Меню
Головна
Авторизація/Реєстрація
 
Головна arrow Право arrow "Big data": нова загроза для прайвесі в умовах інформаційного суспільства

"Big data": нова загроза для прайвесі в умовах інформаційного суспільства


Стаття присвячена визначенню проблемних аспектів забезпечення недоторканності приватного життя в умовах динамічного розвитку «Великих даних» як потужної форми інтелектуального аналізу даних. В результаті дослідження отримано висновки про необхідність стимулювати бізнес-структури до впровадження нових бізнес-моделей, заснованих на розширенні прав споживачів. Запропоновано доповнити чинне інформаційне законодавство положеннями, що стосуються особливостей обробки персональних і неперсональных даних з використанням БД, прийняти відповідні професійні кодекси поведінки в сфері обробки персональних даних.

Ключові слова: право на недоторканність приватного життя, прайвесі, інформаційне прайвесі, «Великі дані», персональні дані, захист персональних даних.

Постановка проблеми. Бурхливий розвиток інформаційних технологій поряд з розширенням горизонтів суспільного розвитку містить у собі серйозні загрози для прав людини, зокрема недоторканності приватного життя в інформаційній сфері або, як її ще називають, інформаційному прайвесі. Це вимагає від правої науки адекватного і своєчасного відповіді на потенційні загрози інформаційному прайвесі, конкретних пропозицій щодо вдосконалення чинного законодавства та правозастосовної практики, спрямованих на формування відповідного правозахисного механізму.

Стан дослідження. Проблеми інформаційного забезпечення прайвесі традиційно знаходяться в полі зору північноамериканських та західноєвропейських дослідників, ставши з другої половини ХХ століття одним із трендів у розвитку західного конституціоналізму. У цьому зв'язку досить згадати роботи А. Аллен, Д. Бріна, Р. Гавизона, Дж. Інесс, Р. Познера, Д. Солова та ін, які стали доктринальною основою сучасного правового механізму захисту прайвесі у всьому цивілізованому світі. Окремо слід відзначити роботи П. Ома, Дж. Полонецки, В. Рубінштейн, О. Тені, присвячені безпосередньо проблематики «Великих даних» у контексті забезпечення недоторканності приватного життя в інформаційній сфері. Разом з тим для вітчизняної юриспруденції дана тематика є абсолютно новою, оскільки «Великі дані» в силу серйозного відставання України від провідних країн світу в області інформаційних технологій тільки в останні роки стали розглядатися як реальна загроза недоторканності приватного життя.

Метою статті є постановка проблеми «Великих даних» у конституційно-правовому і правозахисному аспекті, опис можливих загроз, породжуваних даною проблемою для недоторканості приватного життя, а також формулювання пропозицій щодо вдосконалення державно-правової політики України у цій сфері.

Виклад основного матеріалу. Під поняттям «Big Data» («Великі дані», або БД) прийнято розуміти більш потужну форму інтелектуального аналізу даних, що спирається на величезні обсяги інформації, супершвидкісні комп'ютери і новітні аналітичні методи, здатні виявляти приховані, а часом навіть несподівані кореляції між фактами і явищами навколишньої дійсності. Іншими словами, БД являє собою нетривіальне витяг раніше невідомих і потенційно корисних відомостей з наявних баз даних. Такого роду інтелектуальний аналіз спирається не на причинно-наслідкові зв'язки, а на кореляції, які виявляються в результаті застосування відповідних алгоритмів до великих баз даних. Отже, знову відкривається таким чином інформація є не тільки неинтуитивной і непередбачуваною, але також представляє собою результат досить неясного (або, як кажуть на Заході, нетранспарентного) процесу.

Міжнародний інститут Маккінсі (MGI) нещодавно визначив БД як набір даних, розмір яких виходить за межі можливостей типового програмного забезпечення для збору, зберігання, управління та аналізу баз даних» [1]. Всі найбільші інтернет-компанії - Google, Facebook, Amazon, eBay, Microsoft і Yahoo! - займаються Великими Даними в тій або іншій формі і звертаються з даними в якості основного активу та джерела отримання прибутку. В цілому, звіт MGI наочно демонструє, що БД можуть становити суттєву цінність для світової економіки, підвищення продуктивності праці, конкурентоспроможності компаній і державного сектора, а також створення значних економічних вигод для споживачів. Дійсно, в результаті тематичних досліджень доповідач предста - де MGI стверджується, що БД будуть генерувати 300 млрд дол. прибутку в рік в галузі охорони здоров'я США, 250 млрд євро прибутку на рік в європейській системі публічного управління, більше 100 млрд дол. додаткового доходу для постачальників послуг (даних) про місцезнаходження, збільшать на 60% чистий прибуток у сфері роздрібної торгівлі, і до 50% - товарні обсяги у виробництві [1].

Разом з тим БД кидають виклик ще недавно здавалася стійкою і цілком сучасній системі міжнародної та національної захисту персональних даних, а в більш широкому плані - і склався до початку ХХІ століття организационноправовому механізму захисту інформаційного аспекту права на недоторканність приватного життя - так званого інформаційного прайвесі. Це відбувається двома шляхами: з одного боку, БД ставлять під сумнів відмінності між персональними і неперсональні даними, а з іншого - вступають у протиріччя з принципом мінімізації даних і підривають принцип усвідомленого вибору.

Справа в тому, що БД притаманні три характерні риси. По-перше, це доступність даних в масовому масштабі, зібраних не тільки в Інтернеті або за рахунок використання мобільних пристроїв (з можливістю відстеження місцезнаходження клієнта і тисячею «додатків», розділяють дані з декількох сторін, взаємодії зі смарт-середовищем, системою моніторингу у фізичному середовищі), але також і за рахунок самого організму людини, який в даний час використовується і як пучок даних для генетичного тестування, і як об'єкт для аутентифікації за допомогою біометричних даних. Крім того, Web 2.0 сервіси дозволяють користувачам створювати та добровільно ділитися з іншими величезною кількістю персональних даних про себе, своїх друзів і родичів. Хоча особи, що розголошують ці дані в основному добровільно, для певних соціальних цілей, організації ради збирати і отримувати прибуток від їх аналізу. Другою особливістю БД є використання комп'ютерів з високою швидкістю передачі даних у поєднанні з петабайтами (тобто мільйонами гігабайт) ємності пам'яті, в результаті чого обробка даних стає дешевою і ефективною. Ще більш підвищує цей ефект використання «хмарних» технологій. Третьою і останньою особливістю БД є використання нових обчислювальних структур (як - то Apache Hadoop) для зберігання та аналізу цього величезного обсягу даних.

У світлі цих трьох характеристик неможливо переоцінити той величезний достаток цифрових даних, які тепер доступні організаціям, а також нових способів, з допомогою яких БД об'єднують ці різні набори даних. Тому не дивно, що феномен БД істотно актуализует і посилює існуючі проблеми юридичного захисту приватного життя від подальшого відстеження та профілювання. З приходом БД, cookies та веб-маяки більше не є головними винуватцями виникнення проблем. Швидше, технології профайлінгу, поширювані зараз на всі аспекти і фази індивідуального і соціального життя, з БД набувають значно більшу міць для того, щоб знайти приховані кореляції і зробити цікаві передбачення, деякі з яких можуть принести користь окремим особам або навіть суспільству в цілому, в той час як інші можуть бути більш ніж проблемними.

БД закономірно викликають у правозахисників цілий ряд сумнівів і породжують спроби звернути увагу громадськості на два основних питання: про недоторканність приватного життя (прайм - весі) і дискримінації. З огляду на обмеженість обсягу даної роботи звернемося виключно до недоторканності приватного життя, залишаючи менш важливі питання, що стосуються дискримінації, в якості теми для подальших досліджень.

Найбільш досконалим і ефективним механізмом захисту інформаційного прайвесі в сучасному світі вважається той, який існує в рамках ЄС. Нормативну основу цього механізму становить Директива про захист даних (Data Protection Directive) [2]. В даний час обговорюються Загальні правила захисту даних (General Data Protection Regulation) [3], покликані замінити існуючу Директиву. Ці Правила передбачають визнання нових прав людини і в той же час покладання нових заходів відповідальності на організації, що займаються збором і обробкою персональних даних. Однак схоже, що БД, подібно цунамі, здатні розтрощити всі ці реформаторські зусилля.

Справа в тому, що БД кидають виклик самим основам європейської Директиви про захист даних (і всіх подібних законів про захист інформаційного прайвесі, зокрема і Закону України «Про захист персональних даних» [4]), дозволяючи реидентифицировать суб'єктів даних, використовуючи неособисті (знеособлені) дані, що вкрай послаблює можливості анонімізації як ефективної стратегії, оскільки ставить під сумнів фундаментальна відмінність між особистими і неособистими даними. БД також значно погіршують моральний збиток, пов'язаний з накопиченням інформації про людину, - те, що професор Д. Солов називає аггрегацией (aggregation) [5, c. 477, с. 506]. У своєму масовому масштабі постійний моніторинг з використанням різних джерел і складних аналітичних можливостей БД роблять аггрегацию більш детальної, більш показовою і в той же час більш агресивною.

Безумовно, реидентификация тільки посилює шкоду, пов'язану з аггрегацией, дозволяючи контролерам даних «прив'язати» ще більше відомостей до наявної інформації про индивидууме, приводячи у результаті до того, що Дж. Ом називає «базою даних розорення» [6]. БД також актуалізують питання про автоматизованому прийнятті рішень, що стосуються життєдіяльності людини, - таких, як кредитні рейтинги, перспективи працевлаштування та право на страхове покриття або соціальну допомогу, - автоматизованих процесів, заснованих на алгоритмах і штучному інтелекті.

Про вплив БД на чинне законодавство про захист інформаційного прайвесі говорилося вище. Однак БД мають ще більш широке вплив на законодавство про захист даних, зокрема на Директиву ЄС про захист даних і орієнтоване на неї національне законодавство. Нагадаємо, що згадана Директива в основному спирається на принципи прозорості та згоди, щоб користувачі робили свідомий вибір щодо обміну особистими даними організаціями. Директива містить багато інші вимоги по обробці даних (обмежена цілепокладання, якість даних, безпека, доступ тощо), проте всі вони, крім вимоги безпеки, мають досить обмежене застосування, оскільки безпосередньо залежать від усвідомлення особою того, які дані про нього були оброблені.

Інтелектуальний аналіз даних і БД серйозно ускладнюють цю проблему, оскільки підривають основи «поінформованого вибору» в трьох напрямках.

По-перше, фірми, які покладаються на пошук корисних даних, можуть виявитися не в змозі забезпечити належне повідомлення суб'єкта даних по тій простій причині, що вони не знають (і не можуть знати заздалегідь, що вони можуть виявити. По-друге, оскільки користувачі не володіють інформацією про потенційних корреляциях, вони не можуть свідомо дати згоду на використання своїх даних для інтелектуального аналізу. По-третє, закони про недоторканність приватного життя застосовуються тільки до персональних даних, тобто даних, що відносяться до неідентифікованим або идентифицируемым особам. В той же час зовсім не ясно, чи будуть принципи, складові ядро сучасної захисту інформаційного прайвесі, - прозорість, згода, мінімізація даних, доступ і т. д. - забуті по відношенню до стерпним даними, або вони будуть застосовуватися і до нововиявленими знанням, отриманим від персональних даних, особливо тоді, коли ці дані, які були анонімними або узагальненими, перетворюються в групові профілі, профілі, що застосовуються до осіб як членів контрольної групи, хоча дана особа може насправді і не проявляти дана властивість.

БД також ставлять під сумнів три усталені нормативні положення законодавства про прайвесі, в т. ч. і Директиви про захист даних.

По-перше, залишається юридично заможним поділ даних на персональні і неперсональные. Як вище було зазначено, інтелектуальний аналіз даних отримує нові знання як персональних, так і з неперсональных даних, породжуючи, таким чином, нормативну дилему: чи Директивою про захист даних охоплювати не тільки персональні дані, але також і будь-які неперсональные дані, які формує основу для екстракції даних нового знання, і (один раз створеними) чи вони будуть регулюватися як персональні дані? Якщо це так, то для рамок Директиви про захист даних не існує потенційно ніяких обмежень; якщо ні, то інтелектуальний аналіз даних в значній мірі може уникнути регулювання і контролю, хоча він дозволяє зробити висновки про раніше приватної інформації та/або використовувати групові профілі, здатні заподіяти стільки ж або навіть більше шкоди як регульованим баз, так і використання персональних даних.

По-друге, анонимизация - процес видалення ідентифікаторів для створення анонімних наборів залишкових даних - ще недавно здавався цілком ефективним для захисту користувачів від відстеження та профілювання. Однак за останні кілька років було трохи сумно відомих випадків реидентификации осіб за крос-посиланнями анонімних наборів даних з відповідним набором даних, який включав ідентифікатори. Як вже зазначалося, БД посилює проблему, спираючись на додаткові дані, високошвидкісні комп'ютери, а також поліпшення аналітичних методів.

В-третіх, є мінімізація даних - ідея, що обробка персональних даних повинна бути обмежена до мінімально необхідної суми, - здатної протистояти натиску БД. Простіше кажучи, мінімізація даних ворожа по відношенню до основної спрямованості БД, яка відкриває нові кореляції із застосуванням витончених аналітичних методів до масового збору даних, і прагне зробити це без будь-яких обмежень. Оскільки вимоги до мінімізації даних будуть шкодити БД і пов'язаних з ними економічних і соціальних вигод, регулятори повинні очікувати побачити, що це вимога в цілому дотримуватися не буде.

На наш погляд, поділ даних на персональні і неперсональные продовжує залишатися юридично неспроможним і в умовах існування «Великих даних». Більш того, зазначений поділ є науково-методологічною основою для подальшого вдосконалення правозахисного механізму, спрямованого на забезпечення інформаційного прайвесі. У зв'язку з цим європейської Директиви про захист персональних даних і національним законодавством у цій сфері повинні охоплюватися не лише персональні дані, але також і будь-які неперсональные дані, які формує основу для екстракції нових даних, здатних ідентифікувати особу. Однак відповідні обмежувальні заходи повинні стосуватися неперсональных даних тільки в частині їх обробки і поширення отриманої внаслідок їх інтелектуального аналізу ідентифікуючої інформації.

В той же час «Великі дані» не дають достатніх підстав для того, щоб відмовлятися від анонімізації. Перш за все, слід враховувати, що використання БД-технологій - дуже витратний процес, який можуть дозволити собі лише небагато, фінансово заможні компанії. До того ж потрібно чітко усвідомлювати, що анонимизация не є панацеєю від розкриття персональних даних, а лише входить у загальний організаційно-правовий механізм інформаційного забезпечення прайвесі як важливої його складової. Адже проблема насправді не в самій можливості подолання бар'єру анонімізації, а у відсутності належних важелів впливу на распростанителей підсумкової, отриманої в результаті багатопланового аналізу ідентифікуючої інформації. При поширенні принципів захисту інформаційного прайвесі та на обробку неперсональных даних, насамперед в частині поширення підсумкових даних, - багато потенційні загрози, які виходять сьогодні від БД, будуть значною мірою знівельовано.

У свою чергу, на перший план у боротьбі з загрозами для інформаційного прайвесі, що виходять від БД, виходить мінімізація даних. Природно, що зацікавлені суб'єкти намагатимуться від такої мінімізації ухилитися, обґрунтовуючи необхідність в отриманні нових даних, у тому числі і персонального характеру. Проте в цьому випадку повинні вступати в дію державні регулятори, громадські правозахисні організації і, природно, механізми судового захисту.

Висновки. Проведене дослідження свідчить про необхідність розробки та прийняття комплексних заходів щодо захисту інформаційного прайвесі від потенційних загроз, що виходять від «Великих даних». Зокрема, чинне інформаційне законодавство слід доповнити положеннями, що стосуються особливостей обробки персональних і неперсональных даних з використанням БД, прийняти відповідні професійні кодекси поведінки в сфері обробки персональних даних. У свою чергу, органи, що здійснюють регулювання та контроль у цій сфері, повинні стимулювати бізнес-структури до впровадження нових бізнес-моделей, заснованих на розширенні прав споживачів, використовуючи при цьому такі заходи, як гнучке регулювання і зниження штрафних санкцій. Особливу увагу повинно бути приділено правозахисній практиці, спрямованої на неухильне дотримання всіма учасниками інформаційних відносин принципу мінімізації даних, якщо це стосується питань інформаційного забезпечення прайвесі.

Вироблення конкретних пропозицій щодо удосконалення інформаційного законодавства в аспекті протидії загрозам інформаційному прайвесі, що походить від БД, з урахуванням передового зарубіжного досвіду, є перспективним напрямком подальших досліджень у даній сфері.

прайвесі загроза інформаційний

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ

1. Big Data: The Next Frontier for Innovation, Competition, and Productivity ; McKinsey Global Institute, May 2011 [Електронний ресурс]. - Режим доступу : http://www.mckinsey.com/insights/business_technology/big_data_the_next_frontier_ for_innovation.

2. Директива 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data // Official Journal of the European Communities. - 1995. - L 281. - P 31-50.

3. Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), Brussels, 25.1.2012 [Електронний ресурс]. - Режим доступу : http://ec.europa.eu/justice/ data protection/document/review2012/com_2012_11_en.pdf.

4. Закон України «Про захист персональних даних» від 1 червня 2010 р. № 2297-VI [Електронний ресурс]. - Режим доступу : http://zakon4.rada.gov.ua/ laws/show/2297-17.

5. Solove D. J. A Taxonomy of Privacy / D. J. Solove // Pennsylvania Law Review. - 2006. - Vol. 154. - № 3. - Р 477-560.

6. Ohm P don't Build a Database of Ruin / P Ohm // Harvard Business Review. - 2012. - August 23.

 
Якщо Ви помітили помилку в тексті, виділіть слово та натисніть Shift + Enter
 
Предмети
Агропромисловість
Банківська справа
БЖД
Бухоблік і аудит
География
Документоведение
Естествознание
Журналистика
Информатика
История
Культурология
Литература
Логика
Логистика
Маркетинг
Математика, хімія, физика
Медицина
Менеджмент
Недвижимость
Педагогика
Политология
Право
Психология
Религиоведение
Социология
Статистика
Страхове дело
Техника
Товароведение
Туризм
Философия
Финансы
Экология
Экономика
Етика і естетика
Інше