Naujiena yra tai, jog iki 2025 m. pasaulinė duomenų bazė išaugs iki 163 zetabaitų arba 163 trilijonų gigabaitų – maždaug dešimt kartų daugiau nei 2016 metais (rinkos tyrimų bendrovės IDC duomenys).
Kodėl apie tai kalbame? Nes nuo šių metų gegužės 25 d. įsigaliojus Bendrajam duomenų apsaugos reglamentui (BDAR), šių nesuskaičiuojamų duomenų apsauga taps dar aktualesne tema. Taip, šio reglamento naujosios teisės ir atsakomybės gerokai sustiprins vartotojų duomenų apsaugą. Bet kodėl IT specialistai to visiškai nelaukia? Nes klausimų ne mažiau nei atsakymų. Kaip ir nežinomybės, ar tam tikrų taisyklių apskritai įmanoma laikytis. Todėl siūlau peržvelgti kelis BDAR punktus, kurie jau dabar kelia galvos skausmą programuotojams, vartotojo sąsajos dizaineriams ir duomenų bazių specialistams.
Pirmas iššūkis: asmeninės informacijos apibrėžimas
BDAR labai aiškiai apibrėžia, kas yra laikoma asmenine informacija. Tai bet kokie duomenys, leidžiantys identifikuoti konkretų žmogų. Tačiau ne visi duomenys, kurie iš pirmo žvilgsnio tokiais atrodo, iš tikrųjų tokie ir yra.
Pavyzdžiui, telefono numeris gali būti dalinamas ir perduodamas kitam asmeniui, vardas ir pavardė nėra unikalūs, IP adresas gali būti priskirtas šimtams žmonių. Todėl kyla klausimų, pagal kokius kriterijus iš tiesų turėtų būti renkami duomenys ir kada bendrovė neprivalo prašyti sutikimo rinkti duomenis, kai jie neidentifikuoja konkretaus žmogaus?
Antras iššūkis: leidimas tvarkyti asmeninius duomenis
Ar kada nors esate iki galo susipažinęs su internetinės sistemos taisyklėmis? Greičiausiai, kad ne, nes iki šiol sutikimas su šiomis taisyklėmis dažniausiai būdavo sunkiai pastebimas.
Tuo tarpu naujasis reglamentas reikalaus, kad vartotojui būtų pranešama aiškiai ir nedviprasmiškai. Su tuo susiję sunkumai neišvengiami, o vienas iš pavyzdžių galėtų būti slapukai tinklalapiuose. Kaip vyksta dabar? Vartotojui pranešama, kad jo naršyklėje bus saugomi slapukai. Bet esmė tame, jog dar iki žmogaus atsakymo jie jau yra saugomi. Remiantis BDAR to daryti nebebus galima ir tai taps sudėtinga vartotojo patirties problema, siekiant neatbaidyti žmogaus.
Trečias iššūkis: barjeras dirbtiniam intelektui
Ne paslaptis, kad absoliuti dauguma dirbtinio intelekto sistemų dirba pasiremdamos dideliais sukauptų duomenų kiekiais. Jei tokie duomenys yra asmeniniai, jiems taip pat galioja BDAR nuostatos.
Vadinasi, vartotojas bet kada gali pareikalauti paaiškinti vieną ar kitą sprendimą, kuris buvo atliktas minėtos technologijos. Čia ir atsiranda problema, nes kai kurių dirbtinio intelekto sprendimų neįmanoma paaiškinti arba jie tiesiog yra per sudėtingi. Toks reikalavimas stipriai stabdys dirbtinio intelekto sistemų vystymą, nes įmonės turės užtikrinti, kad visi šios technologijos priimti sprendimai yra paaiškinami arba naudoti kur kas paprastesnius algoritmus taip neišnaudojant visų galimybių. Žinoma, toli gražu ne visos dirbtinio intelekto sistemos dirba su asmeniniais duomenimis.
Ketvirtas iššūkis: ar tikrai įmanoma būti visiškai pamirštam?
Ligšiolinis reglamentas taip pat turėjo šį punktą, bet kadangi jis nebuvo taip griežtai taikomas ir daugumoje šalių visiškai ignoruojamas, nebuvo efektyvus. Tačiau dabar tai taps būtinybe visiems verslams – vartotojas galės paprašyti, kad subjektai ištrintų visą apie juos sukauptą asmeninę informaciją. Skamba gerai?
Bet iš tiesų tai padaryti yra gana sudėtinga. Pavyzdžiui, dažnai taikoma praktika yra saugomos duomenų bazės kopijos. Pagal BDAR reikalavimus vartotojui pareikalavus, jo asmeninė informacija turėtų būti iš visur ištrinta, tačiau kai kuriais atvejais tai padaryti yra techniškai labai sudėtinga arba neįmanoma. Panaši situacija ir su prieigos žurnalais (angl. access log). Jie yra periodiškai užkoduojami ir archyvuojami, todėl duomenų pašalinimas iš šių vietų būtų ne ką lengvesnis, nei atsarginių kopijų valymas.
Tam, kad būtų paprasčiau suprasti situaciją – paprastas pavyzdys. Ką daryti, jei 1997 m. lankiausi poliklinikoje ir pasidariau tyrimus, kurių rezultatai yra kažkur užfiksuoti? Ar tikrai paprasta būtų atrasti tuos duomenis ir pašalinti? Ganėtinai sudėtinga. Lygiai taip pat ir su atsarginėmis kopijomis ir prieigos žurnalais.
Penktas iššūkis: neprofiliuojami, bet vis tiek profiliuojami duomenys?
Naujasis reguliavimas taip pat apibrėžia duomenų profiliavimą – vartotojų skirstymą į grupes pagal surinktus duomenis (vardas, pavardė, amžius, gyvenamoji vieta ir pan.).
Visi vartotojai privalės būti informuojami ir duoti sutikimą, kad leidžia verslui daryti tokius veiksmus. Iki šiol duomenų profiliavimas buvo aktyviai naudojamas tikslinėse reklamose, kai pagal vartotojo profilį jam parenkamas aktualus turinys. Tačiau kyla klausimas, ką daryti su tais vartotojais, kurie atsisako būti profiliuojamais?
Jų priskyrimas neprofiliuojamų grupei jau yra savotiškas paženklinimas. Nepaisant to, taisyklės numato atitinkamą turinį ir jiems. Turite „X” prekybos centro nuolaidų kortelę ir nenorite gauti specialių asmeninių pasiūlymų? Pasislėpti nepavyks, prekybos centras jums siųs tam tikrus bendrinius pasiūlymus.
Nepaisant visų neaiškumų ir galimų techninių kliūčių, BDAR yra tikrai reikalingas. Skaitmeninis pasaulis nuolat keičiasi ir savo asmeniniais duomenimis operuojame vis dažniau ir dažniau, o tai reguliuojantys įstatymai buvo sukurti prieš porą dešimtmečių. Pats laikas pakeisti senus įpročius ir į vartotojų duomenis pažiūrėti iš kitos pusės.