Стоит отметить, что это лишь малая часть данных, которые мы оставляем о себе, и не все из них попадают под регулирование. Так, номер мобильного телефона сам по себе не является объектом регулирования для закона о персональных данных в РФ.
Суровые европейские консерваторы
Гонку сбора данных и их использования, которая началась на другом континенте, в старой доброй Европе остановили с помощью бетонной стены, которая называется GDPR основной закон по защите данных, состоящий из 99-ти глав (!). Он вступил в силу 25 мая 2018 года. Именно в эту бетонную стену врезалось большинство продавцов данных.
Гонку сбора данных и их использования, которая началась на другом континенте, в старой доброй Европе остановили с помощью бетонной стены, которая называется GDPR основной закон по защите данных, состоящий из 99-ти глав (!). Он вступил в силу 25 мая 2018 года. Именно в эту бетонную стену врезалось большинство продавцов данных.
Не так давно я посетил один чешский банк, и оказалось, что он не может просто так купить данные у кредитных бюро (чем он занимался постоянно) и провести скоринг потенциальных клиентов на возможность выдачи займа.
28 января 2016 года, 47 стран участников ЕС праздновали десятую годовщину Европейского Дня Защиты Данных. Этот небольшой праздник посвящен подписанной в Страсбурге членами ЕС 28 января 1981 года конвенции 108, посвященной правилам и требованиям обработки персональных данных. Этот небольшой по объему документ вводит основные понятия: что такое персональные данные, что такое обработка файлов, что такое контроль обработки файла.
И это все, представьте себе, было больше 37-ми лет назад, когда еще и Интернета толком не было. Конвенция также вводила специальные определения данных, например, в отношении данных по здоровью, где запрещала их обработку в случае, если страна-участник ЕС не гарантирует их конфиденциальности. Саму конвенцию, в итоге, ратифицировали (в том числе и за пределами ЕС) такие страны как Мексика, Марокко, Кабо Верде, Маврикий. Огромное количество наблюдателей из других стран также сформировало свою позицию (Австралия, Япония, Корея, Израиль и другие). Сегодня Конвенция уже обновлена и актуализирована в духе времени.
Первая директива по защите данных появилась впоследствии в ЕС, в 1995 году, и была введена 13 декабря 1995 года с обязательным периодом старта применения участниками ЕС с 24 октября 1998 года. Это был достаточно масштабный по своим меркам документ, подробно описывающий как категории данных, так и категории потребителей, а еще методы защиты, арбитража работы с данными и организацию службы специальных контроллеров, которые проверяют применение директивы в каждой из стран ЕС.
Как это обычно бывает, контроль сам по себе и иезуитские методы, которые он подразумевает, крайне сложно масштабируются и спускаются на уровень конкретных исполнителей. Отчасти поэтому первого декабря 2009 года была выпущена специальный дискуссионная бумага ЕС о будущем «Future of Privacy».
Глобальный посыл был такой текущее регулирование опять не работает, его нужно усложнить и обновить различными инновационными практиками, такими как «privacy by design» (приватность через дизайн) и другими.
ЕС это сложная экосистема. Если какой-то веб-сайт обрабатывает данные резидентов/нерезидентов и находится за периметрами ЕС, то он не подпадает под регулирование Директивы 1995 года. Дискуссионная бумага подняла обсуждение о создании единого стандарта для приватности и управления данными, чтобы другие страны могли управлять своими требованиям к данным, руководствуясь общими принципами. По аналогичной схеме пошли в свое время (в далеком 1971 году) и бухгалтера, и финансисты, когда основали IASB, специальное общество, которое впоследствии выпустило Международные стандарты финансовой отчетности (МСФО). МСФО сегодня основа для любой финансовой публичной отчетности.
Директива 1995 года не предусматривала описания подходов, которые бы рассказали, как нужно брать с пользователей согласие на обработку данных. Поэтому нужен новый подход по работе с согласием пользователей. В общем, было много и других различных деталей, смысл обсуждения которых сводился опять же к тому, что регулирование не работает должным образом. Все это вылилось в то, что четвертого ноября 2010 года ЕС определил единую новую стратегию по защите персональных данных и начал работу по ее реализации.
Дальше, если не вдаваться в подробности, был большой спор между ЕС и США, где США хотели сохранить интерес своих компаний на территории ЕС, так что текст проекта закона менялся несколько раз крайне существенно. Пока все вокруг пытались разобрать, сколько же они тратят на комплаенс по защите данных (87 % опрошенных бизнес-субъектов не смогли определить точно цифру затрат на выполнение требований текущего и будущего законодательства), 12 марта 2014 года Европарламент общим большинством (621 за, 10 против и 22 воздержалось) утвердил реализацию GDPR, обязательную для участников ЕС с 2018 года.
Регулирует GDPR специальный офис (Informational Commisioners Office) не путать с брутальным термином ICO, ввергающим в панику большинство традиционных банкиров. Это совсем другое.
ICO каждой страны участника ЕС входит в единый совет European Data Protection Board.
GDPR говорит, что все публичные компании обязаны назначить специальную роль Data Protection Officer (DPO). Такие парни стали обязательными для организаций, в которых работает более 250-ти человек и обрабатываются более пяти тысяч объектов персональных данных в год.
У любой организации есть всего лишь 72 часа на то, чтобы сообщить об утечке или нарушении GDPR в организации в случае их возникновения. Правило 72-ух часов стало новым для всех участников.
Что именно оно означает?
В течение этого срока организация, которая допустила нарушение GDPR, обязана за 72 часа (три дня) провести внутреннее расследование, информировать об этом регулятора и всех затронутых владельцев данных, а также подготовить план возмещения и купирования возникающих убытков (рисков).
Исследование в обязательном порядке должно содержать информацию о том, кто и когда имел доступ к данным, как и какие данные пользователей оказались под нарушением, каким образом эти данные были использованы.
Как человек, который занимался данными достаточно долго, с уверенностью могу сказать, что львиную часть работы в этом случае будут возлагать на директора по данным, ибо кто-то должен наладить необходимый сбор данных для регулятора.
Скорость, с которой теперь должны реагировать организации, становится феноменальной. Она соизмерима со скоростью работы комплаенса банковского сектора.
GDPR собирает лучшие практики и требования к работе с данными, в особенности к публичным компаниям.
Все проблемы и риски в отношении GDPR необходимо рассматривать на уровне Правления организации. Теперь все сделки по слияниям и поглощениям будут в обязательном порядке начинаться с анализа соответствия GDPR, так как штрафы за нарушения достаточно внушительны, вплоть от десяти миллионов долларов и до четырех процентов от годовой выручки. Неудивительно, что такая надгробная плита притормозила и припарковала развитие множества цифровых сервисов в ЕС.
«Compliance First!»
Увидеть мир в частице песка
В совокупности регулирование GDPR стало самым продвинутым с точки зрения глобального контекста. Но я все равно бы разделил мир на страны, где с точки зрения регулирования проще идти со стратегией «развития и атаки» (монетизации данных) США, Индия, Япония, Южная Корея, Африка, Канада и страны, где преобладает стратегия «защиты» (снижения возможных рисков и потерь) Европа, Россия, Китай, и другие.
Различное регулирование дает различную корпоративную структуру.
Отдельно стоит отметить Великобританию, которая некогда была своего рода оазисом в части принципов корпоративного управления, задавая стандарты с помощью «Combined Code», обязательного к применению всеми публичными компаниями, размещенными на Лондонской бирже. Сегодня «Combined Code» абсолютно ничего не говорит в отношении данных, этот вакуум как раз был призван решить GDPR, но в связи с выходом Великобритании из ЕС, могу сказать, что там с данными можно творить все, что угодно, как, например, в Индии.
Крупнейший в истории человечества взлом данных, как оказалось, произошел именно в Индии[92]. Из платформы Aadhaar, которую приводят всем как образец биометрической системы, собирающей отпечатки пальцев, были украдены практически все записи пользователей более одного миллиарда.
Идея создания платформы Aadhaar появилась в начале 2000-х из-за такой проблемы, как осуществление выплат социальных пособий населению Индии, не имеющему документов (паспортов). В 2009 году Правительство Индии создало единую идентификационную карту для жителей Индии. Дальше дело было за малым привязать каждого жителя Индии к его идентификатору. И здесь самым верным решением оказался отпечаток пальца. Тогда была придумана Adhaar. За четыре года сорок процентов населения были записаны на новую платформу. А девятого октября 2013 года Национальная Платежная система Индии запустила поддержку платежных сервисов, привязанных к Aadhaar счетам для небольших сумм (не более семидесяти долларов). По итогам 2018 года Aadhaar крупнейшая в мире база данных биометрических записей (отпечатков). Кстати, запуск Единой Биометрической Системы в России начался с анализа кейса Индии по созданию аналогичного сервиса.
Но вернемся к нашим проблемам. В 2018 году совокупно было украдено порядка двух миллиардов записей из разных источников.
Вторую строчку после Aadhaar занимает проект Exactis, который выступает брокером данных для осуществления маркетинговых компаний.
Но вернемся к нашим проблемам. В 2018 году совокупно было украдено порядка двух миллиардов записей из разных источников.
Вторую строчку после Aadhaar занимает проект Exactis, который выступает брокером данных для осуществления маркетинговых компаний.
На третьем месте находится компания Under Armour, которая выявила утечку данных более 150-ти миллионов пользователей, где помимо их персональных данных (имени, пароля, водительских прав и так далее), были еще и их медицинские данные сердечные ритмы, нагрузки, калории и прочие данные, что каждый из нас заносит в фитнес-трекер.