Інтернет пам’ятає все. Ризики, пов’язані із захистом персональних даних в контексті Big Data

20/10/2017
Автор:

Швидкий розвиток технологій у ХХІ столітті призвів до того, що зараз суспільство існує не лише в реальному, а й у цифровому просторі. Обсяг інформації, який обертається навколо нас, вражає. За статистикою, у світі кожну секунду генерується близько 1,7 мегабайта інформації.

Кожен з нас так чи інакше, користуючись Інтернетом, смартфоном або іншими благами цивілізації, активно долучається до процесу створення інформації та контенту. Ця інформація не тільки нікуди не зникає, але й збирається, обробляється та використовується різними компаніями.

Термін «Великі дані» (Big Data) можна звести до класичного та популярного американського розуміння 3V: «Volume» (величезні обсяги інформації, з якими традиційні системи не можуть впоратися), «Velocity» (величезна швидкість їхньої зміни, отримання в першу чергу) та «Variety» (різноманітність). На відміну від інших даних, Big Data не можливо зберігати як класичну базу даних, яку зібрали, обробили та використовують декілька років. Вони надзвичайно швидко змінюються і накопичуються.

Великим даним притаманні три відмінні ознаки. Першою особливістю є доступність даних у масовому масштабі, зібраних не лише в Інтернеті, але й шляхом використання мобільних пристроїв (з можливістю відстеження місцеперебування особи та великої кількості додатків, що розподіляють дані з кількох сторін, взаємодія зі смарт-сердовищем, системами моніторингу у фізичному середовищі), а також завдяки організму людини, який використовується як засіб аутентифікації за допомогою біометричних даних. Інтернет є інструментом, який дозволяє особам добровільно ділитися великими обсягами даних та інформацією про себе, своїх друзів, родичів. Хоча користувачі поширюють таку інформацію добровільно в різних соціальних мережах, компанії з радістю використовують цю інформацію з метою отримання прибутку від їх аналізу.

Друга важлива особливість Великих даних – це використання комп’ютерів з високою швидкістю передачі даних у поєднанні з великим обсягом пам’яті, який обчислюється у петабайтах (тобто у мільйонах гігабайтів), результатом чого є дешева та ефективна обробка даних. Використання «хмарних» технологій роблять цей процес ще більш ефективним.

Третьою особливістю є використання нових обчислювальних структур для зберігання та аналізу надвеликих обсягів даних. Такі компанії як Google, Facebook, Apple тощо збирають про кожного користувача гігабайти інформації з метою покращення сервісу, якості обслуговування, таргетування маркетингових заходів, збільшення ефективності реклами. Така інформація не є шкідливою, але небезпека з’являється тоді, коли інформація зв’язується з особою, яку можна однозначно та точно ідентифікувати. Такі дані називаються персональними. У цифрову епоху на рівні з правами на життя, безпеку та невтручання в особисте життя з’являється право особи на безпеку в цифровому просторі. Право на безпеку в цифровому просторі можливо реалізувати через дієві механізми захисту персональних даних.

Популяризація та доступність Інтернету для широкого кола користувачів, діяльність великих корпорацій зі збирання та обробки персональних даних змусили державних регуляторів реагувати на сучасні виклики й розробляти правила, за якими така обробка повинна здійснюватися, які права власників цієї інформації мають бути забезпечені.

За останні 30 років більше ніж у 20 країнах були прийняті нормативно-правові акти із захисту персональних даних, в яких закріплені реальні механізми правового обігу такої інформації.

У Сполучених Штатах Америки діє низка нормативно-правових актів, основним з яких є Закон «Про свободу інформації» (The Freedom of Information Act) 1966 р., Закон «Про надання кредитної інформації про покупця» (The Fair Credit Reporting Act) та Закон «Про конфіденційність» (The Privacy Act) 1974 р. Останній фактично став своєрідним прикладом для започаткування законотворчості у сфері захисту відомостей про особу не лише в США, а й в інших країнах світу. Крім того, в США діє концепція захисту інформації незалежно від носія такої інформації, а отже, її захист здійснюється на загальних підставах (як і матеріальних цінностей).

Найбільш ефективним і досконалим механізмом захисту персональних даних сьогодні вважається той, що існує в межах Європейського союзу. В Європейському союзі діє Директива 95/46/ЄС Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» від 24.10.1995 р. Проте Директива не є актом прямої дії, тому кожна країна-член ЄС має свої регуляторні акти, що в окремих випадках створює перешкоди. Глобалізація є таким собі трендом нашого століття, тому законодавство у сфері захисту персональних даних потребує уніфікації. З цією метою в Європейському союзі розроблено Регламент General Data Protection Regulation від 26.04.2016 р.(далі – GDPR), який набуде чинності у травні 2018 р. Цей регламент заміняє Директиву, але багато його положень потребують або дозволяють регулювання національним правом. GDPR є новим гармонізованим Регламентом ЄС. Після набуття чинності він замінить дію директиви ЄС «Про охорону персональних даних» та відповідне місцеве законодавство країн-членів ЄС.

На сьогодні GDPR є найбільш прогресивним регуляторним актом у сфері захисту персональних даних, його роль у цій сфері важко переоцінити. В ньому уточнено поняття персональних даних, а саме до переліку таких даних включені IP-адреса, cookies, цифрові ідентифікатори приладів і місцеперебування, за якими може бути ідентифікована конкретна фізична особа. Окрім визначення персональних даних, наведено поняття контролера та процесора. Контролером є фізична або юридична особа, державний орган, установа або інший орган, який самостійно чи спільно з іншими визначає мету та засоби обробки персональних даних. Під процесором розуміється фізична або юридична особа, державний орган, установа або інший орган, який здійснює обробку персональних даних від імені контролера.

Регламент застосовується до обробки персональних даних суб’єктів даних, які знаходяться в ЄС, навіть якщо контролер або процесор не засновані в Союзі, діяльність з обробки пов’язана з пропозицією товарів або послуг, незалежно від того, потребується оплата від суб’єкта даних в ЄС або моніторинг їхньої поведінки, якщо це відбувається в межах ЄС. Штрафи, передбачені Регламентом, змусять кожного контролера та процесора відповідально ставитися до обробки даних, адже їх розмір становить до 20 млн євро або до 4% від загального світового річного обігу попереднього фінансового року, залежно від того, яка з двох цифр вище. З такими штрафами варто очікувати на зважений підхід усіх компаній, які працюють з персональними даними, до проведення відповідного комплаєнсу.

В країнах Європейського союзу вже розпочалася підготовка до нових правил роботи з персональними даними. Однак готуватися потрібно не лише країнам-членам ЄС, але й компаніям, які так чи інакше працюють з жителями ЄС або їхніми персональними даними.

В Україні 01.01.2011 р. набув чинності Закон України «Про захист персональних даних». Хоча національне законодавство в цій сфері не зовсім досконале, закон містить деякі корисні положення.

Захист персональних даних полягає у забезпеченні належних і безпечних умов обробки та використання отриманої інформації відповідно до мети, з якою така інформація отримувалася, її захист від несанкціонованого доступу третіх осіб, викрадення тощо. Важливим аспектом накопичення, обробки та зберігання будь-яких персональних даних є беззаперечне додержання та реалізація прав суб’єктів персональних даних.

Дуже часто Інтернет пам’ятає набагато більше за нас, тобто зберігає інформацію, яка може бути вже не актуальною та не релевантною. Право особи на доступ до персональних даних, за яким вона може в будь-який час звернутися до власника бази даних та отримати копію зібраної на неї інформації, є важливим інструментом контролю за даними, які використовуються тією чи іншою компанією. Якщо в цих даних особа виявить неправдиві, не релевантні, застарілі відомості, вона може звернутися до власника бази даних із запитом про видалення тих чи інших даних – право особи бути забутою. Однак таке право є дискусійним. На думку деяких правників, таке право існує всупереч свободі слова та є формою цензури.

Не можна не погодитися, що в сучасному світі наповнення інформаційного простору здійснюється занадто швидко, поряд з правдивою та актуальною інформацією в ньому існують різні фейки, замовлені матеріали, наклеп, що може негативно впливати на особистість, її репутацію тощо. Право виправити некоректні дані є ще одним способом захисту своїх прав в інформаційному просторі. Якщо особа виявить про себе неправдиві дані, то власник бази даних за запитом цієї особи повинен їх виправити.

Інший бік Великих даних – кібербезпека. Останній рік продемонстрував українцям, наскільки вразлива національна інформаційна мережа до хакерських і вірусних атак. Мета таких атак може бути різною, але завжди під ударом залишається інформація, в тому числі персональні дані. Їх захист від несанкціонованого доступу є важливим моментом існування баз даних загалом. Оскільки довіряючи комусь інформацію про себе, особа хоче бути впевненою в тому, що така інформація буде використовуватися виключно з метою, з якою її надано, та виключно в межах правового поля.

Так, у суб’єкта персональних даних є право бути повідомленим про будь-який несанкціонований доступ, витік інформації тощо. Однак при цьому залишається відкритим питання щодо відповідальності за це власника персональних даних.

В сучасному світі поряд із цифровою безпекою особистості постає безпека цифрової особистості, її прав і свобод. Люди добровільно залишають про себе настільки багато інформації в Інтернеті, різних мобільних пристроях і додатках, що акумулювання такої інформації дозволяє створити цифрового «клона» особи. Відтоді як для розблокування смартфонів, без яких не проходить жодний день нашого життя, почали використовуватися біометричні дані (відбитки пальців, сканування райдужки ока, розпізнавання об’ємної моделі обличчя), великі дані вже мають нашу біометричну інформацію. Тобто наш «цифровий клон» може бути з такими ж відбитками, райдужкою та обличчям. Якщо особа використовує біометричні дані для підтвердження проведення платежів і вони (в цифровому вигляді) стали доступні зловмисникам, то з цим, на жаль, нічого не вдієш, оскільки свої біометричні дані, на відміну від багатозначного пароля, особа змінити не може. Отже, особа має право отримувати інформацію про будь-які кібератаки на бази даних, а володілець таких баз даних повинен забезпечувати належний захист інформації від несанкціонованого втручання.

Варто враховувати, що технології Великих даних є дуже витратними, дозволити їх можуть не всі, а лише фінансово заможні компанії. У будь-якому випадку захист персональних даних залишається проблемою національних регуляторів, яким необхідно віднайти справедливий баланс між корисним збором, обробкою даних та інтересами окремої особи, інформація про яку обробляється й використовується. Українське законодавство не містить поняття Великих даних. Саме напрацювання комплексного рішення у сфері захисту персональних даних, робота над його актуалізацією має стати пріоритетним напрямком діяльності національного регулятора.

На жаль, сьогодні персональні дані в Україні не викликають занепокоєності держави, яка виділяє дуже мало ресурсів на діяльність у напрямку їх захисту, але рано чи пізно, особливо в умовах стійкого курсу на інтеграцію з ЄС, а отже, на приведення законодавства до вимог Європейського союзу, наша країна повернеться до цих питань. При цьому вірогідна імплементація положень GDPR в національне законодавство, оскільки саме GDPR є втіленням кращих методів та інноваційних практик.

Матеріал опубліковано на сайті Юридичної газети 20 жовтня 2017 року