Уроки Cambridge Analitica и европейский регламент по защите данных. Надежно ли защищена личная информация?

Уроки Cambridge Analitica и европейский регламент по защите данных. Надежно ли защищена личная информация?
871

25 мая 2016 года Европейским парламентом был принят Общий регламент по защите данных (General Data Protection Regulation, GDPR). И вот, спустя ровно два года, законодательство вступило в силу. Теперь европейские компании обязаны получать от своего клиента (пользователя) осознанное и недвусмысленное согласие на обработку персональных данных. Общий регламент по защите данных вступает в силу, когда еще не утих скандал между Cambridge Analitica и Facebook по поводу утечки персональных данных 50 млн пользователей соцсети во время последних президентских выборов в США. Учтены ли в GDPR ошибки, допущенные Facebook в ситуации с утечкой данных?


GDPR касается не только резидентов ЕС, но и компаний, которые работают на рынке ЕС и в ходе своей деятельности собирают или обрабатывают персональные данные европейцев. GDPR может применяться к украинским IT-компаниям, в частности компаниям предоставляющим услуги программного обеспечения (т.н. software as a service), услуги облачного сервиса. Международные IT-корпорации, которые работают в ЕС и Украине также пересматривают свои политики конфиденциальности.

Под персональными данными мы, прежде всего, подразумеваем ФИО, дату рождения места проживания и т.д. Набор биографических данных. Европейцы определили, что персональными данными есть любая информация, которая идентифицирует персону, а также имеет отношение к идентифицированной персоне. Религиозные убеждения, политические взгляды, сексуальная ориентация и т.д. Но и это не все. К персональным данным относятся и сведения о том какие сообщения вы «лайкали», какое время задерживались на том или ином сайте, какие запросы вводили в поисковике. Все что называют Big Data также персональные данные. Например, данные геолокации с вашего мобильника, то есть места где находитесь в GDPR определены как персональные данные и организация, которая их собирает (controller) или обрабатывает (processor) должна получить четкое согласие от вас.

Скандал вокруг Cambridge Analitica красочно показал, что Big Data в умелых руках можно эффективно использовать как на благо, так и в ущерб интересам пользователей или контрагентов. Big Data в арсенале опытного маркетолога, политтехнолога — как скальпель в руках хирурга. Можно вылечить, можно убить. Но точность хирургическая. Поэтому теперь, в соответствии с GDPR, компании должны четко информировать клиента о целях сбора и обработки персональных данных. Передача таких данных третьим лицам для обработки должна проходить строго в соответствии с законом.

Facebook, Google, Instagram и подобные платформы не благотворительные организации. На сборе персональных данных они как раз и зарабатывают. Правильнее сказать на рекламе, основанной на персональных данных. В 2017 году доход Google от рекламы составил более 95 млрд. дол. США, доход Facebook — почти 40 млрд.

Пользователи сами сообщают базовую информацию (имя, пол, возраст и т.д.) когда регистрируют аккаунт. Сами же пользователи дают разрешение на обработку персональных данных. Совместив такую информацию с предпочтениями и интересами клиента (запросы, «лайки», участие в сообществах) и подкрепив данными геолокации с мобильных устройств идентифицированной персоны, рекламные агентства и маркетологи получают едва ли не стопроцентное попадание в целевую аудиторию. Речь идет о мощнейшем инструменте — таргетированная реклама. Человек едва успел набрать в поисковике фразу «куплю бронзового коня», как во всех окнах его браузера уже появились рекламные сообщения и баннеры, где предлагаются “с крыльями и без”. И будут продолжать появляться еще неделю после того, как человек товар купит. Соцсети знают на каких страницах вы бывали и что там делали. Big Data легко конвертируются в большие деньги или политические дивиденды.

Подстраиваясь под GDPR поставщики глобальных интернет-сервисов существенно переработали политики конфиденциальности. Сегодня пользователь Facebook может отключить в своих настройках плагины, которые занимаются подбором контекстной рекламы. И вся «слежка» за действиями в сети, видимо, прекратиться (я в этом, кстати, не уверен). По крайней мере это будет так выглядеть. Но пользователь все-равно получит рекламу. Единственное, что она не будет коррелироваться с интересами данного пользователя. Выбор в чем? Получать таргетированную рекламу или любую рекламу? Сейчас подход напоминает ситуацию из фильма «Подкидыш», где героиня Фаины Раневской спрашивала: «Девочка ты чего хочешь: чтобы тебе голову оторвали или ехать с нами на дачу»? Все клиенты Facebook и дальше «едут на дачу». С точки зрения институалистической экономической теории ущерб от трансакций (утечка данных из Facebook) не перекладывается на сторону, которая могла бы с этим эффективнее справиться. Соцсети не предложили альтернативного решения. Например, чтобы клиенты вносили абонплату, а взамен получали доступ к сервису без рекламы и без использования персональных данных для рекламных и каких-либо других целей.

После прецедента с утечкой данных из Facebook пользователи соцсетей вправе требовать более широкого выбора. Не исключено, что найдется достаточное количество людей, которые скажут: «я не хочу платить за сервис своими личными данными, я готов заплатить деньги сервису, но хочу чтобы мои персональные данные, мои нигде не использовались». Но к такому решение, видимо, еще нужно будет прийти.