Что такое privacy by design
Privacy by design и privacy by default (спроектированная защита данных и конфиденциальность по умолчанию по GDPR)
В мае 2018 года вступил в силу новый закон о защите персональных данных – General Data Protection Regulation или Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (далее GDPR), который предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными, защита которых является фундаментальным правом в Европейском союзе. Статья 25 GDPR требует от компаний создания систем со встроенной защитой персональных данных и систем конфиденциальности по умолчанию — privacy by design и privacy by default. В настоящем материале мы разберем эти понятия.
Текст статьи 25 Регламента на английском и на русском:
1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.
1. Принимая во внимание состояние развития науки и техники, расходы на внедрение, характер, объем, особенности и цели обработки, а также вероятностное возникновение рисков и опасности для прав и свобод физических лиц в результате обработки, контролер должен как во время определения средств обработки, так и во время самой обработки внедрить соответствующие технические и организационные меры, например, псевдонимизацию, которые предназначены для эффективной реализации принципов защиты данных, например, минимизации данных, и для интегрирования необходимых гарантий в обработку в целях выполнения требований настоящего Регламента и защиты прав субъектов данных.
2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons.
2. Контролер должен внедрить соответствующие технические и организационные меры для обеспечения того, что по умолчанию обрабатываются только те персональные данные, которые необходимы для каждой конкретной цели обработки. Указанная обязанность применяется в отношении большого количества собранных персональных данных, объема их обработки, срока их хранения и возможности доступа к ним. В частности, указанные меры должны гарантировать, что по умолчанию доступ к персональным данным не будет предоставлен неопределенному количеству физических лиц без участия отдельного лица.
3. An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article.
3. Утвержденный сертификационный механизм согласно Статье 42 может использоваться в качестве элемента для подтверждения соблюдения требований, установленных в параграфах 1 и 2 настоящей Статьи.
Это означает, что контролер данных обязуется встроить систему защиты данных во все бизнес-процессы (в том числе в процессы разработки продукта или сервиса) на раннем этапе их проектирования и обязуется поддерживать такую систему непрерывно в дальнейшем. Встроенная защита данных по своему замыслу — это обязанность заблаговременно предусмотреть защиту персональных данных во всех действиях, начинаниях и решениях компании. Например, при создании мобильного приложения необходимо проанализировать и предупредить возможные риски, связанные с конфиденциальностью, и установить механизмы управления такими рисками до написания кода.
Согласно философии privacy by design, лучший способ снизить риски, связанные с конфиденциальностью, — это, в первую очередь, не создавать их.
Privacy by default
Конфиденциальность по умолчанию подразумевает, что пользователю не нужно предпринимать никакие действия для защиты своей конфиденциальности. Настройки по сохранению конфиденциальности и соответственно защите его персональных данных установлены по умолчанию. Контролеры не должны автоматически полагать, что пользователь дает согласие на обмен данными. Сбору подлежат только те данные, которые необходимы для достижения конкретных целей обработки. Для обеспечения такой конфиденциальности по умолчанию контролеры должны имплементировать соответствующие технические и организационные меры.
У сайта в профиле пользователя не должен быть автоматически отмечен чекбокс о согласии пользователя на передачу его данных третьим лицам. Пользователь должен сам отметить этот чекбокс, тем самым выразить явное согласие (см. о явном согласии ст. Статьи 4(11), 6(1)(a), 7 GDPR). Или, например, при сборе данных, необходимых для регистрации пользователя, приложение не должно требовать от пользователя предоставления данных, не являющихся необходимыми для регистрации.
Чем меньше данных компания собирает и обрабатывает, тем меньше риск нарушения GDPR.
История privacy by design, privacy by default
По мнению Европейского контролера по защите данных (European Data Protection Supervisor, далее EDPS), термины «встроенная конфиденциальность» и «конфиденциальность по умолчанию» были разработаны в 1990-х годах Энн Кавукян (Ann Cavoukian), специальным уполномоченным по информации и защите персональных данных в канадской провинции Онтарио. В 2009 году она опубликовала документ «Встроенная конфиденциальность: 7 основополагающих принципов», в котором объясняет, что «встроенная конфиденциальность» означает, что компании должны активно рассматривать вопросы конфиденциальности на протяжении всего жизненного цикла данных, начиная с фазы проектирования. Такая «защита всего жизненного цикла» (“Full Lifecycle Protection”) гарантирует, что все данные надежно сохраняются, а затем надежно своевременно уничтожаются. Таким образом, privacy by design обеспечивает непрерывное и безопасное управление жизненным циклом данных, от начала до завершения обработки. В соответствии с этими принципами эта защита может и должна действовать без ущерба для функциональности бизнеса или системы.
EDPS объясняет, что этот параметр по умолчанию означает, что субъект данных не должен нести бремя защиты своих данных при использовании каких-либо услуг или продуктов. Право на неприкосновенность частной жизни будет защищаться «автоматически» в качестве настройки по умолчанию.
Принципы privacy by design и privacy by default, разработанные Кавукян, вскоре были приняты европейскими законодателями как стандарт в области защиты персональных данных.
Проект рекомендаций European Data Protection Board от 13 ноября 2019 года
13 ноября 2019 года независимый орган по защите персональных данных на европейском уровне European Data Protection Board (Европейский совет по защите персональных данных, далее EDPB) опубликовал проект рекомендаций по применению статьи 25 GDPR о встроенной системе конфиденциальности. Эта версия не финальная, EDPB принимает комментарии от любых заинтересованных лиц до 16 января 2020 года, после чего с учетом таких комментариев публикует финальную версию рекомендаций. Рекомендации не имеют силы закона, но несмотря на их ненормативный характер, регуляторы по защите данных в странах ЕС и компании следуют им.
Ниже перечислены основные моменты этих рекомендаций, которые помогут правильно толковать, понимать требования статьи 25 GDPR.
1. Privacy by design
4. Сертификация в соответствии со статьей 42 GDPR может также использоваться, чтобы показать соответствие принципам privacy by design и privacy by default, и обеспечить конкурентное преимущество на рынке поставщиков. Важно добавить, что существуют рекомендации по сертификации в отношении ст 42, 43 GDPR, также разработанные EDPB.
5. В рекомендациях также даны практические примеры по важным элементам privacy by design, privacy by default: прозрачность, законность, добросовестность, ограничение цели, точность, ограничение хранения, целостность и конфиденциальность.
Например, к элементу “точность” EDPB представил следующую ситуацию и потенциальное ее решение:
Контролер — это медицинское учреждение, которое ищет способы обеспечения целостности и точности персональных данных в своих клиентских регистрах. В ситуациях, когда два человека прибывают в учреждение одновременно и получают одинаковое лечение, существует риск ошибки, если единственным параметром, различающим их, является имя. Для обеспечения точности контроллеру необходим уникальный идентификатор для каждого человека и, следовательно, больше информации, чем просто имя клиента. Учреждение использует несколько систем, содержащих личную информацию клиентов, и должно гарантировать, что информация, относящаяся к клиенту, является правильной, точной и согласованной во всех системах в любой момент времени. Было выявлено несколько рисков, которые могут возникнуть, если информация изменилась в одной системе, но не в другой. Чтобы снизить риски, контроллер решает использовать метод хеширования для обеспечения целостности данных в записях о лечении. Неизменяемые хэш-подписи создаются для записей лечения и связанного с ними сотрудника, чтобы любые изменения можно было распознать, сопоставить и отследить при необходимости.
Как было указано выше, это не финальная версия рекомендаций, поэтому необходимо следить за обновлением с учетом комментариев заинтересованных лиц.
Большой штраф по ст. 25 GDPR
30 октября 2019 года немецкая риэлторская компания Deutsche Wohnen SE была оштрафована на сумму 14,5 миллионов евро за неправильное хранение данных как раз со ссылкой на статью 25 (1) GDPR. Компания использовала систему архивирования для хранения персональных данных арендаторов, не обеспечивающую возможность удаления уже ненужных данных. Персональные данные арендаторов хранились без проверки на предмет допустимости дальнейшего их хранения. Таким образом, было возможно получить доступ к личным данным, которые хранились годами, когда как они уже не служили целям их первоначального сбора. Хранились данные о личном и финансовом положении арендаторов, справки о заработной плате, формы о раскрытии информации (self-disclosure forms), выписки из трудовых договоров и договоров об обучении, данные о налогах, социальном обеспечении и медицинском страховании, а также выписки с банковского счета.
Максимальный штраф за нарушение статьи 25 (1) GDPR составляет 10 миллионов евро или 2% мирового оборота. Штраф в размере 14,5 млн евро был рассчитан с использованием руководств, ранее опубликованных BBDI (Немецкий орган по защите данных, Berliner Beauftragte für Datenschutz und Informationsfreiheit).
На этом сайте (GDPR Enforcement Tracker) можно следить за штрафами и санкциями, которые налагаются в Евросоюзе в рамках GDPR.
Статья 25 GDPR накладывает значительное бремя на обеспечение встроенной защиты персональных данных и конфиденциальности по умолчанию. Для соблюдения требований этой нормы и во избежание крупных штрафов контролеры должны проанализировать, как, где и когда они обрабатывают информацию, и обеспечить, чтобы право на неприкосновенность частной жизни учитывалось на каждом этапе обработки, начиная с проектирования продукта/услуги, нового бизнес-процесса. Это должно включать следующее:
Privacy by design: как используют GDPR в AI технологиях
Что такое АІ и почему об этом говорим?
Когда average person видит словосочетание искусственный интеллект, в воображении возникает некий Джарвис, который учит себя сам и развивается так быстро, что в результате захватывает все человечество и контролирует его.
Однако, такое видение на искусственный интеллект популяризируют писатели, сценаристы и режиссеры, но когда речь идет о людях из сферы IT, то для них AI — это определенный уровень развития технологий, при котором уменьшается уровень привлечения людей к выполнению отдельных процессов, а не какой-то один конкретный супер-робот.
Как ни странно, но термин «artificial intelligence» — это не продукт ХХ или даже конца ХХ века. Он был создан еще в 1955 году американским информатиком Джоном Маккарти, когда тот готовился к своему выступлению на конференции в Дартмуте. Но почему тогда мы так часто обсуждаем вопросы искусственного интеллекта сейчас, спустя более чем 60 лет после его возникновения?
Одна из основных причин для такой актуализации — это чрезвычайное увеличение объемов имеющейся в мире информации. Где-то с 2010-х годов общество осознало, что количество информации, которое производится, настолько велико (и столь стремительно увеличивается), что для того, чтобы эффективно обрабатывать и анализировать хоть какую-то весомую долю из этого массива данных, человеческих усилий уже недостаточно. Поэтому компании начали привлекать к этому AI платформы. Использование искусственного интеллекта для обработки данных позволило ведущим компаниям оптимизировать значительное количество процессов и сделало их аналитику чрезвычайно эффективной. На этом моменте вы все можете вспомнить, как быстро обычную рекламу в сети сменила исключительно таргетированная, и как частью вашего дня стали музыкальные сервисы, которые включают именно те песни, которые вам так нравятся ( «откуда они знаааают?»).
При чем тут GDPR и Privacy by design?
Конечно же, активное привлечение AI в различные процессы породило и новые проблемы. Ведь среди информации, которую начали активно передавать на обработку и анализ AI, появилась не только общая или техническая. Чаще всего это именно данные, которые мы называем персональными, то есть такие, которые касаются каких-то конкретных лиц и часто являются составляющей их частной жизни. А безопасность и «правильная» обработка этих данных очень важна, так как необходимы как технические, так и юридические меры для того, чтобы эти аспекты можно было гарантировать.
И именно на выполнение этих задач направлены нормы GDPR. В статье 25 этого акта закреплено требование, что называется «privacy by design». В рамках этой концепции отмечается, что необходимо интегрировать в системы (на всех стадиях их создания и существования) приватность и соблюдения других важных принципов обработки персональных данных. Эти правила применяются и при разработке AI, и ставят перед разработчиками программ и алгоритмов требования внедрения таких технических мероприятий, чтобы важные аспекты, касающиеся обработки персональных данных, были буквально встроены в их функционирование.
При этом, нормы GDPR влияют на процессы такой разработки не только в Европе, ведь большинство ведущих компаний мира, занимающихся развитием искусственного интеллекта, сделали этот документ своей настольной книгой и используют закрепленные там принципы как best practice, независимо от того, обязаны они это делать или нет. Именно поэтому GDPR играет такую важную роль в определении направлений развития AI во всем мире.
Скажем сразу, концепцию privacy by design часто критикуют за отсутствие четкости, поэтому до конца узнать, что вкладывается в нее нелегко. Но к ее пониманию можно приблизиться, проанализировав практику компаний, которые занимаются развитием artificial intelligence с соблюдением требований GDPR.
4 основные требования, на которые надо обратить внимание AI-разработчикам
Итак, что пришлось изменить в своей деятельности компаниям и девелоперам при разработке AI для того, чтобы обеспечить реализацию privacy by design?
Меньше автоматизированной обработки
Прежде всего, перед разработчиками встала задача создать условия для соблюдения требований статьи 22 GDPR — чтобы субъект данных имел возможность не подвергаться решению, основанному исключительно на автоматизированной обработке. То есть, чтобы реализовывать концепцию privacy by design компаниям пришлось отойти от понимания artificial intelligence как использования только машинного интеллекта, и привлекать туда интеллект человеческий (то есть работать по системе human-in-the-loop). Привлечение людей для наблюдения и контроля за процессами обработки данных машинным интеллектом позволяет уменьшить риски в работе последних. Как результат — персональные данные, обрабатываемые AI более защищенные, а выводы, которые делает машинный интеллект по результатам такой обработки лишены возможных предвзятости или неточностей. Для лучшего понимания как работает система human-in-the-loop, приведем такой пример:
Представьте платформу AI, которая была создана для того, чтобы анализировать данные денежных переводов и других транзакций, которые совершают пользователи, и блокировать те, которые имеют признаки мошеннических. Как выгодно и удобно было бы, чтобы машинный интеллект делал все сам — сам проанализировал, сам нашел признаки мошенничества, сам заблокировал. Быстро и дешево! Однако, тогда требования статьи 22 GDPR соблюдены не будут. Тогда как эту систему можно организовать по-другому: машинный интеллект анализирует данные, выделяет признаки мошенничества, и в удобном виде это представляет человеку — типа вот у нас есть такая транзакция, и вот тут такую в ней штуку я считаю подозрительным — блокировать или нет? И человек смотрит на картинку в целом, и делает вывод и принимает решение о блокировании средств.
Конечно, такая организация процесса не очень выгодна для экономии времени и денег, но это позволяет уменьшить риск того, что машина решит заблокировать чью транзакцию, положив в основу решения не те данные, что надо (юридическим языком: это позволяет ограничить дискриминационное влияние на физических лиц на основе расового или этнического происхождения, политических взглядов, религии или убеждений, членства в профсоюзах, генетического или медицинского статуса или сексуальной ориентации). Кроме этого, привлеченные по такой системе люди смогут наблюдать, чтобы в процессе всех этих анализов не было других нарушений (типа какой-то утечки данных, которые машина по разным причинам не сможет обнаружить).
Второй момент — для реализации концепции privacy by design разработчики и компании, которые используют AI, должны использовать искусственный интеллект так, чтобы логику его решений можно было объяснить. Этот аспект очень связан с предыдущим, но важно отметить, что нормы GDPR устанавливают, что при наличии автоматизированной выработки и принятия решений должно быть предоставлено достоверную информацию о логике такой обработки для субъекта данных. У разработчиков AI (которые занимаются техническими аспектами) часто возникает вопрос — а что именно вам объяснять?
Как искусственный интеллект выбирает и передает данные или как он осуществляет их анализ? Ну и что вам с того будет понятно? (Спойлер: почти ничего). На самом деле объяснять здесь надо не технические процессы, а причины, почему машина решает именно так, а не иначе. С привязкой к предыдущему примеру, то AI должна быть разработана так, чтобы в случае необходимости можно было показать — эта транзакция была заблокирована из-за того, что она осуществлялась вот так и так, а по логике машины это является признаком мошенничества, так как она проанализировала такие вот мошеннические транзакции и вот такой процент из них содержал такой признак. Это также добавляет работы разработчикам искусственного интеллекта при его создании, поскольку такие вещи надо в них закладывать (время и деньги!), Но преимущества такого подхода для соблюдения прав человека, думаю, объяснять не нужно.
Дифференциальная приватность
Третье — это уменьшение возможности идентификации лиц при доступе к информации, которая имеется в AI. Что это значит? А то, что нужно организовывать работу AI так, чтобы персональные, особенно, чувствительные данные были максимально деперсонифицированы и зашифрованы, где это возможно. Например, когда AI платформа для определенных целей занимается анализом размера заработной платы или сексуальной ориентации в определенной группе лиц, то важно, чтобы лицо, получающее результат такого анализа, не могло проследить обратный путь и сопоставить данные о лицах и их заработной плате или ориентации. Такой подход называется differential privacy (которую переводят как дифференциальная приватность) и если вы подумали, что это сделать очень легко, то вы ошибаетесь. Но над совершенствованием процессов дифференциальной приватности работают, поэтому эта проблема имеет шансы быть решенной в ближайшем будущем.
Деперсонификация также критически важна при утечке данных. Ущерб, наносимый утечкой данных, можно свести к минимуму, если информация будет храниться разделены, и ее будет нелегко сопоставить в единый ряд, чтобы идентифицировать конкретного человека.
Право на забвение?
И последнее, но очень важно при использовании AI для анализа данных — это право на забвение, что закреплено в статье 17 GDPR. Возникает проблема — как обеспечить удаление персональной информации, если AI использует информацию, у него заложена, для того, чтобы учиться? И вообще полное удаление какой-либо информации из памяти машины возможно? А как доказывать, что такая информация была удалена, а не просто глубоко скрыта в памяти AI? Чтобы ответить на эти вопросы нужны отдельные глубинные исследования, поэтому в рамках данной статьи мы оставим их открытыми.
Но факт остается фактом — GDPR это не просто акт, который используют где-то в ЕС некоторые отдельные субъекты, это то, что меняет правила разработки и использования artificial intelligence во всем мире, а следовательно — меняет и ваше с нами будущее.
Privacy by Design, или Принцип спроектированной приватности (ст. 25 GDPR) – есть статья, но не было санкции?
Как правило, нарушение принципа спроектированной приватности при создании приложения влечет за собой и другие нарушения: например, прав субъектов или принципа минимизации данных, а за это полагаются серьезные санкции. И получалось, что надзорные органы ссылались не на 25 статью.
Год назад был обнаружен первый прецедент, где Национальный надзорный орган в области защиты персональных данных Румынии сослался на 1 параграф 25 статьи. Подразделение банка Unicredit в Румынии было уличено в нарушении принципов Privacy by Design. Они спроектировали систему платежей таким образом, что раскрыли персональные данные сотен тысяч своих клиентов.
Официальное сообщение Румынского надзорного органа гласило, что 337 тысяч субъектов персональных данных, которые осуществляли платежи из Unicredit, либо платежи, где данный банк выступал посредником, фактически поделились лишней информацией с получателями.
Например, вы осуществляете перевод через онлайн-банкинг в адрес какого-либо лица и, конечно, вы бы не хотели раскрывать получателю свой адрес проживания или номер мобильного телефона (то есть, избыточные персональные данные).
Идентификационный номер раскрывался в выписках — эта информация была получена всеми бенефициарами этих платежей. Как итог, произошло раскрытие персональных данных, а значит, была нарушена и статья 5 — принцип минимизации данных. Тем не менее, надзорный орган пришел к мнению, что здесь, в первую очередь, плохо сработали инженеры и системные администраторы, проектирующие данную систему и передавшие лишние сведения бенефициарам.
Это решение о штрафе в 130 000 евро, наверняка не является двумя процентами от оборота румынского подразделения Unicredit, но это довольно серьезное предупреждение в адрес финансовых организаций, IT-компаний, которые выступают в качестве подрядчиков, разрабатывающих программное обеспечение для подобных учреждений.
Игнорировать принципы Privacy by Design (спроектированной приватности) нельзя. Руководством по данном вопросу может стать мануал 2014 года, разработанный Европейским агентством в области информационной и сетевой безопасности, а также чек-листы Норвежского надзорного органа.
Для тех, у кого мало времени на реализацию подобных решений приватности, лучше не ждать, пока технические специалисты смогут хорошо разобраться в этой теме самостоятельно, а отправить их на соответствующее обучение.
Мы готовим второй тренинг по спроектированной приватности 28-29 октября 2021 года (первый состоялся в апреле 2021). Privacy by Design — это уникальный мастер-класс Марии Арнст, CIPP/E, CIPM, TÜV, Strategic Privacy by Design.
Присоединившись к курсу, вы узнаете как:
Мы подготовили для видео, в котором подробно рассказываем о штрафах по GDPR за нарушение Privacy by Design.