Что такое GDPR и чему Америка может у него научиться?

Как наглядно показал недавний скандал с Cambridge Analytica и Facebook, в вопросах защиты личных данных потребителей Америка очень похожа на Дикий Запад.

В особенности отличаются гадкой привычкой продавать все данные об истории просмотров, вызовов и местонахождении, которые плохо лежат, провайдеры широкополосного доступа в интернет; кроме того, как крупные интернет-провайдеры, так и гиганты Кремниевой долины регулярно делают одним из главных своих приоритетов срыв попыток ввести осмысленные правила такого поведения как на уровне отдельных штатов, так и в федеральном масштабе. В конце концов, если потребитель информирован и наделён широкими правами, то вероятность того, что люди будут отказываться от схем монетизации данных, сокращая совокупную выручку, значительно возрастает. Именно поэтому, сколько бы ни заявляли крупные компании США о своём интересе к «решениям для конфиденциальности», они регулярно пытаются при малейшей возможности дать бой этим решениям.

Если в Штатах проблему регулярных нарушений конфиденциальности предпочитают решать пустой болтовнёй, то Европейский союз отнёсся к ней жёстче. В начале 2016 года Европейский парламент проголосовал за утверждение серьёзных реформ защиты данных по всему ЕС взамен директивным нормам о конфиденциальности, в последний раз обновлённых в 1995 году.

Эти реформы состоят из двух частей: Общего регламента по защите данных (GDPR), который должен обеспечить гражданам ЕС больше власти над их личными данными, и Директивы о защите данных, регулирующей использование личных данных полицией на территории ЕС. GDPR вступает в силу в пятницу.

GDPR, вступивший в силу 25 мая, старается обеспечить не только большую прозрачность сбора и продаж данных для конечного пользователя, но и расширение власти пользователей над собственными данными. Многие из его требований аналогичны предложенным Федеральной комиссией по связи США правилам обеспечения конфиденциальности, принятие которых администрация Трампа в прошлом году провалила по просьбе лоббистов из отрасли. GDPR требуют от компаний:

• Предоставлять работающие инструменты отказа
• Чётко сообщать конечным пользователям об утечках данных (не позднее, чем через 72 часа с момента их выявления)
• Давать пользователям возможность загружать и хранить копию собственных личных данных в полном объёме

Согласно этим правилам пользователи также имеют право отзывать своё согласие в любой момент, что совершенно не похоже на более ранние соответствующие политики.

GDPR также даёт регуляторам право штрафовать любую компанию, ведущую деятельность на территории ЕС, если она злоупотребляет личными данными потребителей, эксплуатирует их или использует их каким-либо иным ненадлежащим образом. Он также расширяет определение термина «личные данные», распространяя его на данные о местонахождении, онлайн-идентификаторы (к примеру, IP-адреса) и другие метаданные.

«Новые правила вернут пользователям право принимать решения о собственных личных данных, – сказал тогда сторонник GDPR из Партии зелёных Ян Филипп Альбрехт. – Предприятия, осуществлявшие доступ к пользовательским данным в определённых целях, как правило, не разрешалось бы передавать данные без спроса пользователя. Пользователям нужно будет давать недвусмысленное согласие на использование своих данных».

Эти правила, по сути, превращают защиту конфиденциальности и элементарные практики безопасности из просто «хорошей идеи» в фактическую норму. По сути, это полная противоположность тому, что делают в Штатах, где огромные корпорации вроде Verizon успешно убедили регуляторов в том, что добиться от компаний безупречного поведения можно одним лишь «публичным посрамлением».

Однако данная мера ЕС всё же сталкивается с обоснованной критикой. Как мы уже заметили, некоторые положения GDPR могут вступать в конфликт с существующими правилами, которые управляют WHOIS, протоколом поиска имён и контактных данных людей, зарегистрировавших домен сайта. Критики (в том числе компании, выступающие против этой меры) также выражают обеспокоенность непредвиденными последствиями этого предложения, образчиком которых является решение Facebook заморозить планы запуска системы на базе ИИ, предназначенной для наблюдения за склонными к суициду пользователями, из-за страха, что он может противоречить GDPR.

Другие выражают обеспокоенность потенциальным отрицательным влиянием GDPR на свободу слова. Выражаясь конкретнее, некоторые эксперты по конфиденциальности побаиваются, что требования GDPR, связанные с «правом на забвение» (которые обязуют компании убирать из сети незаконные или неточные данные), могут спровоцировать непрозрачные злоупотребления со стороны компаний, которые будут пытаться их выполнить.

«GDPR не обеспечивает адекватных процессуальных препятствий для злоупотребления удалением данных, – недавно предупредила Дафни Келлер из Центра проблем интернета и общества при Стэнфордской юридической школе. – Во многих случаях он, по-видимому, сильно смещает баланс в сторону выполнения даже сомнительных требований о применении «права на забвение», вроде тех, которые Google получил от священников, пытавшихся скрыть скандалы из-за сексуального насилия, или финансистов, желавших, чтобы об их осуждении за мошенничество забыли».

Несмотря на несколько лет критики в этом плане, законодатели ЕС не удовлетворили потребность в «адекватных мерах обеспечения безопасности для тех, чья свобода слова может в итоге оказаться попранной», утверждает Келлер.

И хотя многие компании тщательно стараются следовать GDPR, некоторые компании за пределами ЕС просто решили, что соответствие ему не стоит таких трат или хлопот. В результате они решили просто полностью заблокировать пользователям из ЕС доступ к своим услугам.

Также стоит заметить, что GDPR может возыметь противоположный эффект. Вполне возможно, что компании, вынужденные соответствовать GDPR, попросту примут общие принципы конфиденциальности в качестве золотого стандарта для ряда различных территорий из соображений простоты. В таком случае новая инициатива ЕС по конфиденциальности может в итоге принести пользу пользователям интернета независимо от того, где они живут.

Если инициатива сработает хорошо, она может стать образцом для подражания у других, нерешительных стран. Особенно для нашей страны, США, где пока что самым популярным «решением» десятилетней проблемы регулярных нарушений конфиденциальности потребителей и крупных хакерских скандалов является бездействие полиции.

Однако любые проблемы, вызванные GDPR, однозначно будут использованы в качестве страшилки компаниями, пытающимися уклониться от аналогичных мер защиты конфиденциальности, в других местах. Опять-таки, информированные потребители, наделённые широкими правами, с большей вероятностью избегают схем монетизации данных, из-за чего апатия и остаётся излюбленным «решением» кризиса конфиденциальности в интернете у многих гигантов данной отрасли.

Эта статья впервые появилась на VICE US.