Без соцсетей и распознавания лиц. Какие компании не взлетели бы из-за GDPR

С 2018 года на рынке Европейского Союза действует общий регламент по защите данных, известный как GDPR. Одни называют его золотым стандартом защиты данных, другие — ненужным бюрократическим барьером для ведения бизнеса. Европейская комиссия в отчете о работе GDPR за первые два года говорит, что акт еще не показал всего своего размаха и говорить что-то о его влиянии на мир рано. Но он все же заставляет задуматься о влиянии жесткого регулирования на IT-бизнес.
Privacy-юрист Legal Nodes Влад Некрутенко рассказал, каким компаниям помешал бы взлететь GDPR, а какие наоборот добились успеха благодаря ему.

Facebook

Сегодня сложно представить мир и интернет без социальных сетей, крупнейшим представителем которых является Facebook. Секретом его вирусности стал сетевой эффект подключения людей по всему миру: чем больше людей пользуются и делятся информацией о себе через платформу, тем более ценной она становится для других людей и бизнеса, который использует сеть для продвижения своих товаров и услуг, а также размещения рекламы.
Топливом сетевого эффекта стала автоматическая (by default) доступность информации из публичных профилей для других пользователей и детальное сегментирование аудитории по их вкусам и предпочтениям для таргетированной рекламы. Первая проблема, которую бы вызвал GDPR у социальной сети, — это обязательное предварительное согласие перед продажей или публикацией данных пользователей. Если целей и способов публикации/продажи информации пользователя несколько, то и согласий должно быть столько же.
С точки зрения UI/UX, особенно для стартапа на ранней стадии, это реализовать нелегко. Перегруженность выбором опций увеличивает показатель отказов (bounce-rate) подключения новых пользователей и, соответственно, ослабляет сетевой эффект платформы.

Более того, за договоры по продаже данных между Facebook и корпоративными клиентами компания могла получить бан на обработку данных, предусмотренный сегодня в GDPR. Это могло привести к закрытию проекта.
Однозначно сказать, можно ли было бы создать в ЕС свой Facebook при существовании GDPR, сложно. Прямого запрета на сбор и продажу персональных данных регламент не ставит, но его ограничения могли бы серьезно подорвать скорость роста соцсети. Это сейчас даже штраф в $5 млрд может перекрыться за один день за счет роста стоимости акций компании. На раннем же этапе популярности платформы могли препятствовать три элемента:

• Приватность информации по умолчанию. По стандартам GDPR перед публикацией профиля пользователю должны дать выбор того, какую информацию он делает публичной. В изначальной форме профиль на Facebook был публичным автоматически.
• Таргетинг рекламы по профилю без согласия пользователя. Свежее дело в немецком суде подтвердило: информацию пользователя нельзя использовать для таргетинга по умолчанию — на это также нужно согласие.
• Слияние баз данных нескольких продуктов, как Instagram, Facebook и WhatsApp. Последний пункт нарушил не только правила защиты персональных данных (недостаток законного основания), но и антимонопольное законодательство.

Платформы для продажи/покупки таргетированной рекламы

Британский информационный регулятор ICO утверждает, что сфера таргетированной рекламы является одной из самых проблемных с точки зрения защиты персональных данных. Ключевая проблема — трекинг действий пользователя в сети без его ведома и согласия. За годы работы площадки по торговле интернет-трафиком, которые соединяют рекламодателей, рекламщиков и сайты с баннерами, накопили профили с сотнями атрибутов — от возрастной группы владельца профиля до сексуальных или политических предпочтений.
При существующем 15 лет назад GDPR подобную экосистему:

• не получилось бы выстроить изначально, не нарушив принцип предварительного согласия;
• разрушили бы требования по обеспечению контроля пользователя за продажей/распространением своих данных.

За доказательством далеко идти не приходится: сегодня индустрия маркетинга пытается найти решение проблемы вследствие того, что Google, Apple, Mozilla, Brave и другие браузеры собираются заблокировать таргетированную рекламу через cookies. Это небольшие файлы, которые размещаются на устройстве пользователя и следят, какие сайты он посещает, на что кликает и чем интересуется. Впоследствии эти же файлы используются, чтобы выбрать баннерную рекламу для посетителя сайта или соцсети. Сегодня через рекламу с помощью cookies и их аналоги сайты получают до 50% интернет-трафика.

Технологии распознавания лиц

Один из последних проектов, оказавшийся в центре внимания из-за проблем с приватностью, — Clearview AI. Стартап из Австралии, в который Питер Тиль (первый инвестор Facebook) вложил $200 000, занимается распознаванием лиц для помощи правоохранительным органам по всему миру. После загрузки фотографии преступника в базу программы она ищет в интернете и выдает снимки человека со ссылками в Facebook, Twitter, видеозаписи в Youtube с его участием и тысячи других ресурсов.
Clearview AI — облачное решение, то есть каждая находка преступника полицейским пополняет общую базу данных стартапа, а не остается на серверах участка.

К концу 2019 года к Clearview AI подключилось более 600 правоохранительных органов по всему миру, преимущественно из США. GDPR в ЕС помешали бы проекту реализовать свой потенциал из-за вопросов к законности парсинга фотографий из открытого доступа в таком объеме, а также ограничений в использовании биометрических данных лица преступников.
Подобные практики противоречат принципу «data protection by design», которому должны соответствовать инструменты для сбора данных в сети. К слову, за это сейчас Clearview AI находится под совместным расследованием британского и австралийского регулятора по защите персональных данных.

Каким сферам GDPR помог

GDPR дал мощный толчок для развития проектов в сфере контроля над своими данными и защитой от слежки в сети. Например, на защите приватности и продвижении ценностей GDPR успешно выстроили свой бренд такие браузеры, как Mozilla Firefox и Brave. Кроме позиционирования своего продукта как «privacy-friendly», они занимаются исследованиями и популяризацией онлайн-приватности, а также проводят частные расследования против своих конкурентов (например, Google).
Благодаря ужесточению регулирования по всему миру популярными становятся и платформы, которые упрощают защиту данных для маленьких и средних компаний и предлагают автоматизированные решения.
Ниже привожу несколько примеров проектов, появлению или развитию которых помог GDPR.

Стартапы по контролю за своими данными

За последний год клиенты все чаще обращаются к нам с вопросом: «Как реагировать на жалобы пользователей, которые присылает автоматический сервис?». GDPR наделяет человека списком из 8 прав касательно своих данных, включая получение копии, исправление и удаление информации о себе из баз данных компаний. Как следствие появились стартапы, которые по email-адресу пользователя помогают ему:

• узнать, на каких сайтах/приложениях он ранее оставлял информацию о себе;
• запросить доступ, удаление или другие действия по найденным в сети данным через интерфейс приложения.

Одним из примеров является израильский стартап SayMine, который обещает пользователям вернуть контроль над своими данными. Компании, получающие запросы от подобных сервисов, не соглашаются на выполнение запроса сразу, а просят, чтобы пользователь подтвердил его с личного email-адреса. Хотя это и снижает удобство сервиса для пользователя, технологии по контролю за своими данными в сети будут становиться все более популярными.

Data Trusts

Недавнее ноу-хау Европейского Союза — это идея создания трастов данных. Она состоит в том, что создается централизованная платформа, которой человек может доверить информацию о себе «под управление».
С одной стороны будут люди, которые хотят монетизировать информацию вроде своих данных для медицинских исследований или маркетинговых предпочтений. По обратную сторону платформы будут компании, желающие приобрести базу данных. Сама платформа будет выступать агентом, который распоряжается информацией от имени человека и предоставляет доступ к ней организациям.
Появление подобных сервисов — ответ на необходимость в балансе между рыночным спросом на данные пользователя и обеспечении ее защиты от злоупотребления согласно стандартам GDPR. Один из таких проектов под названием Trusted Secure Data Sharing Space (TRUSTS) уже поднял 6 млн евро в рамках программы Horizon 2020.

One Trust — первый «единорог» в сфере privacy

В 2019 году международная корпорация OneTrust привлекла $200 млн инвестиций и стала первым в мире единорогом, помогающим компаниям настроить программу по соответствию законам о защите персональных данных.
Вирусным продуктом компании стал инструмент, помогающий собирать согласие пользователей на файлы cookie. До сих пор большинство сайтов не дают возможности отказаться от размещения файлов cookie на устройстве посетителя. Такая практика нарушает требования GDPR и ePrivacy Directive, но, чтобы все правильно настроить, была нужна помощь квалифицированного юриста. OneTrust же смог почти полностью автоматизировать процесс и предоставил свое решение по подписке.
Поскольку по всему миру усиливается регулирование защиты персональных данных, платформы по автоматизации в этой сфере становятся все более востребованными.

Вывод

Мог ли на самом деле существовать GDPR во время возникновения технологий, которым сегодня мешает жить? Скорее всего, нет. Жесткие правила появляются в ответ на несправедливые и злоумышленные действия, а не предшествуют им. GDPR — только следствие скрытой слежки и нарушения приватности людей, которое происходило и происходит на повседневной основе. Поэтому и говорят, что законы и государство никогда не успевают за реалиями.
Подобно рабочему инструменту, страны могут использовать регулирование защиты данных на благо обществу и технологическому сектору. Если же инструментом не уметь пользоваться, то он может нанести вред. Из-за злоупотреблений пользовательскими данными нескольких компаний могут пострадать целые индустрии и отдельные сферы обработки.

Из хорошего:

• Разговор про манипуляции над конечным пользователем и возврат контроля над данными вернулся с новой силой.
• Общий тренд старания сделать приватность более ориентированной на конечного пользователя.
• Появление мощных инструментов, которые помогут обычному человеку управлять своей информацией и, как следствие, иметь с этого выгоду. Ввиду все большей зависимости сервисов от данных пользователей, возможность контроля над данными становится все более актуальной.
• Информационная безопасность сервисов теперь — не только стандарт индустрии, но и требование закона.

Из плохого:

• Без постоянного обучения и выращивания культуры GDPR — это бюрократия и бессмысленная трата денег.
• Повышается порог для ведения бизнеса, особенно на ранней стадии. В отличие от, например, калифорнийского закона CCPA (California Consumer Privacy Act), у GDPR нет минимального порога входа — защита применяется даже при обработке данных одного человека.
• Если применять регулирование слишком жестко, то это может оставить Европу в задних рядах среди инноваторов.
• Усложнение международной торговли из-за разных режимов защиты данных. Яркий пример — судебные тяжбы вокруг обмена данными между США и ЕС и последующее исключение США из списка стран с адекватной защитой данных. В то же время проблема может решиться со временем с помощью международных стандартов и сертификаций по приватности.

Как GDPR повлияет на мир дальше — зависит как от европейских и других стран, так и от подхода самих компаний к регулированию.