Для обеспечения конфиденциальности информации при работе в интерактивной среде компании лучше опубликовать политику в этой области.

На прошлой неделе я разместила информацию о моем адресе, роде занятий, хобби, привычках, зарплате, а также график отпусков на нескольких узлах Web. Эти сведения терпеливо ждут своего часа в базах данных таких организаций, как The New York Times, United Airlines, RealNetworks, Toyota и MusicBlvd. Для отделов маркетинга такие данные эквивалентны конфиденциальной внутренней информации компании, и пользоваться ими иначе как по назначению — значит нарушать закон.

В августе 1998 г. Федеральная торговая комиссия (Federal Trade Commission, FTC) предъявила компании GeoCities обвинение в незаконном использовании собранной через Web информации, т. е. что данные используются в целях, не предусмотренных опубликованной политикой компании по обеспечению конфиденциальности информации. GeoCities (http://www.geocities.com) предоставляла своим интерактивным пользователям — в терминологии компании они называются горожанами — бесплатные страницы Web и бюджеты электронной почты. Взамен «горожане» должны были указать некоторые сведения о себе, такие, как имя, фамилия и адрес электронной почты, а также необязательные данные, например род занятий, доход, интересы и семейное положение.

FTC обвинила GeoCities в предоставлении информации о пользователях третьим лицам, которые в свою очередь использовали ее в рекламных целях, не упомянутых в опубликованной политике компании. Согласно существующим правилам, установленным FTC (в соответствии с которыми компании должны регулировать свою деятельность), если какой-либо сервер запрашивает персональную информацию, то он обязан опубликовать свою политику в области обеспечения конфиденциальности, чтобы посетители знали, как будет использована предоставленная информация. В случае использования информации каким-либо иным способом компания может быть привлечена к суду.

FTC обязала GeoCities пересмотреть декларируемые ею правила соблюдения конфиденциальности с тем, чтобы они отражали реальный характер использования информации «горожан», а также разместить на ее сервере Web ссылку на сервер Web самой FTC (http://www.ftc.gov), где изложены соответствующие правила. Кроме того, GeoCities надлежало связаться со всеми людьми, чью персональную информацию она получила, и спросить их согласия на ее использование в соответствии с новыми правилами. В случае неподчинения GeoCities могла быть оштрафована FTC на сумму в 11 тыс. долларов по каждому факту нарушения.

GeoCities стала первой компанией, подвергшейся штрафным санкциям за то, что она не обеспечила конфиденциальность полученной персональной информации. Первой, но, скорее всего, не последней. Защита конфиденциальности в Internet получила соответствующую правовую оценку совсем недавно, поэтому большинству представителей мира бизнеса она неизвестна. Эта неинформированность стала очевидной после анализа 1400 узлов Web, проведенного FTC в марте 1998 г. При том, что 85% узлов собирали те или иные сведения о посетителях, только 14% — имели соответствующую политику, и всего в 2-3% случаев они соответствовали минимальным требованиям FTC к такого рода правилам.

Каковы же законы в области обеспечения конфиденциальности в Internet? На сегодняшний день американское правительство требует от тех, кто занимается коммерческой деятельностью в Internet, неразглашения полученной информации. Вместо того чтобы издавать законы, которые, с точки зрения представителей компаний, препятствуют свободной торговле, правительство предпочло предоставить возможность тем, кто имеет требуемый опыт и знания, выработать собственные правила и нормы.

«ПОЗАБОТЬСЯ О СЕБЕ САМ»

Под руководством вице-президента Гора правительство США плотно занималось вопросами соблюдения конфиденциальности в Internet на протяжении последних трех лет. В мае 1997 года в рамках электронного билля о правах Гор поставил перед частным сектором задачу выработать собственные правила соблюдения конфиденциальности. В июле 1998 года администрация вновь вернулась к этому вопросу на совещании в Министерстве торговли по вопросам конфиденциальности в Internet.

За неделю до июльского совещания частный сектор «разразился» потоком объявлений, касающихся саморегулирования. Так, Better Business Bureau представило программу соблюдения конфиденциальности под названием BBB Online; группа Individual Reference Services Group, входящие в состав которой компании, такие, как Equifax, Experian и Metromail, занимаются прямым маркетингом и составлением списков, открыла узел Web, посвященный вопросам конфиденциальности; формальные правила обнародовала и Dell Computer. Наиболее важным событием стало формирование ассоциации Online Privacy Alliance, объединившей около 50 компаний. Компании — члены ассоциации — обязаны соблюдать принятые правила саморегуляции и требования законов и постановлений.

Во время телефонной конференции, проходившей в июле, Кристин Варни, пресс-секретарь Online Privacy Alliance, заявила: «Альянс должен послужить своего рода катализатором, побуждением к действию, чтобы компании и отраслевые союзы обратили серьезное внимание на вопросы соблюдения конфиденциальности и направили свои интеллектуальные и материальные ресурсы на принятие адекватных стандартов в области интерактивного сбора данных».

В соответствии с требованиями альянса политика каждой компании в отношении конфиденциальности должна раскрывать ее обязательства в следующих областях: уведомление и раскрытие, выбор, секретность данных и доступ клиентов. Эти рекомендации, в свою очередь, опираются на правила, приведенные в правительственном докладе «Инфраструктура для глобальной электронной коммерции». Более подробно требования к правилам соблюдения конфиденциальности описаны во врезке «Разработка политики обеспечения конфиденциальности». Несмотря на все предпринятые организациями из частного сектора шаги, правительство оценило все их усилия как недостаточные и неадекватные. В некоторых областях, например в защите прав детей (см. врезку «На защите детей»), а также в случаях, связанных с предоставлением финансовой и медицинской информации, правительство налагает более строгие ограничения. В том же, что касается соблюдения конфиденциальности информации взрослых граждан, отрасль должна представить доказательства своей способности самостоятельно защищать клиентов. К моменту опубликования этой статьи в Конгресс уже поступило более трех десятков биллей, регулирующих вопросы соблюдения конфиденциальности в Internet.

ДАВЛЕНИЕ ИЗВНЕ

Внешние силы — вот основной фактор, вынуждающий американское правительство требовать принятия более строгих мер саморегуляции. Законы, принятые в пятнадцати странах — членах Европейского Сообщества (ЕС), куда строже, причем они запрещают компаниям передачу персональной информации из этих государств в страны, где не обеспечивается «адекватной защиты» данных. Все такие законы приняты в рамках европейской директивы о защите данных (EU Directive on Data Protection), вступившей в силу 24 октября 1998 года.

Директива была принята в 1995 году после длившихся несколько лет дискуссий относительно того, какую роль должно играть ЕС в защите конфиденциальности, пояснил Стюарт Дреснер, директор международной консультационной компании Privacy Laws and Business (http://www.privacylaws.co.uk). Директива стала своего рода симбиозом законов, принятых в каждой из стран. После ее принятия все 15 стран внесли необходимые изменения в свои законы. Главной целью авторов директивы было, по словам Дреснера, создание законодательной базы для защиты прав граждан на тайну частной жизни.

Однако страны-члены ЕС понимали, что, как только данные покидают пределы содружества, их конфиденциальность не может быть гарантирована. Для защиты граждан стран ЕС в директиву внесено требование, что в других странах стандарты защиты данных должны соответствовать правилам той страны, откуда эти данные были получены.

В качестве примера Дреснер привел историю с банком Citibank и германской железнодорожной компанией Deutsche Bahn AG. Компании выпустили в оборот комбинированную кредитную карту и проездной билет. Данные о лице, приобретшем такую карту, собирались в Германии, а затем передавались на обработку в Соединенные Штаты. После многочисленных жалоб Берлинская комиссия по защите данных потребовала от Citibank подписать контракт, обязывающий банк обрабатывать данные так же, как это делалось бы в Германии. Руководство банка согласилось с требованием и привело свои операции в соответствие с германскими законами.

Согласно новому закону, компаниям в Соединенных Штатах придется защищать данные по законам той страны Европейского Сообщества, откуда эти данные поступили. По словам Дреснера, директива затронула многие американские компании с филиалами в Европе, так что соответствующие рекомендации и законы им знакомы. Но в целом американские компании не торопятся принимать новые правила в отношении защиты конфиденциальности. «Мы вынуждены в буквальном смысле преодолевать сопротивление американских компаний», — посетовал Дреснер.

Соблюдение директивы оставлено на усмотрение каждой из стран — членов Европейского Сообщества. Дреснер подчеркнул, что компаниям следует осознать, что в соответствии с уголовным законодательством наказание налагается в виде штрафа и оплаты судебных издержек. Кроме того, директива предоставляет физическим лицам право оспаривать ущерб в гражданском суде, требуя компенсации за моральный ущерб, вызванный распространением неверных сведений. Однако основные потери нарушители директивы понесут вследствие расходов на адвокатов и подрыва репутации.

С точки зрения ЕС, Соединенные Штаты не предоставляют достаточных гарантий относительно получаемых из Европы данных. Однако правительство США и лидеры отрасли тесно сотрудничают с членами Европейского Сообщества в области правил соблюдения конфиденциальности. Наибольшие опасения комиссии ЕС внушает уровень защиты данных в компаниях, занимающихся прямым маркетингом.

ДЕРЖА ПРАВИТЕЛЬСТВО НА РАССТОЯНИИ

Чтобы избежать вмешательства правительства, как это случилось в Европе, американской индустрии необходимо принять четыре основные меры: выработать критерии для подготовки правил соблюдения конфиденциальности при работе в интерактивной среде; провести мероприятия по информированию заинтересованных лиц как в государственном, так и в частном секторе; подготовить процессуальные основы применения штрафных санкций к нарушителям этих правил; создать полномочные группы для контроля за соблюдением правил и выполнения роли третейского судьи в случае разногласия сторон.

The Online Privacy Alliance завершила первый этап — выработку основ правил обеспечения конфиденциальности. Группа занимается следующим этапом — просвещением своих членов и поощрением обучения бизнес-партнеров и клиентов. Основная ответственность за эту пропагандистскую деятельность возлагается на крупных провайдеров Internet, порталы и отраслевые ассоциации. По мере ознакомления с ними специалистов и пользователей правила соблюдения конфиденциальности будут получать все более широкое распространение, считает Варни, пресс-секретарь Online Privacy Alliance.

Сейчас большинство компаний не злоупотребляет частной информацией своих клиентов. Несмотря на наличие огромных объемов сведений в автономных базах данных, большинство компаний не располагают технологиями сопоставления данных и создания перекрестных ссылок на другую информацию. Однако вряд ли такая ситуация будет продолжаться долго. Скорее всего, предприятия интерактивной торговли вскоре получат доступ к сведениям, далеко выходящим за рамки простых электронных адресов и телефонных номеров клиентов.

С точки зрения пользователей, наибольшей опасностью чревата возможность организации перекрестных ссылок на базы данных, в результате чего у компаний появится доступ к важной персональной информации, например к медицинской информации. Впрочем, все же наиболее вероятным сценарием развития событий следует считать такой, при котором частные лица станут мишенью для назойливой целевой рекламы. Так, бюро по резервированию авиабилетов может предоставлять сведения о местах планируемого отдыха клиентов туристическим фирмам. Зная, где клиент предпочитает отдыхать, турфирмы могут по собственной инициативе предложить ему снять номер в гостинице, арендовать автомобиль или организовать экскурсии.

Не следует, однако, забывать, что бюро по резервированию билетов будет действовать в рамках закона, если в его правилах соблюдения конфиденциальности оговорена возможность передачи клиентской информации третьей стороне. При отсутствии в правилах подобного пункта эта компания несет ответственность перед FTC, генеральными прокурорами 50 штатов и, в зависимости от обстоятельств, перед Министерством юстиции США. Варни и члены Online Privacy Alliance склонны поддерживать «строгое соблюдение существующего законодательства», выработка которого составляет суть третьего этапа.

Четвертым этапом должно стать создание «групп контроля». Online Privacy Alliance и другие поддерживают идею введения печати, наличие которой подтверждало бы обязательства компании по защите конфиденциальности. Такое свидетельство соответствия правилам, принятым FTC, предоставляют две компании — TrustE и BBB Online.

«ПЕЧАТЬ ОДОБРЕНИЯ»

«От того, как мы справимся с защитой конфиденциальности, будет зависеть, как эти вопросы будут решаться в будущем, — предупреждает исполнительный директор TrustE Сюзан Скотт. Ее компания занимается организацией доверительных отношений между потребителями и интерактивными магазинами. — Если сейчас мы продемонстрируем свою способность к саморегуляции, то получим возможность устанавливать стандарты и в дальнейшем».

TrustE, созданная CommerceNet и The Electronic Frontier, занимается ознакомлением участников программ с законами в области обеспечения конфиденциальности и помогает им разрабатывать собственные правила. Если компания-участник выполняет все рекомендации TrustE, то она получает «печать одобрения» для размещения на своем узле Web. Представители TrustE поясняют, что эта печать подтверждает обязательства владельцев узла в отношении предоставленных посетителями сведений.

TrustE берет на себя функции контроля за соблюдением правил. Если проверка выявляет нарушение, то TrustE уведомляет об этом компанию и рекомендует ей пересмотреть принятые правила с тем, чтобы либо правила отражали изменения в ее коммерческой деятельности, либо компания отказалась от подобной практики.

Выработка политики в отношении обеспечения конфиденциальности означает на деле гораздо большее, нежели написание документа с пятью пунктами, на наличии которых настаивает Online Privacy Alliance. Компании требуется предоставить перспективный план с указанием целей сбора информации и с подробным описанием практики обращения с данными.

По мнению Скотт, политика компании в области соблюдения конфиденциальности должна вырабатываться ее высшим руководством. Прежде всего, всех акционеров необходимо собрать в одном месте, а это означает обычно приглашение сотрудников многих подразделений. Этим лицам следует совместно решить, какие данные нужно собирать и как они будут использоваться — только внутри компании, либо их разрешено будет продавать третьим сторонам. Они должны также установить, как долго информация будет храниться, как будет осуществляться доступ к ней и ее изменение клиентами и, наконец, как будет реализована защита этой информации.

Все сотрудники компании должны быть в курсе политики в области обеспечения конфиденциальности. Если кому-либо из отдела маркетинга захочется продать контактную информацию в целях продвижения продукции другими компаниями, то действия этого человека должны быть остановлены.

Внутренние правила работы с данными имеют тенденцию меняться. В этом случае компания должна немедленно опубликовать изменения в политике соблюдения конфиденциальности. Если компания решится использовать данные не так, как это описано в правилах, то она будет нести за это ответственность. Администратор узла Web должен своевременно получать оперативную информацию, дабы он мог внести изменения в опубликованные правила. Собранные же ранее в период действия старых правил данные должны использоваться в соответствии с прежними правилами.

Но если компания не обнародует своих правил, то отвечает ли она за то, как использует данные? Вообще говоря, да, однако на практике привлечь ее к ответственности не так-то просто. Правительство США до сих пор надеется, что частный сектор сможет самостоятельно обеспечить надлежащую защиту. Если в ближайшие месяцы компании не примут правил соблюдения конфиденциальности, правительство примет необходимые законы, чтобы заставить их сделать это.

ТЕХНИЧЕСКИЙ ПРОГРЕСС

Технологии играют далеко не последнюю роль в защите конфиденциальности. WWW Consortium (http://www.w3.org) работает сейчас над основами проекта Platform for Privacy Preference Project (P3P) для ограничения объема данных, которые владельцы серверов имели бы право требовать с посетителя Web-узла. P3P не только позволит узлам устанавливать свои правила в отношении конфиденциальности, но и даст пользователям возможность иметь определенный контроль за использованием информации.

В соответствии с P3P сервер хранит закодированную совокупность правил соблюдения конфиденциальности, и со своей стороны пользователи имеют возможность задать на браузере список предпочтений в отношении конфиденциальности. При посещении узла информация о пользователе передается автоматически, если установки пользователя согласуются с правилами узла. В противном случае, на экране у пользователя появляется предупреждение о несоответствии предпочтений и правил.

Например, при использовании P3P узел может уведомить пользователя, что данные собираются не в тех целях, для которых пользователь готов их предложить, или что сервер хочет получить данные, которые пользователь предпочитает не разглашать. В зависимости от заданных приоритетов и принятых правил предупреждения могут быть и иными. Пользователь может принять требования узла и получить доступ либо отказаться и лишиться доступа ко всему узлу или к какой-то его части.

Работа над P3P еще не завершена. Члены консорциума надеются, что разработчики смогут реализовать новую технологию к лету 1999 года. Engage Technologies, Firefly, Intermind, Lumeria, Microsoft, Netscape, Open Sesame и Microsystems Software объявили о поддержке протокола P3P в своих продуктах.

Однако все, что дает P3P, — это информированность пользователей о своих правах на конфиденциальность информации. Секретность и защищенность данных — не менее важные проблемы обеспечения конфиденциальности — должны быть обеспечены другими технологиями, такими, как шифрование и цифровые подписи.

ДЛЯ УСПЕХА САМОРЕГУЛЯЦИИ

Первоначальные намерения правительства воздержаться от регулирования Internet широко приветствовались общественностью. В то время поборники свободы Internet твердо верили, что сетевое сообщество само решит возникшие проблемы. Однако тогда мало кто мог себе представить масштабы, какие принял сбор данных с посетителей узлов Web сегодня, и ту легкость, с какой сведения могут быть извлечены из различных баз данных и использованы в лучшем случае для маркетинга.

Теперь идея жесткого регулирования и усиленной защиты находит все большую поддержку, однако пока еще не ясно, кто же в конце концов будет заниматься защитой частной информации —  будет ли это правительство или «контролеры» вроде TrustE? Если верить Скотт, законы в отношении защиты конфиденциальности все равно будут приняты. «Вопрос только в том, когда это произойдет и что они будут собой представлять, — считает она. — Либо частный сектор гарантирует безопасность личных данных клиентов, либо этим займется государство. FTC не пустит дело на самотек».

И Скотт, и Варни надеются, что опыт саморегуляции окажется успешным. По словам Скотт, индустрия США «не хочет таких законов, как в ЕС».

Джон О?Лири, заведующий учебной частью в Computer Security Institute, предупреждает, что EU Data Protection Directive может вызвать проблемы у американских компаний. «В Соединенных Штатах к вопросам обеспечения конфиденциальности относятся проще, чем в Европе. Но когда компания выходит в Сеть, она вынуждена подчиняться международным правилам. Европейцы готовы пойти на принцип, так что если компании не будут обращать внимания на наличие строгого регулирования в области обеспечения конфиденциальности данных, то они могут за это поплатиться», — предрекает О?Лири.

В соответствии с духом взаимопонимания и сотрудничества, царящим в Internet, все надеются, что саморегуляция будет работать. Каждая компания может внести вклад в ее успех и защитить себя от чересчур пристального внимания правительства. Для этого ей надо обнародовать политику соблюдения конфиденциальности на узле Web и гарантировать следование декларируемым правилам. Кроме того, она может присоединиться к программам TrustE или BBB Online и получить их «знаки отличия». Наконец, вы должны время от времени «заходить» на узел FTC (http://www.ftc.gov) и отслеживать текущие изменения, поскольку в течение следующих нескольких месяцев законы в этой области наверняка изменятся. Однако какая бы работа ни была проделана для защиты конфиденциальности, скорее всего, полная анонимность окажется недостижимым идеалом. Как выразился О?Лири: «Конфиденциальность превращается не более чем в устаревшую концепцию».

Ханна Харли — независимый автор. С ней можно связаться по адресу: hrhurley@hotmail.com.


На защите детей

Сбор данных у детей на узлах Web объявляется незаконным, если заявленная цель расходится с фактической. Родители ребенка должны быть извещены о назначении собираемых данных. С этой целью сервер должен сообщать о том, кто занимается сбором персональной информации, кто ее предполагаемые пользователи, кому и в какой форме полученные сведения будут передаваться и какими средствами против сохранения, использования и разглашения информации располагают родители. Провайдеры Internet и операторы узлов Web должны обращать особое внимание на сбор информации у детей. Если ребенок регистрируется под именем взрослого, то родителям необходимо направить электронное сообщение или почтовую открытку о полученной информации. Перед тем как предоставлять информацию о детях третьей стороне, компания должна получить разрешение родителей.


Разработка политики обеспечения конфиденциальности

Правила обеспечения конфиденциальности могут быть сформулированы самым различным образом. TrustE и Online Privacy Alliance (http://www.privacyalliance.org) предлагают рекомендации и проводят анализ принятой политики. Правила должны как минимум включать в себя пять пунктов, сформулированных в документе Online Privacy Alliance под названием «Рекомендации по разработке правил обеспечения конфиденциальности при работе в интерактивной среде».

  1. Принятие и реализация правил обеспечения конфиденциальности. Занимающиеся интерактивной деятельностью или электронной коммерцией организации обязаны принять и затем следовать правилам обеспечения конфиденциальности частной информации.
  2. Оповещение и раскрытие. Необходимо, чтобы правила обеспечения конфиденциальности каждой организации было легко найти, прочитать и понять. Эти правила должны быть доступны до того или одновременно с тем, как у пользователя будет запрошена индивидуальная информация. Правила должны недвусмысленно определять, какая информация собирается, как используется, кому предоставляется. Кроме того, они должны содержать обязательства компании по защите данных и описание мер по обеспечению правильности данных и доступа к ним. Наконец, правила должны предупреждать, какие последствия ждут пользователя, если тот откажется предоставлять требуемые данные. Из правил должно быть ясно, как контролируется деятельность организации, в том числе и то, как с ней связаться.
  3. Выбор/разрешение. Частным лицам должна быть предоставлена возможность выбора в отношении того, как собранная информация может использоваться помимо первоначально заявленных целей. Пользователи должны иметь право вето на подобное использование. Кроме того, они должны иметь возможность отказаться, если полученную информацию предполагается предоставить третьей стороне для иных целей, нежели это было заявлено первоначально. Разрешение на предоставление третьей стороне может быть получено техническими средствами или путем запроса.
  4. Защита данных. Если организация занимается сбором, обработкой, использованием или распространением персональной информации частных лиц, то она должна принять надлежащие меры для проверки полученной информации и для предупреждения ее потери, неадекватного использования или изменения. Они также должны позаботиться о том, чтобы третьи стороны, которым эта информация передается, были осведомлены о практике обеспечения секретности, а также о том, чтобы они предпринимали надлежащие усилия для защиты любой переданной информации.
  5. Качество данных и доступ. Если организация занимается сбором, обработкой, использованием или распространением персональной информации частных лиц, то она должна принять надлежащие меры для обеспечения точности, полноты и актуальности данных для целей, в которых они используются. Организации должны определить необходимые процессы или механизмы выявления и исправления неточностей в персональной информации, например в адресе электронной почты. Эти механизмы должны быть просты и легки в применении, а также извещать пользователей об исправленных неточностях.

Другие процедуры обеспечения правильности данных могут включать в себя надежный пользовательский доступ для внесения исправлений, а также защиту от случайных или неавторизованных изменений.

Образцы правил читатель может найти на серверах Dell Computer: (http://www.dell.com/policy/corporate.htm), AOL (http://www.aol.com/info/privacy.html) и IBM (http://www.ibm.com/privacy/), а также в документе «Руководство для разработки правил обеспечения конфиденциальности при работе в интерактивном режиме» (Guidelines for Online Privacy Policies на http://www.privacyalliance.org).


Ресурсы Internet

Узел компании Online Privacy Alliance — по адресу: http://www.privacyalliance.org, содержит описание основ политики в области обеспечения конфиденциальности, информацию об организациях — членах альянса, ссылки на другие источники и последние новости о защите конфиденциальности.

Позиция правительства по поводу электронной коммерции изложена в документе «Политика правительства Соединенных Штатов в отношении электронной коммерции» по адресу: http://www.ecommerce.gov.

Сервер федеральной торговой комиссии (Federal Trade Commission, FTC) по адресу: http://www.ftc.gov, содержит информацию о текущих постановлениях и решениях FTC.

Британская консультационная компания Privacy Laws and Business поможет пользователям разобраться, как директива EU Directive on Data Protection может отразиться на бизнесе вашей компании. Ее адрес в Web: http://www.privacylaws.co.uk.

Список членов «группы контроля» TrustE и новости в области обеспечения конфиденциальности представлены на узле Web http://www.truste.org.

Программа Better Business Bureau под названием BBB Online является, по существу, еще одной «группой контроля». Список ее членов, а также новости и различная информация по обеспечению конфиденциальности помещены на ее Web-узел http://www.bbbonline.org.

На узле World Wide Web Consortium по адресу: http://www.w3.org, приводится информация о различных технологиях Internet.