Получившие широкую известность утечки дают обобщенное представление о пяти элементах защиты данных, которые должны быть прозрачны для пользователей. Во-первых, это соблюдение минимальных требований, необходимых для работы в отрасли, таких как современное программное обеспечение с исправленными известными уязвимостями. Во-вторых, защита данных есть нечто большее, чем безопасность программы: она подразумевает работу с персоналом и создание корпоративной культуры, уважающей пользователей и их информацию. Внешний аудит может подтвердить соблюдение компанией общих «санитарно-гигиенических» требований и дать оценку процедур и практик в области безопасности, в том числе обучению людей технике информационной безопасности. В-третьих, команда «белых» хакеров может совершать регулярные попытки взлома сетей и компьютеров компании с целью обнаружения любых скрытых уязвимостей. В идеальном варианте аудиторы смогут оценивать время реакции на аномальную активность и предлагать конкретные усовершенствования, что послужит во благо и компании, и пользователям. В-четвертых, сохранность данных должна оцениваться на основе единых для всей отрасли стандартов и методик проверки. В-пятых, следует создать компетенцию оценки потенциального ущерба от утечки различных категорий данных. Ущерб от взлома систем автомобиля в процессе движения может привести к человеческим увечьям, несопоставимым по причиненному вреду с жульническими операциями по кредитной карточке.
В рамках программы проверки сохранности данных аудиторы будут ревизовать и тестировать работу компании, добавляя ей баллы за внедренные разумные практики. Пользователи смогут знакомиться с текущей суммарной оценкой и сопоставлять ее с оценками, полученными в предыдущих периодах. Улучшение результатов может указывать на инвестиции в инфраструктуру безопасности или на то, что обучение сотрудников со временем принесло свои плоды. Ухудшение может говорить о вновь выявленной уязвимости или о прохладном отношении к обучению новых сотрудников. Видеть тенденцию не менее полезно, чем знать текущую оценку.
Наконец, обнародование негативных результатов аудита сохранности данных или плохого рейтинга риска не должно освобождать инфопереработчика от любых юридических или этических обязательств по компенсации вреда, причиненного пользователям, в случае если утечка произошла по его халатности. Издержки такого рода инцидентов должны распределяться между теми, кто получал информацию, и теми, кто ее предоставлял. В противном случае компании вряд ли будут заинтересованы в совершенствовании безопасности на фоне низких показателей сохранности данных своих конкурентов, тем более в условиях, когда ущерб частному лицу невозможно соотнести с конкретной утечкой или иным сбоем защиты. В этой области власти или суды могут налагать штрафы или присуждать компенсации пользователям, если компании отказываются делать это добровольно.
По мере того как обработка и анализ данных все больше проникают в самые различные сферы жизни человека, вопрос повышения степени информированности общества о проблемах защиты личных сведений приобретает первостепенное значение. Более того, в связи с тем что социальные данные все чаще используются для установления личности человека и передачи информации о его репутации и душевном состоянии, угроза их сохранности приобретает откровенно персональный характер.
Право на ознакомление с коэффициентом использования частной информацииУтечка информации при взломе – катастрофическое неожиданное событие, но есть и нормальные, ожидаемые издержки пользования услугами инфопереработчиков, в число которых входит постепенная эрозия вашей приватности. Мы убедились в том, что для получения релевантных продуктов и сервисов нужно предоставлять инфопереработчику личную информацию. Она представляет собой один из ресурсов для получения отдачи от обработки данных.
Потребление частной информации, как и любого другого ресурса, может быть в большей или в меньшей степени производительным, а процесс ее использования может управляться и бюджетироваться. Синтия Дворк из Microsoft Research считает крайне необходимым наличие количественной оценки потерь частной информации в процессе работы с данными. Настройку информационных систем, позволяющую пользователю избегать прямых негативных последствий передачи им своих личных данных, Синтия называет «дифференциальной приватностью». Она формулирует эту задачу в виде двух вопросов: «Какая технология обеспечивает большую достоверность результата в заданных границах утраты частной информации? Какая технология лучше обеспечивает сохранность частных данных при заданной достоверности результата?»[383]
Компания, работающая в сфере обработки и анализа данных, должна руководствоваться в своей деятельности необходимостью соблюдения оптимального баланса между потерями клиентов в приватности и полезными результатами, которые они получают в обмен на свои данные[384]. Инфопереработку удобнее представлять себе как экосистему, которую разумнее поддерживать исходя из благополучия системы в целом, а не отдельных ее элементов. Баланс между достоверностью и сохранностью частной информации существует для всех, а не для отдельно взятого лица. Выбирая между инфопереработчиками, надо понимать, насколько быстро, медленно, эффективно или неэффективно каждый из них потребляет частную информацию.
Скорость и эффективность потребления частной информации можно сравнить с понятием «скорость сгорания», применяемым в технике и экологии[385]. Инженер может соорудить дровяную печку, расходующую много топлива и производящую не слишком много тепла для обогрева помещения. Печка работает, но она не очень эффективна: на достижение нужного результата, то есть тепла в комнате, уходит слишком много топлива. Поддерживать тепло можно, постоянно подбрасывая дрова, но теплоотдача все равно будет далеко не оптимальной. Возможно, данные в целом уже не являются дефицитным ресурсом, но частная информация им остается, и ее дефицит нарастает. Но, подобно дровам, ценность частной информации может выгорать быстро, не принося при этом особой пользы.
Подтвержденный коэффициент полезного действия современной дровяной печи находится в диапазоне от 60 до 80 процентов при теоретическом максимальном значении этого показателя в 100 процентов. Коэффициент использования частной информации можно рассчитать примерно так же. Его 100-процентное значение будет подразумевать минимальную утрату частного характера информации ради получения конкретного результата, притом что для этого были использованы только абсолютно необходимые данные – например, навигатору требуются лишь данные о текущем местоположении и месте назначения человека, чтобы проложить для него маршрут.
Инфопереработчик находится в постоянном процессе отбора пользовательских данных, которые помогут ему в совершенствовании продуктов и сервисов. В базах данных, которые используются в Amazon для подготовки рекомендаций клиентам, просмотры и покупки не привязаны к конкретным клиентам. В этом нет необходимости, поскольку важны сами по себе траектории перемещения от товара к товару, а не то, что некая Вероника из Омахи кликнула сначала что-то одно, а потом другое. Поэтому некто, изучающий эти базы,
