В США до сих пор нет федерального закона о конфиденциальности. Однако недавние меры принудительного характера в отношении посредников данных могут обеспечить новые меры защиты личной информации американцев.
В серии статей «Что дальше?» MIT Technology Review рассматривает различные отрасли, тенденции и технологии, чтобы дать вам первый взгляд на будущее. С остальными публикациями можно ознакомиться здесь.
Каждый день нас отслеживают сотни, а то и тысячи раз в цифровом мире. Файлы cookie и веб-трекеры фиксируют каждую ссылку на веб-сайт, по которой мы переходим, а код, установленный в мобильных приложениях, отслеживает каждое физическое местоположение, которое посетили наши устройства — и, следовательно, мы сами. Вся эта информация собирается, объединяется с другими данными (из общедоступных источников, программ лояльности супермаркетов, данных коммунальных компаний и т.д.) и используется для создания персонализированных профилей, которые затем передаются или продаются, часто без нашего явного ведома или согласия.
Растёт общее мнение о том, что американцам необходима более эффективная защита конфиденциальности, и что наилучшим способом её обеспечить было бы принятие Конгрессом всеобъемлющего федерального закона о конфиденциальности. Хотя последняя версия такого законопроекта, Закон о правах на неприкосновенность частной жизни в США 2024 года, получила больше поддержки, чем ранее предложенные законы, он оказался настолько «разбавленным», что потерял поддержку как республиканцев, так и демократов ещё до голосования.
Были достигнуты некоторые успехи в области конфиденциальности в виде ограничений на то, что брокеры данных — сторонние компании, которые покупают и продают личную информацию потребителей для целевой рекламы, обмена сообщениями и других целей — могут делать с данными геолокации.
Связанная история
Компания, которая помогла миллионам людей избежать очередей в службах безопасности, хочет обеспечить вам беззаботное будущее — в обмен на ваше лицо.
Однако это всё ещё небольшие шаги, и они происходят на фоне того, как всё более проникающие и мощные технологии собирают больше данных, чем когда-либо. В то же время Вашингтон готовится к приходу новой президентской администрации, которая нападает на прессу и других критиков, обещает массовую депортацию иммигрантов, угрожает возмездием предполагаемым врагам и поддерживает ограничительные государственные законы об абортах. И это не говоря уже об увеличении сбора наших биометрических данных, особенно для распознавания лиц, и нормализации их использования во всех возможных целях. В этом свете можно без преувеличения сказать, что наши персональные данные, пожалуй, никогда не были столь уязвимы, а требование конфиденциальности никогда не ощущалось столь насущным.
Чего же ожидать американцам от своих персональных данных в 2025 году? Мы поговорили с экспертами и защитниками конфиденциальности о (некоторых) их взглядах на то, как наши цифровые данные могут быть переданы или защищены в будущем.
Обуздание проблемной отрасли
В начале декабря Федеральная торговая комиссия объявила о заключении отдельных соглашений об урегулировании споров с брокерами данных Mobilewalla и Gravy Analytics (и их дочерней компанией Venntel). Обнаружив, что компании отслеживали и продавали геолокационные данные пользователей, находящихся в таких важных местах, как церкви, больницы и военные объекты, без явного согласия, Федеральная торговая комиссия запретила им продавать такие данные, за исключением особых обстоятельств. Этому предшествовал довольно напряжённый год в сфере регулирования брокеров данных, включая многочисленные меры принудительного характера, принятые Федеральной торговой комиссией в отношении других компаний за аналогичное использование и продажу геолокационных данных, а также предложенное Министерством юстиции правило, запрещающее продажу больших объёмов данных иностранным организациям.
В тот же день, когда Федеральная торговая комиссия (FTC) объявила об этих соглашениях в декабре, Бюро по защите прав потребителей в финансовой сфере предложило новое правило, которое присвоит брокерам данных статус агентств по информированию потребителей, что повлечет за собой строгие требования к отчетности и защиту конфиденциальности потребителей. Правило запретит сбор и распространение конфиденциальной информации людей, такой как их зарплаты и номера социального страхования, без «законных целей». Хотя правилу всё ещё необходимо будет пройти 90-дневный период общественного обсуждения, и пока неясно, будет ли оно принято при администрации Трампа, если оно будет окончательно утверждено, оно сможет существенно ограничить деятельность брокеров данных.
Сейчас практически нет ограничений на деятельность этих компаний, как и, если уж на то пошло, чёткой информации о том, сколько брокеров данных вообще существует. Эксперты в этой области оценивают, что в мире может быть от 4000 до 5000 брокеров данных, о многих из которых мы никогда не слышали, и чьи названия постоянно меняются. Только в Калифорнии в реестре брокеров данных штата за 2024 год числится 527 таких компаний, добровольно зарегистрировавшихся там, и почти 90 из них также сообщили о сборе геолокационных данных.
Все эти данные широко доступны для покупки любым желающим. Маркетологи покупают данные для создания узконаправленной рекламы, а банки и страховые компании делают то же самое для подтверждения личности, предотвращения мошенничества и оценки рисков. Правоохранительные органы покупают данные геолокации, чтобы отслеживать местонахождение людей без получения традиционных ордеров на обыск. Иностранные организации в настоящее время также могут покупать конфиденциальную информацию о военнослужащих и других государственных служащих. А на сайтах поиска людей практически любой может заплатить за контактные данные и личную историю другого человека.
Брокеры данных и их клиенты защищают эти транзакции, утверждая, что большая часть этих данных анонимизирована, хотя в случае геолокационных данных это вряд ли возможно. Кроме того, анонимные данные легко идентифицировать повторно, особенно в сочетании с другой персональной информацией.
Защитники цифровых прав годами били тревогу по поводу этой скрытной индустрии, особенно по поводу того, как она может нанести вред и без того маргинализированным сообществам, хотя различные виды сбора данных вызывали смятение по всему политическому спектру. Например, конгрессмен Кэти Макморрис Роджерс, республиканец, председатель Комитета по энергетике и торговле Палаты представителей, была обеспокоена тем, как Центры по контролю и профилактике заболеваний приобретали данные о местоположении для оценки эффективности карантинных мер, принятых в связи с пандемией. Затем прошлогоднее исследование показало, насколько легко (и дёшево) можно было купить конфиденциальные данные о военнослужащих США; сенатор Элизабет Уоррен, демократ, в своём заявлении для MIT Technology Review назвала деятельность посредников по продаже данных рисками для национальной безопасности, а сенатор Джон Корнин, республиканец, позже сказал, что был «шокирован», когда прочитал об этой практике в нашей статье.
Однако именно решение Верховного суда 2022 года, отменившее конституционную гарантию легального аборта, послужило толчком к активным действиям на федеральном уровне в прошлом году. Вскоре после решения по делу Доббса президент Байден издал указ о защите доступа к услугам репродуктивного здоровья. В указе содержалось указание Федеральной торговой комиссии (FTC) принять меры по предотвращению передачи правоохранительным органам или государственным прокурорам информации о посещениях врачей или клиник абортов.
Новые исполнители
С вступлением Дональда Трампа в должность в январе и получением республиканцами контроля над обеими палатами Конгресса судьба предлагаемых правил CFPB, как и самого CFPB, остаётся неопределённой. Республиканцы, авторы «Проекта 2025» и Илон Маск (который возглавит недавно созданную консультативную группу, известную как Министерство эффективности государственного управления) давно заинтересованы в «ликвидации» бюро, как выразился Маск в интервью X. Для этого потребуется принятие решения Конгрессом, что делает его маловероятным, но есть и другие способы, которыми администрация может серьёзно ограничить его полномочия. Трамп, вероятно, уволит нынешнего директора и назначит республиканца, который сможет отменить действующие правила CFPB и заблокировать продвижение любых предлагаемых правил.
Между тем, меры принуждения, принимаемые Федеральной торговой комиссией (FTC), зависят от эффективности самих правоприменителей. Решения FTC не создают юридических прецедентов в той же степени, что и судебные дела, считает Бен Уинтерс, бывший сотрудник Министерства юстиции и директор по вопросам искусственного интеллекта и конфиденциальности в Федерации потребителей Америки (Consumer Federation of America), сети организаций и агентств, занимающихся защитой прав потребителей. Вместо этого «требуются последовательные [и] дополнительные меры принуждения, чтобы вся отрасль боялась, что FTC не применит к ним меры принуждения». (Стоит также отметить, что эти решения FTC касаются именно геолокационных данных, которые являются лишь одним из многих типов конфиденциальных данных, которые мы регулярно предоставляем, чтобы участвовать в жизни цифрового мира.)
Заглядывая в будущее, Тиффани Ли, профессор юридического факультета Университета Сан-Франциско, специализирующаяся на искусственном интеллекте и законодательстве о конфиденциальности, обеспокоена «ослаблением FTC», которая, по ее словам, будет «менее агрессивно принимать меры против компаний».
Лина Хан, нынешний председатель FTC, была лидером по защите конфиденциальности в США, отмечает Ли, и она скоро покинет свой пост. Эндрю Фергюсон, недавно назначенный Трампом следующим председателем FTC, выступил с решительным протестом против брокеров данных: «Этот тип данных — записи о точном физическом местоположении человека — по своей сути являются навязчивыми и раскрывают самые личные дела людей», — написал он в заявлении по решению Mobilewalla, указав, что он, вероятно, продолжит принимать меры против них. (Фергюсон занимает пост комиссара FTC с апреля 2021 года4.) С другой стороны, он высказался против использования действий FTC в качестве альтернативы законодательству о конфиденциальности, принятому Конгрессом. И, конечно же, это возвращает нас к другому важному препятствию: Конгресс до сих пор не принял такие законы, и неясно, сделает ли это следующий Конгресс.
Движение в штатах
Без принятия федеральных законодательных мер многие штаты США берут вопросы конфиденциальности в свои руки.
В 2025 году вступят в силу восемь новых законов о конфиденциальности в штатах, таким образом, в общей сложности по всей стране их будет 25. Ряд других штатов, например, Вермонт и Массачусетс, рассматривают возможность принятия собственных законов о конфиденциальности в следующем году, и такие законы теоретически могли бы стать обязательными для принятия на национальном уровне, говорит Вудро Хартцог, специалист по технологическому праву в юридической школе Бостонского университета. «Сейчас все законы достаточно похожи, поэтому расходы на их соблюдение, возможно, высоки, но управляемы», — объясняет он. Но если бы один штат принял закон, достаточно отличающийся от других, то принятие национального закона могло бы стать единственным способом разрешения конфликта. Кроме того, в четырёх штатах — Калифорнии, Техасе, Вермонте и Орегоне — уже действуют специальные законы, регулирующие деятельность брокеров данных, включая требование о регистрации в штате.
По словам Джастина Брукмана, директора по технологической политике в Consumer Reports, с принятием новых законов появляется возможность «усилить эти законы».
Брукман указывает на Техас, где одни из самых агрессивных мер по обеспечению соблюдения законодательства на уровне штата были приняты при республиканском генеральном прокуроре Кене Пэкстоне. Ещё до вступления в силу нового закона штата о защите конфиденциальности потребителей в июле Пэкстон объявил о создании специальной рабочей группы, занимающейся обеспечением соблюдения законов штата о защите конфиденциальности. С тех пор он преследовал ряд посредников, включая National Public Data, которая в августе раскрыла миллионы конфиденциальных данных клиентов, а также компании, которые им сотрудничают, например, Sirius XM.
Связанная история
Это может стать сигналом к более решительным действиям со стороны политиков по ограничению разрушительного воздействия брокеров данных на конфиденциальность персональных данных.
В то же время, однако, Пакстон предпринял шаги по обеспечению соблюдения строгих законов штата об абортах способами, которые ставят под угрозу личную неприкосновенность. В декабре он подал в суд на врача из Нью-Йорка за отправку абортивных таблеток женщине из Техаса по почте. Хотя теоретически врач защищен законами штата Нью-Йорк о защите, которые обеспечивают защиту от судебного преследования за пределами штата, агрессивные действия Пакстона делают еще более важным, чтобы штаты закрепили защиту конфиденциальности данных в своих законах, говорит Альберт Фокс Кан, исполнительный директор правозащитной организации Surveillance Technology Oversight Project. «Штатам крайне необходимо, — говорит он, — ограничить доступ к данным наших жителей, запретив компаниям собирать и обмениваться информацией способами, которые могут быть использованы против них прокурорами других штатов».
Сбор данных во имя «безопасности»
Хотя конфиденциальность стала вопросом, который обсуждается обеими партиями, республиканцы, в частности, заинтересованы в «решении проблемы посредников в контексте национальной безопасности», например, в защите данных военнослужащих и других государственных служащих, говорит Уинтерс. Однако, по его мнению, именно влияние на репродуктивные права и права иммигрантов представляет собой «наиболее опасную» угрозу конфиденциальности.
Действительно, посредники по продаже данных (включая Venntel, дочернюю компанию Gravy Analytics, упомянутую в недавнем соглашении с Федеральной торговой комиссией) продавали данные мобильных телефонов иммиграционной и таможенной полиции, а также таможенно-пограничной службе. Эти данные затем использовались для отслеживания лиц в целях депортации, что позволяло этим службам обходить местные и государственные законы об убежище, запрещающие местным правоохранительным органам передавать информацию иммиграционным службам.
«Чем больше данных собирают корпорации, тем больше данных становится доступно правительствам для слежки», — предупреждает Эшли Горски, старший юрист, работающий по вопросам национальной безопасности и конфиденциальности в Американском союзе защиты гражданских свобод.
Американский союз защиты гражданских свобод (ACLU) входит в число организаций, продвигающих принятие ещё одного федерального закона, связанного с конфиденциальностью: Закона о запрете на продажу Четвёртой поправки. Он закроет так называемую «лазейку для посредников данных», позволяющую правоохранительным органам и разведывательным службам покупать персональные данные у посредников без ордера на обыск. По словам Горски, законопроект «резко ограничит возможности правительства по покупке личных данных американцев». Он был впервые внесён в 2021 году и принят Палатой представителей в апреле 2024 года при поддержке 123 республиканцев и 93 демократов, прежде чем застопорился в Сенате.
Хотя Горски надеется, что законопроект будет принят следующим Конгрессом, другие настроены менее оптимистично по поводу этих перспектив и обеспокоены другими способами, которыми новая администрация может «использовать частные системы для целей слежки», как выразился Хартцог. Он говорит, что огромное количество нашей личной информации, «собираемой с одной целью», может «легко использоваться правительством… для слежки за нами».
Это особенно тревожно, добавляет Уинтерс, учитывая, что следующая администрация «очень недвусмысленно» заявила о желании использовать все имеющиеся в её распоряжении инструменты для проведения такой политики, как массовые депортации, и отомстить предполагаемым врагам. По его словам, одно из возможных изменений — это простое ослабление процедур государственных закупок, чтобы сделать их более открытыми для новых технологий, которые могут иметь меньшую степень защиты конфиденциальности. «Сейчас федеральному агентству сложно что-либо закупать», — говорит он, но ожидает «более быстрого и свободного использования коммерческих инструментов».
«Это то, что мы [уже] много раз видели», — добавляет он, указывая на «федеральные, государственные и местные агентства, использующие Clearviews по всему миру» — намекая на противоречивую компанию по распознаванию лиц.
Дикая карта ИИ
В основе всех этих дебатов о потенциальном законодательстве лежит тот факт, что технологическим компаниям, особенно компаниям, работающим в сфере искусственного интеллекта, по-прежнему требуются огромные массивы данных, включая персональные, для обучения своих моделей машинного обучения. И эти массивы быстро заканчиваются.
Это своего рода «темная лошадка» в любых прогнозах относительно персональных данных. В идеале, считает Дженнифер Кинг, научный сотрудник Стэнфордского института искусственного интеллекта, ориентированного на человека, считает, что дефицит данных позволит потребителям получать прямую выгоду, возможно, финансовую, от ценности своих данных. Но, по её словам, «отраслевое сопротивление некоторым из предлагаемых комплексных федеральных законопроектов о защите персональных данных усилится». «Компаниям выгодно существующее положение дел».
По словам Уитни Меррилл, бывшего сотрудника Федеральной торговой комиссии (FTC), которая сейчас занимается вопросами конфиденциальности данных в Asana, охота за всё большим объёмом данных может подтолкнуть компании к изменению собственной политики конфиденциальности. Выступая от своего имени, она отмечает, что компании «ощутили на себе давление технологического кризиса, в котором мы сейчас находимся, с высокими процентными ставками», и что в этих обстоятельствах «мы видели, как люди изменили свою политику и попытались монетизировать свои данные в мире искусственного интеллекта», даже если это происходит в ущерб конфиденциальности пользователей. Она указывает на сделку на 60 миллионов долларов в год, которую Reddit заключил в прошлом году, чтобы лицензировать свой контент для Google, чтобы помочь в обучении искусственного интеллекта компании.
Связанная история
Новый отчёт раскрывает проблемы конфиденциальности и национальной безопасности, создаваемые брокерами данных. Сенаторы США заявили журналу MIT Technology Review, что отрасль нуждается в регулировании.
Ранее в этом году Федеральная торговая комиссия (FTC) предупредила компании, что «нечестное и обманное» изменение их политики конфиденциальности, позволяющее использовать пользовательские данные для обучения ИИ, было бы «несправедливым и обманным. Однако, опять же, будут ли чиновники принимать меры в этом направлении, зависит от ответственных лиц.
Как же будет выглядеть конфиденциальность в 2025 году?
Хотя недавние соглашения с Федеральной торговой комиссией (FTC) и предложенное CFPB правило представляют собой важные шаги вперед в защите конфиденциальности (по крайней мере, когда речь идет о данных геолокации), личная информация американцев по-прежнему остается широко доступной и уязвимой.
Ребекка Уильямс, старший стратег Американского союза защиты гражданских свобод (ACLU) по вопросам конфиденциальности и управления данными, утверждает, что все мы, как отдельные личности и сообщества, должны взять на себя обязательство принимать более активные меры для собственной защиты и «противостоять… отказавшись» от сбора как можно большего количества данных. Это означает проверку настроек конфиденциальности в учётных записях и приложениях, а также использование сервисов зашифрованного обмена сообщениями.
Кан, тем временем, заявляет, что будет «стремиться защитить [своё] местное сообщество, работая над принятием мер безопасности, которые позволят нам следовать нашим принципам и заявленным обязательствам». Одним из примеров таких мер безопасности является предлагаемый в Нью-Йорке указ, запрещающий обмен любыми данными о местоположении, полученными в пределах города. Хартцог говорит, что подобный местный активизм уже доказал свою эффективность в борьбе за запрет распознавания лиц в городе.
«Права на неприкосновенность частной жизни находятся под угрозой, но они никуда не исчезли, и сейчас не стоит смотреть на вещи слишком пессимистично», — говорит Ли, профессор права Университета Южной Флориды. «У нас, безусловно, всё ещё есть права на неприкосновенность частной жизни, и чем активнее мы будем бороться за них, тем лучше сможем их защитить».
Источник: www.technologyreview.com
