Ник Дедеке — доцент Северо-Восточного университета в Бостоне. Его исследовательские интересы включают стратегии цифровой трансформации, этику и конфиденциальность. Его исследования были опубликованы в журналах IEEE Management Review, IEEE Spectrum и Journal of Business Ethics. Он получил докторскую степень в области промышленной инженерии в Университете Кайзерслаутерн-Ландау, Германия. Мнения в этой статье не обязательно отражают точку зрения Ars Technica.
В более раннем статьяЯ обсудил несколько недостатков главного европейского закона о конфиденциальности данных — Общего регламента защиты данных (GDPR). Опираясь на эту критику, я хотел бы пойти дальше и предложить спецификации для разработки надежного режима защиты конфиденциальности в США.
Писателям приходится преодолеть несколько препятствий, чтобы иметь шанс убедить читателей в возможных недостатках GDPR. Во-первых, некоторые читатели скептически относятся к любым статьям, критикующим GDPR, поскольку считают, что закон еще слишком молод, чтобы его можно было оценивать. Во-вторых, некоторые с подозрением относятся к любым статьям, критикующим GDPR, поскольку подозревают, что авторы могут быть тайными сторонниками программы Big Tech, направленной против GDPR. (Могу заверить читателей, что я не занимаюсь и никогда не поддерживал какие-либо планы крупных технологических компаний.)
В этой статье я расскажу о цене игнорирования GDPR. Затем я представлю несколько концептуальных недостатков GDPR, которые были признаны одним из ведущих разработчиков закона. Далее я предложу определенные характеристики и требования к дизайну, которые такие страны, как США, должны учитывать при разработке закона о защите конфиденциальности. Наконец, я привожу несколько причин, почему каждый должен заботиться об этом проекте.
Высокая цена игнорирования GDPR
Иногда люди предполагают, что GDPR — это по большей части «бюрократическая головная боль», но эта точка зрения больше не верна. Рассмотрим следующие действия администраторов GDPR в разных странах.
- В мае 2023 года ирландские власти ударили по Мете. отлично $1,3 млрд за незаконную передачу персональных данных из Евросоюза в США.
- 16 июля 2021 года Национальная комиссия по защите данных Люксембурга (CNDP) наложила на Amazon Inc штраф в размере 746 миллионов евро (888 миллионов долларов США). Штраф был наложен в связи с жалобой 10 000 человек на Amazon в мае 2018 года, организованной Французская группа по защите прав на неприкосновенность частной жизни.
- 5 сентября 2022 года Комиссия по защите данных Ирландии (DPC) наложила на компанию Meta Ireland штраф в размере 405 миллионов евро, предусмотренный GDPR, в качестве наказания за нарушение положений GDPR относительно законности данных детей (другие штрафы смотрите здесь).
Другими словами, GDPR — это не просто бюрократический вопрос; это может повлечь за собой огромные неожиданные штрафы. Идея о том, что GDPR можно игнорировать, является фатальной ошибкой.
9 концептуальных недостатков GDPR: взгляд ведущего архитектора GDPR
Аксель Восс — один из ведущих разработчиков GDPR. Он является членом Европейского парламента и является автором инициативного доклада 2011 года под названием «Комплексный подход к защите персональных данных в ЕС», когда он был докладчиком Европейского парламента. Его призыв к действию привел к разработке законодательства GDPR. Увидев невыполненные обещания GDPR, Восс написал позиционный документ подчеркивая слабые места закона. Я хочу упомянуть девять недостатков, которые описал Восс.
Во-первых, хотя GDPR был превосходен в теории и указывал путь к совершенствованию стандартов защиты данных, это чрезмерно бюрократический закон, созданный в основном с использованием нисходящего подхода бюрократами ЕС.
Во-вторых, закон основан на предпосылке, что защита данных должна быть фундаментальным правом граждан ЕС. Следовательно, положения являются абсолютными и односторонними или ориентированы только на защиту «основных прав и свобод» физических лиц. Внеся это изменение, архитекторы GDPR перенесли отношения между государством и гражданином и применили их к отношениям между гражданами и компаниями, а также к отношениям между компаниями и их коллегами. Такая конструкция является одной из причин жесткости обязательств, налагаемых на контролеров и обработчиков данных.
В-третьих, закон GDPR направлен на расширение возможностей субъектов данных, предоставляя им права и закрепляя эти права в законе. В частности, закон закрепляет девять прав субъектов данных. Это: право на информацию, право на доступ, право на исправление, право на забвение/или удаление, право на переносимость данных, право на ограничение обработки, право возражать против обработки личных данных. данные, право возражать против автоматизированной обработки и право отозвать согласие. Как и в случае с любым списком, всегда существует опасение, что некоторые права могут отсутствовать. Если критические права будут исключены из GDPR, это снизит эффективность закона в защите конфиденциальности и данных. В частности, в случае GDPR права защищаемых субъектов данных не являются исчерпывающими.
В-четвертых, GDPR основан на подход запрета и ограничения к защите данных. Например, принцип целевого ограничения исключает случайные открытия в науке. При этом игнорируется тот факт, что современные технологии, например, приложения машинного обучения и искусственного интеллекта, функционируют по-разному. Следовательно, эти старые подходы к защите данных, такие как минимизация данных и ограничение хранилища, больше не работают.
В-пятых, GDPR в принципе утверждает, что любая обработка персональных данных ограничивает право субъекта данных на защиту данных. Поэтому требуется, чтобы каждый из этих процессов нуждался в обосновании, основанном на законе. GDPR считает любую обработку персональных данных потенциальным риском и принципиально запрещает ее обработку. Обработка разрешена только при наличии правового основания. Такой подход, направленный против обработки и совместного использования, может не иметь смысла в экономике, основанной на данных.
В-шестых, закон не делает различия между приложениями с низким и высоким уровнем риска, налагая одинаковые обязательства для каждого типа приложений по обработке данных, за некоторыми исключениями, требующими консультации с Администратором обработки данных для приложений с высоким уровнем риска.
В-седьмых, GDPR также исключает исключения для сценариев обработки с низким уровнем риска или когда контролерами данных являются МСП, стартапы, некоммерческие организации или частные лица. Кроме того, не существует никаких исключений или положений, защищающих права контролера и третьих лиц в таких сценариях, в которых контролер данных имеет законный интерес в защите деловых и коммерческих секретов, выполнении обязательств по конфиденциальности или экономический интерес во избежание огромных и непропорциональные усилия по выполнению обязательств GDPR.
В-восьмых, в GDPR отсутствует механизм, позволяющий МСП и стартапам перекладывать бремя соблюдения требований на третьи стороны, которые затем хранят и обрабатывают данные.
В-девятых, GPR в значительной степени полагается на правительственный бюрократический мониторинг и администрирование соблюдения требований GDPR. Это означает, что для управления режимом соблюдения необходима разветвленная бюрократическая система.
Существуют и другие проблемы с соблюдением GDPR (см. Мэтт Берджесс и Анда Болога) и его негативное влияние на ЕС цифровая экономика и дальше Ирландская технология компании. В этой статье основное внимание будет уделено только девяти недостаткам, описанным выше. Эти девять недостатков являются одними из причин, по которым властям США не следует просто копировать GDPR.
Хорошей новостью является то, что многие из этих недостатков можно устранить.