4. ПРИВАТНОСТЬ И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Автор раздела:

Существенная часть важнейших требований к разработке и функционированию цифровых решений связана с обеспечением приватности, а именно надлежащих обработки, конфиденциальности и безопасности ПДн. Необходимость обеспечения приватности потребовала мультидисциплинарного подхода к защите ПДн при их обработке в ИС. Воплощением этого подхода стала концепция PbDD: Privacy by Design и Privacy by Default.

Термин «приватность» — калька с английского privacy, которое, в свою очередь, появилось в конце XIX века как отражение желания уединиться и защитить личное пространство в ответ на развитие технологий, в частности фотографии. Под приватностью в самом общем смысле понимают неприкосновенность частной и личной жизни. Выделяют несколько видов приватности: телесную, пространственную, информационную и коммуникационную, и все они актуальны в цифровом мире.

Концепция Privacy by Design (проектируемой приватности) и Privacy by Default (приватности по умолчанию) применительно к ИС и ПДн была разработана в 1990-х годах Энн Кавукян, которая на тот момент занимала пост уполномоченного по вопросам информации и приватности в канадской провинции Онтарио. В 2009 году она опубликовала программный документ «Privacy by Design: 7 основополагающих принципов». Эти принципы приведены ниже.

1. Проактивность, а не реактивность. Превентивные меры для предотвращения вреда, а не реагирование на нанесенный вред и устранение последствий.
2. Защита приватности как настройка по умолчанию.
   
3. Приватность как часть устройства информационных систем. Интеграция инструментов защиты приватности в продукт при его проектировании.
   
4. Сочетание интересов приватности с бизнес-интересами. Стратегия, при которой в выигрыше остаются все участники (win-win).
   
5. Сквозная безопасность: защита информации на протяжении всего жизненного цикла продукта, от начала и до конца ее обработки.
6. Открытость документации и прозрачность (транспарентность) обработки данных.
7. Уважение к интересам пользователя и клиентоцентричность как основа архитектуры информационных систем и бизнес-процессов

Концепция Privacy by Design обеспечивает непрерывное и безопасное управление жизненным циклом ПДн начиная с фазы проектирования процессов и (или) систем и до завершения обработки данных.

Защита данных на протяжении всего жизненного цикла (Full Lifecycle Protection) гарантирует, что все ПДн надлежащим образом обрабатываются и защищаются, а затем надежно и своевременно уничтожаются. При этом проектируемая приватность может и должна быть реализована без ущерба для функциональности бизнеса или систем. Эти принципы управления данными, а также философию и методологию, на которых они основаны, можно применять к технологиям, элементам операционной деятельности, физической архитектуре, сетевой инфраструктуре и целым информационным экосистемам. Роль этой концепции в общих механизмах защиты ПДн показана на рисунке 5.

Privacy by Default, в свою очередь, означает, что принципы приватности должны учитываться оператором ПДн в любом процессе или системе. Пользователь (субъект данных) не должен предпринимать никаких специальных действий для защиты своих прав и свобод при обработке ПДн, не должен нести бремя их защиты при использовании каких-либо услуг или продуктов. Приватность по умолчанию означает, что право на неприкосновенность частной жизни будет защищаться автоматически в качестве настройки по умолчанию.

Концепция PbDD получила международное признание в 2010 году на 32-й Международной конференции уполномоченных органов защиты ПДн и конфиденциальности, где была принята Резолюция о проектируемой приватности. Позднее, в середине 2010-х годов, принципы PbDD, сформулированные Кавукян, были использованы европейскими законодателями при разработке Общего регламента защиты персональных данных (GDPR, см. о нем раздел 4.3.1), в который была включена соответствующая норма. В 2019 году был принят международный стандарт ISO/IEC 27 701 «Менеджмент персональных данных», который является расширением двух более ранних стандартов: ISO/IEC 27 001 «Система обеспечения информационной безопасности» и ISO/IEC 27 002 «Методы и средства обеспечения безопасности».

Концепция Privacy by Design предполагает, что операторы ПДн будут продумывать механизмы обеспечения приватности еще на этапе планирования процедур обработки ПДн в бизнес-процессах и ИС. Эта концепция должна быть внедрена в процессы жизненного цикла разработки системы (System/Software Development Life Cycle, SDLC), в управление изменениями и в проектное управление.

На начальных этапах работы помогают стратегии проектируемой приватности (Privacy Design Strategies). Стратегии служат мостом между принципами обработки ПДн, закрепленными законодательно, и их реализацией в конкретных приложениях, устройствах или системах. Специалисты чаще всего выделяют восемь стратегий Privacy by Design, которые условно делятся на две категории. На рисунке 6 показано, как применять эти стратегии при обработке данных.

1. Стратегии, ориентированные на данные, имеют скорее технический характер и фокусируются на обработке ПДн с учетом требований приватности: минимизация, сокрытие, разделение, объединение.

2. Стратегии, ориентированные на процессы, имеют организационный характер и ориентированы на определение процессов, обеспечивающих ответственное управление ПДн: информирование, контроль, принуждение, демонстрация.
Стратегии проектируемой приватности проявляются в том числе как элементы пользовательского интерфейса, названные паттернами приватности (Privacy Patterns). Такие паттерны используются на стадии проектирования процессов или систем и могут применяться для решения общих проблем приватности. Privacy Patterns — это способ превращения Privacy by Design в практические советы для разработки ПО. Для многократного использования в проектировании согласно канонам PbDD (и для стандартизации самого процесса такого проектирования) создаются каталоги релевантных паттернов приватности.

Суть Privacy by Default состоит в минимизации процессов обработки ПДн. Чем меньше объем данных, чем меньше способов используется при их обработке, чем короче сроки и меньше круг вовлеченных лиц, тем безопасней обработка для субъектов данных и самого оператора. Минимизация позволяет вывести часть бизнес-процессов из-под действия законодательства о ПДн и тем самым сэкономить силы и средства операторов. Кроме того, концепция Privacy by Default требует подотчетности (accountability): оператор должен знать, в каких процессах и ИС обрабатываются данные, в каком объеме, с какой целью и как долго.
При реализации Privacy by Default применяются три стратегии, непосредственно связанные со стратегиями минимизации и контроля в Privacy by Design.

1. Оптимизация направлена на анализ обработки ПДн с точки зрения приватности, что означает принятие мер в целях минимизации объема собираемых данных, способов и длительности их обработки, а также степени их доступности.

2. Конфигурирование (возможность настройки параметров обработки ПДн с помощью функций, доступных пользователю в приложениях, устройствах или системах) передает разумную часть этих параметров под контроль пользователя.

3. Ограничение гарантирует, что обработка данных осуществляется с максимальным соблюдением приватности, поэтому настройки параметров должны быть по умолчанию установлены таким образом, чтобы способствовать ограничению обработки данных.

После вступления в силу в 2018 году регламента GDPR (см. раздел 4.3.1) растет внимание к концепции PbDD со стороны коммерческих и государственных структур разных стран. Спрос на имплементацию PbDD в процессы и системы активизировал развитие такой прикладной дисциплины, как инженерия приватности (Privacy Engineering).

Активная фаза работ по инженерии приватности началась в 2014 году, когда были опубликованы книги Privacy Engineer’s Manifesto и Privacy Engineering (последнюю написал инженер компании Nokia Йэн Оливер). Во внутреннем отчете Национального института стандартов и технологий США (NIST) «Введение в инженерию приватности и управление рисками», опубликованном в январе 2017 года, показано, что приватность служит важным техническим и стратегическим фактором укрепления доверия и репутации. Отмечается отсутствие строгого определения Privacy Engineering и предлагается рассматривать инженерию приватности как специальную дисциплину системного проектирования, задача которой — избежать при обработке ПДн неприемлемых для людей последствий. В документе также показано, что информационная безопасность и приватность — это не одно и то же (см.рисунок 7).