Статья опубликована в журнале Foreign Affairs, № 2, 2014 год.
С 1990-х гг., когда интернет стал массовым социальным явлением, люди начали опасаться его воздействия на частную жизнь. Вспыхивавшие время от времени крупные скандалы привлекали внимание к этой проблеме. Последний пример – прошлогодние разоблачения, связанные с отслеживанием Агентством национальной безопасности США электронных контактов. В большинстве случаев дискуссии ведутся о том, кто должен собирать и хранить персональные данные и как можно распорядиться этой информацией. Обычно люди беспокоятся о том, у кого есть доступ к сведениям об их здоровье, финансах, отношениях и политических взглядах.
Но эти опасения и общественные дискуссии просто не успевают за технологической реальностью. Сегодня массовый сбор личных данных и их хранение практически неизбежны. Каждый день люди сознательно передают колоссальные объемы информации множеству организаций, включая государственные ведомства, интернет-провайдеров, телекоммуникационные компании и финансовые фирмы. Эти организации, как и многие другие, также получают огромное количество сведений путем пассивного сбора, когда люди предоставляют свои данные, делая что-то еще: например, просто передвигаясь из одного места в другое с мобильным телефоном, подключенным к GPS. Сегодня действительно трудно представить сферу человеческой жизни, в которой не происходит так называемый «выброс данных» в качестве побочного продукта. Человек фактически не может знать, где хранятся сведения о нем и какие именно. Тем временем появляются все более мощные процессоры и серверы, позволяющие анализировать эту информацию и делать заключение об индивидуальных предпочтениях и поведении.
Такова реальность эры «больших данных», и нынешний подход к защите приватности и гражданских свобод себя изжил. Сегодняшние законы и нормы сосредоточены в основном на контролировании сбора и хранения личных данных, но этот подход непригоден для граждан и, кроме того, лишает возможности использовать эту информацию в будущем, что могло бы пойти на благо общества. Пришло время разработать новый подход: сместить акцент с ограничения сбора и хранения данных на их контролирование в самый важный момент – когда они используются.
ИЛЛЮЗИИ ЮЗЕРОВ
В середине XX века во всем мире с энтузиазмом приняли новую прорывную технологию, которая стимулировала торговлю и дала обычным людям возможности, доступные прежде только компаниям и крупным организациям. Речь идет о кредитных картах. В обмен на автоматически возобновляемый кредит и удобство безналичных операций пользователи согласились предоставить финансовым учреждениям доступ к огромному объему информации о своих расходах. Компании использовали ее для анализа поведения и предпочтений потребителей и могут даже указать местонахождение клиентов в определенный день. Как показало быстрое распространение кредитных карт, потребители считают, что плюсы использования кредиток перевешивают минусы. В целом они не ощущают злоупотребления своими личными данными со стороны финансовых учреждений.
Чтобы компании применяли все эти новые данные ответственно, Организация экономического сотрудничества и развития разработала нормативы защиты частной жизни и трансграничного потока данных. Эти принципы, принятые в 1980 г., позволили создать правила, которыми до сих пор руководствуются корпорации, когда дело касается защиты частной жизни человека. Они направляют компании в нужную сторону в вопросах сбора и хранения личных данных, обеспечивают качество и безопасность этой деятельности и дают гражданам возможность соглашаться на сбор сведений и иметь доступ к собранной информации. По заявлению ОЭСР, рамочные принципы помогли увеличить количество членов организации, где действуют законы о защите частной жизни, с одной трети до почти всех 34 стран, а также повлияли на законодательство ЕС в этой сфере.
Спустя 34 года эти благие принципы перестали соответствовать современным реалиям. Они были разработаны до широкого распространения персональных компьютеров, появления интернета, мобильных телефонов и планшетов. Они возникли, когда только писатели-фантасты могли представить себе в карманах почти миллиарда жителей планеты компьютеры, способные отслеживать их местонахождение с точностью до метра каждую секунду; коммуникация и торговля практически целиком станут электронными, а ритейлеры будут использовать эти данные и компьютерное моделирование, чтобы определить, чего захочет конкретный потребитель, еще до того как он сам это осознает.
Эти изменения продемонстрировали ограниченность подхода к защите личных данных, сформированного в конце XX века, в центре которого преимущественно регулирование путей сбора информации. Сегодня происходит сбор такого количества данных и такими разнообразными способами, что практически невозможно предоставить людям реальные методы отслеживания всей собранной о них информации, не говоря уже о том, чтобы давать согласие на ее сбор. Перед тем как загрузить приложение на смартфон или подписаться на какой-нибудь сервис, потребитель рутинно принимает условия лицензионного соглашения с конечным пользователем (EULA), которое обычно состоит из десятка страниц на юридическом языке. Хотя большинство подобных соглашений безобидны, в некоторых могут быть скрыты неприятные положения. Один из недавних примеров: EULA веб-приложения содержало пункт, согласно которому производитель программного обеспечения получал возможность без каких-либо компенсаций использовать свободные мощности компьютера пользователя для эмиссии bitcoin – разновидности цифровой валюты. Еще один пример: популярное приложение-фонарик Brightest Flashlight Free без ведома пользователей собирало данные об их местонахождении и продавало маркетинговым компаниям (в декабре прошлого года Федеральная торговая комиссия заставила производителя приложения отказаться от этой практики).
В обоих случаях пользователи имели техническую возможность дать согласие на эти действия. Но согласие не имело смысла, поскольку не предоставлялась четкая информация о том, как, когда и где могут быть использованы эти сведения. В случае с bitcoin лицензионное соглашение состояло из 5700 слов и было настолько запутанным, что даже если бы кто-то взялся его внимательно прочитать, он вряд ли бы понял, что производитель приложения имеет право воспользоваться вычислительной мощностью устройства пользователя. Приложение-фонарик запрашивало доступ к данным о местоположении (и большинство людей машинально одобряли этот запрос), но это была скорее уловка, а не открытая деловая практика, поскольку компания скрывала, что передает эти данные третьим лицам.
Другие формы сбора информации еще сложнее регулировать. Все чаще сбор данных происходит пассивно, с помощью сенсоров и серверов, когда людей не информируют об этом и не спрашивают их согласия. Телефоны делятся данными о местоположении с сотовыми сетями. Дорожные камеры фотографируют машины (и тех, кто в них сидит) и фиксируют номера. Ритейлеры отслеживают передвижение людей по торговому центру и используют компьютерные камеры, чтобы определить пол и приблизительный возраст покупателей для целевой рекламы. Как в фильме «Особое мнение» 2002 г., торговые центры вскоре смогут использовать технологию распознавания лиц, чтобы фотографировать покупателей, затем сравнивать с данными соцсетей, идентифицировать их и предлагать людям скидки в соответствии с покупательскими предпочтениями или идеи подарков для друзей.
Мощные компьютеры и огромные массивы информации, полученной из разных источников, позволят корпорациям и организациям генерировать новые личные данные, прогнозируя предпочтения и поведение конкретного человека. Из-за этих технологий сохранять анонимность станет сложнее. Компании, имеющие доступ к многочисленным источникам личной информации, будут брать частицы данных и определять, кому что принадлежит, таким образом, практически все персональные сведения перестанут быть анонимными.
БЛАГИЕ НАМЕРЕНИЯ, ПЛОХИЕ РЕЗУЛЬТАТЫ
Многие обоснованно считают подобное положение вещей тревожным, поскольку кажется, что пострадала тайна частной жизни и она даже не подлежит восстановлению. Реальная проблема, впрочем, не в том, что нарушена приватность – информация уже собрана и может быть использована в корыстных целях, но это не означает, что так и происходит. Скорее, проблема заключается в том, что люди не знают, кто обладает сведениями о них и используются ли они допустимыми способами.
Самая распространенная реакция – требовать ужесточения контроля за тем, кто собирает личные данные и как это делается, а также ввести согласие пользователя на каждом этапе процесса. Но если человек получит возможность оценивать ситуацию и давать согласие при каждом случае сбора и создания данных, ему придется ежедневно сотни раз кликать «да» или «нет». При этом у человека по-прежнему не будет способа легко проверить, что случилось с его данными, после того как он согласился их предоставить. Но большинство с удовольствием использует и даже впадает в зависимость от соцсетей, для функционирования которых необходимы личные данные. Юзерам также будет сложно отказаться от приложений и сервисов (электронная почта, игры и др.), которые им предоставляют бесплатно в обмен на согласие получать таргетированную рекламу.
Властям, законодателям и регулирующим структурам во всем мире еще предстоит осознать эту новую реальность, и многие благие намерения развеять опасения общества по поводу частной жизни отражают устаревшие представления о современной экосистеме данных. Возьмем, к примеру, новые правила ЕС по защите данных, которые должны вступить в силу в 2016 году. Согласно этим правилам, человек должен дать согласие на сбор данных и быть проинформирован в момент их сбора о планируемом использовании сведений. Кроме того, прописано «право быть забытым» (все данные о человеке должны быть удалены, если он аннулирует свое согласие или если его данные больше не нужны), предусмотрена доступная форма персональных данных, к которым смогут обратиться люди, и вводятся штрафы для компаний и организаций, не выполняющих эти требования.
Новые правила разработаны исходя из лучших побуждений, но их недостаток в том, что они сфокусированы на сборе и хранении данных. Это поможет унифицировать законы и практику защиты частной жизни, но не решит проблему сбора данных сегодня. Да, для получения сведений требуется осознанное согласие пользователя, но при этом не учитывается важная информация, которая создается по алгоритмам с использованием данных из открытых источников, в том числе постов в различных социальных сетях, и включает возраст, семейное положение, приблизительный доход и политические взгляды. Новые правила также будут неэффективны при пассивном сборе информации, когда нет возможности дать осознанное согласие. И, помимо «права быть забытым», правила не решают ключевой вопрос: как можно и как нельзя использовать персональные данные.
Попытки ограничить сбор данных могут привести к непредвиденным расходам. Информация, собранная сегодня, может послужить обществу, хотя ее потенциал пока не изучен. Возможности анализировать огромные массивы данных помогут правительствам и организациям решать проблемы здравоохранения, изучать состояние экономики, предотвращать мошенничество и другие преступления. Правительства и международные организации не должны препятствовать сбору и долгосрочному хранению сведений, которые могут быть использованы на благо общества, даже если пока это не очевидно.
Например, в 2011 г. исследователи медицинского центра Kaiser Permanente использовали данные 3,2 млн пациентов, чтобы выявить связь между расстройствами аутистического спектра у детей и приемом антидепрессантов их матерями. Ученые определили, что, если мать принимала антидепрессанты во время беременности, риск развития подобных расстройств у ребенка увеличивался вдвое. Ученые получили доступ к медицинским записям, собранным раньше по каким-то иным причинам. Другими словами, исследователям удалось найти очень ценную иголку только потому, что у них был огромный стог сена. Они бы не сделали этого открытия, если бы проводили небольшое исследование с согласия пациентов, когда люди предоставляют конкретную информацию, необходимую специалистам.
Вероятность прорывов в медицине увеличится с появлением медицинских устройств для постоянного ношения, отслеживающих передвижения человека и фиксирующих жизненно важные показатели. Снижение стоимости расшифровки геномов, распространение медицинских записей в электронном виде и расширение возможностей хранить и анализировать информацию поможет совершить важнейшие открытия. Пока сложно даже вообразить, каким образом можно будет применять персональные данные. Жесткое ограничение сбора и хранения этих сведений может лишить отдельных граждан и общество в целом очень ценных ресурсов.
КРАСИВАЯ ОБЕРТКА
Когда людей просят привести пример нарушения частной жизни, они редко говорят о сборе информации. Обычно их беспокоит дальнейшее использование этих сведений и последствия: кража личных данных и маскировка под пользователя, неловкие ситуации, а также практика компаний по определению предпочтений и поведения клиентов. Когда дело касается частной жизни, данные редко имеют значение, а вот их использование – всегда.
Но как заставить правительства, компании и граждан сфокусироваться на проблеме использования информации? Можно начать с требования снабжать все личные данные аннотацией в момент получения. Все электронные личные данные должны находиться в «обертке» из метаданных или информации, описывающей данные, не разглашая их содержание. Такая оболочка должна включать правила использования сведений. Любая программа, желающая использовать данные, сначала должна получить разрешение «раскрыть обертку». Регуляторам следует ввести обязательные требования по аудиту всех приложений, использующих личные сведения. Власти будут осуществлять надзор за сбором персональной информации, чтобы убедиться, что она не применяется в корыстных целях, и наказывать нарушителей.
Например, возьмем приложение, напоминающее пользователям о запланированных делах или встречах с учетом их местоположения. Для такого приложения потребуется доступ к данным GPS с мобильных телефонов, поэтому понадобится разрешение на использование этих сведений в соответствии с пожеланиями конкретного человека.
Такой подход вполне возможен, потому что данные и приложения работают вместе. Сама по себе информация – скажем, ряд цифр в электронной таблице – остается неактивной, пока программа не начнет ее использовать. Без компьютерной программы нет использования, а без использования нет и злоупотреблений. Если в соответствии с требованиями приложение будет сообщать потенциальным пользователям, что планируется делать с их данными, люди будут более осмысленно решать, устанавливать приложение или нет. А если от приложений потребуют уведомлять пользователей об изменении применения данных и выполнять пожелания клиентов, то появится возможность менять или аннулировать свое согласие.
Зачатки подобного подхода появились в последние 10 лет, когда многие начали слушать музыку и смотреть фильмы онлайн – и в большинстве случаев загружать их нелегально. Из-за широко распространившегося пиратства доходы оказались под угрозой, и развлекательная индустрия совместно с технологическими компаниями начала создавать системы управления цифровыми правами, чтобы кодировать контент и добавлять метаданные к файлам; таким образом, их стало сложнее открывать и распространять. Например, фильмы, купленные в iTunes store, можно смотреть на ограниченном количестве компьютеров, пользователи которых привязали их к своему аккаунту в Apple. Такие механизмы были закреплены юридически, в том числе в Законе об авторском праве в цифровую эпоху (1998), по которому обход систем защиты авторских прав является преступлением. Хотя первые механизмы защиты цифровых прав были неудобными и противоречили нормам потребительского поведения, постепенно они были доработаны и получили распространение.
Система защиты цифровых прав сработала и в других сферах. В программном обеспечении Microsoft Office используется кодирование и метаданные, которые позволяют определять, кто может читать, редактировать, печатать или пересылать файл. Таким образом, пользователи и организации получают простой способ защитить конфиденциальную или важную для них информацию. Несложно представить себе аналогичную, но более широкую схему, которая будет регулировать использование персональных данных.
Сосредоточенность на проблеме использования поможет защитить уже собранную информацию. Программное обеспечение, работающее с персональными данными, имеет срок хранения: в конечном итоге оно усовершенствуется и заменяется, и регуляторы могут потребовать от программистов встраивать новую защиту в коды, когда это происходит. Регуляторы также вправе потребовать, чтобы все существующие приложения официально зарегистрировали и привели использование данных в соответствие с законодательством.
КРИЗИС ИДЕНТИФИКАЦИИ
Любые масштабные попытки контролировать использование данных должны опираться на закон и различные способы контроля за соблюдением норм. Требование к приложениям снабжать данные оболочкой и возможность аудита способов использования личных сведений – ключевое отличие от нынешней практики в тысячах компаний. Подобная система неминуемо вызовет политические споры, но существует и целый ряд технических препятствий, которые придется преодолеть при введении нового режима правового регулирования.
Во-первых, это проблема идентификации. Онлайн-идентификация большинства людей связана с адресом их электронной почты или профилем в социальных сетях. Такая система отлично работает при регулировании цифровых прав, когда одна компания владеет конкретными активами и контролирует их (например, цифровые копии фильма или песни). Но персональные данные живут везде. И пожелания человека невозможно удовлетворить, если они не привязаны к конкретной идентификации, которую можно проверить. Поэтому защита частной жизни, сфокусированная на использовании персональных данных, потребует от правительств введения усовершенствованной системы онлайн-идентификации, которая будет признана законом.
Ветры онлайн-идентификации уже дуют в этом направлении. Facebook требует, чтобы люди подписывались на сервис, используя свои настоящие имена, а Twitter предпринимает меры, чтобы проверять аккаунты, принадлежащие знаменитостям и публичным фигурам. Первые промежуточные шаги к системной проверке онлайн-идентификации позволят людям выбрать свою основную онлайн-персону и определить преференции по защите частной жизни.
Но даже если правительствам удастся разработать способы более четкой привязки граждан к проверяемой онлайн-идентификации, понадобится и другая подтвержденная информация: для приложений, для компьютеров, на которых они установлены, и для каждой роли, которую играет человек, используя то или иное приложение. Только определенная комбинация идентификаций обеспечит доступ к части персональных данных. Например, ученый, работающий над эпидемиологическим исследованием, может получить доступ к конкретному приложению или конкретным данным в компьютерной системе своего института, а специалисту страховой компании будет запрещено использовать то же приложение и те же данные на своем компьютере, чтобы устанавливать стоимость медицинской страховки. Или врач-терапевт, осматривающий пациента в приемном покое, будет иметь доступ к информации, необходимой для лечения, которая в других обстоятельствах была бы для него закрыта.
Законодателям придется ввести серьезные наказания, чтобы заставить людей играть по новым правилам. Единственный эффективный сдерживающий фактор, вынуждающий здравомыслящего человека соблюдать правила, – это суровое наказание. Учитывая выгоду, которую можно извлечь из персональных данных, штраф, даже значительный, будет восприниматься злоумышленником (человеком или компанией) как часть затрат на ведение бизнеса. Поэтому нарушение частной жизни должно рассматриваться как серьезное уголовное преступление наравне с мошенничеством или растратой, а не как несоблюдение правил парковки, что вряд ли остановит нечестных операторов и компании.
Если человек подозревает, что его личные данные были использованы в корыстных целях, он может обратиться к соответствующему регулятору, который проведет расследование и привлечет к ответственности виновных, как и при любом другом преступлении. К подозрительным случаям может относиться получение таргетированной рекламы, сообщающей о том, что человек не давал разрешения разглашать, или уведомление о повышении стоимости медицинской страховки после постов о занятиях экстремальными видами спорта в соцсети.
Для перехода к новым способам контроля тайны частной жизни потребуется политическая воля и общественная поддержка. Кроме того, людям придется постоянно определять, какие формы использования своих личных данных они считают приемлемыми. Является ли то или иное использование допустимым, зависит от контекста, а также от реальной или предполагаемой выгоды, которую человек или общество в целом могут получить взамен. Люди с легкостью согласятся на использование своей переписки в социальных сетях для масштабных медицинских исследований, но они, скорее всего, будут против использования информации об их здоровье, отдыхе и питании страховщиками при определении стоимости и покрытия страховки.
Еще одной проблемой станет разработка практических способов выражения индивидуумом своих преференций по поводу персональных данных, учитывая широкий спектр возможного использования и разнообразие контекстов, когда идут в ход личные данные. Невозможно прописать все правила игры заранее или принять закон, в котором будут предусмотрены все виды данных и потенциальные формы их применения. Бесполезно также просить людей потратить несколько часов и написать, как они относятся к использованию своих данных сейчас или в будущем.
Один из вариантов решения проблемы – разрешить людям делегировать выбор преференций организациям, которым они доверяют. Подобные организации будут осуществлять надзор за использованием данных с момента появления приложений и помогать регуляторам в проведении расследований. Если человек озабочен использованием его персональных данных рекламщиками, он может делегировать управление своими преференциями организации, специализирующейся на надзоре за деятельностью маркетинговых компаний. Если преференции пользователя изменятся или он будет недоволен работой организации, он сможет аннулировать свое согласие или передать эту работу другой структуре.
Для создания такой системы потребуются новые, инновационные законы и нормативные акты на национальном и международном уровнях, поскольку инфраструктура интернета существует вне национальных границ. Здесь примером вновь может послужить управление цифровыми правами: американский Закон об авторских правах в цифровую эпоху ввел в действие положения двух договоров, подписанных членами Всемирной организации интеллектуальной собственности в 1996 г., и создал механизмы, позволяющие федеральному правительству контролировать исполнение закона.
АКЦЕНТ НА ИСПОЛЬЗОВАНИИ И БОРЬБА СО ЗЛОУПОТРЕБЛЕНИЕМ
Большая часть случаев использования личных данных, вызывающих опасения у граждан, происходит в частном секторе. Но правительства тоже собирают, хранят и применяют персональные данные больше, чем когда-либо раньше, как показали прошлогодние разоблачения, касающиеся масштабов электронной слежки Агентства национальной безопасности США. Успех модели защиты частной жизни, сфокусированной на использовании данных, зависит от доверия к институтам и правовой системе, которые должны установить конституционные ограничения доступа правительственных структур к данным и слежки за гражданами. Если эти условия будут выполнены, сфокусированная на использовании данных модель защиты частной жизни только укрепит верховенство закона и ответственность правительства, поскольку поможет избавиться от неопределенности, окружающей использование персональных данных государством – регуляторов и власти будут стимулировать (а иногда заставлять) четко формулировать, что они намерены делать с собираемой информацией. Тот факт, что подобный подход будет разработан, по крайней мере в США является одной из многих причин, которые должны побудить американское правительство сделать все возможное, чтобы оправдать ожидания граждан и продемонстрировать законопослушность.
В более широком смысле, если политики и регуляторы сосредоточат внимание на использовании данных, а не только на их сборе, граждане получат больше власти. Такой подход позволит людям более уверенно контролировать значимую для них информацию. Их роль не будет сводиться к простому акту согласия – они получат право адаптировать свои преференции к происходящим изменениям и даже аннулировать свое согласие. Новая схема защитит людей от всего: от нежелательных контактов, от несправедливой дискриминации, от мошенничества и от кражи личных сведений. В то же время хранение огромных объемов информации принесет пользу отдельным гражданам и обществу в целом, поскольку экосистема данных, компьютерные возможности и новое передовое программное обеспечение будут развиваться и дальше.
