Классификация нарушений приватности Даниэля Солова (Taxonomy of Privacy)

Когда вы будете разрабатывать свой продукт с точки зрения Privacy by Design, Privacy by Default, вам будет полезно использовать таксономию приватности, которую разработал Даниэль Солов. Он проанализировал все судебные прецеденты, а это тысячи нарушений в США, в которых суд рассматривал нарушения приватности, а затем классифицировал их и показал, что это за нарушения. Этот классификатор, в котором отображены нарушения, и называется таксономией приватности. Он позволяет понять, что именно нарушено. Универсальность этого классификатора заключается в том, что он применим не только к США – он в равной степени может использоваться в любой другой части мира.

Таксономия приватности делится на стадии, а каждая стадия подразделяется на конкретные виды нарушений. Солов выделил 4 основные стадии: (1) вмешательства; (2) сбора информации; (3) распространения информации; (4) обработки информации. Ниже мы подробно разберем каждую из них.

Схема в PDF
  1. Стадия вмешательства.

Эта стадия не предполагает даже сбора информации – здесь кто-то просто берет и вмешивается в вашу жизнь. Соответственно, обычно такие нарушения относятся не к информационной приватности, а к другому виду приватности, который может быть и не связан с информацией. Стадия вмешательства подразделяется на два вида нарушений: вмешательство в принятие решений и вторжение.

а. Вмешательство в принятие решений – это нарушение в виде посягательства на автономию людей самостоятельно принимать решения. Например, банк может заявлять, что он поддерживает пролайф-движение и не поддерживает аборты, а потому не будет обрабатывать платежи женщин, которые покупают контрацептивы или оплачивают аборты. Это фактическое вмешательство в автономию человека, препятствие его свободному выбору.

б. Вторжение. Нарушение территории, личного пространства. Например, когда человек приходит к вам в дом и предлагает купить пылесос либо когда кто-то звонит вам в 6 утра и предлагает взять кредит. Подобные действия нарушают ваш покой, но они не всегда связаны с информацией: человек, который приходит в ваш дом, может даже не знать вашего имени, потому что он ходит по всем домам подряд, но это является нарушением приватности.

  1. Сбор информации.

Может существовать в виде слежки и расспросов.

а. Слежка.

Несмотря на название, это не всегда связано со спецслужбами. Это может быть сайт, который следит за пользователями, приложение, которое отслеживает ваши передвижения. Это также может быть приложение службы такси, которое отслеживает ваше местоположение даже тогда, когда не запущено. За такое нарушение Uber получил многомиллионный штраф и 20 лет аудита от Federal Trade Comission.

б. Расспросы.

Это нарушение, когда человек использует свое служебное положение, для того чтобы выяснить какую-либо личную информацию, а субъект не чувствует в себе силы отказать. Здесь могут использовать ваше воспитание. Например, многих людей воспитывали как приветливых и добрыми к людям. И может быть ситуация, когда вы стоите в очереди в буфет на новом месте работы, и кто-то обращается к вам, спрашивает, работаете ли вы здесь. Так завязывается разговор, но потом вопросы начинают становиться более личными: про зарплату, про то, откуда вы, про ваше отношение к президенту etc. Вы понимаете, что человек лезет не в свое дело, но в силу воспитания чувствуете большой дискомфорт, лавируя и не отвечая на эти вопросы. А ваш собеседник фактически пользуется вашим воспитанием, чтобы получить информацию, которая для него не предназначена и не нужна для его целей.

Более яркий пример нарушения в виде расспросов – интервью на работу. Предположим, что интервьюеру понравилась девушка-кандидат на должность, и он вполне может начать задавать вопросы, не связанные с ее будущей должностью: про детей, про то, встречается ли она с кем-то, иные личные вопросы. Задай он их в обычных условиях, например, встретив девушку случайно на улице, она бы его развернула, но в данной ситуации, когда от интервьюера зависит решение о принятии-непринятии на работу, она испытывает определенный стресс и дискомфорт, сталкиваясь с такими вопросами. Ведь она пришла на интервью, целью которого является определение ее уровня компетенций – вопросы про семью и беременность выходят за рамки цели, следовательно, это нарушение GDPR и таксономии приватности.

  1. Обработка информации.

Подразделяется на агрегацию, вторичное использование, исключение, небезопасное использование и идентификацию.

а. Агрегация.

Ситуация, когда данные обособленно находились в различных источниках, и человек не возражал против такого положения дел, но кто-то их собрал в один источник и получил полное досье на человека. Примером агрегации могут служить действия кредитного брю по сбору информации телкоммуникационной компании о звонках, контактах и списку друзей человека, по которым они оценили его платежеспособность. В данном случае следует учитывать принцип ограничения цели и требование минимизации данных.

б. Вторичное использование.

Когда собирали информацию для одной цели, а используют для другой. Например, собирали данные, чтобы сообщить вам о сбоях в работе сервиса, отправили вам сообщение об этом, а потом начали рассылать маркетинговые имейлы – это явный пример нарушения в виде вторичного использования.

Еще один пример нарушения – приложение FindFace, которое было создано, для того чтобы люди могли легко найти человека по фото в ВК. Для этого достаточно было загрузить его фото в приложение и запустить поиск. В основе сервиса лежит алгоритм, основанный на технологии нейронных сетей, разработанный компанией N-Tech.Lab. Однако в марте 2018 года, совместно с управлением МВД Рязанской области, данная компания представила мобильный комплекс по распознаванию лиц на массовых мероприятиях. Это вторичное использование, которое может подорвать частную жизнь.

в. Исключение.

Как и вытекает из названия, человека просто исключают из информационного поля о том, какие персональные данные обрабатываются. К примеру, некая компания собрала на вас полное досье и не сообщила вам об этом. На практике такое нарушение могут допускать сервисы поддержки, когда они заводят черные списки клиентов, которые слишком часто им звонят и задают много неудобных вопросов, и на основе этих списков каждый раз сдвигают данных пользователей в конец очереди. Человек может висеть на проводе и полчаса, и час, а компания без его ведома всякий раз сдвигает его в конец очереди.

Разумеется, такие действия могут и не быть нарушением, если все правильно оформить – проинформировать людей о подобном алгоритме, описать легитимный интерес, например, приоритетное обслуживание тех, кто впервые звонит. Если же ничего не описано и клиент не уведомлен – явное нарушение.

г. Небезопасное использование.

Ситуация, когда данные законно собрали, но не позаботились об информационной безопасности – данные утекают.

д. Идентификация.

Под данное нарушением понимается ситуация, когда человек ожидает, что он анонимен, но на самом деле таковым не является. Например, он может прийти в отделение банка, полагая, что никто его не знает, а у охранника на мониторе отобразится, что это – Сергей Воронкевич. Как это произошло? Довольно просто – во время прошлых визитов, когда он подходил к кассе, предоставлял свой паспорт, была сделана фотография его лица, выведена биометрическая форма и теперь фактически включено распознавание лиц. Для банка это удобно тем, что можно сэкономить время кассира при проверке личности.

Для клиента же эта ситуация может оказаться неприемлемой, если он желает остаться анонимным и ошибочно думает, что является таковым. При таком раскладе он может подойти к information desk и попросить, допустим, открыть счет, при этом упомянув, что он является гражданином США. Сотрудник же посмотрит на него, посмотрит на свой экран, улыбнется и скажет: «Ну какой же ты гражданин США, Сергей Воронкевич? Я же вижу твое гражданство и счета, которые ты открывал». В такой ситуации человек чувствует себя обманщиком. Хотя он мог, например, намереваться узнать информацию для друга – гражданина США, и представился последним лишь для экономии времени.

Резюмируя, под идентификацией понимается ситуация, когда условия позволяют человеку считать себя анонимным, а вы его идентифицировали.

  1. Распространение информации.

Существует 7 видов распространения информации: раскрытие, выставление на показ, нарушение профессиональной тайны, повышение доступности, шантаж, присвоение личности, искажение.

а. Раскрытие.

Исходя из названия, предполагает раскрытие персональной информации о человеке, которая влияет на то, как другие воспринимают его. Например, девушка могла скрывать беременность от коллег, а кто-то из последних эту информацию узнает и распространяет без ведома девушки, до того момента, когда она сама решится ее раскрыть. Или может существовать ситуация, когда в стрессовой или напряженной обстановке человек демонстрирует эмоции (заплачет, запаникует), и информация попадает в СМИ, выставляя человека как неспособную сдержать эмоции личность. Для РБ характерна ситуация, когда человека (обычно это оппозиционер) задерживают, доставляют в отделение милиции. Он может высказывать свое недовольство, и все это снимают. Затем из всего видео вырезают кадры его жарких споров, клепают из этого отдельный видеоролик и выставляют человека в негативном свете – ролик влияет на него, его деловую репутацию и социальное положение.

б. Выставление на показ.

Заключается в выставлении наготы, горя, особенностей тела человека на показ. Например, охранник в магазине заподозрил, что посетитель украл какой-то товар, и заставил этого человека на глазах у всего магазина поднять майку. Тот подчиняется – а там калоприемник. Таким образом, при таком нарушении приватности и сам человек, и окружающие могут чувствовать себя некомфортно.

в. Нарушение профессиональной тайны.

Например, врач обязан хранить конфиденциальность. Нарушение этого принципа допустил врач Дональда Трампа. Репортеры спросили у него, действительно ли Дональд – здоровы человек. И врач ответил, что действительно, Трамп здоровый во всех отношениях человек, разве что принимает лекарства от облысения. Конфиденциальность нарушена – здесь присутствует нарушение профессиональной тайны.

г. Повышение доступности.

Это облегчение доступа к информации, которая прежде была недоступна. Например, в 50-60-е в одном из университетов Лиги Плюща существовал марафон, который студенты пробегали голышом по улицам (дистанция – 21 или 42 километра). Это была веселая студенческая традиция, но затем фотографии с марафона начали всплывать в сети. Если прежде информация и имела некоторую степень доступности, находясь в студенческих журналах, то все равно не предполагалось, что фотографии будут индексироваться и всплывать в сети, представляя такой легкий доступ.

д. Шантаж.

Угроза раскрытия персональной информации. Например, когда сервисы секс-знакомств берут плату за удаление аккаунта.

е. Присвоение личности.

Когда кто-то представляется вами либо, когда компания говорит, что Сергей Воронкевич – их подписчик. Он действительно может быть их подписчиком, но они всюду используют эту информацию, используют его подписку в рекламных целях.

ж. Искажение.

Распространение ложных или вводящих в заблуждение сведений. Кредитор сообщает кредитной организации, что человек не оплатил долг, хотя на самом деле долг оплачен.

Таксономия приватности – свод типичных нарушений. Ее можно использовать не только для того чтобы понять, из-за чего законодатели принимают эти законы, но и в Privacy by Design.