В Евросоюзе и США формируются новые подходы к защите персональных данных (ПД). Одно из направлений поиска — модификация согласий на их обработку. В частности, есть предложение ввести специальные значки конфиденциальности для дополнительного информирования пользователей интернет-сервисов. По просьбе RSpectr эксперты оценили перспективы такой идеи.
НОВЫЙ ПОДХОД
Группа ученых Института сетевого общества Weizenbaum (Берлин, ФРГ) во главе с доктором Зоаром Эфрони приступила к исследованию, в котором попытается выяснить, может ли визуализация способствовать более осознанному согласию человека на обработку компаниями его персональных данных.
В своей статье они отмечают, что сложность и объем таких текстов мешают людям оценить возможные риски.
Дополнительные проблемы создает архитектура многих веб-сайтов и приложений: чтобы открыть документ, требуется сделать нескольких кликов и перенаправлений на подстраницы. Поэтому пользователи просто ставят галочку «Согласен», даже не пытаясь прочитать текст.
Среди вариантов устранения этих недостатков ученые видят введение значков конфиденциальности, под которым понимается набор стандартизированных, интуитивно понимаемых пиктограмм, которые отображают аспекты конкретных методов обработки ПД. Их задача — помочь пользователям принимать более обоснованные решения.
В статье отмечается, что изображения, в отличие от текстов, имеют преимущество с точки зрения более быстрого распознавания, а также позволяют лучше усвоить и запомнить информацию
Исследовательская группа, Das Weizenbaum-Institut für die vernetze Gesellschaft:
— Как правило, защита данных не является приоритетом для пользователей, поскольку они сосредоточены на достижении своей основной цели, например, приобретении товара или получении доступа к онлайн-сервису. Чтобы привлечь их внимание к аспектам обработки данных, требуются весьма существенные внешние стимулы. Этого можно достичь с помощью значков, основанных на оценке риска.
Риск-ориентированный подход позволит обращать внимание пользователей на самые чувствительные данные и наиболее опасные действия с ними.
При этом эксперты подчеркивают, что значки не самодостаточны, а должны дополнять простые и понятные текстовые соглашения о конфиденциальности
Такой комплексный подход позволит сократить количество неинформированных согласий на обработку ПД.
Значки при этом должны быть стандартизированы для всего ЕС, чтобы быть узнаваемыми и применяться в качестве информационных маркеров в различных интерфейсах и экосистемах.
Еще одним важным вопросом регулирования защиты данных является машиночитаемость значков. Она необходима для механической проверки сайтов на соответствие требованиям о защите ПД. Например, браузер пользователя мог бы автоматически читать соглашение о конфиденциальности на сайте и предупреждать пользователя о нежелательных последствиях в соответствии с ранее настроенными его предпочтениями.
МНЕНИЕ ЭКСПЕРТА
Евгений Черток, руководитель ИТ-отдела компании «Рексофт»:
— На мой взгляд, лучшим решением по сохранению конфиденциальности было бы создание на государственном уровне единой платформы, хранящей пользовательские ПД на каждого гражданина.
Платформа может разделить электронный профиль гражданина на две части:
- ПД для третьих лиц (все коммерческие структуры);
- ПД из государственных информационных систем (данные из медицинских карт, трудовой книжки, информация об образовании и дипломах, ОСАГО и т. п. — то, что крайне редко необходимо для оказания большинства коммерческих сервисов).
Первую часть гражданин заполняет самостоятельно: Ф. И. О., родственные отношения, адреса, ИНН, телефонный номер — все, что хочет и может.
Этот блок защищается двухфакторной аутентификацией. При регистрации в базе данных на смартфон поступит SMS с разовым пин-кодом, как сейчас это работает в банковских системах. Таким образом у гражданина появится свой логин или ID — тот самый уникальный номер, зашифрованный в QR-коде, его единственный для всех третьих систем паспортный идентификатор. Никто другой не имеет права хранить эти ПД, кроме самой платформы.
Любая третья сторона (интернет-магазин, сайт, образовательное учреждение, социальная сеть), которая хочет получить эти данные, направляет гражданину запрос. Он через систему разрешает (может изначально открыть все для всех) или отклоняет этот доступ. Третья сторона, оказывающая сервис, данные прочитала, использовала и дальше у себя хранит только идентификатор — указатель на персональный профиль на единой платформе.
Никакие ПД за пределами официальной федеральной платформы не могут собираться. Гражданин всегда может посмотреть, кто и для чего использовал его данные. Разрешение можно отозвать. Данные можно обновлять. После этого указатель из сервиса будет ориентироваться уже на новые данные и, например, по старому адресу посылка не придет.
Источник: https://rspectr.com/articles/627/naglyadnaya-zashita-dannyh-polzovatelya
