• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Регулирование 2.0. С персональной точки зрения

Ключом ко всем фрагментам пазла под названием «информационное общество» – электронным госуслугам, социальным сетям, таргетированной рекламе и пр. – являются персональные данные. И чтобы пазл сложился, нужно устранить противоречия между глобальным характером информационного мира и локальным регулированием персональных данных.

Несколько лет назад на фоне слияния коммуникационных и информационных технологий, развития интернет-сервисов, превращения операторов в «битовую трубу» и т.п. возникла точка зрения, что обслуживание «длинного хвоста» каждого клиента (т.е. помимо оплаты услуг связи – вездесущая реклама, всевозможный шопинг, банкинг, «билетинг», «отелебронинг», «налогинг», «ЖКХинг» и пр. и пр.) есть основное условие благополучия будущего отраслевого бизнеса. И вот уже абонента на веб-сайте каждого оператора ожидает «личный кабинет». Но это было лишь начало.

Появились и стремительно разрослись социальные сети, в которых пользователям доступны различные сервисы для общения друг с другом. При помощи инструментов социальной сети каждый пользователь может создать свой виртуальный портрет – сформировать профиль, указав в нем подробно данные о себе: опыт работы, увлечения, интересы и цели. С развитием социальных сетей предоставляются все новые и новые привлекательные сервисы, в результате чего соцсети уже являются местом общения сотен миллионов пользователей по всему миру.

Невиданными темпами стала расти таргетированная интернет-реклама в поисковых системах, интернет-при-ложениях и социальных сетях – по последним данным TBG Digital, реклама на Facebook подорожала на 74%. Стоимость графической рекламы, оплата которой рассчитывается исходя из 1000 показов, по итогам II квартала 2011 г. для пользователей из США, Великобритании и Германии увеличилась на 45%. Компания Efficient Frontier (использующая свою методику) сообщила, что за год стоимость «клика» в Facebook выросла как минимум на 22%. Кстати, в 2010 г. выручка Google от рекламных бизнес-моделей составила $28 млрд против $2 млрд у Facebook. Крупнейшие корпорации забирают деньги с телевидения и перераспределяют медийные бюджеты в пользу Интернета. И спрос превышает предложение.

«Белогривые лошадки»

Известная детская песенка ставила серьезный вопрос – «что вы мчитесь без оглядки?». Теперь основной драйвер роста ИКТ-рынка – облачные технологии, которые дают любой сервис и даже инфраструктуру для любого «длинного хвоста». В рамках модели облачных услуг сервис-провайдер свободен в выборе способов и путей оптимизации инфраструктуры и снижения издержек. Клиент не владеет, не контролирует и не вступает во взаимодействие с технологиями и методами, которые используются сервис-провайдером для создания, предоставления и поддержки функционирования облачных услуг. В обмен за отказ от «излишеств» клиент теперь имеет все – и личное хранилище разного рода данных, и набор всевозможных сервисов, и много такого, о чем даже не подозревает.

Вопросы и задачи, которые необходимо решать для успешного предоставления и получения сервисов из «облака», начинают обсуждаться в сфере здравоохранения и безопасности, логистики, транспорта, розничной торговли и многих других. Везде и всюду хотят превратить свои продукты в сервисы.

В частности, в МСЭ рассматривается модель архитектуры ресурсов. Схема такова: клиент – брокер (где определяются потребности, баланс нагрузок, QoS и пр.) – ресурс. Фактически всё (сети, компьютеры, ПО, платформы и т.д.) может быть предложено клиенту в виде «сервиса». Основной набор выглядит так: Infrastructure-as-a-Service, Platform-as-a-Service, Software-as-a-Service, Web-as-a-service.

На первый взгляд после подключения клиента к ШПД «традиционному» телекому здесь делать попросту нечего – голосовые и видеосервисы, доставляемые с различных облачных платформ, заменят телефонию и телевидение, да и вообще все коммуникации будут осуществляться через облачные серверы. Ну а разнообразные ИТ-сервисы уже давно поставляются кем угодно вне зависимости от операторских владений. Другое дело, что на практике не все так гладко, как на бумаге, – все эти «облака» еще нужно эффективно организовать и связать с клиентами и друг с другом. Но когда это, наконец, произойдет, многим придется «сушить весла» на своих телекоммуникационных «галерах». Если, конечно, «галеры» не были предусмотрительно направлены куда-нибудь в «облака».

Информация в обмен на риски

Со временем все перечисленные и неперечисленные инфокоммуникационные сервисы объединятся под брендом «информационного общества», вхождение в которое началось с активного продвижения так называемых электронных госуслуг. По сути, серверы электронного правительства – это те же «облака». Причем с точки зрения телекоммуникаций никаких особых проблем здесь нет, но во множестве появляются проблемы с персональными данными.

Ведь именно персональные данные являются ключом и к электронным госуслугам, и к социальным сетям, и к таргетированной рекламе, и к «длинному хвосту» каждого клиента. И к киберпреступности, кстати, тоже. Вкратце – на них зарабатывают или имеют иную выгоду абсолютно все, кто присутствует в Сети. Так что за проблемы?

Во-первых, в общем случае вы не знаете, где (даже в какой стране) расположен виртуальный сервер, на котором обрабатываются ваши персональные данные. И это уже риск. А согласно отечественному закону «О персональных данных» необходимо, чтобы все данные обрабатывались на территории РФ (собственно, а почему бы и нет?). В результате услуги, связанные с персональными данными, предоставляются провайдерами на мощностях (ЦОДах), расположенных «там, где надо». Поэтому «настоящая облачная модель», оптимально распределяющая всемирные вычислительные ресурсы – пока лишь мечта.

Во-вторых, работа с персональными данными чревата дополнительными расходами. Выполнение норм закона «О персональных данных» в принятой недавно редакции, как заключила Комиссия РСПП по телекоммуникациям и информационным технологиям, потребует со стороны бизнеса и предприятий бюджетного сектора экономики неоправданно больших затрат, которые серьезно затруднят их работу и отразятся на конечной стоимости услуг для потребителей. По сути, ко всем системам предъявляются завышенные унифицированные требования вне зависимости от того, какого рода персональные данные они хранят и обрабатывают. А по мнению Ассоциации региональных операторов связи, указанный закон не соответствует букве и духу европейского регулирования, предусматривающего регламентацию, прежде всего для государственных информационных систем, поскольку предоставление персональных данных является обязательным в рамках установленных административных процедур. При этом за рубежом негосударственные операторы персональных данных самостоятельно определяют необходимые меры защиты и применяют соответствующие процедуры и технические средства на свой выбор. Однако обычная реакция чиновников на самые разные законотворческие ситуации – «лучше перебдеть». Только в итоге «волны гасят-таки ветер», т.е. расходы операторов и пользователей увеличиваются, а ожидаемый эффект куда-то рассасывается.

В-третьих, в последнее время конфиденциальность персональных данных регулярно получает удары с разных сторон. Не успели улечься страсти по поводу появления в открытом доступе тысяч SMS пользователей мобильной связи, как выснилось, что доступны имена покупателей секс-шопов и их заказы. Специалисты отмечают, что любая информация, которая находится в общем доступе, может быть индексирована и найдена любым поисковиком. В частности, и в Google, и в «Яндексе» можно обнаружить заполненные бланки электронных билетов РЖД. В середине июля все пользователи соцсети Facebook могли свободно просматривать названия, описания и эскизы видео своих друзей, даже если те установили некие ограничения на доступ. Впрочем, с конфиденциальностью персональных данных у Facebook давно не все ладно. В конце прошлого года выяснилось, что соцсеть передает уникальные номера (ID) своих пользователей более чем двум десяткам сторонних организаций. Делается это даже в том случае, если пользователь установил максимальный уровень защиты. Еще один случай нарушения конфиденциальности был зафиксирован в феврале 2010 г., когда сервис по ошибке отправлял личные сообщения пользователей не тем людям.

С другой стороны, сетевой бизнес требует все более точных персональных данных. В конце июля многие пользователи Google+ пожаловались на то, что их аккаунты стали недоступны. Выяснилось, что администрация соцсети начала применять пункт правил, о котором многие знали, но мало кто принимал всерьез. Он гласит, что пользователь должен указывать свои настоящие имя и фамилию. Один из сотрудников Google объяснил, что смысл сервиса Google Profiles – найти других людей и позволить им найти себя. Следовательно, нужно указывать то имя, под которым пользователь известен в реальной жизни. Отныне это не может быть какой-то произвольный псевдоним или случайный набор букв. Все это, конечно, так, но мы-то с вами понимаем, что кому-то хочется больше зарабатывать на таргетированной рекламе и т.п.

Персональный тупик

И, наконец, само международное сообщество, грезящее общепланетным информационным обществом, оказалось попросту не готово к глобальной работе с персональными данными. Совсем недавно члены Европарламента потребовали от юристов и членов Европейской комиссии разрешить конфликт интересов между США и Европой. Речь идет о Директиве Евросоюза о защите пользовательских данных, с одной стороны, и о так называемом Патриотическом законе США (US Patriot Act) – с другой. Впервые о существовании правовой коллизии заговорила компания Microsoft, которая сообщила своим европейским клиентам, что в случае если американские власти затребуют у нее как у американской компании данные об ее европейских пользователях облачных сервисов, то в соответствии с Патриотическим законом США Microsoft должна будет передать запрашиваемые сведения в Вашингтон, причем она даже не обязана уведомлять об этом европейскую сторону. Это прямо противоречит европейской директиве, которая требует, чтобы перед отправкой персональных данных владельцы этих данных ставились в известность. И тут на пути информационного общества возникает целый куст вопросов. Может ли Патриотический закон США отменять Директиву ЕС о защите данных? Что будет делать Еврокомиссия для разрешения этой ситуации и как обеспечивать защиту собственной информации? Имеют ли законодательства третьих стран преимущества перед законодательством ЕС? Как вообще строить глобальное информационное общество, не имея единого отношения к исходной информации для генерации практически любых сервисов – персональным данным?

Не так давно еврокомиссар Вивиан Рединг, курирующая вопросы защиты цифровых данных, заявила о том, что США и Европа должны создать «полностью совместимые» законы, касающиеся информационного общества. За это же ратует сенатор от Аризоны и экс-кандидат в президенты США Джон Маккейн. Ранее между ЕС и США уже было достигнуто соглашение Safe Harbor, по которому компании, в частности Microsoft, могут передавать европейские данные в США, но лишь в том случае, если будет обеспечен «приемлемый уровень» их безопасности. Однако для США Safe Harbor имеет более низкий приоритет по сравнению с Патриотическим законом.

Сегодня многие американские компании предлагают европейцам хранить данные в их «облаках». Однако все они тактично умалчивают об опасностях, подстерегающих европейских пользователей. Независимые эксперты указывают, что за этой юридической коллизией пристально следят не только в Microsoft, но и в Apple, Google, IBM, Facebook и Twitter, так как все эти американские компании работают и с европейскими данными. И с российскими тоже.

В результате клиентам уже начинают предлагать географический выбор мест хранения данных. Многие компании даже оформляют свои европейские ЦОДы на независимых операторов, дабы успокоить местных клиентов и избежать запросов по US Patriot Act. Мало кто сомневается, что если бы возникла обратная ситуация, когда американской стороне пришлось бы хранить свои данные в Европе, то Вашингтон использовал бы все рычаги давления для того, чтобы избежать раскрытия информации. Ведь у каждого своя правда.

Поскольку информационное общество претендует на глобальный характер, российские нормативные правовые акты также должны предусматривать преодоление подобных коллизий. Однако в отсутствие международного права каждый так и останется при своем мнении. А в целом это – глобальный информационный тупик.

Получается, что для выхода из «персонального тупика» либо ИТ-сфера должна стать независимой от регуляторов и правительств (что крайне маловероятно в ближайшие 25 лет), либо необходимо на государственном уровне сменить модель работы с персональными данными.

Капитализм forever

Как уже отмечалось, именно персональные данные граждан являются основой множества бизнес-моделей и сервисов в сфере ИКТ. И вот что удивительно – их берут, их крадут, на них зарабатывают миллиарды (вспомним хотя бы капитализацию Facebook), ими крутят как хотят – и все совершенно бесплатно. То есть истинные владельцы этих данных, граждане, ничего с этого не имеют. Разумеется, кого-то это устраивает.

Кому-то может показаться, что истинным владельцем персональных данных следует считать государство. Ведь это государство выдает свидетельство о рождении и прочие бумажки (хоть и в электронном виде), назначает ИНН и пр. К тому же граждане порой так безответственны и беспечны и выкладывают в соцсетях такое…

Но здесь можно и возразить. Во-первых, данные называются-таки персональными, а не государственными. Во-вторых, основной ущерб от утечек этих данных наносится отнюдь не государству. Ну скажите, есть ли государству разница, узнал весь дом или нет, какой товар покупали их соседи в секс-шопе? Зато самим соседям, вероятнее всего, разница есть. Кстати, еще больше интересного таится в вашей медицинской карте, вашей кредитной истории, структуре вашей собственности (эффективное государство это и так знает). В-третьих, материальные потери от кражи персональных данных (к примеру, вместе с деньгами со счета) в первую очередь несут опять же граждане. В общем, государство здесь не собственник, а скорее нанятый охранник, обладающий соответствующим законодательством и различными инструментами его соблюдения в лице спецслужб, прокуратуры, судов и пр.

Одно из решений – превращение персональных данных каждого пользователя в его постоянную и неотчуждаемую собственность (ее нельзя продать или отнять), доступ к которой определяется владельцем и должен быть платным. Короче – за пользование чьими-либо персональными данными надо платить. Платить, причем обязательно, должны все к ним обращающиеся, если это не «свои» госструктуры (т.е. магазины, поисковые системы, рекламные площадки и пр.) – такой может быть новая государственная политика. Регулятор установит предельные цены за доступ к персональным данным (это могут быть сущие копейки, но суть в том, что они есть, как есть и основа для иска), перечень мероприятий по пресечению их несанкционированного использования, а также правила их страхования. И те, кто не платит, будут попадать в тесные объятия государственной машины.

Вот, к примеру, поисковик не удаляет страницы из результата поиска, пока владельцы сайта не примут мер, чтобы их содержимое не было доступно поисковой системе. И он тут в своем праве. Затем Роскомнадзор просит поисковиков рассмотреть техническую возможность блокировать запрос, который позволяет получить в ответ персональные данные. Прокуратура пытается защитить персональные данные покупателей интернет-магазинов. Давайте облегчим ей задачу и разрешим всем пользователям, которым не заплатили за использование их персональных данных, подать в суд на тех, кто не обеспечил защиту таковых. И тогда даже трудно себе представить, насколько быстро владельцы веб-сайтов озаботятся защитой персональных данных. И не надо разрабатывать никаких общих технических условий и помещать их в законы – рыночные игроки «со свистом» будут поспевать за ИТ-прогрессом и хакерами. Тут, глядишь, исчезнут претензии к назойливой интернет-рекламе – если вам заплатили за ее просмотр, то и возмущаться незачем, если нет – сразу же есть чем заняться прокуратуре.

Да, это новый подход к взаимоотношениям субъектов в информационном обществе. Да, это сформирует новые отношения и новые рыночные площадки. Да, это нанесет серьезный удар халяве и безответственности при использовании персональных данных. Но это и позволит обеспечить защищенность электронного гражданина будущего электронного государства. Потому что стоимость доступа к электронному гражданину будет твердой валютой того самого государства, которую не измерить в бумажках. И заодно будет легче претворить в жизнь Доктрину информационной безопасности.

Кстати, возможность сохранения номера мобильного телефона (или Mobile Number Portability, MNP) – это один из способов использования наших персональных данных. У каждого гражданина должен быть один уникальный номер (выданный ему государством), с которым он должен иметь право «гулять» по сетям (и который нельзя у него отнять). Вот для этих персональных номеров и нужно обеспечить MNP. Для остальных же телефонных номеров MNP не нужна. Пусть одни сэкономят, другие – заработают, да еще и конкуренция вокруг обслуживания граждан усилится.

Поставщики сервисов привыкли жить при капитализме и извлекать прибыль из оборота персональных данных? Получите капитализм в лице полноценного рыночного партнера/абонента/гражданина, у которого вы что-то заняли, чтобы вести свой бизнес. Ведь мы партнеры, не правда ли?