ПДн, недорого: как монетизация данных меняет картину безопасности

На Западе набирают силу проекты, позволяющие пользователям зарабатывать на своих персональных данных. Обсудим, как это влияет на отношение к личной информации и насколько применимо в России.

Идея предложить пользователям деньги за информацию об их активности не нова. Это и попытка установить прозрачные правила на рынке персональных данных — «новой нефти», и ход против блокировщиков рекламы, которые становятся все популярнее у уставшей от рекламы интернет-аудитории.

Американские стартапы, такие как Datacy, Pogo, Caden, постоянно сообщают о все новых раундах финансирования. Это значит, что инвесторам тема интересна, и главное, она приносит прибыль. Схема действительно достаточно практичная: пользователи устанавливают себе расширение компании-агрегатора, после чего начинают получать на свой счет отчисления за просмотр рекламы, передачу данных о посещенных сайтах, онлайн-покупках и т.д. В некоторых случаях разработчики анализируют, какие фильмы смотрят пользователи, куда они путешествуют, чтобы формировать персональные предложения. Например: «Вы едете в Турцию через пару недель, вот отличный документальный фильм на Netflix».

Андрей Стариковский

Руководитель проектов Центра цифровых технологий управления ГУУ

Работа с ПДн пользователей может приносить непосредственную выгоду самим пользователям. Так, например, известны примеры, когда на заправках Wi-Fi точки доступа определяют владельца по его телефону и сразу предлагают ему персональные скидки и акции, а также подсказывают, какое топливо обычно заливает пользователь и помогают автоматизировать процесс заправки.

Также в бутиках и магазинах одежды без помощи консультанта при наличии ваших ПДн можно сразу подобрать из наличия вещи нужного размера и сравнить с ассортиментом, который приобретался в этом магазине ранее.

Как говорит создатель стартапа Caden Джон Роа (John Roa), компания ставит себе не только финансовые цели: «Нашим основным предложением всегда будет возможность для пользователей контролировать свои данные и получать вознаграждение, если они решат поделиться ими с доверенной третьей стороной».

В самом деле, игнорировать угрозы персональным данным сейчас не получится. Рекламные трекеры отслеживают клики на сайтах, приложения передают информацию о перемещениях — раз уж нельзя исчезнуть из цифровой реальности, самым разумным будет ответственно подходить к своим данным, поставить их на контроль.

Как это скажется на поведении пользователей

Однако не все эксперты согласны, что само появление подобных проектов может повысить осознанность в вопросах личной информации.

Игорь Гусев

Ведущий инженер «Газинформсервис»

Не вижу пользы подобных проектов для самих субъектов ПДн. Осознанными [их действия от этого] не станут точно так же, как и при получении кредитов. Более того, будет вред для других субъектов ПДн, которые не изъявили желание продать свои ПДн: косвенные затраты в виде налогов или пожертвований на восстановление ущерба, понесённого субъектами, которые продают свои ПДн.

Для примера можно вспомнить недавнюю ситуацию с биометрическими пунктами пропуска в московский метрополитен. Ради нескольких секунд «удобства» многие граждане подписали согласия на использование своих биометрических ПДн. Но когда им стали приходить постановления об автоматически сформированных штрафах за неиспользование масок в метрополитене во время пандемии, эйфория от мнимой «выгоды» быстро рассеялась. То же самое можно сказать и об «удобном голосовом управлении» банковскими услугами.

Другая сторона вопроса — собственно безопасность персональной информации, которую хотят обеспечить компании-агрегаторы. Здесь идея в том, чтобы хранить все чувствительные данные в защищенном месте, которое будет подтверждать личность пользователя третьим сторонам, не отправляя им сами данные. Таким образом можно подтвердить личность в онлайн-банке, не загружая фото с паспортом, пользоваться удаленными медицинскими услугами без риска для конфиденциальности.

Евгений Царев

Управляющий RTM Group

Общий мировой тренд на контроль персональных данных усиливается с каждым годом. Я передаю свои данные одному оператору, у него есть, например, 30 строк моих данных: ФИО, телефон, почта, ИНН и т.д. Если мне нужно заказать доставку из магазина, я не ввожу свои данные у них на сайте. Сервис позволяет через различные интеграции этому магазину возможность коммуницировать со мной через сервис, без передачи имя и телефона и даже адреса доставки (последнее в случае, если доставку осуществляет не сам магазин, а какая транспортная компания).

Сотрудники магазина могут позвонить мне через сервис хранения ПДн, не видя номер и не зная адреса доставки. Потом они передают заказ транспортной компании, а та, в свою очередь, не знает, какой товар я заказал и просто привозит его в указанное место.

Разумеется, такой подход сокращает количество уязвимых точек: чтобы добраться до персональных данных, злоумышленникам недостаточно взломать какой-нибудь интернет-магазин, а специализированный провайдер наверняка потратить множество ресурсов, чтобы защитить свой основной продукт.

Василиса Скидан

Консультант департамента консалтинга и аудита компании «Информзащита»

Это неизбежно приводит с одной стороны, к возрастанию рисков для таких маркетплейсов, однако, с другой стороны, позволяет сделать прозрачной для всех участников цепочку передачи персональных данных – всегда есть четкое понимание чьи данные, откуда и каким способом были переданы, что несомненно упрощает жизнь и компаниям, и субъектам персональных данных.

Однако, как подчеркнул эксперт по персональным данным Privacy Advocates Александр Партин, даже в обезличенном виде данные продолжают считаться персональными. Это означает, что на них распространяются все требования № 152-ФЗ и все остальное регулирование, поэтому оборот таких данных между компаниями затруднен. На протяжении долгого времени обсуждаются различные законопроекты в этой области, но пока видимых результатов нет, несмотря на поручение Президента РФ.

Освоение Дикого Запада

Сегодня благодаря всплывающим окнам с запросами cookies, согласиям на обработку ПДн в поликлиниках, предупреждениях об интернет-мошенниках даже далекий от ИТ человек знает: его информация имеет ценность. Если раньше к осознанному отношению к приватности людей подталкивала угроза кибератак, то теперь мотивацию может подпитывать ожидание награды. И хотя специалисты не спешат с позитивными прогнозами, нет сомнений в том, что на рынок придут и новые правила, и новые способы получить прибыль из информации.