08.05.2014

Дэвид Мейер о “больших данных” и неприкосновенности частной жизни

В августе 2013 г. на сайте Gigaom было опубликовано интервью Александра Дикса (Dr Alexander Dix). Рассуждения известного эксперта актуальны для нас и сегодня, практически через год после публикации. Ниже – текст интервью Ф. Дикса “Этот человек считает, что большие данные и неприкосновенность частной жизни могут сосуществовать, и у него есть план” на русском языке). Вопросы задавал Д. Мейер.

Если Вы работаете в индустрии высоких технологий, в особенности в США, то, вероятно, не являетесь большим поклонником европейских чиновников, занимающихся вопросами неприкосновенности частной жизни. А немецкие регуляторы в этой сфере вполне могли бы фигурировать в Ваших кошмарных снах.

В конце концов, Германия – практически родина закона о защите персональных данных, и эта страна применяет данное законодательство более строго, чем любая другая страна Евросоюза – можете попросить Google, Facebook и Microsoft поделиться их опытом.

Так что знакомьтесь с д-ром Александром Диксом, возглавляющим в Берлине орган, контролирующий исполнение законодательства о персональных данных. Учитывая продолжающийся скандал вокруг действий американской разведслужбы АНБ (NSA) и то, что технологии «больших данных» вызывают новые опасения по части неприкосновенности личной жизни в коммерческом секторе, у нас было о чем поговорить – и хотя его позиция ожидаемо жесткая, она не бескомпромиссная.

D.M.: Развитие технологии «больших данных», по-видимому, принципиально конфликтует с обеспечением неприкосновенности частной жизни пользователей. Возможно ли иметь и то, и другое? Если мы не остановим или даже не повернём вспять прогресс в этой области, как мы сможем, тем не менее, сохранить неприкосновенность частной жизни?

A.D.: Принимая во внимание то, что не существует такой вещи, как абсолютная анонимность и абсолютная безопасность, – существуют более дружественные и менее дружественные решения в плане обеспечения неприкосновенности частной жизни. Я в этом отношении не стремлюсь к совершенству, и я действительно считаю, что в будущем можно будет использовать различные способы регулирования вопросов защиты частной жизни.

Возьмите анонимизацию. Это правда, что анонимизированные данные, с использованием определенных технических знаний и заплатив определенные деньги, можно – если не сейчас, то когда-нибудь в будущем – связать с физическими лицами. Но анонимизация не становится из-за этого бесполезным процессом. Её использование все равно лучше, чем попадание в Интернет персональных данных без какой-либо защиты, или же чем псевдонимизация данных, которая сейчас обсуждается в Брюсселе.

Признавая, что, наверное, спецслужбы всегда найдут способ контролировать поведение отдельных лиц, мы всё же не должны чересчур облегчать им эту задачу. И, если уж говорить о разведслужбах и мониторинге поведения людей, то основная проблема заключается в том, что такие организации, как АНБ, больше не используют целевой шпионаж – они собирают все данные, какие попадутся.

Они перестали вести нацеленный мониторинг – если бы они это делали, их поведение было бы гораздо более приемлемым. Они пытаются «стать хозяевами Интернета», регистрируя чуть ли не каждый шаг. Это переходит все мыслимые правовые границы, которые мы – по крайней мере, в Европе и, в частности, Германии, – считаем необходимыми для демократического общества.

D.M.: И каково же решение – является ли это делом политики, или же люди должны защищать неприкосновенность своей частной жизни с помощью технологических средств?

A.D.: Нам нужно и то, и другое. «Серебряной пули» – какого-то единого решения на все случаи жизни – сейчас нет.

С одной стороны, нам нужен больший международный консенсус в отношении того, где должны быть пределы мониторинга интернет-трафика и поведения людей. Нужно соглашение о том, какая обработка данных не допускается ни при каких обстоятельствах. Я знаю, это трудно, но это то, что нам нужно в первую очередь. Бывший руководитель немецкой секретной службы, по сути, призвал разведслужбы соблюдать определенные «правила игры», говорящие, что разрешается делать, а что должно быть запрещено.

На вспомогательном уровне нормативного регулирования следует выработать международные гарантии неприкосновенности частной жизни, наподобие Конвенции ООН о гражданских и политических правах. Это достаточно общая мера, но она была бы важным шагом. Есть ряд мер, которые можно использовать на национальном уровне. Во-вторых, нам нужны технические решения. Мы должны дать возможность отдельным пользователям делать всё, что в их силах, для защиты своего информационного обмена. Так что здесь нет какого-то одного, идеального решение, и мы должны использовать и те, и другие меры.

Правительствам также следует поддерживать и финансировать это направление – например, разработку бизнес-моделей и проведение исследований с целью улучшения инструментов для самозащиты интернет-пользователей, и, возможно, разработать своего рода европейскую модель облака, которое было бы более защищённым от действий спецслужб. Оно также могло бы стать конкурентным преимуществом для европейского бизнеса.

D.M.: Многие, особенно в ИТ-отрасли, говорят, что неприкосновенность частной жизни в нашу эпоху мертва, и о ней можно забыть. В этом вопросе они по сравнению с Вами находятся на противоположной стороне спектра мнений – что Вы можете на это сказать?

A.D.: Без разумной защиты частной жизни инновации будут невозможны. Инновации требуют защиты частной жизни потому, что значительное число людей, – по крайней мере, их критическая масса на рынке, – откажется принять и использовать инновационные технологии, если они не будут с самого начала учитывать вопросы защиты частной жизни.

D.M.: Законодательство о защите персональных данных – в Европе, по крайней мере – придает большое значение процессу сбора персональных данных, а не только тому, что с ними произойдёт впоследствии. Каким вы видите баланс в контексте технологий «больших данных», где осуществляется массовый сбор данных?

A.D.: Этап сбора данных имеет решающее значение. Любой массив персональных данных будет вызывать интерес – как законный, так и незаконный. Данные должны быть защищены от атак извне. Поэтому организации сами экономически заинтересованы ограничить сбор персональных данных, поскольку он, как минимум, влечёт за собой расходы, и в определенной степени вторгается в личную жизнь субъектов данных.

И я хотел бы оспорить мнение о том, что «большие данные» обязательно должны быть «большими персональными данными». В области научных исследований персональные данные очень часто не являются необходимыми. По большому счету, я считаю, что сбор данных нужно регулировать потому, что если этого не делать, все начнут строить заборы вокруг своим массивов данных и пытаться защитить их, – и часто уже будет слишком поздно. В этих заборах будут проделываться дыры, а технологии позволят их преодолевать. Всегда необходимо сначала задать себе вопрос: в какой мере Вам вообще нужны персональные данные?

D.M.: Вы ранее упомянули псевдонимизацию. Она может помочь?

A.D.: Псевдонимизация – это способ снижения персонализации данных. Например, у Вас может иметься набор персональных данных, которые вы собрали как ученый, и Вы хотите использовать эти данные в течение более длительного периода времени – скажем, хотите снова опросить тех же людей через три года.

Вы затем кодируете эти данные, присваивая каждому набору данных номер; у Вас может быть справочник, в котором указана связь между кодом и названием; и Вы можете передать этот справочник доверенному лицу. После этого данные можно обрабатывать как псевдонимизированные, и такая обработка может регулироваться менее жёстко, – хотя данные по-прежнему будут оставаться персональными. Возможно, что не нужно будет выполнять определенные требования по уведомлению об обработке.

Это очень важный инструмент системной защиты данных: способ уменьшить степень персонализации и тем самым обеспечить защиту данных, не делая их полностью анонимными. Такой подход предусмотрен в немецком праве, и мы пытаемся перенести эту идею на европейский уровень, донести её до Европейской Комиссии и даже до Европейского парламента – европарламентарий Ян Филипп Альбрехт (Jan Philip Albrecht), который, естественно, тоже немец, – взял это предложение «на вооружение».

Однако здесь также есть риски, поскольку отрасль -  ряд представителей частного сектора – пытаются использовать концепцию псевдонимизации данных для ограничения сферы применения законодательства о защите персональных данных. Они утверждают, что псевдонимизированные данные – это практически анонимизированные (обезличенные) данные.

D.M.: Когда вы говорите «отрасль», Вы имеете в виду американские фирмы?


A.D.:  Я говорил о немецкой промышленности.

D.M.: Многие говорят о решающем значении прозрачности – так, например, если Ваши данные собраны или обработаны спецслужбами, то они должны сказать Вам об этом спустя определенное временя. Является ли прозрачность ключевым фактором?

A.D.: Ну, немецкая секретная служба, в принципе, обязана проинформировать субъектов данных по завершении мониторинга, если тот не дал результатов. Если, конечно, они не скажут, что это вопрос национальной безопасности – что они часто и делают. Прозрачность важна, но опять же, это не «серебряная пуля».

D.M.: Как Вы считаете, есть ли способ удовлетворить все заинтересованные стороны?

A.D.:  Думаю, в конечном итоге потребуется компромисс. Ни одна из сторон не будет в полной мере удовлетворена. Я по-прежнему верю в возможность компромисса, который приведет к соответствующему реалиям 21-го века регулированию, способному продержаться, по крайней мере, 10-15 лет. Рассчитывать на 30 лет чересчур оптимистично (на это нацеливается Вивиан Рединг с её предложениями). Нам нужна модернизация, на этот счёт нет никаких сомнений.

D.M.: Если выделять основные принципы, на которых должно строиться новое законодательство в области защиты персональных данных, то каковы они?

A.D.: Один из основных должен быть принцип, что прослушивание телекоммуникаций и разговоров, вне зависимости от канала, должно быть исключением, а не правилом. Мне кажется, сейчас для британской разведслужбы GCHQ, как и АНБ, прослушивание является правилом.

Во-вторых, – и это относится и к операторам персональных данных – частным лицам, – это принцип минимизации данных. Сбор данных должен быть ограничен. Ключевым элементом должна стать защита персональных данных, заложенная в программные решения и продукты ещё на этапе проектирования. А также прозрачность.

D.M.: Это ведь те же самые принципы, что лежат в основе действующего европейского законодательства о защите персональных данных, не так ли? Достаточно ли их для того, чтобы решать новые проблемы?

A.D.: Они остаются в силе. Что действительно необходимо, так это детализировать эти принципы. Что, например, означает, «заложенная при проектировании защита неприкосновенности частной жизни» (privacy by design)? Как заставить разработчиков и производителей следовать этим принципам?

D.M.: И, наконец, что вы думаете о так называемом «праве быть забытым», которое хочет ввести Европейская Комиссия?

A.D.: Это попытка Европейской Комиссии реализовать право на стирание, на удаление персональных данных в киберпространстве. Это, по-моему, законная цель – если кто-то (как в Германии) имеет право на то, чтобы его персональные данные были уничтожены, это право должно распространяться и на онлайн-среду.

Техническая проблема заключается в том, что Интернет не забывает. Таким образом, Еврокомиссия использовала идеалистическую «этикетку». Фраза «право быть забытым» вызвала почти что философские дискуссии, особенно с экспертами из США, потому что у Вас существует конфликт со свободой самовыражения (freedom of expression) – хотя Европейская Комиссия в проекте нового законодательства предусмотрела гарантии этой свободы.

В конечном итоге, нам нужен новый протокол Интернета, допускающий удаление персональных данных. Посмотрите на службу Snapchat. Люди хотят иметь возможность отправлять фотографии, которые через какое-то время самоуничтожаются.  Это базовая потребность человека – нежелание всё время оставлять следы в сети.

Источники