В последние дни на почту регулярно падают письма от разных компаний, приложений, сервисов и сайтов, которыми вы когда-либо пользовались или где заводили аккаунты. Письма примерно одинаковые — они сообщают об изменении политики конфиденциальности и разъясняют, как компания обрабатывает персональные данные.
Мы уже писали о том, что именно меняется в политиках обработки данных крупных IT-компаний: WhatsApp, Facebook, Instagram и Twitter. Теперь разбираемся, почему десятки писем от многих сервисов начали приходить только сейчас, после формального дедлайна по GDPR, почему не все компании смогли своевременно подготовиться к переходу и с какими проблемами они столкнулись.
/ фото Dennis van der Heijden CC BY
25 мая в силу вступил GDPR — Общий регламент по защите данных (General Data Protection Regulation). Он регламентирует защиту персональных данных жителей стран ЕС и заменяет собой Data Protection Directive, директиву от 1995 года.
GDPR затрагивает каждого, потому что распространяется не только на компании, зарегистрированные в Евросоюзе, а на всех, кто хранит, обрабатывает и использует ПД граждан ЕС.
Заранее начали готовиться компании, бизнес-модели которых сильно зависят от работы с ПД — например, Facebook ещё до ввода GDPR рассказал, что будет сделано для соответствия новому регламенту: всем пользователям предложат пересмотреть свои настройки приватности. Так же они смогут сами выбрать, готовы ли они делиться своей информацией для целей таргетированной рекламы, и если да, то какой именно. Кроме того, соцсеть планировала вернуть распознавание лиц, которое было отключено по решению суда, постановившего, что этот инструментарий соц.сети нарушает законы о персональных данных.
Но не все компании отнеслись к новому регламенту с таким же повышенным вниманием. Ponemon Institute в апреле провёл опрос среди тысячи компаний, половина из которых призналась, что к дедлайну они не будут готовы. Среди IT-компаний таких оказалось 60%.
В итоге многие действительно не смогли выполнить требования регламента в срок — хотя дедлайн был известен уже давно (итоговый вариант GDPR был опубликован еще 2 года назад). Согласно опросу, проведенному европейской компанией TrustArc год назад среди двухсот бизнесов из разных стран и индустрий, 61% компаний тогда ещё даже не начали готовиться к GDPR.
Многие компании не успели к дедлайну не только потому, что решили отложить всё до последнего. Есть и несколько относительно объективных причин.
И иногда он пересекается с локальными правовыми актами, касающимися обработки персональных данных. Юристы отмечают, что в предписаниях регулятора действительно очень сложно разобраться — и уж тем более перестроить свой бизнес так, чтобы им соответствовать.
Например, некоторые формулировки в ключевых для закона пунктах вызвали бурные дебаты: согласие на использование обычных персональных данных должно быть «unambiguous» (то есть недвусмысленным, понятным, однозначным), а согласие на использование «деликатных» персональных данных — «explicit» (четко обозначенным, исчерпывающим).
Но есть ли разница между этими двумя определениями и, как следствие, двумя «согласиями», и если да, то какая и в чем она должна выражаться в приложении к практике? Вопрос вовсе не праздный — от правильного (с юридической точки зрения) ответа на него зависит, например, как можно и как нельзя оформлять в интерфейсах подписи к чекбоксам, отмечающие согласие пользователя на обработку ПД.
/ изображение Giulia Forsythe PD
Кроме того, закон не учитывает локальную специфику: например, у разных стран разное отношение к персональным данным. Отчасти поэтому многие части закона намеренно обтекаемы — что создает пространство для разнообразия его трактовок.
А ещё некоторые пункты GDPR противоречат, например, российскому № 152-ФЗ «О персональных данных», что тоже создает трудности для российских компаний, которые так или иначе собирают и используют ПД европейских граждан.
Причем не только с точки зрения технологий, но и с точки зрения бизнеса. Некоторые компании боятся, что, если они расскажут пользователям, как именно они пользуются их персональными данными, люди никогда им их не отдадут.
Поэтому подход, который внедрила Facebook для получения пользовательского разрешения, в итоге раскритиковали: весь путь пользователя мотивирует его побыстрее согласиться с новыми правилами и продолжать делиться своей информацией с сервисом.
Кнопка «Согласиться и продолжить» самая красивая и заметная, и вот противоположное решение выглядит уже сложно: «Управлять настройками данных». Если на неё нажать, Facebook попробует сначала убедить пользователя оставить всё, как есть. Кроме того, Facebook лишает пользователя возможности делиться какой-то личной информацией у себя на странице, но при этом не разрешить соцсети пользоваться этой информацией в рекламных целях.
Кроме того, у маленьких и средних бизнесов часто просто нет технологических и кадровых ресурсов, чтобы разобраться в требованиях закона и сделать все необходимые приготовления — поэтому для них процесс приведения всех систем в соответствие с требованиями GDPR становится очень дорогостоящим.
Регламент разрабатывался и принимался несколько лет, поэтому многие представления о современном состоянии технологий в нем уже устарели: например, непонятно, что делать с Big Data и машинным обучением.
Так, GDPR требует прозрачности от алгоритмов машинного обучения — разработчики должны быть в состоянии объяснить, почему алгоритм принял то или иное решение. Иными словами, закон предписывает, что пользователь в любой момент может получить подробное объяснение механизма использования его персональной информации, чтобы принять информированное решение — соглашаться на это или нет.
В случае с алгоритмами на машинном обучении сделать это не так и просто — почему системы ИИ принимают именно это решение именно в этот момент иногда не могут объяснить даже его инженеры. Это не регулируется GDPR. И таких вещей будет становиться всё больше — закон придется постоянно обновлять, но на деле право будет всегда отставать от развития технологий.
Сложнее всего пришлось компаниям, которые разрабатывают умных ассистентов — Google Assistant, Alexa, Siri.
Эти сервисы всегда (пусть и в фоновом режиме) прослушивают всё, что происходит вокруг них — чтобы в нужный момент «проснуться» и выполнить команду по кодовому слову. Технология по-прежнему несовершенна — например, не так давно Amazon столкнулись с неожиданной проблемой: Alexa периодически начинала смеяться, потому что разбирала в окружающей её речи фразу «Алекса, смейся».
Звучит «смешно», но в рамках GDPR эта ситуация — серая зона, которую пока непонятно, как контролировать. Формально умные ассистенты не записывают звук и никуда его не передают — но недавний случай с той же Alexa, которая из-за технического бага передала аудиозапись личного разговора жильцов дома одному из контактов в телефонной книге, показывает, что ситуации бывают разными.
В таких случаях все будет зависеть от того, пострадали ли в итоге пользователи или нет: например, если информация не была использована и сервис быстро «среагировал» и удалил её. Сами разработчики Alexa пообещали улучшить алгоритмы распознавания голоса, чтобы такой маловероятный случай точно не повторился.
/ фото Oliver Henze CC BY-ND
Как работа таких сервисов будет регулироваться с точки зрения соответствия GDPR пока непонятно. Эксперты и журналисты сходятся во мнениях: вероятно, таким сервисам придется получать согласие от пользователей на то, что умный ассистент всегда слушает, всегда записывает и, возможно, передает информацию третьим лицам.
Что ждёт компании, которые не успели привести бизнес-процессы в соответствие с законодательством или нарушили его? Некоторые считают, что 25 мая был «мягкий запуск», и регулятор не будет преследовать компании, не успевшие к дедлайну (особенно если у них будут на то объективные причины). Хотя штраф за несоответствие регламенту уже обозначен, и он весьма значительный — до 4% годовой выручки компании.
Здесь есть, однако, затруднение — не весь контроль теперь лежит только на регуляторе. У самих пользователей тоже есть власть: например, они могут потребовать у сервиса получить, изменить или удалить всю свои ПД. Если эти процессы не налажены и сервис чисто технически не сможет удовлетворить требованиям пользователя, появляется риск судебного разбирательства, которое пользователь вполне может выиграть.
Многие эксперты до сих пор считают, что рынок не сможет полностью соответствовать требованиям GDPR Как минимум потому, что сфера сильно недоисследована — закон, хоть и правильный в своих намерениях, не затрагивает многих важных случаев и способов использования и хранения персональных данных. Если такие исследования (подробные и детализированные) всё же появятся, они станут хорошей базой для доработки закона.
Тем не менее, появление GPDR — важный показатель смещения приоритетов. Если раньше управление персональными данными было «теневой составляющей» практически любого бизнеса, и компании могли распоряжаться ими, как им вздумается, то теперь пользователи наконец получили хоть какие-то инструменты для контроля над собственными данными в Сети.
P.S. О чем еще мы пишем в Первом блоге о корпоративном IaaS:
P.P.S. Несколько материалов по теме из нашего блога на Хабре:
Мы уже писали о том, что именно меняется в политиках обработки данных крупных IT-компаний: WhatsApp, Facebook, Instagram и Twitter. Теперь разбираемся, почему десятки писем от многих сервисов начали приходить только сейчас, после формального дедлайна по GDPR, почему не все компании смогли своевременно подготовиться к переходу и с какими проблемами они столкнулись.
/ фото Dennis van der Heijden CC BY
Что происходит
25 мая в силу вступил GDPR — Общий регламент по защите данных (General Data Protection Regulation). Он регламентирует защиту персональных данных жителей стран ЕС и заменяет собой Data Protection Directive, директиву от 1995 года.
GDPR затрагивает каждого, потому что распространяется не только на компании, зарегистрированные в Евросоюзе, а на всех, кто хранит, обрабатывает и использует ПД граждан ЕС.
Заранее начали готовиться компании, бизнес-модели которых сильно зависят от работы с ПД — например, Facebook ещё до ввода GDPR рассказал, что будет сделано для соответствия новому регламенту: всем пользователям предложат пересмотреть свои настройки приватности. Так же они смогут сами выбрать, готовы ли они делиться своей информацией для целей таргетированной рекламы, и если да, то какой именно. Кроме того, соцсеть планировала вернуть распознавание лиц, которое было отключено по решению суда, постановившего, что этот инструментарий соц.сети нарушает законы о персональных данных.
Но не все компании отнеслись к новому регламенту с таким же повышенным вниманием. Ponemon Institute в апреле провёл опрос среди тысячи компаний, половина из которых призналась, что к дедлайну они не будут готовы. Среди IT-компаний таких оказалось 60%.
В итоге многие действительно не смогли выполнить требования регламента в срок — хотя дедлайн был известен уже давно (итоговый вариант GDPR был опубликован еще 2 года назад). Согласно опросу, проведенному европейской компанией TrustArc год назад среди двухсот бизнесов из разных стран и индустрий, 61% компаний тогда ещё даже не начали готовиться к GDPR.
?Почему так сложно соответствовать
Многие компании не успели к дедлайну не только потому, что решили отложить всё до последнего. Есть и несколько относительно объективных причин.
Закон очень сложный
И иногда он пересекается с локальными правовыми актами, касающимися обработки персональных данных. Юристы отмечают, что в предписаниях регулятора действительно очень сложно разобраться — и уж тем более перестроить свой бизнес так, чтобы им соответствовать.
Например, некоторые формулировки в ключевых для закона пунктах вызвали бурные дебаты: согласие на использование обычных персональных данных должно быть «unambiguous» (то есть недвусмысленным, понятным, однозначным), а согласие на использование «деликатных» персональных данных — «explicit» (четко обозначенным, исчерпывающим).
Но есть ли разница между этими двумя определениями и, как следствие, двумя «согласиями», и если да, то какая и в чем она должна выражаться в приложении к практике? Вопрос вовсе не праздный — от правильного (с юридической точки зрения) ответа на него зависит, например, как можно и как нельзя оформлять в интерфейсах подписи к чекбоксам, отмечающие согласие пользователя на обработку ПД.
/ изображение Giulia Forsythe PD
Кроме того, закон не учитывает локальную специфику: например, у разных стран разное отношение к персональным данным. Отчасти поэтому многие части закона намеренно обтекаемы — что создает пространство для разнообразия его трактовок.
А ещё некоторые пункты GDPR противоречат, например, российскому № 152-ФЗ «О персональных данных», что тоже создает трудности для российских компаний, которые так или иначе собирают и используют ПД европейских граждан.
Перестройка процессов
Причем не только с точки зрения технологий, но и с точки зрения бизнеса. Некоторые компании боятся, что, если они расскажут пользователям, как именно они пользуются их персональными данными, люди никогда им их не отдадут.
Поэтому подход, который внедрила Facebook для получения пользовательского разрешения, в итоге раскритиковали: весь путь пользователя мотивирует его побыстрее согласиться с новыми правилами и продолжать делиться своей информацией с сервисом.
Кнопка «Согласиться и продолжить» самая красивая и заметная, и вот противоположное решение выглядит уже сложно: «Управлять настройками данных». Если на неё нажать, Facebook попробует сначала убедить пользователя оставить всё, как есть. Кроме того, Facebook лишает пользователя возможности делиться какой-то личной информацией у себя на странице, но при этом не разрешить соцсети пользоваться этой информацией в рекламных целях.
Кроме того, у маленьких и средних бизнесов часто просто нет технологических и кадровых ресурсов, чтобы разобраться в требованиях закона и сделать все необходимые приготовления — поэтому для них процесс приведения всех систем в соответствие с требованиями GDPR становится очень дорогостоящим.
Закон уже не учитывает новые технологии
Регламент разрабатывался и принимался несколько лет, поэтому многие представления о современном состоянии технологий в нем уже устарели: например, непонятно, что делать с Big Data и машинным обучением.
Так, GDPR требует прозрачности от алгоритмов машинного обучения — разработчики должны быть в состоянии объяснить, почему алгоритм принял то или иное решение. Иными словами, закон предписывает, что пользователь в любой момент может получить подробное объяснение механизма использования его персональной информации, чтобы принять информированное решение — соглашаться на это или нет.
В случае с алгоритмами на машинном обучении сделать это не так и просто — почему системы ИИ принимают именно это решение именно в этот момент иногда не могут объяснить даже его инженеры. Это не регулируется GDPR. И таких вещей будет становиться всё больше — закон придется постоянно обновлять, но на деле право будет всегда отставать от развития технологий.
Сложнее всего пришлось компаниям, которые разрабатывают умных ассистентов — Google Assistant, Alexa, Siri.
Эти сервисы всегда (пусть и в фоновом режиме) прослушивают всё, что происходит вокруг них — чтобы в нужный момент «проснуться» и выполнить команду по кодовому слову. Технология по-прежнему несовершенна — например, не так давно Amazon столкнулись с неожиданной проблемой: Alexa периодически начинала смеяться, потому что разбирала в окружающей её речи фразу «Алекса, смейся».
Звучит «смешно», но в рамках GDPR эта ситуация — серая зона, которую пока непонятно, как контролировать. Формально умные ассистенты не записывают звук и никуда его не передают — но недавний случай с той же Alexa, которая из-за технического бага передала аудиозапись личного разговора жильцов дома одному из контактов в телефонной книге, показывает, что ситуации бывают разными.
В таких случаях все будет зависеть от того, пострадали ли в итоге пользователи или нет: например, если информация не была использована и сервис быстро «среагировал» и удалил её. Сами разработчики Alexa пообещали улучшить алгоритмы распознавания голоса, чтобы такой маловероятный случай точно не повторился.
/ фото Oliver Henze CC BY-ND
Как работа таких сервисов будет регулироваться с точки зрения соответствия GDPR пока непонятно. Эксперты и журналисты сходятся во мнениях: вероятно, таким сервисам придется получать согласие от пользователей на то, что умный ассистент всегда слушает, всегда записывает и, возможно, передает информацию третьим лицам.
Что будет
Что ждёт компании, которые не успели привести бизнес-процессы в соответствие с законодательством или нарушили его? Некоторые считают, что 25 мая был «мягкий запуск», и регулятор не будет преследовать компании, не успевшие к дедлайну (особенно если у них будут на то объективные причины). Хотя штраф за несоответствие регламенту уже обозначен, и он весьма значительный — до 4% годовой выручки компании.
Здесь есть, однако, затруднение — не весь контроль теперь лежит только на регуляторе. У самих пользователей тоже есть власть: например, они могут потребовать у сервиса получить, изменить или удалить всю свои ПД. Если эти процессы не налажены и сервис чисто технически не сможет удовлетворить требованиям пользователя, появляется риск судебного разбирательства, которое пользователь вполне может выиграть.
Многие эксперты до сих пор считают, что рынок не сможет полностью соответствовать требованиям GDPR Как минимум потому, что сфера сильно недоисследована — закон, хоть и правильный в своих намерениях, не затрагивает многих важных случаев и способов использования и хранения персональных данных. Если такие исследования (подробные и детализированные) всё же появятся, они станут хорошей базой для доработки закона.
Тем не менее, появление GPDR — важный показатель смещения приоритетов. Если раньше управление персональными данными было «теневой составляющей» практически любого бизнеса, и компании могли распоряжаться ими, как им вздумается, то теперь пользователи наконец получили хоть какие-то инструменты для контроля над собственными данными в Сети.
P.S. О чем еще мы пишем в Первом блоге о корпоративном IaaS:
- Что относится к персональным данным с точки зрения российского регулятора
- Персональные данные в облаке: принципы обработки
- Защита персональных данных: европейский подход
P.P.S. Несколько материалов по теме из нашего блога на Хабре:
Комментарии (13)
denisromanenko
13.06.2018 08:49Абсолютно правильный в текущих ситуациях закон. Технологии выходят из под контроля, и программисты делать с этим ничего не хотят. Ну может хотят, только не будут, бизнес требует от них новых плюшечек для Фейсбука.
«Закон уже устарел, биг дата и машинное обучение, что вы, это всё так умно, бело и пушисто, никаких непредвиденных ситуаций случится просто не может!».
В итоге может, случается, сливается. Уверен что скоро промышленный шпионаж через умную колонку будет обычным пунктом в прайсах хакерских форумов.
Пока что мы семимильными шагами движемся в мир киберпанка с преобладанием корпораций над государствами и личностью.sumanai
13.06.2018 12:44Абсолютно правильный в текущих ситуациях закон.
Посыл правильный, но мне почему-то кажется, что реализация приведёт к очередным баннерам на подобии согласия с куками, бессмысленным и беспощадным.denisromanenko
13.06.2018 13:01Вы когда банковским продуктом пользуетесь, вы же хотите получать полную информацию о том, что, сколько и когда надо платить и что делать?
Вот и с Интернетом стало так же — это теперь не библиотека с порнухой, а огромное сосредоточение вращающихся денег и пользовательской информации.
И не все понимают, как это устроено (вернее, 99 % посетителей интернета не понимают). И эти куки-баннеры — может быть не идеальны сами по себе, но постоянно привлекают внимание и обозначают для пользователей факт существования проблемы.
И когда пользователь, знающий о проблеме, найдёт больше информации об этом (уверен, сам факт куки-баннера привёл к огромной волне ликбез-статей в куче европейских журналов) — он будет уже знать и понимать чуточку больше.
И может в будущем прочтёт целиком лицензионное соглашение, а не прокликает его и попадёт как Кайл из Саус парка в анальное рабство Эппл.sumanai
13.06.2018 20:50Только это упоминание локально для сайта. Намного лучше было бы обязать делать это браузеры, один раз посмотрел, отключил, и дело с концом. А сейчас даже списки для блокировки не всегда помогают, вот не хочу я подобной информации, особенно в треть экрана и так небольшого мобильного телефона.
Kanut79
13.06.2018 10:36Некоторые компании боятся, что, если они расскажут пользователям, как именно они пользуются их персональными данными, люди никогда им их не отдадут.
Удивительно и с чего бы это вдруг? :)
BigBeaver
13.06.2018 10:38GDPR затрагивает каждого, потому что распространяется не только на компании, зарегистрированные в Евросоюзе, а на всех, кто хранит, обрабатывает и использует ПД граждан ЕС.
Может, я не достаточно внимателен, но по-моему, вопрос влияния на чужие юрисдикции не раскрыт в должной мере.solariserj
13.06.2018 11:52Закон Яровой лайт, Но обещали закрутить гайки ещё.
BigBeaver
13.06.2018 11:58Это все ладно, но что будет-то? Допустим, я в России обрабатываю данные европейцев, кладя при этом на GDPR. Что мне сделают?
Kanut79
13.06.2018 13:15Пока не совсем ясно и зависит от того как договорятся или не договорятся ЕС и Россия.
elmm
13.06.2018 13:52Выпишут штраф в несколько миллионов евро :) А как они будут взыскивать, это уже другой вопрос.
janitorrb
13.06.2018 11:02Юристы отмечают, что в предписаниях регулятора действительно очень сложно разобраться — и уж тем более перестроить свой бизнес так, чтобы им соответствовать.
С юристами тоже проблема. Не так много специалистов, которые шарят в этой теме и могут помочь консультациями. Есть опыт общения с несколькими юридическими компаниями – все очень плохо. По факту приходится самостоятельно разбираться в теме, ориентироваться на трактовки, которые предлагаются в статьях по теме в интернете. И очень много параноить, очень много…
Тема очень правильная, но старт очень сумбурный
Ridcally
Исследования уже начались (Max Schrems vs. Facebook, Google), и вопрос только в том, сколько сотен (тысяч?) «исследований» проведут только в этом году.