Глава 5
Панель управления
Прозрачность для людей
Не все, что можно посчитать, считается, и не все, что считается, можно посчитать.
Какую информацию о своих данных можно требовать?
Мы убедились, какой колоссальный массив информации ежедневно создается и распространяется людьми, и попытались оценить воздействие на нашу жизнь результатов деятельности инфопереработчиков. Создавать информацию мы не прекратим, равно как не прекратится и ее распространение подавляющим большинством людей. По этой причине усилия должны направляться не на управление информацией у источника, а на получение места у панели управления обработкой данных.
Мы также рассмотрели возможности повышения уровня прозрачности и обеспечения права выбора, принимая при этом во внимание, что подавляющее большинство людей никогда не овладеет языком программирования в степени, позволяющей видеть и понимать внутренние процессы переработки данных. Существуют элементарные способы расширения прав пользователей – от предоставления доступа к записям их разговоров с колл-центрами до возможности сопоставить «топ» своей ленты новостей в Facebook со всем потоком постов и комментариев своих друзей.
С учетом объема существующей сегодня информации даже при наличии подобных инструментов вы не сможете без дополнительной помощи просмотреть каждую порцию полученных и проанализированных первичных данных. В деле интерпретации и понимания значения своих данных вам придется полагаться на тех, кто их обрабатывает.
Обладая всей информацией о ваших личных особенностях, связях и ситуации, инфопереработчик может со всевозрастающей точностью прогнозировать ваши желания, причем вне зависимости от того, знаете ли вы сами точно, чего хотите. Но сколь бы совершенными ни становились машинные рекомендации, мы должны сохранять свободу реагировать на них по собственному усмотрению, в том числе отклонять или изменять. Для этого требуются инструменты, позволяющие понять, как сформировались эти рекомендации, чтобы, к примеру, иметь возможность изменять настройки по умолчанию, используемые при обработке данных.
Одни инфопереработчики в большей степени ориентированы на создание продуктов и сервисов для людей, делящихся своими данными; другие – на создание продуктов и сервисов для компаний и организаций, желающих идентифицировать и понимать этих людей и их потребительские пристрастия (поскольку деньги делаются именно на последнем). Некоторые инструменты предоставляют пользователям больше прозрачности и свободы выбора, чем другие. Вы вправе выбирать инфопереработчиков, предлагающих продукты, повышающие степень прозрачности и свободы выбора их пользователей, в том числе инструментарий, позволяющий оценить выгоду, полученную в обмен на предоставленную информацию.
Мы находимся лишь в самом начале процесса осмысления того, какую пользу или вред может приносить человеку использование социальных данных. По этой причине я полагаю более важным установить стандарты, которые помогут нам самим оценивать инфопереработчиков, чем предлагать им внедрить у себя какие-то инструменты и технические средства. Основу этих стандартов составляют шесть следующих субъективных прав.
Два права, способствующие повышению прозрачности обработки данных:
1. Право на доступ к своей информации.
2. Право на инспекцию инфопереработчиков, включающее:
а) право на ознакомление с аудитом сохранности данных;
б) право на ознакомление с коэффициентом использования частной информации;
в) право на ознакомление с показателем «доходности информационных активов».
Четыре права, способствующие расширению свободы выбора для пользователей:
3. Право вносить исправления в информацию.
4. Право на размытие данных о себе.
5. Право экспериментировать с обработкой данных.
6. Право переносить свои данные.
Эти права дадут нам возможности «читать» данные и параметры инфопереработчиков, а затем «писать» свои собственные инструкции по взаимодействию с ними. Как сказал философ Людвиг Витгенштейн: «Пределы моего языка – это границы моего мира». Если у нас нет представления о чем-то, мы попросту не замечаем этого. В нашем случае для понимания процессов переработки информации и взаимодействия с теми, кто этим занимается, потребуется выучить некий новый язык. Не имея инструментов оценки методов анализа и алгоритма выводов инфопереработчиков, нам будет затруднительно представить себе другие способы интерпретации и использования наших данных. Наши возможности не станут шире, если мы просто получим доступ к своим социальным данным. И наоборот, они существенно возрастут, если мы будем знать, как можно их использовать.
ОБОРОТНОЙ СТОРОНОЙ
ВОЗМОЖНОСТИ СБОРА
И РАСПРОСТРАНЕНИЯ
ИНФОРМАЦИИ ЯВЛЯЕТСЯ
ВОЗМОЖНОСТЬ
ЕЕ БУДУЩЕГО ИСПОЛЬЗОВАНИЯ
КЕМ-ТО ЕЩЕ
И В СОВЕРШЕННО
НЕИЗВЕСТНЫХ ЦЕЛЯХ.
Права на прозрачность и свободу выбора нужно воплотить в действенный инструментарий. В рамках реализации своих прав люди будут пользоваться этими инструментами и создавать дополнительную информацию, которую также можно будет анализировать (скорее всего, инфопереработчики займутся этим). Любой контакт с инфопереработчиком является новым элементом данных.
Права, способствующие расширению свободы выбора, мы рассмотрим в следующей главе. А сейчас давайте разберем два вида прав, которые следует требовать: право на доступ к своей информации и право на инспекцию инфопереработчиков. Первое предоставляет нам возможность видеть и интерпретировать данные, полученные от нас и о нас. Второе – возможность узнавать подробности работы с информацией, что заставит инфопереработчиков стать более прозрачными.
Право на доступ к своим данным
Основой любых информационных прав, и в области прозрачности, и в области свободы выбора, является доступность. Мы знаем, что возможность доступа человека к имеющейся о нем информации стала уже общепринятой практикой в ряде стран, включая Соединенные Штаты и страны Евросоюза. Однако нынешнее понимание «доступа к данным» является удручающе неадекватным. В нем не учитывается новый количественный аспект социальных данных – то, что в данные о вас включены данные о других людях.
Возьмем вид информации, к которому у вас уже есть доступ: данные о ваших финансовых операциях и ваша кредитная история. В некоторых странах частные лица имеют право получения этих данных и исправления в них ошибок. Ведь это важная информация, поскольку она определяет возможность получения кредитов. В США и Великобритании крупные бюро кредитных историй, собирающие и анализирующие информацию о задолженностях и статистике выполнения финансовых обязательств физических лиц, обязаны один раз в год предоставлять человеку его кредитное досье. Предлагается проверить его содержание и сообщить бюро о любых несоответствиях – особенно если выяснится, что в досье зафиксирована куча кредитных заявок от вашего имени, которых вы не делали, что является признаком хищения персональных данных. Итоговой оценкой платежной дисциплины и финансового положения является кредитный рейтинг, рассчитанный на основе истории выполнения обязательств по счетам, расчетов по краткосрочным кредитам, срока кредиторской задолженности, количества заявок на новые кредиты и общей картины по кредитным картам, займам и ипотеке. В описательной части своего анализа бюро разъясняют, какие действия клиента за последний год позитивно или негативно повлияли на рейтинг, и то, как они рассчитывают значение каждого параметра.
Если из досье следует, что вы попали в «категорию кредитного риска выше среднего» из-за просрочек оплаты по счетам, то можно попробовать исправить ситуацию, начав осуществлять платежи вовремя или погасив задолженность досрочно. Возможно, вы считаете единственным показателем своей кредитоспособности значение рейтинга кредитоспособности потенциального заемщика FICO. Это не совсем так. Рейтинги, присвоенные разными бюро, могут отличаться, поскольку каждое из них собирает ваши данные самостоятельно. Газета «Нью-Йорк таймс» насчитала не менее сорока девяти различных значений рейтинга FICO, которые варьировались не только в зависимости от стандартов составившего их бюро кредитных историй и методов сбора информации, но и от вида кредита, на который подавалась заявка. Более того, журнал Fortune сообщил о том, что «единственного» кредитного рейтинга частного лица не существует, поскольку «каждое учреждение» (то есть каждый банк, рассматривающий вопрос о предоставлении кредитной карты, кредита или ипотеки) может «поиграть с параметрами». Такая многофакторная картина не позволяет увидеть свои данные с точки зрения людей, принимающих решения касательно вас.
Истинная прозрачность позволила бы вам понимать, как те или иные кредиторы могут играть с весами, присвоенными разным категориям информации в кредитном досье, и, следовательно, понимать, как они видят вашу кредитную историю. Наличие доступа к обработанной информации позволило бы решать, в какие банки следует направлять кредитные заявки в первую очередь.
Право на доступ к собственным данным должно включать возможность видеть их во взаимосвязях. Два из наиболее важных параметров такого видения – ваше прошлое и ваши сверстники, позволяющие сравнить ваше настоящее с вашим прошлым и вас с другими. Доступ только к первичным данным в отсутствие каких-либо инструментов для анализа, сравнения и интерпретации не имеет особого смысла. Подумайте, как полезно было бы иметь возможность сравнить свою теперешнюю походку с тем, как вы двигались в прошлом. Программа распознавания походки может отслеживать ваши передвижения на работе. Она же может выявить изменения, происходящие в вашей походке, которые могут быть ранними симптомами хронических заболеваний позвоночника или серьезных мышечных расстройств, причем настолько ранними, что вы их пока не замечаете. Лично я хотел бы получать подобные заблаговременные предупреждения.
Целесообразно также иметь возможность знакомиться с информацией о себе в сравнении с окружающими, чтобы извлекать из этого пользу. Но насколько свободно можно выбирать, чьи именно данные будут взяты для сопоставления? Можно ли получить возможность сравнивать свои данные с данными других пациентов того же врача, или клиентов того же банка, или сотрудников своего отдела? Очень большая часть информации о вас действительно переплетена с информацией о других людях – «ваши данные» вовсе не обязательно касаются только вас. Даже самая незамысловатая личная информация, вроде той, которую предоставляет инфоброкер Axciom в своих «портретах потребителя», сообщается с информацией о других. Напомню, что единицей анализа Axciom является домохозяйство, а не отдельный человек. Рекламщики всегда мыслили категориями домохозяйств и обосновывали свою позицию тем, что большинство решений о покупках принимается именно на этом уровне. Однако реклама, предназначенная конкретному обитателю жилища, может сообщить другим достаточно деликатные подробности, как в случае с отцом семейства, который, не зная о беременности дочери, жаловался на присылаемые скидочные купоны на колыбельки и одежду для новорожденных.
Социальные данные объединяют более тесно, чем общий для всех членов семьи домашний адрес. Оставляя комментарий к посту своего друга в Facebook, вы тратите время и силы на создание и распространение информации, а также обнародуете личные вкусы и пристрастия. А затем по какой-то причине автор удаляет пост. Что будет с вашим комментарием? Должны ли отклики на информацию находиться под контролем автора первичного информационного посыла? Вы должны иметь возможность постоянного доступа ко всей совместно созданной информации и видеть ее в изначальном контексте. Однако это не означает, что вы можете использовать чужие материалы без разрешения авторов.
Значительная часть нашей жизни проходит в цифровом мире, где во взаимодействии с окружающими и всей планетой мы вносим свой вклад в создание информации. Каким законам должен подчиняться доступ к вашему цифровому «наследию»? Это не праздный вопрос: в прошлом году умерли от 1 до 10 миллионов пользователей Facebook, и вопрос о том, кто получает контроль над аккаунтом человека после его смерти, породил острую дискуссию (и массу неразберихи). Некоторые аккаунты были удалены по просьбам ближайших родственников. В таких случаях вся информация в аккаунте, созданная с участием других (помеченные вручную фото и разговоры), утрачивается безвозвратно, невзирая на мнение людей, которые также имеют на нее равные права.
В 2015 году Facebook стала предлагать пользователям опцию назначения «наследного контакта» – своего рода душеприказчика, которому предоставляются очень ограниченные права на просмотр и редактирование аккаунта покойного. Он может выбрать другое фото для профайла, написать специальный пост поверх летописи событий и принимать новые запросы на дружбу от родственников и знакомых. Доступ к какой-либо другой информации не предоставляется, и по вполне понятной причине: это означало бы возможность использования информации, а рекомендации и рейтинги, подготовленные для усопшего, вряд ли будут очень полезны кому-то еще. А если в аккаунте начнет появляться много новой информации, то он перестанет быть мемориалом и будет служить средством самовыражения «душеприказчика».
Ситуация с определением «свои данные» становится еще более запутанной, когда речь заходит об информации, собираемой сенсорными устройствами. Общественность пришла к выводу о том, что человеку, фотографирующему в общественном месте, не надо спрашивать разрешения у людей, случайно попадающих в кадр. Фотограф не может идентифицировать всех, кто запечатлен на картинке, зато это часто получается у системы распознавания лиц Facebook DeepFace. Алгоритмы Facebook достаточно продвинуты, чтобы автоматически предлагать тэги для лиц на вновь загруженном фото, хотя эти «компьютерные метки» появляются только у тех, кто входит в круг друзей отмеченного человека.
Власти некоторых стран посчитали, что такие тэги нарушают право на неприкосновенность личной жизни. Разумеется, получив претензии Евросоюза относительно автоматических тэгов, Facebook в добровольном порядке отключила эту услугу в европейских странах. Но почему человеку можно ставить тэги, а машине – нет? Идентифицированное лицо может удалить и те и другие. И тэги, поставленные человеком, могут оказаться не менее обидными или потенциально опасными, чем любые компьютерные.
А почему же Facebook старается присваивать автоматические тэги всем лицам на новом фото вне зависимости от того, кто его загрузил? У него нет другого выбора. Предварительный отбор фото, которые следует исключить из обработки алгоритмом распознавания лиц, практически невозможен. Что делать в случае, когда человек опасается проблем в связи с автоматической идентификацией, непонятно. Власти могут вообще запретить автоматические тэги, но такой огульный подход может уменьшить пользу, получаемую людьми в связи с предоставлением информации для обработки. Лучше дать людям возможность самостоятельно понять риски и выгоды компьютерных тэгов, показывая их им.
Предположим, что незнакомый человек выложил в Facebook фото с события, в котором вы участвовали. На этом фото вы и еще куча народа. Система распознавания лиц указывает, что одно из лиц на картинке, скорее всего, ваше, и предлагает соответствующий тэг вашим фейсбучным друзьям, просматривающим фото. Но если никто из них не акцептует компьютерную метку, вы никогда не узнаете о существовании этой фотографии.
Если вы просите Facebook показать вам все фото с вашим тэгом, система должна показать вам их вне зависимости от того, ручные это тэги или компьютерные и есть ли у вас разрешение на просмотр изображения от того, кто его запостил. Поскольку компьютерные тэги являются вероятностными, вы увидите также картинки, на которых Facebook идентифицировал вас с низкой степенью уверенности. Если вы хотите увидеть все изображения, на которых могли оказаться, вам потребуется разобраться с огромным количеством картинок. Для облегчения этой задачи надо иметь возможность ранжировать фото по критерию похожести и варьировать уровень вероятности того, что тэг присвоен именно вам. Наличие подобных инструментов обнаружения приобретает особую важность в свете того, что сведенные воедино многочисленные фото, видео и прочие данные позволяют делать выводы о ваших перемещениях во времени и пространстве подобно тому, как в Vigilant Solutions прослеживают маршруты машины в течение дня по многочисленным изображениям ее номерного знака, присылаемым из разных мест. Право на доступ к своим данным означает доступ к любому связанному с человеком контенту вне зависимости от источника информации.
А что по поводу других людей, фигурирующих на фото или видео? Должны ли вы иметь возможность видеть лица каждого из них? Должны ли вы также иметь возможность видеть тэги людей, не являющихся вашими друзьями? Ведь вы же были на этом мероприятии и можете выяснить, кто эти люди, у организаторов, фотографа и остальных (или использовав обратный поиск в изображениях Google). Это действительно возможно, даже если все лица на фото искусственно размыты или затемнены, как на YouTube – канале полицейского управления Сиэтла. Тем не менее существенные затруднения при идентификации незнакомцев имеют свои плюсы: они являются препятствием для противоправного использования информации. Представьте себе крайний случай: человек присутствует на мероприятии и кружит по помещениям, стараясь попасть на максимальное число фотографий. Затем, получив оповещение о том, что его изображения идентифицированы инфопереработчиком, он может использовать любую публичную информацию, запечатленную на этих фото или привязанную к ним, для того чтобы отследить остальных присутствовавших, в том числе и тех, которых он зачем-либо наметил – либо в качестве потенциальных клиентов (что может причинить им неудобство), либо в качестве жертв сталкинга (что будет преступлением). Предоставить людям право определять, кто может видеть на фото их имя, проставленное компьютером, значит не просто изменить цену получения такой информации, но и указать на область применения. В целом, при полном уважении к личной жизни людей, стоит делать информацию более доступной, а не сужать круг ее пользователей. Каждый человек должен иметь возможность решать, могут ли другие видеть идентифицирующие его тэги и кто именно входит в число этих людей.
Право на доступ к собственным данным, очевидно, осложняется наличием вопросов о том, кто является «владельцем информации» и что, собственно, означает «владеть информацией». Как видно на примере тэгов, интересы создателей и субъектов информации могут противоречить друг другу, и так было всегда. Наши нынешние представления о собственности складывались в физической реальности. Купив яблоко, я становлюсь его владельцем; оно исключительно мое, и я волен делать с ним все, что угодно. Могу порубить его на мелкие кусочки, могу съесть, могу отдать или продать кому-то еще. Но данное яблоко в данный момент времени может принадлежать только одному лицу. И, разумеется, вернуть съеденный кусочек этого яблока обратно невозможно. В отличие от этого, байтом данных может одновременно пользоваться множество людей и съесть его нельзя. Мы нуждаемся в новом представлении о владении информацией. Владельцами данных могут одновременно являться многие. Владение информацией не означает единоличную власть над ее судьбой, как и исключительное право продавать, покупать, дарить или уничтожать байты. Наоборот, владение информацией – это наличие доступа к данным с возможностью их использования.
После рассмотрения проблемы доступа к данным в этих разрезах становится понятным, почему недостаточно получить гору первичной информации. Право на доступ к своим данным требует значительной осмотрительности в том, что может, а что не может быть показано окружающим. Кроме того, потребуется кропотливая работа по созданию алгоритмов, пользовательских интерфейсов и программного обеспечения, которые смогут частично скрывать личность и предоставлять гибкие возможности коммуникации относительно наличия тех или иных элементов информации у тех или иных пользователей. Эти инновации и в цифровой, и в общественной жизни представляют собой важные и нетривиальные задачи. От их решения зависит наша возможность видеть и использовать свои данные.
Право на инспекцию инфопереработчиков
Как определить, достаточно ли мы получаем от инфопереработчика взамен на свою информацию? Адекватна ли предлагаемая нам «доходность информации» и насколько приемлем при этом риск? Для полной прозрачности недостаточно видеть только информацию о себе, надо иметь возможность получать информацию, позволяющую судить о деятельности тех, кто занимается ее переработкой.
Я убежден в необходимости инспектировать целостность и сохранность экосистемы инфопереработчика, оценивать его «гигиеничность» с точки зрения устойчивости перед попытками несанкционированного доступа, эффективности работы с данными и ожидаемой «доходности предоставленной информации». Говоря о здоровье, мы понимаем, что соблюдение правил гигиены не является стопроцентной гарантией от заболевания. То же можно сказать и о мерах, направленных на повышение прозрачности обработки информации.
Рассмотрим пример с инспекцией санитарно-гигиенического состояния ресторана, которая во многих регионах является обязательной. В соответствии с установленными правилами ресторан работает, когда в нем соблюдаются необходимые требования, или закрывается, если это не так. И хотя инспектор может запросто закрыть едва ли не любой ресторан (увы, идеалов не бывает), он все-таки не делает этого и обычно присваивает заведениям оценку соответствия санитарно-гигиеническим нормам в диапазоне от «плохо» до «идеально».
Наличие такого диапазона оценок (а не просто шкалы «соответствует – не соответствует») позволяет властям балансировать между двумя различными требованиями своих избирателей – по охране здоровья и динамичности экономики. Человек с ослабленной иммунной системой обычно очень опасается любых инфекций и потому выберет ресторан только с высшей оценкой санитарно-гигиенического состояния. Властям приходится учитывать возможность негативных последствий для такого человека, хотя его случай является крайним. В то же время наверняка найдутся люди, готовые мириться с не совсем безупречной санитарией ради, например, исключительной дешевизны или на удивление изобретательного меню.
Санитарная инспекция не в силах предупредить редкие, но исключительно опасные случаи. Никакой иммунитет не спасет от заболевания после обеда, приготовленного заразным больным. Внеплановые проверки проводятся в том числе и для того, чтобы убедиться, что кухонный персонал приучен работать в перчатках и не выходить на работу в случае болезни.
Аналогичные гигиеническим соображения применимы и при оценке плюсов и минусов процесса создания и распространения информации. В нем есть и позитивные, и негативные аспекты, равно как прогнозируемые и непрогнозируемые результаты любых принимаемых решений, в том числе и решений, к кому обратиться за помощью в принятии решений. В этом контексте непрогнозируемый результат – то, на что вы не рассчитывали и даже не представляли себе. Это редкое и маловероятное, но все же возможное событие, вроде появления заразного больного на кухне соседнего ресторанчика. Прогнозируемый результат – то, на что можно и нужно рассчитывать, вроде оплаты счета после обеда в ресторане. И непрогнозируемые, и прогнозируемые результаты бывают как негативными, так и позитивными. И заразный больной на кухне, и выставленный ресторанный счет – негативные результаты, но заранее прикинуть сумму счета намного проще, чем вычислить риск серьезного заболевания.
В мире данных одним из наиболее значительных непрогнозируемых негативных результатов (или рисков) является взлом, при котором ваша информация попадает к людям, намеревающимся использовать ее в противоправных целях и нанести вам ущерб, финансовый или какой-то иной. Каждый из таких редких инцидентов способен одновременно затронуть миллионы людей. К числу обычно прогнозиуемых негативных результатов (или издержек) относится постепенная эрозия приватности, происходящая по мере повторных обработок вашей личной информации. Вероятность увязки определенной информации конкретно с вами увеличивается по мере систематического поступления одинаковых запросов от других людей. Определенные потери частной информации неизбежны, однако степень ее выработки, или «сгорания», зависит от политики и процедур ее переработки. Это измеряется коэффициентом использования частной информации.
Прогнозируемые позитивные результаты (или выгоды) взаимообмена, на которые изо дня в день полагается подавляющее большинство людей, характеризуются значением «доходности информационных активов». Инфопереработчики отличаются друг от друга качеством обработки первичных данных и заявленными критериями их ранжирования и подбора. Благодаря праву на сравнение по этим трем показателям – рискам надежности и безопасности хранения информации, уровню приватности и агрегированной доходности информационных активов – можно выбирать инфопереработчика.
Обратите внимание, что я не предлагаю какие-то специальные показатели для непрогнозируемых позитивных результатов обработки данных и обозначаю их в матрице как «приятные неожиданности». Приятной неожиданностью может стать встреча с родственной душой на сайте знакомств, получение идеальной работы через LinkedIn, обнаружение информации о лечении непонятной болезни или ответа на жизненно важный вопрос. Хотя я уверен в том, что отдельные инфопереработчики будут все больше помогать нам в принятии важных жизненных решений, такие редкие счастливые моменты слишком субъективны и уникальны для агрегирования в единый показатель.
Теперь давайте рассмотрим три показателя для проверки инфопереработчиков.
Право на ознакомление с аудитом сохранности данных
Сообщения об очередном случае массовой утечки данных появляются едва ли не каждую пару месяцев. У каждой технологии есть свои плюсы и минусы. Большинство технологий, предполагающих впечатляющие изменения в повседневной жизни, несут и определенные риски, тем более если предусматривают сохранение определенной части работы за человеком. Управление автомобилем может закончиться аварией; предоставление данных для обработки может быть чревато их утечкой или хакерской атакой.
Автор книги «Преступления будущего» и консультант ООН, НАТО и Интерпола Марк Гудман подчеркивает, что от утечек данных нельзя отмахиваться, как от исключительно маловероятных событий. От 15 до 20 процентов мирового ВВП приходится на долю организованной преступности, в сферу интересов которой наряду с наркоторговлей, работорговлей и проституцией входят незаконный оборот информации и кража интеллектуальной собственности, причем доля доходов от киберопераций в общем обороте криминального бизнеса постоянно растет.
Самые резонансные утечки данных (например, покупателей eBay и магазинов сети Target, финансовой информации из банка JPMorgan Chase, сведений сотрудников кинокомпании Sony Pictures, пациентов медицинского страховщика Anthem, избирателей из избирательной комиссии Филиппин) оказываются в центре внимания СМИ и становятся источником серьезных проблем. Однако случаев, когда отчеты о причинах происшедшего становились бы достоянием гласности, немного, равно как и открытых дискуссий о мерах, которые должны быть приняты той или иной компанией в целях укрепления безопасности. Была ли информация перехвачена на пути от одного узла к другому? Можно ли было выявить уязвимость системы собственными силами? Как можно определить, что инфопереработчик «достаточно надежен», чтобы доверить ему свои данные?
В случаях утечки данных компании обычно утверждают, что они бессильны перед лицом изощренной атаки. Иногда подобная «посмертная» оценка правдива. После взлома данных кинокомпании Sony Pictures ее представитель сказал, что «любые предположения относительно того, что компания могла бы защититься от этой атаки, глубоко ошибочны и идут вразрез с ключевыми выводами и комментариями ФБР». Глава управления ФБР по борьбе с киберпреступностью свидетельствовал перед сенатом, что «использованная хакерская программа… с вероятностью 90 процентов преодолела бы любые средства сетевой защиты, применяемые сегодня в бизнесе, и, смею предположить, в правительственных учреждениях». Вредоносная программа, использованная хакерами, по степени предсказуемости была сродни присутствию заразного больного на кухне ресторана: несмотря на все разумные меры предосторожности и значительные инвестиции в кибербезопасность, компания оказалась уязвимой, что привело к неожиданным и крайне негативным результатам.
Аудит сохранности данных должен стать обязательным для любой компании, работающей с социальными данными, а его результаты должны быть доступны пользователям. Исходя из опыта прошлого, потребители имеют право требовать, чтобы предоставление им результатов проверки надежности и безопасности стало нормой. Тем не менее компании не спешат делиться ими, поскольку опасаются, что обнародование результатов аудита сохранности данных сделает их более уязвимыми для хакеров. По их словам, обнародование низкой оценки сохранности данных, не говоря уже об описании слабых мест системы, равносильно тому, чтобы поставить у незапертого дома плакат, приглашающий в него грабителей. Однако взломщики выбирают свои цели по критерию ценности, а не доступности.
Для защиты своих активов Sony Pictures пригласила ведущего эксперта в области кибербезопасности Кевина Мандиа. Консультантов нанимают многие компании, работающие с конфиденциальной информацией, будь то дорогостоящие голливудские киноленты или миллионы номеров кредитных карт. Интересы компаний и пользователей в части безопасности совпадают: ни те ни другие не хотят, чтобы их информацию украли преступники. Но сегодня большей части людей предоставляется слишком мало информации, чтобы они могли судить об уязвимости их данных в конкретной компании. Еще меньше возможностей есть для того, чтобы сравнивать подходы к вопросам безопасности, существующие у различных компаний. Вот почему необходимо распространить практику проведения аудита сохранности данных и публикации результатов на все организации, занимающиеся обработкой и анализом информации.
Применение стандартов безопасности для коммуникации с пользователями и анализа их информации – один из компонентов сохранности данных. Фонд электронных рубежей обращает внимание на «изначальную незащищенность» протокола НТТР, который передает информацию в незашифрованном виде и, к сожалению, по умолчанию используется подавляющим большинством интернет-сайтов. Инфопереработчикам следует использовать протокол HTTPS с зашифрованным каналом связи между клиентом и сервером, благодаря чему перехватить информацию станет значительно сложнее.
Аудит исследует порядок доступа сотрудников компании к данным. Использование двух– или более ступенчатой авторизации, при которой человек вводит второй одноразовый пароль, созданный мобильным приложением или специализированным сервисом, свидетельствует о более ответственном подходе к сохранности данных. Кроме того, наличие регистрации и анализа каждого случая доступа к информации повышает оценку уровня безопасности компании. Такие записи не только позволяют выявить исходные точки любых нештатных ситуаций, но и способствуют повышению уровня ответственности и функциональной дисциплины сотрудников. Мы уже знаем, что люди меняют свое поведение, если знают, что их действия записывают.
Однако во многих случаях истоки утечки данных находятся не в области слабого программного обеспечения, а в области человеческих слабостей сотрудников компании, которые могут быть раздражены, нелояльны, плохо обучены или попросту слишком загружены для того, чтобы должным образом выполнять свою работу. Пользователи заслуживают большей ясности в вопросе сохранности их данных в компании, в том числе подтверждения профессиональной состоятельности сотрудников, работающих с их информацией. Финансовые организации обязаны проводить проверки всех кандидатов на должности, в том числе и на предмет любых нарушений на предыдущих местах работы. Инфопереработчикам тоже следовало бы проводить проверки при приеме на работу и оценивать риски потенциальных сотрудников. Разработчикам, у которых есть широкие права доступа к первичным данным пользователей, могут поручать написание или корректировку программных кодов, проверить которые построчно способны лишь очень немногие. Если в компании уже фиксировались случаи небрежного отношения разработчика к процедурам безопасности или его явной халатности, то она должна нести ответственность за свое бездействие в подобных ситуациях.
Более того, некоторые самые крупные утечки являлись результатом небрежного отношения к работе с данными, а не враждебных происков. Взять, к примеру, случай с жестким диском, на котором правительственное учреждение хранило медицинские карты и послужные списки более 70 миллионов ветеранов американской армии. Диск вышел из строя, и ответственный чиновник отправил его поставщику в надежде, что тот исправит дефект. Сделать это не получилось, и поставщик отправил диск на утилизацию еще одному стороннему подрядчику. Все это время данные оставались на диске. Госучреждение, в ведении которого были эти архивные записи, потом ссылалось на условие контракта с производителем об обеспечении сохранности данных. Но преступникам наплевать на такие юридические тонкости. И обращение с информацией, и реакция на ее утечку были неприемлемы.
Любая количественная оценка риска утечки данных должна подразумевать детальную проверку знаний сотрудников в области безопасной работы с данными точно так же, как инспекция ресторана подразумевает проверку знаний его работников по технике безопасности в работе с продуктами питания. Это проявление культуры компании в целом, а не отдельных ее сотрудников.
Утечка данных может произойти и через роботов, которых часто используют для скрэппинга интернет-сайтов, ориентированных на потребителей, с целью извлечения информации о пользователях. Лучшие практики обеспечения сохранности данных включают создание систем обнаружения и закрытия аккаунтов, показывающих необычную активность. Например, пользователь, ежесекундно переходящий со страницы на страницу, вряд ли является человеком. Роботы и их операторы становятся умнее и уже сейчас избегают настолько бросающихся в глаза стереотипов поведения. В условиях стремительно развивающейся «гонки вооружений» более высоких оценок в области сохранности данных заслуживают инфопереработчики, которые используют в борьбе против несанкционированного использования данных возможности машинного обучения.
Роботы способны извлекать данные даже в условиях очень продвинутых систем наблюдения. В этом на собственном печальном опыте убедились пользователи социальной сети для людей с хроническими заболеваниями PatientsLikeMe. На форумах сайта люди делились весьма деликатной информацией о своих медицинских диагнозах, самочувствии, рецептурных и безрецептурных медикаментах, побочных эффектах и прогнозах. Многие обменивались советами по преодолению физического и эмоционального бремени таких хронических болезней, как рассеянный склероз, ВИЧ/СПИД, посттравматическое стрессовое расстройство и депрессия. Это был замечательный пример того, как свободный обмен информацией помогает найти других людей со схожими проблемами, узнать об их опыте и сравнить пользу от разных методов лечения.
Хотя часть пользователей сайта скрывались под псевдонимами, это делали далеко не все, а в личных профайлах или подписях под комментариями многие публиковали адреса своей электронной почты и прочую персональную информацию. Это упрощало контакты с коллегами по несчастью, но наряду с этим упрощало и возможность увязки псевдонимов с настоящими именами. В этой связи можно представить себе шок, испытанный пользователями PatientsLikeMe, когда выяснилось, что на форумы сайта проникли роботы, тайком собирающие информацию для консалтинговой компании Nielsen в рамках маркетингового исследования по заказу неназванной фармацевтической компании. Сайт закрыл аккаунты-роботы, но они успели скопировать около 5 процентов постов. Стандартный аудит сохранности данных должен оценивать, насколько быстро можно выявлять аккаунты-роботы и скрэппинг информации при существующих в компании процедурах.
Подобные инициативы должны стать частью широкомасштабной целенаправленной работы по своевременному обнаружению брешей в системах защиты данных. Начиная с 2011 года Facebook предлагает денежную премию любому, кто обнаружит и сообщит компании о программной ошибке или зоне уязвимости. В рамках этой инициативы хакеры-энтузиасты обнаружили более двух тысяч ошибок, за что получили от компании премии на общую сумму более четырех миллионов долларов (что составляет лишь незначительный процент от общих затрат Facebook на безопасность. Сумма премии каждому из «этичных» «белых» хакеров рассчитывалась исходя из оценки обнаруженного риска, а также из того, известно ли было о проблеме самой компании. На сегодняшний день самую большую премию в сумме 33 500 долларов получил бразилец, который смог взломать серверы Facebook через ошибку в программе, используемой для восстановления забытого пароля. Не каждая компания, работающая с информацией, может позволить себе полноценный департамент безопасности, но привлекательная призовая программа способна оперативно и относительно недорого закрыть системные бреши.
КОМПЛЕКС
СОЦИОМЕТРИЧЕСКИХ ДАННЫХ
МОЖЕТ ДАТЬ ПРЕДСТАВЛЕНИЕ
ОБ УРОВНЕ СПЛОЧЕННОСТИ
КОЛЛЕКТИВА И О СТАТУСЕ
ЧЕЛОВЕКА ВНЕ ЗАВИСИМОСТИ
ОТ ТОГО, ЧТО НАПИСАНО
НА ЕГО ВИЗИТКЕ
Последствия хакерских атак выглядят особенно пугающе, когда речь идет об «интернете вещей». Огромное количество информации, которую анализируют компьютерные системы самолетов, поездов и автомобилей, а также повсеместное распространение компьютерных сетей, в том числе в жилых домах и больницах, влекут за собой физические риски для людей. В главе 4 мы говорили о том, как при помощи имитатора GPS-сигнала можно направить людей в нежелательное для них место. Преподаватель Университета штата Техас Тодд Хамфриз провел шокирующий эксперимент: используя радар-имитатор и удаленный контроллер, он перехватил управление яхтой при полном неведении ее экипажа. В другом случае двое хакеров доказали, что могут дистанционно управлять джипом, проникнув в его рулевое управление, тормозную систему и трансмиссию через мультимедийную систему с выходом в интернет.
Подобные опыты меняют отношение компаний к цифровой безопасности. В 2015 году клиника Майо наняла с десяток лояльных «белых» хакеров, чтобы проверить на возможность взлома систему, управляющую сотнями устройств поддержания жизни пациентов по всей больнице. Результаты оказались поразительными и отрезвляющими. Устройства оказались крайне уязвимыми, причем настолько, что хакерам, многие из которых были звездами кибербезопасности, не хватило предоставленного недельного срока, чтобы разобраться со всеми изъянами в области защиты систем. Часть оборудования по-прежнему работала на паролях по умолчанию, оставшихся от заводских настроек, что для потенциального взломщика примерно равносильно полному отсутствию пароля. Изучив доклад специалистов, клиника Майо пересмотрела свою закупочную политику и рабочие процедуры, предъявив к поставляемому медицинскому оборудованию жесткие требования правил безопасности. Но для системы здравоохранения в целом это нетипичный случай.
Слишком часто решения относительно сохранности данных принимаются на базе самой примитивной оценки экономического эффекта. Типичный пример такого мышления продемонстрировал в 2007 году топ-менеджер Sony Pictures, заявивший за пару месяцев до большого взлома системы компании, что не хочет «инвестировать 10 миллионов долларов ради того, чтобы избежать потерь на 1 миллион». Утечка обошлась куда дороже: одни только затраты на «расследование и восстановительные мероприятия» составили 15 миллионов долларов, а удар по репутации Sony наверняка стоил еще дороже. Одним из способов снижения затрат на обнаружение уязвимостей и программ работы с «белыми» хакерами является создание независимой отраслевой организации для проведения аудита и своего рода сертификации хакеров. При этом если пользователи будут настаивать на соблюдении высочайших стандартов безопасности, расходы компаний, не участвующих в работе такой организации, будут продолжать расти.
Получившие широкую известность утечки дают обобщенное представление о пяти элементах защиты данных, которые должны быть прозрачны для пользователей. Во-первых, это соблюдение минимальных требований, необходимых для работы в отрасли, таких как современное программное обеспечение с исправленными известными уязвимостями. Во-вторых, защита данных есть нечто большее, чем безопасность программы: она подразумевает работу с персоналом и создание корпоративной культуры, уважающей пользователей и их информацию. Внешний аудит может подтвердить соблюдение компанией общих «санитарно-гигиенических» требований и дать оценку процедур и практик в области безопасности, в том числе обучению людей технике информационной безопасности. В-третьих, команда «белых» хакеров может совершать регулярные попытки взлома сетей и компьютеров компании с целью обнаружения любых скрытых уязвимостей. В идеальном варианте аудиторы смогут оценивать время реакции на аномальную активность и предлагать конкретные усовершенствования, что послужит во благо и компании, и пользователям. В-четвертых, сохранность данных должна оцениваться на основе единых для всей отрасли стандартов и методик проверки. В-пятых, следует создать компетенцию оценки потенциального ущерба от утечки различных категорий данных. Ущерб от взлома систем автомобиля в процессе движения может привести к человеческим увечьям, несопоставимым по причиненному вреду с жульническими операциями по кредитной карточке.
В рамках программы проверки сохранности данных аудиторы будут ревизовать и тестировать работу компании, добавляя ей баллы за внедренные разумные практики. Пользователи смогут знакомиться с текущей суммарной оценкой и сопоставлять ее с оценками, полученными в предыдущих периодах. Улучшение результатов может указывать на инвестиции в инфраструктуру безопасности или на то, что обучение сотрудников со временем принесло свои плоды. Ухудшение может говорить о вновь выявленной уязвимости или о прохладном отношении к обучению новых сотрудников. Видеть тенденцию не менее полезно, чем знать текущую оценку.
Наконец, обнародование негативных результатов аудита сохранности данных или плохого рейтинга риска не должно освобождать инфопереработчика от любых юридических или этических обязательств по компенсации вреда, причиненного пользователям, в случае если утечка произошла по его халатности. Издержки такого рода инцидентов должны распределяться между теми, кто получал информацию, и теми, кто ее предоставлял. В противном случае компании вряд ли будут заинтересованы в совершенствовании безопасности на фоне низких показателей сохранности данных своих конкурентов, тем более в условиях, когда ущерб частному лицу невозможно соотнести с конкретной утечкой или иным сбоем защиты. В этой области власти или суды могут налагать штрафы или присуждать компенсации пользователям, если компании отказываются делать это добровольно.
По мере того как обработка и анализ данных все больше проникают в самые различные сферы жизни человека, вопрос повышения степени информированности общества о проблемах защиты личных сведений приобретает первостепенное значение. Более того, в связи с тем что социальные данные все чаще используются для установления личности человека и передачи информации о его репутации и душевном состоянии, угроза их сохранности приобретает откровенно персональный характер.
Право на ознакомление с коэффициентом использования частной информации
Утечка информации при взломе – катастрофическое неожиданное событие, но есть и нормальные, ожидаемые издержки пользования услугами инфопереработчиков, в число которых входит постепенная эрозия вашей приватности. Мы убедились в том, что для получения релевантных продуктов и сервисов нужно предоставлять инфопереработчику личную информацию. Она представляет собой один из ресурсов для получения отдачи от обработки данных.
Потребление частной информации, как и любого другого ресурса, может быть в большей или в меньшей степени производительным, а процесс ее использования может управляться и бюджетироваться. Синтия Дворк из Microsoft Research считает крайне необходимым наличие количественной оценки потерь частной информации в процессе работы с данными. Настройку информационных систем, позволяющую пользователю избегать прямых негативных последствий передачи им своих личных данных, Синтия называет «дифференциальной приватностью». Она формулирует эту задачу в виде двух вопросов: «Какая технология обеспечивает большую достоверность результата в заданных границах утраты частной информации? Какая технология лучше обеспечивает сохранность частных данных при заданной достоверности результата?»
Компания, работающая в сфере обработки и анализа данных, должна руководствоваться в своей деятельности необходимостью соблюдения оптимального баланса между потерями клиентов в приватности и полезными результатами, которые они получают в обмен на свои данные. Инфопереработку удобнее представлять себе как экосистему, которую разумнее поддерживать исходя из благополучия системы в целом, а не отдельных ее элементов. Баланс между достоверностью и сохранностью частной информации существует для всех, а не для отдельно взятого лица. Выбирая между инфопереработчиками, надо понимать, насколько быстро, медленно, эффективно или неэффективно каждый из них потребляет частную информацию.
Скорость и эффективность потребления частной информации можно сравнить с понятием «скорость сгорания», применяемым в технике и экологии. Инженер может соорудить дровяную печку, расходующую много топлива и производящую не слишком много тепла для обогрева помещения. Печка работает, но она не очень эффективна: на достижение нужного результата, то есть тепла в комнате, уходит слишком много топлива. Поддерживать тепло можно, постоянно подбрасывая дрова, но теплоотдача все равно будет далеко не оптимальной. Возможно, данные в целом уже не являются дефицитным ресурсом, но частная информация им остается, и ее дефицит нарастает. Но, подобно дровам, ценность частной информации может выгорать быстро, не принося при этом особой пользы.
Подтвержденный коэффициент полезного действия современной дровяной печи находится в диапазоне от 60 до 80 процентов при теоретическом максимальном значении этого показателя в 100 процентов. Коэффициент использования частной информации можно рассчитать примерно так же. Его 100-процентное значение будет подразумевать минимальную утрату частного характера информации ради получения конкретного результата, притом что для этого были использованы только абсолютно необходимые данные – например, навигатору требуются лишь данные о текущем местоположении и месте назначения человека, чтобы проложить для него маршрут.
Инфопереработчик находится в постоянном процессе отбора пользовательских данных, которые помогут ему в совершенствовании продуктов и сервисов. В базах данных, которые используются в Amazon для подготовки рекомендаций клиентам, просмотры и покупки не привязаны к конкретным клиентам. В этом нет необходимости, поскольку важны сами по себе траектории перемещения от товара к товару, а не то, что некая Вероника из Омахи кликнула сначала что-то одно, а потом другое. Поэтому некто, изучающий эти базы, не обнаружит в них информации о конкретных людях, и шансы на то, что эти данные каким-то образом нанесут ущерб, невелики.
Работая с сайтом знакомств Fridae, мы проанализировали тысячи заметок, сделанных одними пользователями по поводу других, в диапазоне от «послал мне пять сообщений – надо ответить» или «встретился – не моё» до «диплом с отличием по химии» или «выглядит старше своих 29 лет». Эти заметки мог видеть только автор, другим пользователям они были недоступны. Анализ показал, что таким образом пользователи отмечали тех, с кем они переписывались или встречались безрезультатно, чтобы не тратить время и силы на дальнейшие контакты с ними. Но прежде чем приступить к анализу содержания заметок, мы удалили все имена пользователей. Это позволило уменьшить объем частной информации, которую нам нужно было израсходовать в процессе совершенствования сервиса Fridae. Чтобы выявить закономерности содержания заметок и подумать о новых функциях или разделах сайта, знания о предпочтениях конкретных людей не требовалось.
Если вопрос об эффективности не стоит, то создать очень мощную машину проще. Двигатель для гоночной машины «Формулы-1» пожирает бензин в огромных количествах. Вообще говоря, на протяжении десятилетий автопроизводители не слишком беспокоились по поводу расхода топлива, поскольку оно было дешевым и, как тогда казалось, имелось в неограниченных количествах. А покупателей больше интересовали другие вещи, вроде внешнего вида, мощности, надежности и цены. Нефтяной кризис 1970-х годов способствовал переосмыслению плюсов и минусов различных аспектов конструкции двигателей. Государства потребовали повысить коэффициент полезного действия топлива, а на автозаправках потребители стали считать каждую копейку.
Эффективность использования топлива, измеряемая в США как количество миль на галлон бензина, может сильно варьироваться в зависимости от потребности двигателя. Городской цикл с его многочисленными остановками и низкой скоростью обычно бывает менее экономным с точки зрения расхода топлива, чем езда по скоростному шоссе. Имеют значение также и погода, и другие нагрузки на двигатель, например включенный кондиционер. Американское Агентство по охране окружающей среды, испытывая автомобили по пяти лабораторным сценариям вождения, сводит результаты различных видов движения в единый коэффициент полезного действия топлива. Агентство считает, что «Испытание автомобилей в лабораторных условиях создает равные условия для всех машин и обеспечивает сопоставимость, точность, устойчивость и объективность результатов».
К сожалению, некорректные показатели эффективности могут выглядеть вполне правдоподобно. Это относится к любым показателям работы любых механизмов или условий среды, которые люди не могут ощущать непосредственно. Предположим, вы остановились в гостинице и в вашем номере слишком жарко. Вы регулируете кондиционер, но температура не меняется, и вы вызываете техника. После некоторых манипуляций служащего дисплей пульта управления начинает показывать более низкую температуру. Если в комнате тем не менее по-прежнему жарко, вы можете решить, что техник «наладил» пульт, а не кондиционер, и потребовать, чтобы температуру в номере измерили термометром.
Однако в подавляющем числе случаев людям недостает вычислительных возможностей или сенсорных способностей, для того чтобы поставить под сомнение измерения. А иногда конструкция техники позволяет отрегулировать ее так, чтобы ее работа выглядела более эффективной, чем на самом деле, в том числе и в моменты, когда эта техника является объектом проверки. Инженеры компании Vоlkswagen воспользовались тем, что Агентство охраны окружающей среды проводит испытания двигателей на вредные выбросы в лабораторных условиях. Когда оказалось, что соблюсти требования по выхлопу без снижения КПД дизельных двигателей невозможно, в компании разработали специальное программное обеспечение для уменьшения показателей выбросов во время испытаний. Обман вскрылся только после того, как ученые из Университета Западной Вирджинии измерили выхлоп в дорожных условиях.
Обработка данных устроена как минимум не менее сложно, чем автомобиль. Подавляющему большинству людей будет трудно судить о достоверности коэффициента использования частной информации, даже если они постараются уяснить, какие именно данные нужно предоставить для получения тех или иных продуктов или услуг. Однако эффективность инфопереработчика может быть проверена столь же просто, как и эффективность автомобиля. Вместо количества миль, которые можно проехать на галлоне бензина, нужно будет оценить количество запросов, которое инфопереработчик может удовлетворить на единицу потерь частной информации.
На практике это потребует создания набора тестов, примерно как в случае с оценкой энергоэффективности автомобилей, для которой используется набор стандартных лабораторных испытаний. В рамках тестирования будет выясняться количество интеракций, в результате которых при определенной вероятности произойдет идентификация конкретного человека. Чем больше количество удовлетворенных запросов отделяет от утраты частного характера информации, тем более эффективным образом устроена переработка данных.
Синтия Дворк, британский предприниматель Джон Тэйсом и некоторые другие изучают методы расширения границ приватности при одновременном сохранении полезности данных, и результаты их работ указывают на возможность создания инструментов для расчета эффективности использования частной информации. Джон запатентовал несколько интересных изобретений для сокращения объема частной информации, потребляемой в процессе создания продуктов и сервисов. Помимо прочего, он считает, что нам не стоит надеяться ни на то, что инфопереработчики будут инспектировать самих себя, ни на то, что за нас и для нас это будут делать государственные учреждения. «Компании живут не так долго, как люди, собирающиеся жить до ста лет, по крайней мере, в развитых странах. А у власти сомнительная репутация в деле охраны персональных данных, и, кроме того, она подвержена изменениям, – размышляет он. – Ни те ни другие не выглядят надежной регулирующей структурой для данных, которые, возможно, будут оставаться релевантными в течение ста лет, а теоретически и поколения спустя, как в случае с генетической информацией». По аналогии с сохранностью данных нам нужна независимая экспертная организация, которая будет рассчитывать коэффициенты использования частной информации и сообщать нам результаты.
Во многом мы находимся еще в самом начале пути к пониманию проблемы и контролю над процессом обмена приватности данных на информационные продукты и услуги. От будущего можно ждать удивительных инноваций. Так, изучая климатические изменения, ученые-экологи обращают внимание на темпы истощения углеродных ресурсов планеты. Этот показатель рассчитывается не просто как объем ежегодно потребляемых углеродов, в нем учитывается количество углерода, которое можно использовать без риска разбалансировать экосистему Земли. В некоторых странах компании стимулируют к снижению потребления углеродов выдачей квот на ежегодный объем выбросов в атмосферу. Компания, не выбравшая свою квоту, может продать остатки другой, которая перерасходовала свой углеродный бюджет. Если компания, выбравшая свою квоту, не может купить излишки для покрытия перерасхода, она выплачивает штраф. Это увеличивает производственные затраты, подталкивая компанию или к снижению потребления углерода, или к созданию существенно лучших по сравнению с конкурентами продуктов, более доступных по цене и менее вредных экологически. Организации и частные лица могут также в добровольном порядке компенсировать свой углеродный след, жертвуя деньги на посадку лесов и прочие подобные инициативы.
Возможно, в будущем у инфопереработчиков тоже появится возможность обмениваться излишками квот на потребление частной информации. Подобные схемы станут возможными лишь с появлением инструментария, позволяющего объективно оценивать и наглядно коммуницировать процессы потребления частной информации. А мы сможем оценивать, насколько нас устраивает та или иная интенсивность «сгорания».
Право на ознакомление с показателем «доходности информационных активов»
Как оценить выгоду, полученную в обмен на информацию о себе? На концептуальном уровне информацию об эффективности переработки данных сообщают коэффициент использования частной информации и показатель доходности информационных активов. Первый показывает скорость, с которой вы идентифицируете себя в процессе взаимодействия с инфопереработчиком. Второй оценивает ожидаемую выгоду взамен на предоставленные данные. Это помогает вам решить, насколько получаемые вами информационные продукты и услуги оправдывают передачу компании сведений о себе.
Слишком многие инфопереработчики запрашивают слишком большое количество наших данных прежде, чем мы сможем судить о том, насколько деятельность этих компаний нам полезна. Это как если бы на первом свидании вы получили список из двадцати личных вопросов, но при этом вам ничего не сообщили о себе. Скорее всего, такое свидание пройдет не слишком удачно. Однако многие компании, собирающие данные, начинают свои отношения с вами именно так. Все должно происходить наоборот: у пользователей должен быть способ оценить потенциальную выгоду от инфопереработчиков, прежде чем они предоставят ему свои данные. Показатель доходности информационных активов является средством исследования деятельности инфопереработчиков.
Восприятие пользователями полученного в обмен на предоставленное крайне субъективно. Для одних разместить фото своего малыша в Facebook означает обнародовать нечто очень важное, для других это сущий пустяк. Для одних возможность познакомиться с приятелем приятеля, который тоже без ума от виолончельных сюит И. С. Баха, – огромная ценность, другие посчитают новое знакомство досадой, отнимающей время и внимание. Хотя реально оценить пользу от предоставления своих данных можно, только сделав это и попользовавшись продуктами и услугами компании, у человека должна быть возможность предварительно решить, стоит ли ему начинать отношения с данным инфопереработчиком. Сделать это можно на основе показателя средней доходности информационных активов текущего и прошлых периодов. В числителе этого показателя – усредненная ценность полученных информационных продуктов и сервисов, а знаменателем служат сделанные людьми инвестиции, то есть предоставленные ими данные.
Итак, как же рассчитывается доходность информационных активов? Сначала нужно понять, оказывает ли предоставление личной информации какое-то влияние на результаты деятельности инфопереработчика. Если нет, то доходность этой информации равна нулю. Но в подавляющем большинстве случаев влияние прослеживается, и с этого момента все становится сложнее.
Начнем с рассмотрения расчета знаменателя – информационных инвестиций пользователя в инфопереработчика. Обычно доходность инвестиций считают в деньгах: сколько вы получите на каждый доллар, вложенный в проект, портфель активов или компанию? Однако, как мы знаем из главы 1, просто повесить ценник на какую-то отдельно взятую цепочку данных, предоставленную инфопереработчику, невозможно. Информационные инвестиции не поддаются простому арифметическому подсчету ни в долларах и центах, ни в битах и байтах.
Вместе с тем для оценки информационных инвестиций можно воспользоваться показателями затраченных усилий или внимания пользователя. Измерить внимание сложнее, чем просто зафиксировать время, потраченное на инфопереработчика. Например, открытая в браузере страница не означает, что ее действительно изучают, если этому не сопутствуют какие-то действия: клики, свайпы, поиски, комментарии, загрузки и скачивания (кроме ситуаций, когда на устройстве активирована камера, отправляющая потоковое видео инфопереработчику). Некоторые инфопереработчики требуют от новых пользователей заполнения небольших анкет и только после этого предоставляют доступ к своим услугам. Если это действительно нужная информация, например адрес доставки товаров, то вы получите на нее некий доход. Но иногда информацию собирают просто потому, что маркетологи привыкли считать необходимой демографическую информацию о потребителях. Заполнение анкет, не влияющих на результат, не создает добавочной стоимости для пользователей.
Кроме того, для оценки затраченных усилий стоит посмотреть на то, как создается и распространяется информация. Создание данных специально для инфопереработчика, например заполнение анкеты или загрузка фотографии, требует больше труда, чем клики, свайпы и поиски. Чтобы специально зачекиниться в каком-то месте на Facebook, понадобится больше усилий, чем на подключение опции автоматической передачи своих геолокационных данных. Однако тот факт, что вы зачекинились, более четко сообщает Facebook, что вы хотите получать рекомендации исходя из своего местоположения. В общем, для расчета инвестиций пользователя предоставляемая им специальная информация должна считаться более ценной.
В подобном механизме сравнительной оценки должно учитываться и то обстоятельство, что вход на какой-то другой сайт или приложение через логин Facebook или аналогичных сервисов снижает объем затрат, необходимых для получения персональных рекомендаций при обращении к услугам нового инфопереработчика. Facebook отправляет соответствующие данные приложениям (так, в случае сервисов такси типа Uber и Lyft это может быть ваше фото, позволяющее водителю узнать вас, а в случае Spotify – музыкальные рекомендации ваших друзей, позволяющие оперативно создать для вас плей-лист), и это избавляет от необходимости каждый раз воспроизводить единожды переданную информацию.
В некоторых случаях, например на сервисе краткосрочной аренды Airbnb, вас могут попросить привязать свой аккаунт на сайте или в приложении к профайлу в социальной сети. Более того, Airbnb заверяет клиентов, что с целью верификации личностей пользователей и создания атмосферы общего доверия компания использует широкий ассортимент персональных данных, в том числе официальные удостоверения личности, сетевые удостоверения, фото из профайлов, адреса электронной почты и телефонные номера. Для Airbnb сетевым удостоверением является сеть знакомств: фальсифицировать несколько сот взаимно подтвержденных контактов на Facebook намного труднее, чем создать липовый профайл в соцсети. В данном случае минимальный объем информации о социальном графе, необходимый для акцепта гостя или хозяина, достаточно высок, но тем не менее все же не означает необходимость предоставлять все сведения о себе «с нуля». Дополнительные данные из профайла в соцсети могут быть использованы для повышения уровня сервиса Airbnb. Любите животных? Делаете зарядку по утрам? Возможно, Airbnb проанализирует ваше общение с друзьями в Facebook и поищет вам подходящих хозяев или гостей. Но этот поиск по косвенным признакам не столь эффективен, как явным образом выраженные критерии согласия на прием гостя или аренду помещения.
Теперь посмотрим на числитель – ценность, которую пользователь получает от инфопереработчика. Это может быть улучшение информационного взаимодействия, расширение возможности выбора и обретение удачных контактов. Количественное измерение таких выгод может представлять трудности. Время, проведенное на сайте, не всегда приносит пользу, не говоря уже о радости, например можно долго и безуспешно пытаться найти номер телефона службы поддержки клиентов. А экономия времени не обязательно означает, что пользователь доволен результатом или получил то, что хотел. Другим подходом к измерению полезности инфопереработчика является помесячная динамика числа активных пользователей. Но изменения статистики посетителей сайта или приложения могут быть всего лишь следствием рекламных кампаний.
Более обоснованный расчет, который уже сейчас активно используется инфопереработчиками в анализе и оценке своей деятельности, учитывает несколько параметров, свидетельствующих об активности пользователей: регулярность использования, частота использования и диапазон использования. Сколько времени прошло с последнего посещения сайта этим пользователем? Какова средняя частота его посещений? Сколько у него видов занятий на сайте? Регулярность зависит от типа услуг, предлагаемых инфопереработчиком. Если среднестатистический пользователь заходит на Google каждые шесть часов, то это не означает, что вы получаете от поисковика значительно больше, поскольку гуглите уже шесть минут подряд. Это говорит о пиковых периодах поиска в сравнении со всеми остальными занятиями, в том числе и временем сна. Этот показатель становится полезным, только будучи сопоставленным с аналогичными показателями других поисковых сайтов. В то же время если человек воспользовался приложением для знакомств накануне, то у него больше шансов оказаться вверху списка рекомендуемых контактов, чем если бы он последний раз сделал это месяц или год назад. Возрастание активности может принести ему больше пользы. Частота пользования, то есть количество обращений человека к сайту или приложению за какой-то период – день, неделю или месяц, также может сопоставляться во времени. Если среднесуточное количество посещений снизилось по сравнению с аналогичным периодом прошлого года, это может свидетельствовать о снижении доходности информационных активов. Наконец, диапазон использования – это ассортимент продуктов и сервисов, предлагаемых инфопереработчиком на основе собираемых и анализируемых данных. В идеальном варианте оценка доходности информационных активов должна сопоставляться с индивидуальными показателями регулярности, частоты и диапазона, что даст понимание того, как изменения значимости каждого из факторов могут влиять на итоговую цифру.
Соотношение расчетных значений числителя и знаменателя представляет собой доходность информационных активов для отдельно взятого пользователя. Для получения обобщенной статистики следует использовать его среднее для всей аудитории значение без учета частоты индивидуальных обращений к услугам инфопереработчика. (Если сначала посчитать суммарную выгоду по всем пользователям, а затем разделить это значение на совокупный объем инвестиций всех пользователей, удельный вес более активных пользователей окажется большим, чем вес менее активных.) Если агрегированный показатель доходности меньше единицы, это значит, что пользователи обычно получают от данного инфопереработчика меньше, чем дают ему. Это не похоже на бизнес, тем более на успешный бизнес. В таком случае напрашивается вывод о том, что ценность помощи в принятии решений недостаточно велика по сравнению с типом информации, которую вас попросили предоставить.
Результаты изучения поведения пользователей могут и должны дополняться качественными данными об их мотивации. Так, опрос о впечатлениях о инфопереработчике может помочь вписать чьи-то частые визиты в определенный контекст. Инфопереработчик знает, насколько часто данный пользователь заходит на сайт или обращается к приложению, и может сделать определенные выводы о его целях на основе просмотров и запросов, но точная причина посещений ему неизвестна. Пролить дополнительный свет могло бы анкетирование с простым вопросом: «Мы обратили внимание на то, что сегодня вы посетили наш сайт трижды. Вы возвращались потому, что: а) нашли, что искали, но были вынуждены прерваться, или б) не нашли, что искали, или в) вас не удовлетворили полученные рекомендации?».
Индекс лояльности NPS (Net Prоmoter Score) может быть особенно полезен инфопереработчикам для эффективной увязки их интересов с пользовательскими. Гражданам предлагается оценить вероятность того, что они порекомендуют компанию своим знакомым по цифровой шкале от 0 до 10. Агрегированные оценки могут варьироваться в диапазоне от –100 (когда все опрошенные оказываются «противниками», не желающими рекомендовать) до +100 (когда все опрошенные оказываются «сторонниками», собирающимися обязательно порекомендовать). Вопрос к пользователю «Какова вероятность того, что вы порекомендуете нашу компанию (товар, услугу) другу или коллеге?» естественным образом стимулирует желание поделиться ответом на него со своим социальным окружением. В этом случае интересы пользователей и инфопереработчика могут совпасть: обратная связь работает на рост клиентской базы последнего.
Со временем люди научатся оценивать потенциальную выгоду не только в сравнении со сделанными инвестициями, но и в более широком контексте – с учетом рисков сохранности информации и издержек приватности, характерных для данного инфопереработчика. Нам необходимо понимать и пересматривать оценки непрогнозируемых рисков, прогнозируемых издержек и ожидаемой выгоды по всем без исключения инфопереработчикам, с тем чтобы выбирать тех, с кем мы хотели бы сотрудничать.
На виду
Водителю автомобиля нужно, чтобы основные показатели приборов (сигнализация о неисправностях, сигнал давления масла, топливомер и спидометр) находились в зоне прямой видимости. Таким образом, он может одновременно следить и за состоянием машины, и за окружающей обстановкой, что позволяет благополучно добраться до места назначения. Индикация панели приборов доносит наиболее важную информацию таким образом, чтобы можно было принимать решения, едва взглянув на нее.
Я считаю, что для достижения истинной прозрачности нам необходима аналогичная панель мониторинга, выделяющая и коммуницирующая три метрики «санитарно-гииенического» состояния инфопереработчика. Новые пользователи будут иметь возможность знакомиться с этими метриками до создания аккаунта. Для уже существующих пользователей можно предусмотреть возможность знакомиться с этими индикаторами на странице настроек, например на панели дополнительных инструментов Google. Я рассчитываю на развитие практики «инфопереработки инфопереработчиков»: существуют же сайты сравнения магазинов и цен, собирающие информацию и показывающие ее ранжированным массивом для удобства сравнения. Потребуется ясная, интуитивно понятная визуализация, например в виде отображения результатов проверок в цветовом спектре, когда оценки лучших переработчиков показаны в зеленом, а худших – в красном цвете. Повторю, для этого нужно создать стороннюю организацию, которая будет заниматься аналитикой и разрабатывать эталонные критерии.
Я очень надеюсь, что люди начнут сверяться с такого рода информационной панелью, принимая решение о предоставлении своих данных. Информационная панель также даст возможность более точно оценивать опыт собственного сотрудничества с инфопереработчиком, чтобы взвешенно принимать решения либо о его продолжении, либо о переходе к новому игроку. Чем более интенсивно человек использует услуги инфопереработчика, тем сильнее может становиться его озабоченность по поводу утраты частного характера информации, а также укрепляться желание сравнить своего нынешнего поставщика продуктов и услуг с конкурентами. Кроме того, он должен иметь возможность получать автоматическое уведомление в случаях, когда оценка инфопереработчика по одному из трех показателей падает ниже определенного уровня или попадает «в красное».
ВЛАДЕНИЕ ИНФОРМАЦИЕЙ
НЕ ОЗНАЧАЕТ
ИСКЛЮЧИТЕЛЬНОЕ ПРАВО
ПРОДАВАТЬ,
ПОКУПАТЬ, ДАРИТЬ
ИЛИ УНИЧТОЖАТЬ БАЙТЫ
Конкретные формулы расчета метрик будут меняться по мере углубления наших знаний об использовании информации и ее переработке. Главное – определить принципиальный подход, а частности можно калибровать в процессе роста понимания эффективности применения переработанной информации и осуществления наших прав на прозрачность. Однако ничего подобного не произойдет, если сидеть сложа руки, ожидая, что инфопереработчики по собственной инициативе сделают нам информационную панель. Мы должны потребовать предоставления этого инструмента, позволяющего нам судить о важнейших аспектах их деятельности.
Точно так же, как личные данные отдельно взятого пользователя имеют очень низкую материальную ценность для инфопереработчика, требование прозрачности, исходящее от какого-то одного человека, вряд ли привлечет к себе серьезное внимание. Но в революции социальных данных участвуют миллиарды людей. Проигнорировать требования миллиона или миллиарда пользователей непросто, тем более в наши дни, когда эти миллиарды людей могут не только писать письма, но и использовать замечательные инструменты (многие из которых созданы самими переработчиками) для поиска, информирования и организации людей. Мы можем воспользоваться этими инструментами, чтобы найти единомышленников, желающих скорректировать расстановку сил и требующих большей сохранности, безопасности, приватности и доходности информации.
Вместе мы сможем «прижать» инфопереработчиков, не удовлетворяющих требованиям. Мы можем голосовать своей информацией, выбирая тех, кто может предоставить незапятнанную историю служения интересам пользователей, и игнорируя тех, кто темнит, сливает информацию другим или просто недостаточно прозрачен или полезен с нашей точки зрения.
Если и это не поможет, мы сможем прибегнуть к виртуальным бойкотам, сплоченными рядами выступив в организованной кампании за прекращение предоставления информации инфопереработчикам с низкими показателями до тех пор, пока в их деятельности не наступят ощутимые улучшения. В случае если инфопереработчики не отреагируют на наши требования, мы заставим власти на законодательном уровне закрепить практику регулярных проверок с информированием общественности об их результатах, примерно так же, как сейчас закреплена обязанность американских авиакомпаний публиковать статистику задержек рейсов.
Наблюдать за панелью информации можно целыми днями, но до тех пор, пока мы не станем что-то предпринимать в связи с полученной информацией, наша выгода будет ограничена тем, что нам считают нужным дать инфопереработчики. Права, обеспечивающие свободу выбора, имеют первостепенную важность.