Все слышали новость о том, что Фэйсбук «выбросил» десятки тысяч приложений из-за проблем с приватностью.

Это ставит перед разработчиками много вопросов, на которые надо срочно искать ответы:

● Как создать «безопасное» приложение?
● Что такое вообще эта ваша приватность?
● И почему вокруг этой темы так много шумихи в последнее время?

Чтобы разобраться во всем этом, мы побеседовали с экспертами по защите персональных данных Джейсоном Кронком, США, и Сергеем Воронкевичем, СНГ.

Джейсон Кронк CIPP/US, CIPT, CIPM, FIP — автор книги «Strategic Privacy by Design», эксперт и тренер по проектированию защиты персональных данных. Cпикер и автор IAPP, Privacy and Security Forum, Intel Security Conference. Приглашенный лектор Florida State University и Indiana University. Сертифицированный профессионал (CIPP/US), технолог (CIPT) и менеджер (CIPM) в сфере приватности. Биография. ^[1]

Сергей Воронкевич
CIPP/E, CIPM, MBA — Тренер и ведущий консультант консалтинговой компании в области защиты персональных данных Data Privacy Office. Сертифицированный менеджер в сфере информационной приватности (CIPM) и сертифицированный профессионал в этой же
сфере (CIPP/E). Биография. ^[2]

Что такое приватность?

Джейсон Кронк:
"Многие люди, особенно в ИТ-сфере, воспринимают приватность только как безопасность личной информации, конфиденциальность, защиту от хакеров.

Но приватность – это намного больше, чем просто защита информации. Это, в целом, о том, как вы взаимодействуете со своими клиентами и насколько правильно обращаетесь с их данными.

Например, вот ситуация с игрой «Pokemon go». В игре общественные места, например церкви, использовались как тренажерные залы для персонажей. Но оказалось, что некоторые бывшие церкви уже давно переделаны в жилые дома и принадлежат гражданам. И вот внезапно по их дворам в любое время дня и ночи начинают бегать ловцы Покемонов.

То есть, это уже не вопрос безопасности информации или конфиденциальности. Это про то, что людей беспокоят в их собственном доме, когда они, например, хотят насладиться ужином или отдохнуть. Это вторжение на личную территорию граждан.

Вот еще один пример. Твиттер стал собирать номера телефонов для двухступенчатой авторизации, то есть, для более надежной защиты профилей пользователей. Но потом эти данные были переданы в маркетинговый отдел, который стал рассылать рекламу на полученные номера телефонов.

Это называется «вторичное использование» (secondary use), то есть, когда данные собирают с одной целью, а потом используют для другой. И опять же, это не про безопасность информации, а про ее корректное использование. Пользователи ожидают, что их номера телефонов будут использованы только для защиты аккаунтов, но точно не для того, чтобы потом им что-то продавали".

Почему ИТ-профессионалы должны волноваться о защите приватности?

Джейсон Кронк:

"Во-первых, есть некоторые легальные обязательства. Особенно, если компания международная. Чтобы не думать обо всех местных законах, вам проще изначально использовать концепцию спроектированной приватности (privacy by design). В большинстве стран, этого будет достаточно, чтобы соответствовать.

Но это не самое главное. Приватность – это про доверие с вашими клиентами и теми людьми, с которыми вы ведете бизнес. Приведу пример.

Представьте, что вы пришли на свидание «вслепую», с человеком, которого не знаете. И вот вы ужинаете, и вдруг он говорит вам: «Я слышал, что собака твоей тетушки заболела, и ее пришлось отвезти в больницу. И это случилось прямо на тетушкин день рождения. Как у них дела?» В этот момент у вас недоумение: откуда он узнал про вашу тетю и ее собаку? Creepy!

Обычно в отношениях мы начинаем с этапа, когда мы оба не знаем друг друга и постепенно знакомимся. По мере того, как между вами растет доверие, вы понемногу раскрываете информацию о себе. Вы становитесь более открытым и уязвимым, и вам важно понимать, что человек не будет использовать это против вас. Постепенно могут сформироваться близкие отношения.

И я считаю, что в бизнесе должен происходить похожий процесс. Вы знакомитесь с компанией постепенно и хотите убедиться, что ей можно доверять. Что она выполняет свои обязательства и не станет использовать ваши данные в своих корыстных целях. Например, не будет использовать ваш номер телефона для рекламы, если обещает его использовать только в целях безопасности.

Приватность – это способ построения доверительных отношений с клиентами, и постепенного развития этих отношений.

Есть много способов сделать «быстрые» деньги. Но мы здесь говорим, скорее, про более долгосрочную стратегию, при которой ваши клиенты остаются с вами годами, и вы можете стабильно развивать свою компанию и репутацию на рынке.

Вернемся к вопросу о том, что Фэйсбук выбросил десятки тысяч приложений. Постепенно не только клиенты начинают обращать внимание на то, как компании обращаются с персональными данными. Крупные площадки тоже сейчас смотрят на то, насколько безопасны их вендоры.

После ситуации с "Cambridge Analytica" Facebook тоже занялся проверкой своих вендоров: насколько они этичны, выполняют ли свои обязательства, соответствуют ли политике приватности ФБ. Я считаю, что это признак роста компании. Такой же процесс сейчас происходит в Apple, и он будет расширяться.

Многие разработчики приложений не выполняют требований приватности, и в будущем не смогут быть представлены на крупных площадках. Теперь крупные компании понимают: мы больше не можем иметь дело с некоторыми вендорами, потому что они могут поставить нас под угрозу и привести к негативным последствиям”.

Сергей Воронкевич:

"В Европейском союзе начал действовать Общий регламент защиты персональных данных GDPR и он содержит правило "вы в ответе за тех, кого приручили". За нарушения приватности отвечают как сами приложения, их допустившие, так и платформы, на которых они размещены. В GDPR для этого введен специальный термин “joint controllers ^[3]” и написана статья “Data protection by design” ^[4].

Кроме того, если ваша компания пользуется какими-то сервисами, то они становятся для вас процессорами “processors”, и вы должны убедиться, что они не нарушают приватности ваших клиентов или сотрудников. Например, это может быть CRM, хостинг-провайдер ^[5], облачное приложение для рекрутинга и обработки резюме кандидатов, подключенная к сайту платежная система, сервисы email-рассылки или облачного хранения файлов.

Это может стать слишком большим риском для организации (речь идет о миллионах Евро, даже если само приложение кажется маленьким и незначительным). А даже если не будет штрафа, то компания все равно может оказаться объектом негативного внимания в СМИ, и ее репутация пострадает”.

Защита приватности как аргумент для инвестора

Джейсон Кронк:
"О приватности сегодня должны заботиться все стартапы, которые заинтересованы в привлечении инвесторов. Обычно разработчики стремятся поскорее продать продукт, и просто не думают об этом. Но ситуация меняется.

Зачем инвестору вкладываться в проект, у которого есть проблемы с приватностью, если через год-два это приведет к огромным штрафам или полному прекращению деятельности этого стартапа? Или придется инвестировать еще больше денег, чтобы выстроить необходимую инфраструктуру и систему безопасности.

Сергей Воронкевич:
"Чтобы не подвергаться этому риску, перед покупкой или поглощением проводится процесс due diligence (должной осмотрительности). Проводится проверка интеллектуальной собственности. С принятием GDPR, в приложении проверяется, есть ли функционал по гарантированию приватности, например:
● предотвращаются сценарии, угрожающие пользователям (снижается риск вторичного использования, вмешательства в личную жизнь, аггрегации и доступности чувствительных данных),
● пользователям выгружаются их данные,
● личная информация сведена к минимуму, псевдонимизируется, анонимизируется или "забывается"

Джейсон Кронк:
"Уже есть примеры, когда бизнес пришлось закрыть из-за невозможности исправить ситуацию и причиненный вред.

Причем, это касается и некоммерческих организаций, как случилось с проектом InBloom, который получил сотни миллионов долларов финансирования от Фондов Гейтса, Карнеги и других. Предполагалось, что приложение будет хранить все данные детей, начиная с детского садика до старшего класса школы, что позволит учителям и администрации школ лучше отслеживать прогресс учеников и разрабатывать для них «индивидуальный» план обучения.

Но родители оказались против того, чтобы в приложении хранилась личная и довольно «чувствительная» информация: почему ребенок поменял место учебы, каков статус отношений его родителей или номер социального страхования. В результате этих скандалов, многие школы отказались сотрудничать с приложением, и было принято решение его закрыть. Подробнее об этом здесь ^[6].

Внедряем приватность by design: что делать и как

Джейсон Кронк:
Допустим, у вас стартап. Что нужно сделать, чтобы с самого начала разработать приложение или сервис, который будет соответствовать всем требованиям приватности? Внедрить приватность всегда проще в самом начале, чем потом переделывать уже готовый продукт. К тому же, переделки – это то, что программисты ненавидят больше всего.

Представьте, что вы построили красивый дом с тремя спальнями и двумя ванными. Вы показываете его владельцу, а он вдруг говорит, что хочет еще одну спальню. И вот вам приходится разрушить часть стен, чтобы втиснуть еще одну спальню. А после этого он заявляет, что нужна еще одна ванная, а значит, переделать всю сантехнику. Очевидно, что проще было все это учесть с самого начала.

Четыре основных принципа проектирования приватности:

1) Понять, кого ваше приложение ставит под угрозу и какие тут риски.

Возможно, это какие-то люди, пользователи приложения. Поясню на примере компании Uber. Допустим, пассажир что-то забыл в машине, и ему нужно связаться с водителем, для чего нужны номера телефонов. Это значит, что у нас две группы пользователей в зоне риска – пассажиры и водители, которые дают свой личный номер телефона.

2) Понять, какие лица или группы лиц могут стать потенциальной угрозой.

Раньше это были хакеры. Позже опасность начала исходить от государственных органов. Теперь проблемы возникают из-за ваших вендоров.

3) Понять, какие виды нарушений могут быть в вашем проекте, и какова мотивация тех людей и организаций, которые являются источником угрозы.

Здесь я использую таксономию приватности Даниеля Солова (в ней описано более 60 возможных нарушений, и о многих из них люди никогда не думают).

4) Определить все необходимые меры, которые вы можете предпринять, чтобы снизить или полностью устранить риски.

И здесь мы уже говорим о спроектированной приватности и тех принципах, которые важно знать всем архитекторам и разработчикам ПО.

Первое, что вы можете сделать на этапе проектирования – это минимизировать персональные данные, которые вы собираете. Если они вам не нужны, и вы не будете их использовать, то не собирайте их, или сделайте их недоступными для вендоров.

Всю собранную информацию вы должны надежно защитить, а также постоянно проводить мониторинг ее использования. Вы должны регулярно проверять, как используются полученные данные и вашим приложением, и вашими партнерами. И насколько ваши вендоры соответствуют всем требованиям защиты приватности.

И, наконец, мы говорим о важности баланса между интересами потребителей и организации. Для этого в политике приватности на сайте вы должны подробно указать, как именно вы будете использовать информацию, полученную от своих клиентов.

У пользователей должен быть контроль над тем, какие данные они дают вам, а какие нет. Для этого нужно предусмотреть возможность отключить ненужные функции или не заполнять поля, которые не являются необходимыми. К примеру, геолокация в приложениях должна по умолчанию включаться только в момент использования, а не быть включенной 100% времени (как это обычно происходит во многих сервисах навигации или служб такси).

Всегда важно задаться вопросом: кто получит от этого выгоду, компания или клиент? И если выгода только для организации, то клиент может быть в зоне риска. Если выгода частичная для обеих сторон, это приемлемо. Но лучший вариант, конечно, когда основную выгоду получает пользователь, который платит за ваш сервис.

Вот пример, который поможет понять суть баланса интересов. Мы все знаем, что в магазинах стоят камеры видео-наблюдения, чтобы защититься от краж, это выгода для компании. Но здесь также есть выгода для покупателей, потому что это видео может им помочь, если что-то случится. К примеру, человек упал, или его ограбили, и на видео будут все доказательства.

А вот другой пример. Я часто пользуюсь сервисом AirBnB, который предоставляет в аренду частное жилье. И вот представьте, что владелец квартиры, которую я арендовал, поставил камеру видео-наблюдения во все комнаты. Очевидно, что тут выгода только для владельца, но точно нет никакой выгоды гостю. И здесь явное нарушение баланса.

Хорошие примеры защиты приватности

Apple не используют данные людей для монетизации, они зарабатывают на продаже оборудования и софта. Идеальны ли они? — Нет. Но есть много более мелких компаний, которые уделяют большое внимание приватности как своему конкурентному преимуществу.

Например, браузер Firefox Mozilla перестает использовать технологии (cookies), которые следят за поведением пользователей в интернете. Я помню, как проводил интервью с одним из директоров Mozilla, и он мне рассказывал, что к нему постоянно приходят инженеры с предложениями по улучшению защиты приватности. И что порой это уже даже чересчур.

Однако, к сожалению, в большинстве компаний ситуация противоположная. Даже если есть инженер, который хочет что-то создать для приватности, ему не дают, поскольку руководство считает это угрозой для доходности бизнеса. К примеру, Google делает много интересных вещей с приватностью и современными технологиями, но только не в том, что касается их основного источника дохода – рекламы.

В чем сложность реализации приватности

Джейсон Кронк:

"Люди считают, что приватность – это сложно, и что они не смогут разобраться в этой теме. Если я не понимаю, о чем идет речь, я не могу это внедрить в своем бизнесе. Но, на самом деле, если даже просто смотреть на таксономию приватности Даниэля Солова, то можно легко обнаружить все нарушения, которые возможны в вашем проекте или ПО.

При оценке рисков, до сих пор сложно понять, где проходит линия. К примеру, ваш сервис используют сто миллионов пользователей, и они получают пользу. И из опыта мы знаем, что есть 1 шанс на миллион, что это приведет к самоубийству пользователя. То есть, из 100 миллионов клиентов, 100 человек могут погибнуть. Это допустимо или нет? При условии, что невозможно свести риск самоубийства к нулю.

Мы знаем, что автоиндустрия вынуждена решать эту дилемму уже многие годы. В авариях ежегодно гибнут десятки тысяч людей. Допустим, автопроизводителю скажут, что можно свести риски к нулю, если ограничить скорость автомобиля до 10 км/ч. Но этого никто не сделает, потому что клиенты покупают машины, в том числе, за их большую скорость передвижения. Даже при том, что они могут погибнуть из-за этого. Где тут проходит грань, и как найти баланс?

Это, действительно, сложная ситуация, которая может смутить многих. И поэтому разработчики считают, что приватность – это сложно. Также многим кажется, что внедрение приватности – это слишком дорого. Опять же, потому что не понимают ключевые принципы.

И в целом, я бы сказал, что основная проблема – это нехватка знания и понимания того, как сильно технологии вторгаются в жизни людей. Она легко решается, к примеру, на моих тренингах Strategic Privacy by Design. Кстати, в 2020 году я буду проводить живой тренинг Strategic Privacy by Design в Москве.

Основная задача моего тренинга – повысить осознанность и научить участников замечать возможные проблемы, риски и нарушения приватности. Это поможет им быстро исправить ситуацию или, хотя бы, понять, что проблема существует, и найти консультанта, который поможет ее решить. Чаще всего мои студенты говорят: «Я даже и не подумал бы, что это может быть проблемой!»

Беседовала: Анна Карпеко GDPR DPP

Автор: DataPrivacyOffice

Источник ^[7]