Персональные данные как плата. Чеклист.

Ученые и бизнесмены охотятся за вашими данными.

Все течет и все меняется — и то, что раньше можно было монетизировать только как нетворкинговую ценность владельца визиток важных людей (с чем рано или поздно сталкивается каждый журналист, ведь не все телефоны можно получить через соцсеть и персональный блог), сейчас оценивается, покупается и продается как полноценный актив — вместе, в розницу, в агрегированном виде через дата-банки, после ликвидации компании, или же в обмен на игровые мелочи у субъекта данных направления.

Персональные данные существуют сейчас в двух измерениях: как реальные данные картотек (другими словами — отражены на бумаге) о конкретном лице, и как совокупность информации и метаданных в Интернете, продуцируемых пользователем Интернета и различными технологическими устройствами (девайсами, в частности, в рамках Интернета) и программным обеспечением.

В первом случае информация о личности собирается преимущественно в целях выполнения законодательства или проведения исследований — например, социологических, психологических, статистических, образовательных и др. Такой сбор обычно регламентирован законодательством (если это сбор информации для внесения в государственные реестры), локальными актами (данные библиотек о постоянных посетителей, которые могут брать книги на абонемент, или локальные правовые акты по учету в отделах кадров на предприятии) или проспектами исследований, в которых четко описывается цель (цель) и способ обработки этой информации, и такая информация часто деперсонализируется или скрывается как часть охраняемой законом тайны (лекарственной или учитывая этические стандарты внутри научного комьюнити).

Стоит заметить, что персональные данные сегодня все больше переводятся в форму различных баз данных, часто расположенных на серверах в дата-центрах и доступных через Интернет. В таком случае особую важность приобретает обеспечение надлежащего состояния защиты полученных персональных данных и внимание к правильности их обработки, сделает невозможным вмешательство в них непредвиденных алгоритмов обработки или артефактов программного обеспечения, вредных действий третьих лиц или случайное уничтожение или повреждение данных, — это может исказить процесс их обработки и привести к нежелательным или ошибочных результатов, или даже к нарушению законодательства о недопущении дискриминации или раскрытия охраняемой законом тайны (усыновления, защиты свидетелей, голосования и т.д.).

Учитывая особенности процесса передачи данных (то есть их разделения на пакеты), а также принимая во внимание порядок отражения и легкость копирования и перемещения данных, которая возможна в результате фрагментации их на пакеты и неочевидности этапов передачи и обработки данных для обычного потребителя Интернет-услуг, и невещественности персональных данных, как блага, которое может обмениваться на другие без обезличивания их владельца, важно обратить особое внимание на защиту персональных данных.

Программное обеспечение и протоколы Интернета не вышли бы за пределы лабораторий и университетских исследовательских центров, если бы не было экономической ценности и возможности коммерциализации благодаря монетизации доступа к ним, так и в результате оказания услуг или продажи товаров с его помощью. Поэтому не менее важным является и вопрос защиты персональных данных с учетом той стороны их природы, которая позволяет использовать персональные данные как экономическое благо.

Как монетизировать данные ваших пользователей?

В СМИ (особенно тех, которые враждебно настроены к большим интернет-гигантов вроде Google или Facebook) часто можно встретить убеждение, что именно данные (в том числе и персональные данные) является основным способом получить прибыль для большинства технологических компаний и широко используются в маркетинговых целях и преступной деятельности.

Среди способов использования персональных данных о пользователе популярность давно получила модель, когда данные выступают в качестве оплаты (data-as-payment) и data freemium, которые предлагают готовый продукт без ограничений в функционале (или с доплатой за некоторые дополнительные функции, не является главной функцией , вроде отключения рекламы в Dropbox или доступа к возможности узнать о посетителях в профиле пользователя на LinkedIn) в обмен на то, что компания будет через этот продукт собирать данные о его пользователях и использовать эти данные для перепродажи — например, таргетированной рекламы.

Этот подход распространен среди социальных сетей (Facebook, Instagram, Google) и некоторой ИВТ-продукции (т.е. вещей материального мира, подключаемых к сетям «Интернета вещей» — «умных» домов, автомобилей, бытовой техники, мебели, игрушек и т.д. с доступом к Интернета), которые распространяются фактически бесплатно или за бесценок.

Другим способом монетизировать персональные данные своих пользователей является модель платы за приватность (pay-for-privacy), которые предлагают приватность и безопасность данных как дополнительное благо, за которое надо доплатить, в то время как дешевая модель этого же продукта будет заведомо менее безопасна и открыта для передачи данных о пользователе.

Можно выделить модели «приватность как роскошь» (privacy-as-a-luxury-model), когда товар промотируется как дороже, так как более сфокусирован на приватности и безопасности, чем его конкуренты, и «приватность вместо скидки» (privacy-discount) , когда пользователи поощряются снижать свои требования к приватности в обмен на скидку в цене подписки или цене продукта.

Кроме формально законных способов использования персональных данных в качестве оплаты (некоторые экономисты считают модель оплаты «данные как оплата» вводящими в заблуждение потребителей, поскольку те в силу относительной новизны этой модели и слабого представления о важности и ценности получения данных о них и прибыльность использования для перепродажи), разрабатываются и более социально приемлемые и «прозрачные» способы использования персональных данных как средства платежа.

Однако персональные данные используются как экономическое благо и при совершении многих видов преступлений. Например, широко известно похищение и продажа номеров кредитных карт («кардинг»), номеров социального страхования, коммерческий взлом учетных записей в соцсетях и кабинетах пользователя в банках и государственных реестрах, похищения клиентских баз и списков поставщиков, для подделки документов, выдача себя за другое лицо, шантажа, покупки оружия, наркотических веществ и детской порнографии со счетов другого лица, перепродажи информационным банкам и брокерам и других способов использовать эти данные или как товар, или как средство получить другие экономические блага.

Персональные данные и приватность также исследуются как публичное благо и сравниваются с такими ценностями как национальная безопасность и чистый воздух.


Выйти из сумерек: легализация монетизации персональных данных

Итак, персональные данные, учитывая их ценность и важность является предметом защиты, как с точки зрения права (путем запрета обработки или сбора информации для определенных видов деятельности или действия других правил по их защите, выраженные в совокупности правовых актов), так и с точки зрения социальных норм (осуждение со стороны общества лиц, которые преследуют других членов общества («киберсталкинг», «кибербуллингу»), вмешиваются в их личную жизнь и корреспонденцию, выливается в принятие соответствующих правовых актов).

Программное обеспечение выступает не только способом предотвратить вмешательство или обезвредить его, но и может сформировать представление о правильном и неправильном поведении данным, что повлияет на общественную опасность операций с данными и переосмысления ответственности за правонарушения, связанные с ними, учитывая их распространенность и особо опасные последствия. Экономические отношения по поводу персональных данных, в свою очередь, также могут выступать как первоисточником идей о правильном регулирования взаимодействия с данными, так и отвечать на уже имеющееся регулирования путем подстройки к новым условиям или образованием «серых» и «черных» зон и рынков.

Что же делать легальным дата-банкам и компаниям, занимающимся сегментации рынка?

Вот несколько простых советов:

  1. Пересмотреть порядок приобретения своих активов: насколько законно персональные данные попадают к вам и обрабатываются?
  2. Исследовать свою аудиторию и восходящие пути: кто использует предоставленные дата-банком данные и с какой целью? Имеют ли доступ посторонние? Не ухудшают сомнительные клиенты гудвилл компании-кластеризатора?
  3. Провести data breach risk assessment и исследовать, как повлияют нарушения защиты на компанию и на клиентов компании.
  4. Привести свою деятельность в соответствие с последними стандартами охраны и защиты персональных данных от утечек и краж: построить полную карту движения персональных данных и устранить слабые места.
  5. Построить доверительные отношения со своим надзорным органом: разработать быструю и эффективную систему реагирования на запросы пользователей о нарушении приватности и заручиться советами своего надзорного органа по рисковым мест.
  6. Поддерживать контакты с опытными специалистами и юристами, работающими в сфере personal data & consumer protection.

Как известно каждому, кто желает обхитрить настройки конфиденциальности банковского счета вашей богатой тетушки, «жертва должна верить, что ты — ее друг». Храните гигиену собственных персональных данных, не давайте своим пользователям легкомысленно отдавать чужие номера из своей телефонной книги и научите своих работников не скачивать рефераты рабочих хостов. Stay safe!

    Твой вопрос ІТ юристам


    Хочешь получать крутую инфу по IT-праву,
    без спама и надоедливых акций?