С приходом GDPR многие компании поменяли свои политики конфиденциальности и реализовали дополнительные механизмы работы с персональными данными пользователей. Но ряду организаций сделать это не удалось, и им пришлось свернуть бизнес. Посмотрим, почему так получилось.
Первая реакция бизнесов на GDPR
Одним из самых серьезных требований нового регламента стал запрет использовать персональные данные (ПД) в рекламных целях без согласия пользователей. Поэтому многие ИТ-компании изменили политики работы с ПД.
Например, в Facebook добавили новое диалоговое окно с просьбой дать согласие на обработку той или иной информации (в том числе в маркетинговых целях). Однако интерфейс этого окна подвергся критике общественности – о нем писали даже такие крупные издания, как TechCrunch и The Guardian. Журналисты отметили, что дизайн окна намеренно подталкивает пользователей предоставить социальной сети максимум данных: кнопка для изменения настроек крайне неприметна, а ограничить использование тех или иных данных не так-то просто.
Facebook также предоставили возможность выгружать историю поиска в социальной сети и другие данные: историю обновления статусов и звонков, а также теги местоположений и др. Это еще одно требование GDPR.
Такую же функцию предоставила «дочка» Facebook – Instagram. Пользователь получает архив с фотографиями, информацией профиля, комментариями и др.
Однако не всем бизнесам удалось подружиться с новыми требованиями регламента. К 25 мая, когда начал действовать GDPR, больше половины европейских IT-компаний не внедрили необходимые механизмы для работы с ПД. И таких компаний все еще большинство. Поговорим о том, с чем это связано.
Почему сложно выполнять требования GDPR
Это дорого. По данным исследований, только компании из Fortune 500 и FTSE 100 потратят почти миллиард евро на пересмотр своих контрактов и приведение их в соответствие с требованиями GDPR. У малого и среднего бизнеса на проработку нового регламента ресурсов зачастую просто нет.
Регламент не учитывает законы отдельных стран. У разных стран разные определения персональных данных. Поэтому многие формулировки в GDPR сделаны максимально обтекаемыми.
В законе плохо прописана работа с машинным обучением. GDPR начали разрабатывать в 2016 году и многие заложенные в него концепции уже успели устареть. В частности, в нем плохо описаны принципы работы с большими данными (полученными на основе ПД) и системами искусственного интеллекта.
По закону разработчик должен понимать, почему интеллектуальная система приняла то или иное решение. Требование регламента – объяснить пользователю, как именно обрабатываются его персональные данные. Однако «заглянуть» внутрь алгоритма не всегда возможно, так как в большинстве случаев система ИИ представляет собой черный ящик: на вход подаются данные, они как-то обрабатываются, а на выходе получается результат. Даже создатель системы может не знать, почему она выдала такое решение.
Кто не справился и закрылся
Из-за сложности (и дороговизны) реализации всех требований GDPR компании, которые не располагали достаточными ресурсами, были вынуждена прекратить деятельность. О закрытии объявил ряд онлайн-игр: Super Monday Night Combat и Loadout. В обоих случаях стоимость внедрения всех систем для соответствия регламенту (обновление клиента, БД и покупка новых серверов) оказалась неподъемной для небольших студий. В случае с Super Monday Night Combat стоимость обновления вообще была больше, чем бюджет всей игры.
Кроме компьютерных игр под ударом оказались сервисы, связанные с хранением персональных данных. Например, закрылся сервис проверки биографических данных PICOPS, который был своеобразным цифровым удостоверением личности. Еще одна жертва – приложение CoinTouch, которое связывало друзей для обмена криптовалютой.
Также от GDPR пострадали рекламные биржи, которые занимались размещением рекламы по технологии программатик. Они не смогли гарантировать рекламодателям, что все площадки, на которых будут размещаться баннеры, выполняют требования регулятора. В результате их рекламные объемы в ЕС упали на 25–40%.
Интересно, что пострадали даже несколько крупных IT-компаний. В частности, в Twitter закрыли доступ пользователям из Европы к своим сервисам для Roku, Android TV и Xbox.
Можно сказать, что GDPR повлиял не только на принципы работы ИТ-компаний. Его реализация привела к глобальным изменениям в практике распространения и потребления информации во всем мире.
Со вступлением нового регламента многие европейские компании начали переносить свою ИТ-инфраструктуру в облако. Это связано с тем, что облачный провайдер может взять на себя реализацию ряда требований нового закона (касающихся обработки ПД), экономя деньги клиентов, для которых эти вложения не являются профильными.
В России тоже наблюдается аналогичный тренд. Однако в нашем случае причиной становится необходимость соблюдать ФЗ-152 «О защите персональных данных». Виртуальная инфраструктура в облаке IaaS-провайдера помогает сократить юридические риски при работе с ПД и обеспечить высокий уровень защищенности данных.