Регулирование / Статьи
информбезопасность персональные данные
5.6.2020

Наглядная защита данных пользователя

Помогут ли пиктограммы сохранить конфиденциальность в Сети?

В Евросоюзе и США формируются новые подходы к защите персональных данных (ПД). Одно из направлений поиска – модификация согласий на их обработку. В частности, есть предложение ввести специальные значки конфиденциальности для дополнительного информирования пользователей интернет-сервисов. По просьбе RSpectr эксперты оценили перспективы такой идеи.


НОВЫЙ ПОДХОД

Группа ученых Института сетевого общества Weizenbaum (Берлин, ФРГ) во главе с доктором Зоаром Эфрони приступила к исследованию, в котором попытается выяснить, может ли визуализация способствовать более осознанному согласию человека на обработку компаниями его персональных данных.

В своей статье они отмечают, что сложность и объем таких текстов мешают людям оценить возможные риски.

Дополнительные проблемы создает архитектура многих веб-сайтов и приложений: чтобы открыть документ, требуется сделать нескольких кликов и перенаправлений на подстраницы. Поэтому пользователи просто ставят галочку «Согласен», даже не пытаясь прочитать текст.

Среди вариантов устранения этих недостатков ученые видят введение значков конфиденциальности, под которым понимается набор стандартизированных, интуитивно понимаемых пиктограмм, которые отображают аспекты конкретных методов обработки ПД. Их задача – помочь пользователям принимать более обоснованные решения.

В статье отмечается, что

изображения, в отличие от текстов, имеют преимущество с точки зрения более быстрого распознавания, а также позволяют лучше усвоить и запомнить информацию

Исследовательская группа, Das Weizenbaum-Institut für die vernetze Gesellschaft:

– Как правило, защита данных не является приоритетом для пользователей, поскольку они сосредоточены на достижении своей основной цели, например, приобретении товара или получении доступа к онлайн-сервису. Чтобы привлечь их внимание к аспектам обработки данных, требуются весьма существенные внешние стимулы. Этого можно достичь с помощью значков, основанных на оценке риска.

Риск-ориентированный подход позволит обращать внимание пользователей на самые чувствительные данные и наиболее опасные действия с ними.

При этом эксперты подчеркивают, что

значки не самодостаточны, а должны дополнять простые и понятные текстовые соглашения о конфиденциальности

Такой комплексный подход позволит сократить количество неинформированных согласий на обработку ПД.

Значки при этом должны быть стандартизированы для всего ЕС, чтобы быть узнаваемыми и применяться в качестве информационных маркеров в различных интерфейсах и экосистемах.

Еще одним важным вопросом регулирования защиты данных является машиночитаемость значков. Она необходима для механической проверки сайтов на соответствие требованиям о защите ПД. Например, браузер пользователя мог бы автоматически читать соглашение о конфиденциальности на сайте и предупреждать пользователя о нежелательных последствиях в соответствии с ранее настроенными его предпочтениями.


ЗА УНИФИКАЦИЮ

Ряд опрошенных RSpectr экспертов оценивают инициативу немецких ученых положительно.

Доцент Финансового университета при Правительстве РФ Сусана Киракосян назвала ее «полезной и своевременной в период активного пользования интернетом, роста онлайн-продаж». По мнению эксперта, подобное решение было бы полезно и для российского законодательства.

Как правило, пользовательское соглашение и политика конфиденциальности состоят из множества страниц, написанных мелким шрифтом, в силу чего сложны для изучения даже юристами, отмечает С. Киракосян. Большинство из тех немногих людей, кто читает пользовательское соглашение, не способны понять его содержание и значение, добавляет эксперт.

Сусана Киракосян, Финансовый университет при Правительстве РФ:

– Потребители интернет-услуг сейчас хотят быстрой и понятной информации. Когда мы ищем нужную услугу информационного, культурно-досугового или иного характера, покупаем что-то в онлайн-магазине, нас интересует лишь качественный контент, цена, товар. Мы редко думаем о процедуре заключения договора, обработке оставленных на сайте ПД. Большинство пользователей не обращает внимания на размещенное где-то внизу страницы сайта или в углу пользовательское соглашение, оферту, политику конфиденциальности. А если и замечает, то не придает им значения.

При этом, по мнению эксперта, чем нагляднее и доступнее будут такие правила, тем легче самому владельцу сайта защитить себя от необоснованных претензий по поводу незаконности обработки ПД.

Старший менеджер Группы по оказанию услуг в области кибербезопасности и цифровой криминалистики КПМГ в России и СНГ Кристина Боровикова напоминает о том, что вступивший в силу в Европейском союзе в мае 2018 года GDPR* привнес ряд нововведений в общественное представление о защите ПД. В частности, регламент гарантирует человеку, что информация о том, как его ПД обрабатываются, должна быть предоставлена ему на понятном языке, а также максимально прозрачно. «В Российской Федерации схожих требований по доступности языка представления информации в части обработки и защиты ПД пока нет», – отмечает К. Боровикова.

Тех, кто не справился с задачей по «прозрачности», ожидают санкции. Например, европейский регулятор выставил компании Google крупный штраф как раз, среди прочего, за то, что необходимая для пользователя информация была «спрятана» в пяти-шести кликах в политике приватности.

В ответ на такие штрафы повысился спрос на переработку интерфейса пользовательских соглашений и политик конфиденциальности

На европейских конференциях эксперты часто озвучивают тезисы насчет способов информирования субъектов о том, как обрабатываются их ПД, рассказывает К. Боровикова. В одном из таких выступлений была выдвинута гипотеза о том, что, если политику приватности пользователь должен читать более двух минут, – такой документ нужно упрощать.

Еще один момент, на который обращает внимание К. Боровикова:

отсутствие унификации подходов к информированию пользователя является одной из основных сложностей реализации требований GDPR

По мнению К. Боровиковой, закрыть юридические риски, предоставить информацию прозрачно и в то же время максимально сократить время чтения – с такой задачей вполне могут справиться унифицированные иконки, поскольку люди лучше воспринимают инфографику.

Кристина Боровикова, КПМГ в России и СНГ:

– В каждую стандартизированную иконку можно вложить смысл нескольких абзацев с четкой юридической подоплекой без возможности неверного трактования. Более того, GDPR предусматривает стандартизирование подобных иконок, однако на данный момент со стороны Европейской комиссии таких инициатив еще не было.

Унифицированность и упрощение подхода в изложении информации по обработке и защите ПД были бы полезны не только в Европейском союзе, но и в Российской Федерации, можно даже провести аналогию с правилами дорожного движения – доступными и понятными во всем мире.

Управляющий партнер юридического бюро Law & Wise Илья Кириллов обращает внимание на пункт 7 статьи 12 GDPR, согласно которому организации могут предоставлять пользователю текстовую информацию в комбинации с графическими изображениями. «Все это свидетельствует о необходимости четко обозначать, в каких случаях, как и кому будут передаваться ПД», – отмечает эксперт.

При этом И. Кириллов полагает, что компании сами стремятся к повышению лояльности клиентов, в связи с чем стараются сделать обработку данных максимально понятной. В качестве примера эксперт приводит политику конфиденциальности Apple.  

И. Кириллов подчеркивает, что

сама инициатива о введении дополнительного информирования пользователей о рисках передачи их персональных данных IT-компаниям выглядит перспективной

ПРОТИВ ИЗБЫТОЧНОЙ ОБРАБОТКИ ДАННЫХ

Управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников скептически относится к перспективе реализации идеи немецких ученых.

«Я совершенно не приветствую переход к рисункам вместо внятного текста. Прежде всего, не очевиден смысл того, что они означают. Что хотел изобразить художник? В этом тоже надо будет разобраться. А это дополнительные усилия со стороны пользователя, и его жизнь не становится легче», – говорит эксперт.

Вместе с тем М. Емельянников отметил, что положительно относится к самой идее регулирования и ограничения политики конфиденциальности.

По мнению эксперта, гораздо важнее законодательно ограничивать договоры об использовании интернет-сервисов. По его словам, зачастую различные приложения избыточно требуют доступ к данным, которые есть в смартфоне пользователя: к памяти телефона, листу контактов, к интернету или видеокамере. Например, при скачивании диктофона необходимо разрешить приложению доступ к телефонной книге, а определитель номера претендует на все данные, находящиеся в смартфоне. В случае несогласия человек не имеет возможности пользоваться сервисом.

«То, что я читаю, когда у меня есть силы изучить пользовательское соглашение, – это полный беспредел», – негодует М. Емельянников.

Эксперт полагает, что

эффективной мерой было бы введение штрафа за отказ в заключении договора из-за непредоставления ПД, которые не требуются для его выполнения

Сооснователь компании Postgres Professional Иван Панченко поддерживает М. Емельянникова: «Сложность и длина текстов, манипулирование дизайном, асимметрия и неполнота информации – все это приводит к тому, что пользователи либо ставят значок “Согласен, ознакомлен” автоматически, не вчитываясь в текст соглашения, либо не имеют возможности пользоваться ресурсом – особенно часто это встречается в приложениях».

Эксперт, в свою очередь, уверен в том, что необходимо пересмотреть саму политику предоставления согласия. А сделать это можно, предприняв комплекс мер. Среди них – стандартизация форм согласия для размещения на различных ресурсах. В них должны быть отображены конкретные пункты: «Кому», «Что», «С какой целью я разрешаю», сопровождаемые ссылками на пункты законодательства. То есть законодательно закрепленное общее меню, единое для всех.

«Законодательство должно эффективно защищать права граждан в новых условиях, ведь неправомерное использование ПД – один из основных рисков цифрового мира», – резюмирует И. Панченко.


МНЕНИЕ ЭКСПЕРТА

Евгений Черток, руководитель ИТ-отдела компании «Рексофт»:

– На мой взгляд, лучшим решением по сохранению конфиденциальности было бы создание на государственном уровне единой платформы, хранящей пользовательские ПД на каждого гражданина.

Платформа может разделить электронный профиль гражданина на две части:

  • ПД для третьих лиц (все коммерческие структуры);
  • ПД из государственных информационных систем (данные из медицинских карт, трудовой книжки, информация об образовании и дипломах, ОСАГО и т. п. – то, что крайне редко необходимо для оказания большинства коммерческих сервисов).

Первую часть гражданин заполняет самостоятельно: Ф. И. О., родственные отношения, адреса, ИНН, телефонный номер – все, что хочет и может.

Этот блок защищается двухфакторной аутентификацией. При регистрации в базе данных на смартфон поступит SMS с разовым пин-кодом, как сейчас это работает в банковских системах. Таким образом у гражданина появится свой логин или ID – тот самый уникальный номер, зашифрованный в QR-коде, его единственный для всех третьих систем паспортный идентификатор. Никто другой не имеет права хранить эти ПД, кроме самой платформы.

Любая третья сторона (интернет-магазин, сайт, образовательное учреждение, социальная сеть), которая хочет получить эти данные, направляет гражданину запрос. Он через систему разрешает (может изначально открыть все для всех) или отклоняет этот доступ. Третья сторона, оказывающая сервис, данные прочитала, использовала и дальше у себя хранит только идентификатор – указатель на персональный профиль на единой платформе.

Никакие ПД за пределами официальной федеральной платформы не могут собираться. Гражданин всегда может посмотреть, кто и для чего использовал его данные. Разрешение можно отозвать. Данные можно обновлять. После этого указатель из сервиса будет ориентироваться уже на новые данные и, например, по старому адресу посылка не придет.


* GDPR – General Data Protection Regulation, Общий регламент по защите данных.

Еще по теме

Что нужно знать родителям о влиянии искусственного интеллекта на детей

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании