Таким образом, на данный момент общественное мнение в целом негативно относится как к государственному надзору, так и к интернет-компаниям, собирающим, хранящим и анализирующим персональные данные. Сегодня большинство комментаторов согласны с тем, что законодательство о конфиденциальности данных необходимо обновить и внести изменения. В 2012 г. Европейский союз и Федеральная торговая комиссия в США опубликовали обзоры и обновления, касающиеся защиты данных и политики конфиденциальности{59},{60},{61}. В 2013 г. Руководящие принципы ОЭСР были расширены, чтобы включить, помимо прочего, более подробную информацию о принципе подотчетности. В частности, новые Руководящие принципы определяют обязанности оператора данных с точки зрения наличия программы управления конфиденциальностью и четко определяют, что влечет за собой такая программа и как ее следует рассматривать с точки зрения управления рисками в отношении персональных данных{62}.
В 2014 г. гражданин Испании Марио Костеха Гонсалес выиграл дело в Европейском суде против Google, отстаивая свое право на забвение{63}. Суд постановил, что физическое лицо может при определенных условиях запросить поисковую интернет-систему, чтобы та удалила ссылки на веб-страницы, полученные в результате поиска от имени физического лица. Основанием для такого иска было то, что данные могут быть неточными, устаревшими или храниться дольше, чем это необходимо для исторических, статистических или научных целей. Это решение имеет серьезные последствия для всех поисковых систем в интернете, но может оказать влияние и на другие накопители больших данных. Например, пока неясно, как это повлияет на сайты социальных сетей, таких как Facebook или Twitter{64}.
Концепция права на забвение была утверждена и в других юрисдикциях. Например, в калифорнийском законе закреплено право несовершеннолетнего на удаление по запросу материалов, которые он или она разместили в интернете или на мобильном сервисе; также закон запрещает интернет-операторам и операторам мобильной связи собирать персональные данные несовершеннолетних в целях адресной рекламы или для передачи третьей стороне{65}.
В качестве заключительного примера происходящих изменений стоит упомянуть, что в 2016 г. был подписан и принят Щит конфиденциальности ЕС‒США{66}. Щит конфиденциальности — это соглашение об обязательствах в отношении персональных данных двух юрисдикций. Подход заключается в том, чтобы усилить защиту данных граждан ЕС, когда эти данные оказываются перемещены за пределы ЕС. Этим соглашением введены более строгие обязательства для компаний в отношении прозрачности использования данных наряду с жесткими механизмами надзора и возможными санкциями, а также соглашения между правительством США и Европейским союзом об ограничениях и механизмах надзора для государственных органов, осуществляющих запись или доступ к персональным данным.
Тем не менее на момент написания этой книги сила и эффективность Щита конфиденциальности ЕС‒США проверяется в ходе судебного разбирательства в ирландском суде. Причина, по которой ирландская правовая система находится в центре этих дебатов, заключается в том, что многие крупные американские транснациональные интернет-компании (Google, Facebook, Twitter и другие) расположили свои EMEA
[31] штаб-квартиры в Ирландии. В результате уполномоченный по защите данных в Ирландии несет ответственность за соблюдение правил ЕС о трансграничной передаче данных этими компаниями. Недавняя история показывает, что судебные дела могут привести к значительным и быстрым изменениям в регулировании работы с персональными данными. Фактически Щит конфиденциальности ЕС‒США является прямым следствием дела, возбужденного Максом Шремсом, австрийским юристом и активным защитником приватности, против Facebook. Результатом дела Шремса в 2015 г. стало немедленное вступление в силу действующего соглашения о «Безопасной гавани» между ЕС и США, и в качестве экстренного реагирования был разработан Щит конфиденциальности. По сравнению с первоначальным соглашением о «Безопасной гавани» Щит конфиденциальности укрепил права граждан ЕС в отношении их данных{67}, и вполне может быть, что в скором времени укрепит еще больше.
С точки зрения науки о данных важно то, что эти примеры демонстрируют постоянные изменения правил, касающихся конфиденциальности и защиты данных. Примеры, приведенные здесь, взяты из контекстов США и Европейского союза, но они свидетельствуют о более широких тенденциях. Сложно предсказать, как эти изменения будут развиваться в долгосрочной перспективе. В этой области много заинтересованных сторон, включая крупные рекламные, страховые и интернет-компании, спецслужбы, органы полиции, правительства, медицинские и социальные организации, а также правозащитные группы. Каждый из этих секторов общества использует данные в своих целях, и, следовательно, мы имеем разные взгляды на проблему конфиденциальности данных. Кроме того, мы сами, как частные лица, вероятно, будем менять свои взгляды в зависимости от того, чью точку зрения разделяем. Например, вы одобряете использование и повторное использование ваших персональных данных для медицинских исследований. Однако, как показывают опросы общественного мнения, о которых говорилось выше, многие не поддерживают сбор, повторное использование и обмен данными для целевой рекламы. Вообще говоря, в дискуссии о будущем конфиденциальности данных прослеживаются две темы. Согласно одной точке зрения, необходимо ужесточить правила сбора персональных данных и в некоторых случаях дать людям возможность контролировать их сбор, обмен и использование. Другая точка зрения требует ослабить регулирование, но законодательно ужесточить требования компенсации за ненадлежащее использование персональных данных. С таким количеством различных заинтересованных сторон и точек зрения не может быть простых и очевидных ответов. Вполне вероятно, что возможные решения, которые только предстоит разработать, будут учитывать интересы секторов и состоять из компромиссов, согласованных между соответствующими сторонами.
В таком изменчивом контексте лучше всего действовать консервативно и этично. Если мы разрабатываем новые решения бизнес-задач в области данных, то должны учитывать и этические вопросы. Для этого есть веские деловые причины. Во-первых, этичные и прозрачные действия с персональными данными обеспечат хорошие отношения с клиентами, а вот ненадлежащая практика их использования способна нанести серьезный ущерб репутации бизнеса и привести к оттоку клиентов{68}. Во-вторых, существует риск того, что по мере усиления интеграции, повторного использования, профилирования и нацеливания данных общественное мнение в ближайшие годы будет консолидироваться вокруг идеи защиты конфиденциальной информации, что приведет к ужесточению правил. Прозрачные и этичные действия — лучший способ гарантировать, что разрабатываемые решения в области науки о данных не будут противоречить действующим нормам или тем, которые могут появиться в ближайшие годы.
