Нове законодавство ЄС про дані: зміни чекають не лише на веб-простір

Користувачі мережі вже давно замислюються над тим, що Google і Facebook знають про них, і хто ще може отримати доступ до їх персональних даних. Але навіть після гучних скандалів зі збором персональних даних сторонніми розробниками, інтернет-гіганти не поспішають давати розгорнуті відповіді навіть на такі прості питання «Чому мені показують цю рекламу?». Про зміни рівноваги, запроваджені на законодавчому рівні, які очікують нас усіх з 25 травня, – в адаптованому перекладі статті з ресурсу Wired.

ЗРЗД

Наприкінці весни набирає чинності «Загальний регламент захисту даних» – ЗРЗД (також зустрічається абревіатура ГДПР, що походить від англійської GDPR – General Data Protection Regulation), новий Закон ЄС про конфіденційність, яким обмежуються процеси збору й обробки персональних даних. У центрі уваги документа – користувачі, які повинні знати, розуміти та давати згоду на процес збору даних про них. Згідно із новою правовою нормою численні сторінки тексту дрібним шрифтом більше не пройдуть; не можна більше змусити користувачів натискати кнопку «Так» для реєстрації. Натомість компанії зобов’язані надавати чітку, зрозумілу й стислу інформацію про процес збору й використання персональних даних, як от повного ім’я, домашньої адреси, даних про місцеперебування, IP-адресу або ідентифікатор, що відстежує використання веб-сторінок і додатків на смартфонах. Компанії повинні пояснити, чому збирають дані, і чи будуть ці дані використовуватися для створення профілів дій і звичок людей. Ба більше, користувачі отримають право доступу до даних про себе, які зберігають компанії, право виправляти неточну інформацію та, зокрема, право обмежувати використання прийнятих алгоритмами рішень. Закон захищає фізичних осіб у 28 країнах-членах Європейського Союзу, навіть якщо дані обробляються деінде. А це означає, що ЗРЗД застосовуватиметься до онлайн-видань, банків, університетів, безмежної когорти так званих рекламно-технологічних компаній (тобто компаній, які займаються веб-рекламою), і гігантів Кремнієвої долини.

На своєму сайті Європейська комісія стверджує, що завдяки введенню в дію нового закону будь-яка соціальна мережа зобов’язана виконувати запит користувача видалити фотографії, які користувач розмістив у неповнолітньому віці, та інформувати пошукові системи й інші веб-ресурси, що послуговувалися цими фотознімками, про їх видалення. Комісія також зазначає, що, приміром, служба короткострокового прокату автомобілів може вимагати ім’я користувача, його/її адресу, номер банківської картки, дані про особливі потреби, але не може вимагати інформацію про расу (згідно із ЗРЗД застосовуються суворіші вимоги щодо збору «особливих категорій персональних даних», тобто тих, що стосуються расової, релігійної, політичної приналежності та сексуальної орієнтації).

Читайте також, як Google реалізовує «право бути забутим»

Процес розпочато

ЗРЗД вже сприяв змінам у практиці збору й обробки даних. У червні компанія Google оголосила, що припинить вивчати електронні листи Gmail для персоналізації оголошень (компанія переконує, що ці дії не пов’язані із ЗРЗД, їх мета – гармонізація користувацьких і бізнес-версій Gmail). У вересні та сама компанія переробила інформаційну панель конфіденційності, вперше запущену ще в далекому 2009 році, зробивши її зручнішою для користувачів. У січні Facebook оголосив про розробку власної інформаційної панелі конфіденційності, яку ще не запустили. Хоча закон застосовується лише в Європі, компанії запроваджують глобальні зміни, адже це простіше, ніж створювати різні системи для різних географічних груп.

Нова правова норма впливатиме не лише на веб-гігантів. У березні рекламно-технологічна компанія Drawbridge, яка стежить за користувачами на різних пристроях, заявила, що поступово припинить свою рекламну діяльність в ЄС, оскільки не зрозуміло, як цифрові рекламодавці можуть отримати згоду користувачів. Інформаційний брокер Acxiom, який надає інформацію про більше, ніж 700 млн людей, отриману на основі даних про виборців, характерних ознак онлайн-покупок, реєстрації транспортних засобів та інших джерел, переглядає свої інтернет-сервіси в США та Європі, на яких користувачі можуть бачити, яка інформація про них доступна компанії.

«– ЗРЗД задасть тон захисту даних у всьому світі на наступні 10 років», – говорить Шила Колклейже (Sheila Colclasure), провідний спеціаліст з питань етики даних в Acxiom.

Акцент закону на згоді, контролі та чітких поясненнях може спонукати користувачів до кращого розуміння тих процесів, відповідно до яких здійснюється відстежування в інтернеті, та їх зміни. З моменту виникнення комерційного веб-простору компанії були зацікавлені у накопиченні даних та їх монетизації згодом. Закон суттєво вплине на економіку галузі.

Чому захист даних важливий?

Сьогодні необхідність прозорості й підзвітності – гіперактуальна. Колись один клік мишею на незрозумілому документі про умови обслуговування здавався тривіальним. Адже переваги було значно більшими, ніж недоліки, до яких, здебільшого, відносилася лише якась дратівлива реклама черевиків на веб-сторінках. Однак, викриття останнього часу показали, як ті ж самі особисті дані можуть використовуватись у якості зброї, придушуючи голоси представників меншості, радикалізуючи білошкірих молодиків, використовуючи політичні переконання для розщеплення суспільства і, можливо, змінюючи результати демократичних виборів. В інформаційному звіті під назвою «Корпоративне спостереження у повсякденному житті» (Corporate Surveillance in Everyday Life) дослідниця Вулфі Крістл (Wolfie Christl) надає графічне зображення того, як особисті дані використовуються для впливу на поведінку та визначають, яку продукцію ви бачите, до яких послуг маєте доступ, і скільки за них платите. «Кожного разу, коли людина клацає мишею, компанії намагаються з’ясувати, чи вона варта їхньої уваги, чи ні» – пояснює Крістл.

Більшість закріплених у ЗРЗД прав щодо захисту даних вже існували в ЄС, але не існувало механізму їх примусового виконання. ЗРЗД стандартизує права щодо захисту даних у всіх країнах ЄС, озброюючи регуляторні органи, а на порушників чекають штрафи у розмірі до 4% річного глобального доходу. Для Facebook це $1,6 млрд, для Google – $4,4 млрд.

Інша сторона медалі

Звісно, є й ті, кому закон не до душі, хто обвинувачує ЗРЗД у надмірному протекціонізмі з боку ЄС, у виклику американським технологічним платформам у царині антимонопольного законодавства та конфіденційності. Існують сумніви щодо вартості застосування положень закону. Згадувана Колклейже з компанії Acxiom називає галузь даних основою «безкоштовного контенту та безкоштовних знань» у мережі.

«– Вибір простий: користувач або платить за контент, або отримує його безкоштовно, але з рекламними оголошеннями», – пояснює фахівець.

Є в законі і потенційні лазівки. Компаніям дозволяється обробляти персональні дані без згоди з обмежених причин, до яких, зокрема, відносяться «законні інтереси» компанії, які, за твердженням Єврокомісії, включають «прямий маркетинг» поштою, електронною поштою або онлайн-рекламу. Утім, навіть у такому випадку компанії повинні враховувати очікування користувачів щодо використання їх даних і не можуть порушувати інші права користувачів, гарантовані ЗРЗД. У цифровій сфері споживачі ЄС також отримують додатковий захист завдяки «Директиві про онлайн-конфіденційність» (ePrivacy Directive), яка регулює електронне спілкування. Відповідно до цих правил, що нині перебувають у процесі ратифікації, згода є єдиною юридичною підставою для збору персональних даних.

Все – у руках користувачів

Девід Мартін (David Martin), старший юридичний працівник Європейської організації споживачів, такої собі материнської організації, яка охоплює 43 групи споживачів, вважає, що лобісти технічних компаній працюють над впливом на керівні принципи інтерпретації ЗРЗД та послабленням формулювання Директиви про онлайн-конфіденційність. Уникнення – не варіант. У 2017 році дохід компанії Facebook від одного користувача в Європі зріс на 41% у порівнянні з попереднім роком і склав $8,86. Темпи зростання були швидшими, ніж у будь-якому іншому регіоні.

Роб Шерман (Rob Sherman), заступник начальника відділу з питань конфіденційності Facebook, прокоментував: «Цього року всі користувачі Facebook побачать вдосконалення доступних їм інструментів і засобів захисту конфіденційності. Окрім ЗРЗД, ми розглядаємо цілісну картину з метою зрозуміти, як ми можемо надати людям більше контролю та здатність усвідомити, яким чином використовуються їхні дані».

У 2017 році компанія Google опублікувала таку заяву: «… [ми] маємо намір дотримуватися ЗРЗД у рамках всіх послуг, які ми надаємо в Європі», включно з пошуковиком Google, електронною поштою Gmail та всіма рекламними сервісами».

Активісти конфіденційності вважають, що набрання чинності законом запустить ланцюгову реакцію інших змін, адже подібні прецеденти вже є: судовий позов, поданий проти Facebook у 2013 році австрійським адвокатом та активістом із захисту конфіденційності Максом Шремсом (Max Schrems), призвів до скасування принципів угоди «Безпечна гавань» (Safe Harbour, угода, за якою передбачалася спрощена процедура передачі персональних даних між компаніями ЄС та США), хоча остаточного рішення у справі Шремса ще не було винесено. У листопаді Шремс запустив некомерційну компанію «Не твоя справа» (None of Your Business), яка буде використовувати ЗРЗД для «протистояння гігантам на кшталт Facebook, Google й іже з ними командою висококваліфікованих та мотивованих юристів і фахівців з інформаційних технологій». Пол-Олів’є Дехає (Paul-Olivier Dehaye), математик і співзасновник PersonalData.IO, застосовує закон про захист даних Великобританії з метою допомоги фізичним особам отримати доступ до персональної інформації, обробленої компанією Cambridge Analytica, яку обвинуватили у порушенні норм захисту даних, що зачіпає більше, ніж 50 млн користувачів Facebook.

Остаточний вплив ЗРЗД залежатиме від того, наскільки активно користувачі застосовуватимуть свої нові права. Останні тенденції свідчать про дедалі більшу зацікавленість приватністю. Використання блокувальників реклами та приватних віртуальних мереж (VPN) зростає в США та інших країнах. Корпорації відреагували на попит: у серпні компанія Mozilla представила Firefox Focus – приватний мобільний браузер, а у вересні компанія Apple додала блокування відстеження до браузера Safari.

Фатемех Хатіблу (Fatemeh Khatibloo), головний аналітик компанії Forrester, вважає, що кінцевим результатом буде більш прогресивна практика збору даних. За її словами, користувачі будуть шоковані, довідавшись про кількість файлів «кукі», трекерів і рекламних серверів на веб-сторінках, які вони відвідують. За результатами опитування, проведеного Хатіблу в серпні серед користувачів у Великобританії, 51% респондентів заявили, що вони хоча б з невеликою імовірністю скористаються своїми новими правами за ЗРЗД. Найпоширенішим наведеним прикладом стало видалення даних. Утім, Хатіблу скептично ставиться до того, що ЗРЗД «відверне» користувачів від популярних інтернет-сервісів.

«– Користувачі розуміють цінність обміну власних даних на безкоштовні послуги, які вони прагнуть отримувати безперебійно, – вважає фахівець. – ЗРЗД проливає дуже яскраве світло на деякі аспекти обробки даних, про які люди не знають, але я не думаю, що результатом застосування закону стане зменшення кількості користувачів Facebook».

Багато чого може залежати від того, яким чином компанії проситимуть згоди. У вересні компанія PageFair, яка допомагає рекламодавцям обходити блокуванням реклами, провела опитування, в якому користувачам надавалась можливість вибору відстеження, як от «погодитись лише на відстеження першою стороною» або «відмовитись від відстеження за винятком тих випадків, коло воно є обов’язковим для надання жаданих послуг». З 300 опитаних лише близько 5% погодились на всі форми відстеження. Маркетингова фірма Criteo прагне до чогось менш нав’язливого. У січні журнал Digiday опублікував зразок інтерфейсу згоди, яку тестувала Criteo: невеликий банер у нижній частині сторінки, у якому користувачам повідомлялось, що, натиснувши на будь-яке посилання на сторінці, вони погоджувались на «зручну для користувача технологію відстеження компанії Criteo».

БІЛЬШЕ ЦІКАВОГО:

Джерело: Wired, переклад підготувала Ірина Гоял, спеціально для «Блог Imena.UA»