Мир 04.09.2017 | Андре Ребентиш

Потеряли душу? Проверьте свои системные настройки
Защиту персональных данных следует немедленно усилить законодательно

(c) AFP 2017 — Раньше за душу боролись с дьяволом, сегодня же кое-кто добровольно расстается с ней в Интернете

В июне 2017 года провайдером глобальной сети Amazon Web Services в Интернете в открытом доступе были выложены персональные данные 198 млн зарегистрированных американских избирателей. Эта гигантская утечка данных вошла в число главных новостей. Все давно забыли, что еще в декабре 2015-го техасский эксперт по безопасности Крис Викери нашел в свободном доступе в другом месте 191 млн файлов американских избирателей.

Возможность надежного хранения больших массивов данных на практике вообще остается сомнительной. В сфере обработки данных предотвратить подобные сбои практически нельзя из-за комплекса причин. Возможно, провайдер Глобальной сети вообще не сделал ничего, что противоречило бы признанным правилам этого искусства. И все же за короткий промежуток времени мы столкнулись с двумя, наверное, самыми большими сбоями. Если данные о 198 млн человек размещены в одном-единственном месте, то последствия одного-единственного сбоя повлекут за собой отрицательные последствия как раз для 198 млн человек.

Возможность надежного хранения огромных массивов данных на практике вообще является сомнительной

В Европе защита данных, то есть защита персональных данных, согласно принципу информационного самоопределения, имеет статус гражданского права. Но ввиду того что сам по себе хороший принцип экономии данных, то есть хранения лишь такого объема, который нужен для соответствующего использования, реализовать становится все труднее, а избежать утечки данных невозможно, все чаще прибегают к так называемой псевдонимности данных. Псевдонимность – это политически корректное наименование обещания анонимности, которое, однако, не всегда удается выполнить. Скрытая идентичность нынче часто может быть раскрыта. С тех пор как существуют так называемые технологии обратного поиска по изображениям, черную полосу перед глазами можно сдать в архив. Реальных людей идентифицировать стало невероятно легко, если свести воедино все псевдонимные источники данных. Это работает по принципу системного поиска у полицейских.

Индустрия приложений еще больше обостряет эту проблему: «сеть для участия всех» превратилась в «сеть для отлавливания данных обо всех»: модель финансирования индустрии системных приложений основана на раскрытии персональных данных. Помимо этого наши смартфоны собирают очень точные данные о месте расположения и часто знают о наших жизненных привычках больше, чем мы сами.

Тем временем ЕС пытается при помощи Общего регламента по защите данных, который вступает в силу с мая 2018 года, заполнить значительные пробелы в существующем европейском законодательстве в этой сфере. На губительные последствия для свободной конкуренции между регионами в странах – членах ЕС, которые предоставляют концернам по обработке данных на своей территории меньший уровень защиты, Европа отвечает централизацией права и более суровыми штрафами. К тому же в настоящее время европейские законодатели работают над модернизацией защиты данных в режиме онлайн. Так называемый Регламент по конфиденциальности электронных данных должен вступить в силу в 2018 году одновременно с Общим регламентом. В этом специальном законе речь идет об общении в электронном режиме, чат-приложениях типа WhatsApp, которые за это время пришли на смену СМС, нежелательных электронных рекламных посланиях и преследовании пользователей при помощи куки браузеров.

Модель финансирования индустрии системных приложений основана на раскрытии персональных данных

Но этих законодательных проектов вряд ли будет достаточно, чтобы вернуть гражданам Европы контроль над своими данными, пока модель финансирования индустрии приложений будет основываться на подрыве их защиты. Ведь технические новшества в индустрии приложений уже существенно ослабили защиту данных, а законодатель с учетом темпов технического развития просто не поспевает за ними. Поэтому в законодательстве в первую очередь необходимо закрепить скорее на постоянно действующей, чем безупречной основе общие и сориентированные на будущее принципы.

Однако помимо законодательных решений с целью более эффективной защиты данных существуют и другие отправные точки, которые следует принимать в расчет. Назову три из них.

Во-первых, часто пользователи выбирают удобное для себя техническое решение и создают тем самым побочные эффекты для других. Используя, например, бесплатный электронный календарь с днями рождения, мы сообщаем даты рождения наших друзей в социальных медиа. Даже Совет ЕС на своем веб-сайте использует аналитическое программное обеспечение Google. Тем самым Совет получает возможность проще приводить свой веб-сайт в соответствие с запросами своих пользователей. Но цена, которую приходится за это платить, состоит в передаче коммуникационных данных граждан через онлайн-портал государственного учреждения. Эти данные получает предприятие, которое в качестве побочного продукта сбора данных в рекламных целях получает и сведения, имеющие разведывательную ценность, и сводит их воедино с данными из других источников. Для Совета ЕС и бизнеса предложения подобного рода удобны, но существуют и альтернативы. Во-первых, важным было бы развитие именно таких альтернативных вариантов.

Во-вторых, в мероприятиях «технической» защиты данных кроется большой и пока что преимущественно неосвоенный потенциал. В частности, создатели программного продукта нуждаются в системах координат, консультировании и руководстве, чтобы обеспечить большую надежность своих систем в плане защиты данных. В настоящее время правовая ситуация кажется разработчикам отчасти неясной и неоднозначной. Вместо предоставления разработчикам возможности самим искать способ действий, который соответствовал бы требованиям законодательства и защиты данных, следовало бы им это продемонстрировать. Очень ценными для разработчиков являются надежные рамочные примеры реализации стандартных ситуаций в распространенных языках программирования, используя которые они могут быть уверены в том, что действуют в рамках закона. Лишь в том случае, если органы власти сумеют показать, как выглядит безукоризненная в правовом отношении имплементация программного продукта или декларация о защите данных, можно надеяться на то, что такой же фокус удастся и тем, кто действует на рынке услуг.

В-третьих, государственные учреждения при помощи различных видов технического вмешательства в ключевых точках могут способствовать совершенствованию защиты данных даже в большей степени, чем сам законодатель. Из большинства инфраструктурных базовых технологий сети существует лишь немного значимых с практической точки зрения решений. Например, в случае с веб-серверами на рынке имеется лишь два-три значимых варианта. Стандартные настройки этих базовых решений – мощный рычаг, другим являются технические стандарты. Что удерживает Европейскую комиссию от того, чтобы инициировать заказ для промышленности на разработку норм и посредством общеевропейских технических стандартов гарантировать более надежную защиту частной сферы? С целью защиты частной сферы государству к тому же следовало бы оказать первоочередную поддержку разработок, открытых для различных источников базисных технологий, за счет заказов на осуществление исследований, сотрудничества и активной деятельности иного рода.

Наибольшая опасность неуклонного размывания наших основных прав по защите данных в настоящее время существует в сфере торговой политики

Наибольшая опасность непрерывного размывания наших основных прав по защите данных в настоящее время существует в сфере торговой политики. Здесь в настоящее время обсуждаются предложения, в случае реализации которых законодатель был бы обязан и в будущем воздерживаться от кажущихся рациональными решений, если бы они могли усложнить свободный поток данных. На кону стоит право государства на вмешательство с целью содействия защите данных. Например, при чтении раздела «Электронная торговля» запланированного к подписанию Договора об оказании услуг TiSA создается впечатление, что перед тобой перечень запретов на целесообразные государственные мероприятия в интересах пост-сноуденовской экономики. Прежде всего речь о спорном запрете на обязательное обнародование исходных кодов в сфере государственных закупок и локализации программного обеспечения данных, то есть «обязательного местонахождения» данных. Представьте себе, например, что электронные данные эстонского правительства размещаются в облачном хранилище памяти, а провайдер такого хранилища имеет свой дата-центр в России, и дело доходит до политических трений между этими двумя странами.

За всем этим стоит, в частности, и страх перед будущим цифровых концернов, оперирующих на трансатлантическом пространстве. Например, нам известно, что в высшей степени чувствительные данные SWIFT о европейской системе платежей, которые отражаются в центре данных в США, могут без запроса оцениваться там государством с целью борьбы с терроризмом. Очень щепетильное политическое решение, ведь посредством данных SWIFT можно осуществлять промышленный шпионаж и политический шантаж в невиданном масштабе.

После того как Европейский суд в деле Schrems пришел в итоге к Декларации Safe Harbor, которая обеспечила возможность оттока данных граждан ЕС в США, Европейская комиссия постоянно вела переговоры с администрацией Обамы о новом соглашении под названием Privacy Shield («Щит конфиденциальности»). Многие наблюдатели считают, что и эта новая временная мера будет устранена в суде, тем более с учетом нежелания президента Трампа реализовать обещания своего предшественника в должности.

Без такого соглашения отток персональных данных из Европы в США станет незаконным с очень дорогими последствиями для концернов, оперирующих в трансатлантическом масштабе. Поэтому предпринимаются попытки заблаговременно наложить запрет на все ограничения свободного потока данных, в том числе и на защиту данных как разновидность нетарифных ограничений торговли. Европа поступила бы неразумно, если бы, пользуясь уважением в сфере торговой политики, приняла ограничения вроде раздела об электронной торговле в договоре TiSA или же идентичных по содержанию положений в соглашении между Японией и ЕС, которые бы словно бетонное кольцо сомкнулись вокруг полномочий на свободу действий в этой сфере наших правительств.

В будущем нам придется больше задумываться над возможностями и рисками для общества в связи с деятельностью картелей по сбору данных. Оказалось, что подход, при котором защита персональных данных отдается на откуп одобрению отдельных пользователей «под их личную ответственность», давно оказался недостаточным. Уже нынче многие разработчики приложений, не жалея расходов, пытаются хитростью получить согласие пользователей на любое применение данных. Многочисленные ловкачи в общих условиях пользования различных приложений просят пользователей об уступке прав на их бессмертную душу, а те по привычке подтверждают такую сделку с дьяволом. Образовательная деятельность в сфере цифровых технологий и просвещение потребителей в структурном отношении мало что изменят, поскольку пользователи часто действуют сознательно. Предприятия попросту покупают их гражданское право на защиту данных, а в придачу к этому получают бесплатно еще и душу.

Андре Ребентиш

Берлин

Андре Ребентиш (André Rebentisch) работает консультантом по программному обеспечению в Берлинской компании по разработке технологий диалогового интерфейса. Он принимал участие в разработке европейского законодательства в Брюсселе и Страсбурге для малых и средних предприятий в сфере электронной промышленности, в том числе и Общего регламента ЕС по защите персональных данных, а также стандартов открытого доступа к данным документооборота и календарным данным. Ежегодно устраивает платформу для обмена инновациями между разработчиками и создателями программных продуктов OpenTechSummit.

Другие статьи автора

Понравился материал?

Загрузите приложении IPG для Android и iOS

Подписывайтесь на рассылку прямо сейчас.

Да, я хочу получать рассылку IPG