Книга Сила конфиденциальности. Почему необходимо обладать контролем над своими персональными данными и как его установить - Карисса Велиз

Таким образом, фидуциарные обязанности уместны, когда существуют экономические отношения, в которых есть асимметрия власти и знаний и в которых профессионал или компания могут иметь интересы, противоречащие интересам их клиентов. Финансовые консультанты, врачи, юристы и специалисты по работе с данными знают о финансах, медицине, юриспруденции и данных соответственно гораздо больше, чем мы. Они также могут знать о вас больше, чем вы сами. Ваш финансовый консультант, вероятно, лучше понимает ваши финансовые риски. Ваш врач понимает, что происходит в вашем организме, лучше, чем вы. Ваш адвокат будет лучше вас разбираться в вашем судебном деле. И те, кто анализирует ваши данные, могут знать (или могут думать, что знают) гораздо больше о ваших привычках и психологии, чем вы. Такие знания никогда не должны использоваться против вас.

Доверенные лица должны действовать в интересах своих клиентов, а при возникновении конфликтов – ставить интересы клиентов выше своих собственных. Люди, которые не хотят выполнять фидуциарные обязанности, не должны соглашаться с тем, чтобы им доверяли ценную персональную информацию или активы. Если вы не хотите наилучшим образом действовать в интересах своих пациентов, не становитесь врачом. В этой профессии недостаточно желания проводить медицинские вмешательства в организмы людей. Работа врача связана с определенными этическими нормами. Точно так же, если компании не хотят иметь дело с фидуциарными обязанностями по хранению данных, они не должны заниматься сбором персональных данных. Желание анализировать персональные данные в исследовательских или коммерческих целях – это прекрасно, но такая привилегия влечет за собой ответственность.

Критики идеи о том, что к технологическим гигантам должны применяться фидуциарные обязанности, аргументируют это тем, что такая политика будет идти вразрез с фидуциарными обязанностями технологических компаний по отношению к своим акционерам. Согласно закону штата Делавэр, где зарегистрированы Facebook, Google и Twitter, менеджмент должен «рассматривать благосостояние акционеров как единственную цель, учитывая другие интересы только в той степени, в которой это рационально связано с благосостоянием акционеров»[280].

То, что компании должны работать только на благо своих акционеров в ущерб клиентам, кажется морально сомнительной политикой, особенно если рассматриваемый бизнес оказывает негативное воздействие на жизни миллионов граждан. С моральной точки зрения, экономические интересы акционеров не могут перевесить права на неприкосновенность частной жизни и демократические интересы миллиардов пользователей технологических гигантов. Один из вариантов решения этой проблемы – постановить, что всякий раз, когда интересы акционеров вступают в конфликт с интересами пользователей, фидуциарные обязанности перед пользователями имеют приоритет. Другой вариант – ввести настолько большие штрафы за нарушение фидуциарных обязанностей по отношению к пользователям, что выполнение компаниями этих обязанностей будет в интересах самих же акционеров, если они заботятся о своей прибыли.

Фидуциарные обязанности будут иметь большое значение для обеспечения того, чтобы интересы технологических гигантов совпадали с интересами их пользователей. Если они хотят рискнуть нашими данными, им следует при этом рискнуть и своим бизнесом. Пока технологические компании могут рисковать нашими данными и быть уверенными, что мы единственные, кто будет платить по счетам – через разоблачение, кражу персональных данных, вымогательство, несправедливую дискриминацию и многое другое, – они будут продолжать действовать безрассудно.

Если наложить на технологические компании фидуциарные обязанности, информационная среда значительно улучшится. Наши данные больше не будут передаваться, продаваться или использоваться вопреки нашим интересам. Однако персональные данные все равно могут быть утеряны по небрежности, поэтому нам необходимо внедрить более высокие стандарты кибербезопасности.

Повысить стандарты кибербезопасности

Наша конфиденциальность не будет как следует защищена, пока приложения, веб-сайты и устройства, которыми мы пользуемся, не станут безопасными. Данные слишком легко украсть. В настоящее время у компаний нет интереса инвестировать в кибербезопасность. Это стоит дорого, и пользователи не могут по достоинству оценить кибербезопасность, потому что она невидима. Им не так легко сравнивать продукты по стандартам безопасности[281]. Мы примерно представляем, как выглядит стальная дверь, но на приложениях или веб-сайтах нет никаких сопоставимых знаков. Однако дело не только в отсутствии выгоды – у компаний нет риска больших потерь, если что-то пойдет не так. Если данные будут украдены, основная нагрузка ложится на клиентов. Если сочтут, что компания допустила грубую халатность, она может быть оштрафована. А если штраф недостаточно велик (например, меньше, чем стоило бы инвестировать в кибербезопасность), у компаний возникнет соблазн рассмотреть такие штрафы как приемлемые расходы на ведение бизнеса.

Кибербезопасность – это проблема коллективных действий. Обществу было бы лучше, если бы у всех были приемлемые стандарты кибербезопасности. Если конфиденциальная информация организаций будет лучше защищена, доверие клиентов к ним будет выше. Если будут защищены данные граждан, будет незыблема и национальная безопасность. Но большинство компаний не заинтересованы в том, чтобы инвестировать в безопасность, потому что это дает им мало преимуществ и к тому же дорого, что может поставить их в невыгодное положение по сравнению с конкурентами. В текущей ситуации небезопасные продукты могут вытеснить с рынка безопасные, поскольку инвестиции в кибербезопасность не окупаются.

Повышение безопасности должно регулироваться государством. Если бы правительства не внедряли стандарты безопасности, такие вещи, как здания, лекарства, продукты питания, автомобили и самолеты, были бы намного менее безопасными.

Компании очень часто жалуются, когда от них в первую очередь требуют повысить стандарты безопасности. Автомобильные компании, как известно, сопротивлялись обязательным ремням безопасности. Они думали, что те уродливы и автовладельцам не понравятся. На самом же деле покупатели были счастливы, что вождение стало более безопасным.

Со временем компании начинают принимать правила, которые защищают их и их клиентов от нарушений безопасности. И они приходят к пониманию того, что такое регулирование – это иногда единственный способ позволить компании инвестировать во что-то действительно ценное, хоть и не приносящее немедленной отдачи, но без ущерба для конкуренции, потому что все остальные тоже должны это делать.

Несмотря на то что бóльшая часть конфиденциальности, которую мы потеряли с 2001 года, была прямым или косвенным следствием того, что правительство якобы уделяло приоритетное внимание безопасности, опыт научил нас, что безопасность и конфиденциальность – это не игра нулевой суммой. Когда мы нарушаем нашу конфиденциальность, мы чаще всего подрываем и нашу безопасность. Интернет был сделан небезопасным, чтобы позволить корпорациям и правительству присваивать наши данные, чтобы теоретически защитить нас. Реальность же оказалась такова, что нерегулируемый интернет чрезвычайно опасен для людей, компаний и общества.

Если наши устройства небезопасны, враждебные режимы могут шпионить за нашими чиновниками. Хакеры могут вывести из строя энергосистему всей страны, взломав несколько десятков тысяч энергоемких устройств, таких как водонагреватели и кондиционеры, и вызвать резкий скачок спроса на электроэнергию[282]. Они могут даже взять под контроль