacy by default. В настоящем материале мы разберем эти понятия.
Текст статьи 25 Регламента на английском и на русском:
1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.
1. Принимая во внимание состояние развития науки и техники, расходы на внедрение, характер, объем, особенности и цели обработки, а также вероятностное возникновение рисков и опасности для прав и свобод физических лиц в результате обработки, контролер должен как во время определения средств обработки, так и во время самой обработки внедрить соответствующие технические и организационные меры, например, псевдонимизацию, которые предназначены для эффективной реализации принципов защиты данных, например, минимизации данных, и для интегрирования необходимых гарантий в обработку в целях выполнения требований настоящего Регламента и защиты прав субъектов данных.
2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons.
2. Контролер должен внедрить соответствующие технические и организационные меры для обеспечения того, что по умолчанию обрабатываются только те персональные данные, которые необходимы для каждой конкретной цели обработки. Указанная обязанность применяется в отношении большого количества собранных персональных данных, объема их обработки, срока их хранения и возможности доступа к ним. В частности, указанные меры должны гарантировать, что по умолчанию доступ к персональным данным не будет предоставлен неопределенному количеству физических лиц без участия отдельного лица.
3. An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article.
3. Утвержденный сертификационный механизм согласно Статье 42 может использоваться в качестве элемента для подтверждения соблюдения требований, установленных в параграфах 1 и 2 настоящей Статьи.
Это означает, что контролер данных обязуется встроить систему защиты данных во все бизнес-процессы (в том числе в процессы разработки продукта или сервиса) на раннем этапе их проектирования и обязуется поддерживать такую систему непрерывно в дальнейшем. Встроенная защита данных по своему замыслу — это обязанность заблаговременно предусмотреть защиту персональных данных во всех действиях, начинаниях и решениях компании. Например, при создании мобильного приложения необходимо проанализировать и предупредить возможные риски, связанные с конфиденциальностью, и установить механизмы управления такими рисками до написания кода.
Согласно философии privacy by design, лучший способ снизить риски, связанные с конфиденциальностью, — это, в первую очередь, не создавать их.
Privacy by default
Конфиденциальность по умолчанию подразумевает, что пользователю не нужно предпринимать никакие действия для защиты своей конфиденциальности. Настройки по сохранению конфиденциальности и соответственно защите его персональных данных установлены по умолчанию. Контролеры не должны автоматически полагать, что пользователь дает согласие на обмен данными. Сбору подлежат только те данные, которые необходимы для достижения конкретных целей обработки. Для обеспечения такой конфиденциальности по умолчанию контролеры должны имплементировать соответствующие технические и организационные меры.
У сайта в профиле пользователя не должен быть автоматически отмечен чекбокс о согласии пользователя на передачу его данных третьим лицам. Пользователь должен сам отметить этот чекбокс, тем самым выразить явное согласие (см. о явном согласии ст. Статьи 4(11), 6(1)(a), 7 GDPR). Или, например, при сборе данных, необходимых для регистрации пользователя, приложение не должно требовать от пользователя предоставления данных, не являющихся необходимыми для регистрации.
Чем меньше данных компания собирает и обрабатывает, тем меньше риск нарушения GDPR.
История privacy by design, privacy by default
По мнению Европейского контролера по защите данных (European Data Protection Supervisor, далее EDPS), термины «встроенная конфиденциальность» и «конфиденциальность по умолчанию» были разработаны в 1990-х годах Энн Кавукян (Ann Cavoukian), специальным уполномоченным по информации и защите персональных данных в канадской провинции Онтарио. В 2009 году она опубликовала документ «Встроенная конфиденциальность: 7 основополагающих принципов», в котором объясняет, что «встроенная конфиденциальность» означает, что компании должны активно рассматривать вопросы конфиденциальности на протяжении всего жизненного цикла данных, начиная с фазы проектирования. Такая «защита всего жизненного цикла» (“Full Lifecycle Protection”) гарантирует, что все данные надежно сохраняются, а затем надежно своевременно уничтожаются. Таким образом, privacy by design обеспечивает непрерывное и безопасное управление жизненным циклом данных, от начала до завершения обработки. В соответствии с этими принципами эта защита может и должна действовать без ущерба для функциональности бизнеса или системы.
EDPS объясняет, что этот параметр по умолчанию означает, что субъект данных не должен нести бремя защиты своих данных при использовании каких-либо услуг или продуктов. Право на неприкосновенность частной жизни будет защищаться «автоматически» в качестве настройки по умолчанию.
Принципы privacy by design и privacy by default, разработанные Кавукян, вскоре были приняты европейскими законодателями как стандарт в области защиты персональных данных.
Проект рекомендаций European Data Protection Board от 13 ноября 2019 года
13 ноября 2019 года независимый орган по защите персональных данных на европейском уровне European Data Protection Board (Европейский совет по защите персональных данных, далее EDPB) опубликовал проект рекомендаций по применению статьи 25 GDPR о встроенной системе конфиденциальности. Эта версия не финальная, EDPB принимает комментарии от любых заинтересованных лиц до 16 января 2020 года, после чего с учетом таких комментариев публикует финальную версию рекомендаций. Рекомендации не имеют силы закона, но несмотря на их ненормативный характер, регуляторы по защите данных в странах ЕС и компании следуют им.
Ниже перечислены основные моменты этих рекомендаций, которые помогут правильно толковать, понимать требования статьи 25 GDPR.
1. Privacy by design
4. Сертификация в соответствии со статьей 42 GDPR может также использоваться, чтобы показать соответствие принципам privacy by design и privacy by default, и обеспечить конкурентное преимущество на рынке поставщиков. Важно добавить, что существуют рекомендации по сертификации в отношении ст 42, 43 GDPR, также разработанные EDPB.
5. В рекомендациях также даны практические примеры по важным элементам privacy by design, privacy by default: прозрачность, законность, добросовестность, ограничение цели, точность, ограничение хранения, целостность и конфиденциальность.
Например, к элементу “точность” EDPB представил следующую ситуацию и потенциальное ее решение:
Контролер — это медицинское учреждение, которое ищет способы обеспечения целостности и точности персональных данных в своих клиентских регистрах. В ситуациях, когда два человека прибывают в учреждение одновременно и получают одинаковое лечение, существует риск ошибки, если единственным параметром, различающим их, является имя. Для обеспечения точности контроллеру необходим уникальный идентификатор для каждого человека и, следовательно, больше информации, чем просто имя клиента. Учреждение использует несколько систем, содержащих личную информацию клиентов, и должно гарантировать, что информация, относящаяся к клиенту, является правильной, точной и согласованной во всех системах в любой момент времени. Было выявлено несколько рисков, которые могут возникнуть, если информация изменилась в одной системе, но не в другой. Чтобы снизить риски, контроллер решает использовать метод хеширования для обеспечения целостности данных в записях о лечении. Неизменяемые хэш-подписи создаются для записей лечения и связанного с ними сотрудника, чтобы любые изменения можно было распознать, сопоставить и отследить при необходимости.
Как было указано выше, это не финальная версия рекомендаций, поэтому необходимо следить за обновлением с учетом комментариев заинтересованных лиц.
Большой штраф по ст. 25 GDPR
30 октября 2019 года немецкая риэлторская компания Deutsche Wohnen SE была оштрафована на сумму 14,5 миллионов евро за неправильное хранение данных как раз со ссылкой на статью 25 (1) GDPR. Компания использовала систему архивирования для хранения персональных данных арендаторов, не обеспечивающую возможность удаления уже ненужных данных. Персональные данные арендаторов хранились без проверки на предмет допустимости дальнейшего их хранения. Таким образом, было возможно получить доступ к личным данным, которые хранились годами, когда как они уже не служили целям их первоначального сбора. Хранились данные о личном и финансовом положении арендаторов, справки о заработной плате, формы о раскрытии информации (self-disclosure forms), выписки из трудовых договоров и договоров об обучении, данные о налогах, социальном обеспечении и медицинском страховании, а также выписки с банковского счета.
Максимальный штраф за нарушение статьи 25 (1) GDPR составляет 10 миллионов евро или 2% мирового оборота. Штраф в размере 14,5 млн евро был рассчитан с использованием руководств, ранее опубликованных BBDI (Немецкий орган по защите данных, Berliner Beauftragte für Datenschutz und Informationsfreiheit).
На этом сайте (GDPR Enforcement Tracker) можно следить за штрафами и санкциями, которые налагаются в Евросоюзе в рамках GDPR.
Статья 25 GDPR накладывает значительное бремя на обеспечение встроенной защиты персональных данных и конфиденциальности по умолчанию. Для соблюдения требований этой нормы и во избежание крупных штрафов контролеры должны проанализировать, как, где и когда они обрабатывают информацию, и обеспечить, чтобы право на неприкосновенность частной жизни учитывалось на каждом этапе обработки, начиная с проектирования продукта/услуги, нового бизнес-процесса. Это должно включать следующее:
Privacy by Design, или как создать приложение и не вылететь с маркетов
Все слышали новость о том, что Facebook «выбросил» десятки тысяч приложений из-за проблем с приватностью.
Это ставит перед разработчиками много вопросов, на которые надо срочно искать ответы:
● Как создать безопасное приложение?
● Что такое вообще эта ваша приватность?
● И почему вокруг этой темы так много шумихи в последнее время?
Чтобы разобраться во всем этом, мы побеседовали с экспертами по защите приватности и персональных данных Джейсоном Кронком, США, и Сергеем Воронкевичем, СНГ.
Джейсон Кронк CIPP/US, CIPT, CIPM, FIP — автор книги «Strategic Privacy by Design», эксперт и тренер по проектированию приватности. Cпикер и автор IAPP, Privacy and Security Forum, Intel Security Conference. Приглашенный лектор Florida State University и Indiana University. Сертифицированный профессионал (CIPP/US), технолог (CIPT) и менеджер (CIPM) в сфере приватности. Биография.
Сергей Воронкевич CIPP/E, CIPM, MBA — Тренер и ведущий консультант консалтинговой компании в области защиты персональных данных Data Privacy Office. Сертифицированный менеджер в сфере информационной приватности (CIPM) и сертифицированный профессионал в этой же сфере (CIPP/E). Биография.
Что такое приватность?
«Многие люди, особенно в ИТ-сфере, воспринимают приватность только как безопасность личной информации, конфиденциальность, защиту от хакеров.
Но приватность – это намного больше, чем просто защита информации. Это, в целом, о том, как вы взаимодействуете со своими клиентами и насколько правильно обращаетесь с их данными.
Например, вот ситуация с игрой Pokemon Go. В игре общественные места, например церкви, использовались как тренажерные залы для персонажей. Но оказалось, что некоторые бывшие церкви уже давно переделаны в жилые дома и принадлежат гражданам. И вот внезапно по их дворам в любое время дня и ночи начинают бегать ловцы покемонов.
То есть, это уже не вопрос безопасности информации или конфиденциальности. Это про то, что людей беспокоят в их собственном доме, когда они, например, хотят насладиться ужином или отдохнуть. Это вторжение на личную территорию граждан.
Вот еще один пример. Twitter стал собирать номера телефонов для двухфакторной аутентификации, то есть, для более надежной защиты профилей пользователей. Но потом эти данные были переданы в маркетинговый отдел, который стал рассылать рекламу на полученные номера телефонов.
Это называется «вторичное использование» (secondary use), то есть, когда данные собирают с одной целью, а потом используют для другой. И опять же, это не про безопасность информации, а про ее корректное использование. Пользователи ожидают, что их номера телефонов будут использованы только для защиты аккаунтов, но точно не для того, чтобы потом им что-то продавали».
Почему ИТ-профессионалы должны волноваться о защите приватности?
«Во-первых, есть некоторые легальные обязательства. Особенно, если компания международная. Чтобы не думать обо всех местных законах, вам проще изначально использовать концепцию спроектированной приватности (Privacy by Design). В большинстве стран, этого будет достаточно, чтобы соответствовать.
Но это не самое главное. Приватность – это про доверие с вашими клиентами и теми людьми, с которыми вы ведете бизнес.
Приведу пример. Представьте, что вы пришли на свидание вслепую, с человеком, которого не знаете. И вот вы ужинаете, и вдруг он говорит вам: «Я слышал, что собака твоей тетушки заболела, и ее пришлось отвезти в больницу. И это случилось прямо на тетушкин день рождения. Как у них дела?» В этот момент у вас недоумение: откуда он узнал про вашу тетю и ее собаку? Creepy
Обычно в отношениях мы начинаем с этапа, когда мы оба не знаем друг друга и постепенно знакомимся. По мере того, как между вами растет доверие, вы понемногу раскрываете информацию о себе. Вы становитесь более открытым и уязвимым, и вам важно понимать, что человек не будет использовать это против вас. Постепенно могут сформироваться близкие отношения.
И я считаю, что в бизнесе должен происходить похожий процесс. Вы знакомитесь с компанией постепенно и хотите убедиться, что ей можно доверять. Что она выполняет свои обязательства и не станет использовать ваши данные в своих корыстных целях. Например, не будет использовать ваш номер телефона для рекламы, если обещает его использовать только в целях безопасности.
Приватность – это способ построения доверительных отношений с клиентами, и постепенного развития этих отношений
Есть много способов сделать «быстрые» деньги. Но мы здесь говорим, скорее, про более долгосрочную стратегию, при которой ваши клиенты остаются с вами годами, и вы можете стабильно развивать свою компанию и репутацию на рынке.
Вернемся к вопросу о том, что Фейсбук выбросил десятки тысяч приложений. Постепенно не только клиенты начинают обращать внимание на то, как компании обращаются с персональными данными. Крупные площадки тоже сейчас смотрят на то, насколько безопасны их вендоры.
После ситуации с Cambridge Analytica Фейсбук тоже занялся проверкой своих вендоров: насколько они этичны, выполняют ли свои обязательства, соответствуют ли политике приватности Фейсбука. Я считаю, что это признак роста компании. Такой же процесс сейчас происходит в Apple, и он будет расширяться.
Многие разработчики приложений не выполняют требований приватности, и в будущем не смогут быть представлены на крупных площадках. Теперь крупные компании понимают: мы больше не можем иметь дело с некоторыми вендорами, потому что они могут поставить нас под угрозу и привести к негативным последствиям».
«В Европейском союзе начал действовать Общий регламент защиты персональных данных GDPR и он содержит правило «вы в ответе за тех, кого приручили». За нарушения приватности отвечают как сами приложения, их допустившие, так и платформы, на которых они размещены. В GDPR для этого введен специальный термин joint controllers и написана статья “Data protection by design”.
Кроме того, если ваша компания пользуется какими-то сервисами, то они становятся для вас процессорами (processors), и вы должны убедиться, что они не нарушают приватности ваших клиентов или сотрудников. Например, это может быть CRM, хостинг-провайдер, облачное приложение для рекрутинга и обработки резюме кандидатов, подключенная к сайту платежная система, сервисы email-рассылки или облачного хранения файлов.
Это может стать слишком большим риском для организации (речь идет о миллионах евро, даже если само приложение кажется маленьким и незначительным). А даже если не будет штрафа, то компания все равно может оказаться объектом негативного внимания в СМИ, и ее репутация пострадает».
Защита приватности как аргумент для инвестора
«О приватности сегодня должны заботиться все стартапы, которые заинтересованы в привлечении инвесторов. Обычно разработчики стремятся поскорее продать продукт, и просто не думают об этом. Но ситуация меняется.
Зачем инвестору вкладываться в проект, у которого есть проблемы с приватностью, если через год-два это приведет к огромным штрафам или полному прекращению деятельности этого стартапа? Или придется инвестировать еще больше денег, чтобы выстроить необходимую инфраструктуру и систему безопасности».
«Чтобы не подвергаться этому риску, перед покупкой или поглощением проводится процесс due diligence (должной осмотрительности). Проводится проверка интеллектуальной собственности. С принятием GDPR, в приложении проверяется, есть ли функционал по гарантированию приватности, например:
«Уже есть примеры, когда бизнес пришлось закрыть из-за невозможности исправить ситуацию и причиненный вред.
Причем, это касается и некоммерческих организаций, как случилось с проектом InBloom, который получил сотни миллионов долларов финансирования от Фондов Гейтса, Карнеги и других. Предполагалось, что приложение будет хранить все данные детей, начиная с детского садика до старшего класса школы, что позволит учителям и администрации школ лучше отслеживать прогресс учеников и разрабатывать для них «индивидуальный» план обучения.
Но родители оказались против того, чтобы в приложении хранилась личная и довольно чувствительная информация: почему ребенок поменял место учебы, каков статус отношений его родителей или номер социального страхования. В результате этих скандалов, многие школы отказались сотрудничать с приложением, и было принято решение его закрыть».
Внедряем приватность by design: что делать и как
«Допустим, у вас стартап. Что нужно сделать, чтобы с самого начала разработать приложение или сервис, который будет соответствовать всем требованиям приватности? Внедрить приватность всегда проще в самом начале, чем потом переделывать уже готовый продукт. К тому же, переделки – это то, что программисты ненавидят больше всего.
Представьте, что вы построили красивый дом с тремя спальнями и двумя ванными. Вы показываете его владельцу, а он вдруг говорит, что хочет еще одну спальню. И вот вам приходится разрушить часть стен, чтобы втиснуть еще одну спальню. А после этого он заявляет, что нужна еще одна ванная, а значит, переделать всю сантехнику. Очевидно, что проще было все это учесть с самого начала.
4 основных принципа спроектированной приватности:
Возможно, это какие-то люди, пользователи приложения. Поясню на примере компании Uber. Допустим, пассажир что-то забыл в машине, и ему нужно связаться с водителем, для чего нужны номера телефонов. Это значит, что у нас две группы пользователей в зоне риска – пассажиры и водители, которые дают свой личный номер телефона.
Раньше это были хакеры. Позже опасность начала исходить от государственных органов. Теперь проблемы возникают из-за ваших вендоров.
Здесь я использую таксономию нарушений приватности Даниеля Солова (Daniel Solove). В ней описано более 60 возможных нарушений, и о многих из них люди никогда не думают.
И здесь мы уже говорим о спроектированной приватности и тех принципах, которые важно знать всем архитекторам и разработчикам ПО.
Первое, что вы можете сделать на этапе проектирования – это минимизировать персональные данные, которые вы собираете. Если они вам не нужны, и вы не будете их использовать, то не собирайте их, или сделайте их недоступными для вендоров.
Всю собранную информацию вы должны надежно защитить, а также постоянно проводить мониторинг ее использования. Вы должны регулярно проверять, как используются полученные данные и вашим приложением, и вашими партнерами. И насколько ваши вендоры соответствуют всем требованиям защиты приватности.
И, наконец, мы говорим о важности баланса между интересами потребителей и организации. Для этого в политике приватности на сайте вы должны подробно указать, как именно вы будете использовать информацию, полученную от своих клиентов.
У пользователей должен быть контроль над тем, какие данные они дают вам, а какие нет. Для этого нужно предусмотреть возможность отключить ненужные функции или не заполнять поля, которые не являются необходимыми. К примеру, геолокация в приложениях должна по умолчанию включаться только в момент использования, а не быть включенной 100% времени (как это обычно происходит во многих сервисах навигации или служб такси).
Всегда важно задаться вопросом: кто получит от этого выгоду, компания или клиент? И если выгода только для организации, то клиент может быть в зоне риска. Если выгода частичная для обеих сторон, это приемлемо. Но лучший вариант, конечно, когда основную выгоду получает пользователь, который платит за ваш сервис.
Вот пример, который поможет понять суть баланса интересов. Мы все знаем, что в магазинах стоят камеры видео-наблюдения, чтобы защититься от краж, это выгода для компании. Но здесь также есть выгода для покупателей, потому что это видео может им помочь, если что-то случится. К примеру, человек упал, или его ограбили, и на видео будут все доказательства.
А вот другой пример. Я часто пользуюсь сервисом Airbnb, который предоставляет в аренду частное жилье. И вот представьте, что владелец квартиры, которую я арендовал, поставил камеру видео-наблюдения во все комнаты. Очевидно, что тут выгода только для владельца, но точно нет никакой выгоды гостю. И здесь явное нарушение баланса».
Хорошие примеры защиты приватности
«Apple не используют данные людей для монетизации, они зарабатывают на продаже оборудования и софта. Идеальны ли они? — Нет. Но есть много более мелких компаний, которые уделяют большое внимание приватности как своему конкурентному преимуществу.
Например, браузер Mozilla Firefox перестает использовать технологии cookies, которые следят за поведением пользователей в интернете. Я помню, как проводил интервью с одним из директоров Mozilla, и он мне рассказывал, что к нему постоянно приходят инженеры с предложениями по улучшению защиты приватности. И что порой это уже даже чересчур.
Однако, к сожалению, в большинстве компаний ситуация противоположная. Даже если есть инженер, который хочет что-то создать для приватности, ему не дают, поскольку руководство считает это угрозой для доходности бизнеса. К примеру, Google делает много интересных вещей с приватностью и современными технологиями, но только не в том, что касается их основного источника дохода – рекламы».
В чем сложность реализации приватности
Джейсон Кронк:
«Люди считают, что приватность – это сложно, и что они не смогут разобраться в этой теме. Если я не понимаю, о чем идет речь, я не могу это внедрить в своем бизнесе. Но, на самом деле, если даже просто смотреть на таксономию приватности Даниэля Солова, то можно легко обнаружить все нарушения, которые возможны в вашем проекте или ПО.
При оценке рисков, до сих пор сложно понять, где проходит линия. К примеру, ваш сервис используют сто миллионов пользователей, и они получают пользу. И из опыта мы знаем, что есть 1 шанс на миллион, что это приведет к самоубийству пользователя. То есть, из 100 миллионов клиентов, 100 человек могут погибнуть. Это допустимо или нет? При условии, что невозможно свести риск самоубийства к нулю.
Мы знаем, что автоиндустрия вынуждена решать эту дилемму уже многие годы. В авариях ежегодно гибнут десятки тысяч людей. Допустим, автопроизводителю скажут, что можно свести риски к нулю, если ограничить скорость автомобиля до 10 км/ч. Но этого никто не сделает, потому что клиенты покупают машины, в том числе, за их большую скорость передвижения. Даже при том, что они могут погибнуть из-за этого. Где тут проходит грань, и как найти баланс?
Это, действительно, сложная ситуация, которая может смутить многих. И поэтому разработчики считают, что приватность – это сложно. Также многим кажется, что внедрение приватности – это слишком дорого. Опять же, потому что не понимают ключевые принципы.
И в целом, я бы сказал, что основная проблема – это нехватка знания и понимания того, как сильно технологии вторгаются в жизни людей. Она легко решается, к примеру, на моих тренингах Strategic Privacy by Design. Кстати, в 2020 году я буду проводить живой тренинг Strategic Privacy by Design в Москве.
Основная задача моего тренинга – повысить осознанность и научить участников замечать возможные проблемы, риски и нарушения приватности. Это поможет им быстро исправить ситуацию или, хотя бы, понять, что проблема существует, и найти консультанта, который поможет ее решить. Чаще всего мои студенты говорят: «Я даже и не подумал бы, что это может быть проблемой!».