С 25 мая, то есть вот уже три месяца как, один регион планеты Земля живёт в эпоху, которую по справедливости следует назвать «эпохой Интернета 3.0». Я говорю про Евросоюз, где вступил в силу самый строгий, самый детальный и (на данный момент) самый эффективный закон о защите персональных данных: General Data Protection Regulation, GDPR.
За прошедшие месяцы проявились как его сильные стороны, о которых многие мечтали, так и слабые, которых отчасти ждали и боялись, отчасти не предвидели вовсе. К счастью, европейцы не пошли на попятную и продолжают адаптировать киберпространство к новым правилам. Наблюдать этот процесс интересно и поучительно — не только потому, что то же самое однажды ждёт и нас (да и уже сейчас, как увидите, GDPR вынуждены учитывать предприниматели вне ЕС, в том числе в России), но и потому, что это ставит вопросы и даёт нетривиальные выводы относительно эволюции Сети в целом.
Прежде всего: откуда вообще взялась мысль, что качественная защита персональных данных может знаменовать новый этап в истории? А из простого факта: именно персональные данные (ПД) являются краеугольным камнем цифровой экономики. Всё к ним сводится, всё на них завязано — ведь в эпоху глобальных коммуникаций вся экономика стала цифровой. И получается, что сегодня для гражданина и общества есть мало вещей более важных, чем ПД и правильное обращение с ними.
Вот только до тех пор, пока разговоры о «цифровизации» не подкреплены соответствующей строгости законами, они разговорами и остаются — то есть, по большому счёту, профанацией, которой политики занимаются, чтобы выглядеть прогрессивно, а бизнесмены чтобы успокоить нервничающих потребителей. И ни Россия с нашим «Законом о персональных данных», ни Соединённые Штаты с их запутанной системой локальных инициатив, никто другой в мире эту черту пока не переступили — никто, кроме Европы! Только в Евросоюзе решились перейти от слов к делу и написали закон, облегчающий построение правильных отношений между бизнесом и потребителем в условиях, когда всё и вся привязано к Сети, к цифровым устройствам и сервисам. Больше четырёх лет спорили, ругались, писали и переписывали, но выдали в конце концов GDPR.
Штука эта сложная, даже упрощённые трактовки занимают с десяток страниц. К счастью, чтобы показать главные выгоды и проблемы, порождённые GDPR, можно представить этот закон в виде своеобразного скелета из четырёх постулатов. Вот они.
Первое: персональные данные (ПД) — это любая информация, позволяющая прямо или непрямо, в любом объёме идентифицировать гражданина. Имя, адрес — очевидно. Но и IP-адрес устройства, с которого он работает, и его географические координаты тоже. И любая биометрическая информация: генетические последовательности, отпечатки пальцев, узор радужки. И даже сведения о политических взглядах, членстве в профсоюзах, состоянии здоровья, культурных особенностях и прочее подобное — это тоже ПД.
Второе: ПД разрешено собирать только для целей, которые полностью и понятно объяснены пользователю. При этом ответственность за соблюдение закона несёт как непосредственно организация, собирающая данные, так и организация, которая занимается их хранением и/или обработкой (в случае, например, если последнюю наняли, как это часто теперь делается).
Третье: пользователь имеет право в любой момент потребовать исправить свои ПД, вплоть до полного их удаления, и в кратчайшие сроки узнать о хищении их, если таковое случится.
Наконец, четвёртое: наказание за нарушение GDPR — штрафы, но большие. Верхней границей определена сумма в 20 млн. евро или 4% от глобального оборота компании. Иначе говоря, нарушение закона о защите ПД теперь способно привести к банкротству бизнеса в случае мелких компаний или панике среди акционеров в случае корпораций.
Из этой простой конструкции следует множество интересных и важных следствий. И первое среди них: GDPR ставит точку в практике сбора ПД без спросу, «про запас». Отныне нельзя собирать персональные данные только лишь потому, что в будущем предприниматель надеется их как-нибудь применить. Вне закона оказывается и такой популярный приём, как «принуждение к согласию», когда пользователю предлагают согласиться на сбор о нём любой и всякой информации в обмен на допуск к сервису или продукту. GDPR требует детализировать, какие сведения планируется собрать и как именно они будут использованы: общие формулировки — типа популярной нынче «в целях улучшения работы сервиса» — более не годятся.
Это очень важный момент, на который, можно думать, сильно обиделись гиганты интернет-бизнеса вроде Facebook и Google — привыкшие «тянуть» о пользователях всё. Несмотря на заверения, что они уже «десятки месяцев работают над адаптацией своих продуктов к новому закону», фактически эти двое (и многие другие, как увидите) до последнего момента надеялись, что GDPR не будет запущен. Ничего удивительного, что их сайты и сервисы оказались к работе в новых условиях неподготовленными. Чем немедленно воспользовались гражданские активисты — подавшие жалобы в компетентные органы ЕС на Google, Facebook, Microsoft, Apple, Amazon, LinkedIn и других. Жаловаться на нарушение GDPR имеют право не только те, кто от него непосредственно пострадал или пострадать может.
Как видно, всё это американские компании, но тут проявляется второй важный момент: пусть GDPR принят и действует лишь на территории ЕС, фактически уважать его требования вынуждены все, кто желает обслуживать потребителей из Евросоюза. И речь как о крупных корпорациях, так и о мелком интернет-бизнесе.
Никто из интернет-гигантов отказаться от европейской аудитории, конечно, не готов — так что волей-неволей им приходится обещать привести свои сервисы в соответствие с новым законом. Google, например, обещает доработать свою рекламную сеть (где, конечно, активно применяется таргетинг — суть, механизм агрессивного сбора и эксплуатации ПД) к осени. WhatsApp поднял минимальный возраст пользователей. А вот как вывернутся социальные сети, сложно даже представить: в них принято запоминать каждый пользовательский клик — а ведь теперь придётся процесс сбора ПД описывать и использование их ограничивать.
Бизнесы помельче, не претендующие на мировое господство, поступиться европейцами могут, поэтому либо совсем закрывают посетителям из ЕС доступ к своим сайтам, либо, в случае их отказа принять пользовательское соглашение, нарушающее GDPR, предоставляют им версии сайтов, лишённые совершенно всех механизмов сбора ПД (счётчиков, кук и пр.). Последнее оказалось даже приятным: стало очевидным, что большая часть потерь времени в Веб происходит из-за сбора ПД — чистые же сайты грузятся поистине моментально!
Паническая волна, прокатившаяся по Сети вслед за запуском GDPR, выявила и третий важный момент: новым законом могут восторгаться или ругать, но игнорировать его решается мало кто. Иначе говоря, GDPR эффективен, потому что подробен и жесток. Это вам не отечественный метод «спросить у пользователя согласия на сбор ПД и работать, как работали раньше». GDPR требует, чтобы каждый нюанс в отношениях между сторонами был прозрачен, понятен обеим и исполняться — потому что обратное чревато потерей бизнеса. Теперь даже срок раскрытия факта хищения ПД (пусть и не потребителям, а компетентным органам) указан предельно конкретно: 72 часа! А ведь до сих пор компании и организации предпочитали замалчивать взломы, пока украденная информация не проявится на чёрном рынке.
Итак, у нас есть основания завидовать европейцам: уже в ближайшем будущем GDPR избавит их от нескольких причин головной боли. К сожалению, не все трудности, связанные с GDPR, обусловлены только лишь инертностью предпринимателей. Начало работы нового закона вскрыло целый ряд специфических проблем.
Во-первых, оказалось, что приведение сайтов и сервисов в соответствие со строгими требованиями закона требует специальных знаний и большого объёма работ. Политики, настаивавшие на том, что адаптация к закону будет «тривиальной», сложность явно недооценили. Ярким примером стал сайт самого Европарламента — на котором обнаружился код, нарушающий GDPR. Конкретно там был установлен счётчик от Google, без спросу собирающий IP-адреса пользователей; теперь подобная информация, собираемая таким образом, должна огрубляться, чтобы её невозможно было использовать для идентификации. Если трудности вызвал даже простейший счётчик и отдельный сайт, что говорить о крупных системах, вроде систем таргетированной рекламы, где применяются намного более сложные алгоритмы?
К счастью, ответ на вопрос «как быть?» в данном случае только один: учиться! Раз уж научились собирать персональные данные, научимся (должны!) и собирать и обрабатывать их правильно. Но обозначились и другие, намного более сложные технические парадоксы, происхождение которых всякий раз уникально, а решение неизвестно.
Возьмите парадокс Whois. Это один из фундаментальных интернет-сервисов (точнее, протокол), появившийся на заре глобальной сети и доживший до наших дней. Предназначен он для получения информации о владельце произвольного интернет-узла — грубо говоря, любой информации, которую владелец пожелал или был вынужден указать при регистрации, вплоть до имени, телефона, домашнего адреса. Whois неоднократно дорабатывался и изменялся, в разных регионах действуют несколько различные правила относительно хранящейся в его базе информации, но в общем он существует и функционирует поныне (в Linux есть соответствующая утилита, но им можно всегда воспользоваться через Веб).
Так вот оказалось, что Whois принципиально несовместим с GDPR. В частности, невозможно гарантировать, что предоставленные через него персональные данные будут использованы только в разрешённых законом целях. Вдумайтесь в это. Сами понимаете, что здесь невозможно гарантировать вообще ничего: Whois — сервис открытый, пользоваться им волен всякий и отчитываться о целях, на которые собранные таким путём ПД пойдут, никто, конечно, не станет. Таким образом Whois придётся или радикально реформировать, ограничив к нему доступ, либо уничтожить, как нарушающий GDPR.
На самом деле здесь просматривается даже более обширная проблема. Дело в том, что сеть Интернет, а после и надстроенная на ней World Wide Web, не задумывались и не строились как анонимные сети. И попытки сделать их таковыми, особенно по-быстрому, могут многое сломать. Сеть в разных регионах станет работать различно, окажется фрагментированной, несовместимой, и… киберпространство скатится в хаос 80-х?
Другой парадокс, выявленный GDPR, связан с так называемым правом быть забытым. Так называют недавно придуманное право гражданина требовать от интернет-ресурса исправить или удалить свои персональные данные, а проще — вообще информацию о себе. Такое право кажется логичным: ведь ПД принадлежат самому гражданину. Поэтому местами его удалось узаконить, пока, правда, лишь частично: в Европе, например, право быть забытым применяется для интернет-поисковиков. Но штука в том, что GDPR теперь требует распространить его вообще на все информационные ресурсы! А между тем нашлись те, кто с этим не согласен — и по хорошей причине!
Среди таких оппонентов — фонд Wikimedia. Его главный и самый ценный ресурс, конечно, свободная энциклопедия Wikipedia. Которая, оказывается, сотнями получает от европейских граждан запросы на изменение или удаление информации на своих страницах.
Но почему люди шлют «Википедии» официальные запросы, почему не могут сами, собственноручно, нужные записи исправить? Ведь это wikipedia — всякий имеет право правку вносить! А шлют запросы потому, что они словно бы придают запрошенным изменениям вес. Если внести правку собственноручно, есть шанс, что другие пользователи её «откатят», то есть удалят. А вот если бы удалось заставить саму Wikimedia изменить нужные строчки, удалить их уже никто не бы не смог! Такая вот технически-правовая лазейка.
До сих пор Wikimedia просителям отказывала — аргументируя тем, что внесение подобных правок «негативно повлияет на свободу обмена информацией». Формулировка не ахти какая, но до сих пор, повторюсь, им это с рук сходило. Теперь же GDPR требует безоговорочно исполнить запрос на коррекцию ПД: Wikimedia обязана по просьбе граждан ЕС исправлять записи, содержащие их, граждан, персональные данные.
Как Wikimedia выкрутится? Рискну предположить, так же, как и некоторые другие медиакомпании в США сегодня: перекроет доступ посетителям из Евросоюза. Но это, конечно, не выход. Настоящее решение: дождаться, когда по всему миру будет выработано единое понимание концепции персональных данных.
Соглашусь, если вы скажете, что звучит как утопия. Вот только какие ещё варианты есть?