Сила конфиденциальности. Почему необходимо обладать контролем над своими персональными данными и как его установить

Прекратить сбор персональных данных по умолчанию

Некоторые технологические гиганты стали популярными, разграбив наши данные, не спрашивая разрешения, не задумываясь о возможных последствиях своих действий для пользователей и общества в целом. Это безрассудное отношение лучше всего описывается внутренним девизом Facebook: «Двигайся быстро, иди напролом». Стратегия крупных технологических компаний заключается в том, чтобы делать то, что им нравится, пока они не столкнутся с сопротивлением. Когда начинается сопротивление, они обычно стараются его игнорировать. Когда это не срабатывает, они пытаются откупиться от людей дополнительными льготами и утомить своих критиков бесконечными пустыми ответами. Только когда сопротивление остается постоянным, технологические гиганты делают шаг назад, и это случается обычно после того, как они уже сделали много шагов вперед. По мнению Шошаны Зубофф, они надеются, что на этом этапе люди постепенно привыкнут принимать условия, на которые они никогда бы не согласились, если бы узнали о них с самого начала[271].

Именно на этом этапе мы и привыкли к тому, что наши данные собираются автоматически всеми, у кого есть средства для их сбора. Мы смирились с этим, потому что узнали об этом слишком поздно, спустя годы с тех пор, как увлеклись цифровыми технологиями, и только потому, что нам сказали, что нашим устройствам необходимо продолжать работать в том же духе и что все в любом случае поступают так же. Нам также сказали, что слежка необходима для обеспечения нашей безопасности. Только когда корпорации столкнулись с некоторым сопротивлением и были введены такие правила, как GDPR, они пошли на ряд уступок, например немного рассказали нам о том, какие данные о нас они хранят. Но этого недостаточно. Теперь мы лучше осведомлены. Мы знаем, что можно иметь передовые технические устройства без вторжения в частную жизнь. И мы знаем, что конфиденциальность – это важный компонент обеспечения нашей безопасности.

То, что происходит сейчас, – это повсеместный сбор данных. Почти все веб-сайты, приложения и устройства, с которыми вы взаимодействуете, собирают ваши данные. Некоторые из этих компаний даже не знают, что с ними делать, и собирают на всякий случай – вдруг пригодятся в будущем. Однако, как мы уже видели, сбор данных не является безобидным. Это подвергает риску всех нас.

До сих пор законодательство в основном касалось использования данных, а не их сбора. Даже если GDPR включает принцип минимизации данных, согласно которому компании должны собирать только адекватные, актуальные и необходимые сведения, многие учреждения, похоже, прикрываются очень широкой интерпретацией того, что является «законными интересами», для обработки данных. Нам нужно более жестко относиться к сбору информации.

По умолчанию – для компаний, государственных учреждений и пользовательских настроек на каждом веб-сайте и в приложении – не следует собирать данные или собирать только минимально необходимые данные.

То, что считается необходимыми данными, следует понимать в узком смысле – как данные, которые нужны для предоставления нам полезной услуги (не для финансирования этой услуги путем продажи наших данных или доступа к нам через наши данные, а для создания или поддержки услуги). Важно отметить, что данные могут свободно собираться до тех пор, пока они не являются персональными и пока они трактуются широко.

Нам нужно больше инвестировать в инновации в сфере конфиденциальности. Если крупные технологические компании будут вынуждены столкнуться с проблемой изобретения способов использования данных при одновременной защите конфиденциальности, у них есть все шансы справиться с этой задачей.

Если же им будет позволено продолжать работу так, как они делают это сейчас, такие инновации могут никогда не появиться.

Многообещающий метод сбора данных – дифференцированная конфиденциальность. По сути, это означает введение в базу данных достаточного количества математического шума, чтобы можно было успешно замаскировать каждого человека так, что нельзя будет сделать каких-либо конкретных выводов о конкретной персоне, но при этом сохранится точность результатов статистического анализа. Это может показаться сложным, но вот простой пример, иллюстрирующий эту идею. Предположим, вы хотите узнать, сколько людей в Лондоне проголосовали за выход Великобритании из ЕС. При обычном сборе данных вы звоните по нескольким тысячам телефонных номеров и спрашиваете каждого человека, как он голосовал. Даже если вы не фиксируете имена, но собираете номера телефонов и то, как люди голосовали, этих избирателей можно будет легко идентифицировать и их право на тайное голосование окажется под угрозой. Если вы собираете данные с использованием дифференциальной конфиденциальности, то вы также набираете несколько тысяч телефонных номеров, но вместо того, чтобы напрямую спрашивать, как люди голосовали, вы просите их подбросить монетку. Если монета выпадает орлом, люди должны сказать вам, как они проголосовали. Если выпадет решка, они должны снова подбросить монету, и если на этот раз выпадет орел, они должны сказать вам правду, а если решка – солгать. Важно отметить, что люди никогда не должны рассказывать вам, что выпало. Поскольку вы контролировали, как часто люди лгали вам, вы знаете, что примерно четверть ваших результатов неверны (ложные), и вы можете статистически скорректировать это. В результате получается база данных, которая почти так же точна, как и обычная, но не содержит личных данных, потому что только респонденты знают, что выпало. У вас нет возможности узнать, кто именно голосовал за выход Великобритании из ЕС, но вы можете приблизительно знать, сколько людей за него проголосовало. При этом каждый участник пользуется «правдоподобным отрицанием»: он может заявить, что не голосовал за выход Великобритании из ЕС, и никто не сможет доказать обратное (по крайней мере, на основе этой базы данных)[272].

Конечно, не все виды данных могут быть собраны с использованием дифференцированной конфиденциальности, и этот метод требует доработки, чтобы организации могли эффективно его реализовывать. Тем не менее этот пример показывает, что существуют методы анализа данных, при которых не нужно подвергать опасности конфиденциальность людей. Гомоморфное шифрование и федеративное обучение – два других метода, которые стоит изучить. Нам следует больше инвестировать в разработку инструментов обеспечения конфиденциальности, а не вкладываться только в методы использования конфиденциальности для получения прибыли, удобства или эффективности.

Если нет иной альтернативы, кроме сбора персональных данных, их следует собирать только в том случае, когда лицо осмысленно и свободно дает согласие на такой сбор, указан способ использования этих данных и планы по их удалению (подробнее об этом ниже). Однако ограничения сбора персональных данных недостаточно, поскольку конфиденциальная информация может быть получена не только с помощью сбора данных, но и путем гипотез.