Пользователи сети уже давно задумываются над тем, что Google и Facebook знают о них, и кто еще может получить доступ к их персональным данным. Но даже после громких скандалов со сбором персональных данных сторонними разработчиками, интернет-гиганты не спешат давать развернутые ответы даже на такие простые вопросы «Почему мне показывают эту рекламу?». Об изменениях равновесия, введенные на законодательном уровне, которые ожидают нас всех с 25 мая, – в адаптированном переводе статьи с ресурса Wired.
ЗРЗД
В конце весны вступает в силу Общий регламент защиты данных» – ЗРЗД (также встречается аббревиатура ГДПР, что происходит от английского GDPR – General Data Protection Regulation), новый Закон ЕС о конфиденциальности, которым ограничиваются процессы сбора и обработки персональных данных. В центре внимания документа – пользователи, которые должны знать, понимать и давать согласие на процесс сбора данных о них. В соответствии с новой правовой нормой многочисленные страницы текста мелким шрифтом больше не пройдут; нельзя больше заставить пользователей нажимать кнопку «Да» для регистрации.Вместо этого компании обязаны предоставлять четкую, понятную и краткую информацию о процессе сбора и использования персональных данных, как вот полного имени, домашнего адреса, данных о местоположении, IP-адрес или идентификатор, отслеживает использование веб-страниц и приложений на смартфонах. Компании должны объяснить, почему собирают данные, и будут ли эти данные использоваться для создания профилей действий и привычек людей. Более того, пользователи получат право доступа к данным о себе, которые хранят компании право исправлять неточную информацию и, в частности, право ограничивать использование принятых алгоритмами решений. Закон защищает физических лиц в 28 странах-членах Европейского Союза, даже если данные обрабатываются где-то еще. А это означает, что ЗРЗД будет применяться к онлайн-изданий, банков, университетов, безграничной когорты так называемых рекламно-технологических компаний (то есть компаний, которые занимаются веб-рекламой), и гигантов Кремниевой долины.
На своем сайте Европейская комиссия утверждает, что благодаря введению в действие нового закона любая социальная сеть обязана выполнять запрос пользователя удалить фотографии, которые пользователь разместил в несовершеннолетнем возрасте, и информировать поисковые системы и другие веб-ресурсы, что пользовались этими фотоснимками, об их удалении. Комиссия также отмечает, что, к примеру, служба краткосрочного проката автомобилей может требовать имя пользователя, его адрес, номер банковской карты, данные о особые потребности, но не может требовать информацию о расе (согласно ЗРЗДприменяются более строгие требования по сбору «особых категорий персональных данных», то есть тех, что касаются расовой, религиозной, политической принадлежности и сексуальной ориентации).
Процесс начат
ЗРЗД уже способствовал изменениям в практике сбора и обработки данных. В июне компания Google объявила, что прекратит изучать электронные письма Gmail для персонализации объявлений (компания убеждает, что эти действия не связаны с ЗРЗД, их цель – гармонизация пользовательских и бизнес-версий Gmail). В сентябре компания переработала панель конфиденциальности, впервые запущенной еще в далеком 2009 году, сделав ее более удобной для пользователей. В январе Facebook объявил о разработке собственной информационной панели конфиденциальности, которую еще не запустили. Хотя закон применяется только в Европе,компании вводят глобальные изменения, ведь это проще, чем создавать различные системы для различных географических групп.
Новая правовая норма будет влиять не лишь на веб-гигантов. В марте рекламно-технологическая компания Drawbridge, которая следит за пользователями на различных устройствах, заявила, что постепенно прекратит свою рекламную деятельность в ЕС, поскольку не понятно, как цифровые рекламодатели могут получить согласие пользователей. Информационный брокер Acxiom, который предоставляет информацию о более, чем 700 млн людей, полученную на основе данных об избирателях, характерных признаков онлайн-покупок, регистрации транспортных средств и других источников, пересматривает свои интернет-сервисы в США и Европе, на которых пользователи могут увидеть, какая информация о них доступна компании.
«– ЗРЗД задаст тон защиты данных во всем мире на следующие 10 лет», – говорит Шила Колклейже (Sheila Colclasure), ведущий специалист по вопросам этики данных Acxiom.
Акцент закона на согласии, контроле и четких объяснениях может побудить пользователей к лучшему пониманию тех процессов, согласно которым осуществляется отслеживание в интернете, и их изменения. С момента возникновения коммерческого веб-пространства компании были заинтересованы в накоплении данных и их монетизации впоследствии. Закон существенно повлияет на экономику отрасли.
Почему защита данных важен?
Сегодня необходимость прозрачности и подотчетности – гіперактуальна. Некогда один клик мышью на непонятном документе об условиях обслуживания казался тривиальным. Ведь преимущества были значительно большими, чем недостатки, к которым, в основном, относилась лишь какая-то раздражающая реклама ботинок на веб-страницах. Однако, разоблачения последнего времени показали, как те же самые личные данные могут использоваться в качестве оружия, подавляя голоса представителей меньшинства, радикалізуючи белокожих парней, используя политические убеждения для расщепления общества и, возможно, изменяя результаты демократических выборов. В информационном отчете под названием «Корпоративное наблюдения в повседневной жизни» (Corporate Surveillance in Everyday Life) исследовательница Вулфи Кристл (Wolfie Christl) предоставляет графическое изображение того, как личные данные используются для влияния на поведение и определяют, какую продукцию вы видите, к каким услугам имеете доступ, и сколько за них платите.«Каждый раз, когда человек щелкает мышью, компании стараются выяснить, она достойна их внимания, или нет», – объясняет Кристл.
Большинство закрепленных в ЗРЗД прав по защите данных уже существовали в ЕС, но не существовало механизма их принудительного исполнения. ЗРЗД стандартизирует права по защите данных во всех странах ЕС, вооружая регуляторные органы, а нарушителей ждут штрафы в размере до 4% годового глобального дохода. Для Facebook это $1,6 млрд, Google – $4,4 млрд.
Другая сторона медали
Конечно, есть и те, кому закон не по душе, кто обвиняет ЗРЗД в чрезмерном протекционизме со стороны ЕС, в вызове американским технологическим платформам в области антимонопольного законодательства и конфиденциальности. Существуют сомнения относительно стоимости применения положений закона. Упоминавшаяся Колклейже из компании Acxiom называет отрасль данных основой «бесплатного контента и бесплатных знаний» в сети.
«– Выбор прост: или пользователь платит за контент, или получает его бесплатно, но с рекламными объявлениями», – объясняет специалист.
Есть в законе и потенциальные лазейки. Компаниям разрешается обрабатывать персональные данные без согласия ограниченных причин, к которым, в частности, относятся «законные интересы» компании, которые, по утверждению Еврокомиссии, включают «прямой маркетинг» по почте, электронной почте или онлайн-рекламу. Впрочем, даже в таком случае компании должны учитывать ожидания пользователей относительно использования их данных и не могут нарушать другие права пользователей, гарантированные ЗРЗД. В цифровой сфере потребители ЕС также получают дополнительную защиту благодаря «Директиве об онлайн-конфиденциальности» (ePrivacy Directive), которая регулирует электронное общение. Согласно этих правил, которые сейчас находятся в процессе ратификации, согласие является единственным юридическим основанием для сбора персональных данных.
Все в руках пользователей
Дэвид Мартин (David Martin), старший юридический сотрудник Европейской организации потребителей, такой себе материнской организации, которая охватывает 43 группы потребителей, считает, что лоббисты технических компаний работают над влиянием на руководящие принципы интерпретации ЗРЗД и ослаблением формулировки Директивы об онлайн-конфиденциальности. Избежание – не вариант. В 2017 году доход компании Facebook от одного пользователя в Европе вырос на 41% по сравнению с предыдущим годом и составил $8,86. Темпы роста были быстрее, чем в любом другом регионе.
Роб Шерман (Rob Sherman), заместитель начальника отдела по вопросам конфиденциальности Facebook, прокомментировал: «в Этом году все пользователи Facebook увидят совершенствования доступных им инструментов и средств защиты конфиденциальности. Кроме ЗРЗД, мы рассматриваем целостную картину с целью понять, как мы можем дать людям больше контроля и способность осознать, каким образом используются их данные».
В 2017 году компания Google опубликовала такое заявление: «… [мы] намерены придерживаться ЗРЗД в рамках всех услуг, которые мы предоставляем в Европе», включительно с поисковиком Google, электронной почтой Gmail и всеми рекламными сервисами».
Активисты конфиденциальности считают, что вступление в силу закона запустит цепную реакцию других изменений, ведь подобные прецеденты уже есть: судебный иск, поданный против Facebook в 2013 году австрийским адвокатом и активистом по защите конфиденциальности Максом Шремсом (Max Schrems), привел к отмене принципов соглашения «Безопасная гавань» (Safe Harbour, соглашение, по которому предусматривалась упрощенная процедура передачи персональных данных между компаниями ЕС и США), хотя окончательного решения по делу Шремса еще не было вынесено.В ноябре Шремс запустил некоммерческую компанию «Не твое дело» (None of Your Business), которая будет использовать ЗРЗД для «противостояние гигантам вроде Facebook, Google и иже с ними командой высококвалифицированных и мотивированных юристов и специалистов по информационным технологиям».Пол-Оливье Дехає (Paul-Olivier Dehaye), математик и соучредитель PersonalData.IO, применяет закон о защите данных Великобритании с целью помощи физическим лицам получить доступ к персональной информации, обработанной компанией Cambridge Analytica, которую обвинили в нарушении норм защиты данных, что задевает больше, чем 50 млн пользователей Facebook.
Окончательный влияние ЗРЗД будет зависеть от того, насколько активно пользователи будут применять свои новые права. Последние тенденции свидетельствуют о растущей заинтересованности приватностью. Использование блокировщиков рекламы и частных виртуальных сетей (VPN) растет в США и других странах. Корпорации отреагировали на спрос: в августе компания Mozilla представила Firefox Focus – частный мобильный браузер, а в сентябре компания Apple добавила блокировка отслеживания браузера Safari.
Фатемех Хатіблу (Fatemeh Khatibloo), главный аналитик компании Forrester, считает, что конечным результатом будет более прогрессивная практика сбора данных. По ее словам, пользователи будут шокированы, узнав о количестве файлов «куки», трекеров и рекламных серверов на веб-страницах, которые они посещают. По результатам опроса, проведенного Хатіблу в августе среди пользователей в Великобритании, 51% респондентов заявили, что они хотя бы с небольшой вероятностью воспользуются своими новыми правами по ЗРЗД. Самым распространенным приведенным примером стало удаление данных. Впрочем, Хатіблу скептически относится к тому, что ЗРЗД «отвлечет» пользователей от популярных интернет-сервисов.
«– Пользователи понимают ценность обмена собственных данных на бесплатные услуги, которые они стремятся получать бесперебойно, – считает специалист. – ЗРЗД проливает очень яркий свет на некоторые аспекты обработки данных, о которых люди не знают, но я не думаю, что результатом применения закона станет уменьшение количества пользователей Facebook».
Многое может зависеть от того, каким образом компании будут просить согласия. В сентябре компания PageFair, которая помогает рекламодателям обходить блокировкой рекламы, провела опрос, в котором пользователям предоставлялась возможность выбора отслеживания, как «согласиться лишь на отслеживание первой стороной» или «отказаться от отслеживания за исключением тех случаев, круг оно является обязательным для предоставления востребованных услуг». Из 300 опрошенных только около 5% согласились на все формы отслеживания. Маркетинговая фирма Criteo стремится к чему-то менее навязчивого.В январе журнал Digiday опубликовал образец интерфейса согласия, которую тестировала Criteo: небольшой баннер в нижней части страницы, в котором пользователям сообщалось, что, нажав на любую ссылку на странице, они соглашались на «удобную для пользователя технологию отслеживания компании Criteo».
Источник: Wired,