Odświeżanie polityki prywatności: Zalecenia dotyczące powiadomienia i przejrzystości

W ciągu ostatnich dwóch lat obserwowaliśmy, jak zmienia się fala przeciw systemowi powiadamiania i wyboru, który rządzi prywatnością w Internecie od czasów Dyski z nagrodami America Online (AOL) .





W kwietniu 2018 r. senator John Kennedy (R-LA) powiedział Markowi Zuckerbergowi, że umowa użytkownika Facebooka do bani . W lutym 2019 r. przedstawiciel Frank Pallone, Jr. (D-NJ), senator Roger Wicker (R-MS) i senator Maria Cantwell (D-WA) odpowiednio oznaczyli politykę prywatności jako nierealne i niesprawiedliwe , długie i mylące i po prostu już nie wystarczy . Następnie, w październiku zeszłego roku, komisarz FTC Rebecca Kelly Slaughter powtórzyła te obawy na czacie przy kominku w Brookings, stwierdzając, że naprawdę jestem ponad uwagą i zgodą.



kiedy cofa się czas w 2021 roku?

Opisanie obecnego reżimu prywatności jako przegranej gry, jeden z nas (Kerry) napisał raport Brookings 2018 podkreślając kluczowe problemy, które później pojawiły się po obu stronach korytarza. Jednym z problemów jest to, że polityki prywatności mogą powodować nadmierne powiadamianie lub zmęczenie kliknięciami. Innym jest to, że rynek online jest asymetryczny; firmy wiedzą znacznie więcej o tym, jak zbierają i przetwarzają dane, niż nawet najbardziej wyrafinowana i czujna osoba. Trzecią kwestią jest to, że osoby fizyczne mają zazwyczaj niewiele, jeśli w ogóle, rzeczywistych wyborów dotyczących tego, jak firmy przetwarzają, przechowują i udostępniają dane osobowe po ich zebraniu. Jako profesor Uniwersytetu Northeastern Woody Hartzog powiedział Kongresowi rok temu : [Te] firmy kontrolne obiecują ludziom, że jest iluzją…. Firmy decydują, jakie skrzynki ludzie mogą sprawdzić, jakie przyciski naciskają, przełączniki, które aktywują i dezaktywują, oraz inne ustawienia, z którymi mają do czynienia.



To, co opisuje Hartzog — nieunikniona kaskada zgód na kliknięcie, wraz z pewnymi ograniczonymi ustawieniami prywatności dostępnymi dla użytkowników — to sposób, w jaki obecny system nakłada na osoby odpowiedzialność za zrozumienie i zarządzanie danymi osobowymi. W listopadzie Senat Demokraci wydał zestaw zasad prywatności które proponują przeniesienie tego ciężaru na firmy gromadzące i wykorzystujące dane. Jest to kluczowy krok w kierunku przepisów, które określają obowiązki i granice dla firm, które mają zastosowanie niezależnie od tego, jakie ujawnienia czytają ich użytkownicy lub jakie pola zaznaczają.



Informacja i wybór w projektach aktów prawnych

Mimo to większość aktualnych projektów ustaw i wniosków ustawodawczych w różnym stopniu opiera się na zasadzie ogłoszenia i wyboru. Wkrótce po tym, jak Senat Demokraci opublikowali swoje zasady dotyczące prywatności, Cantwell przedstawił Ustawa o prawach do prywatności konsumentów w Internecie i Wicker rozprowadzali projekt ustawy o ochronie danych konsumentów że każdy z nich wymaga od firm uzyskania wyraźnej, wyraźnej zgody przed zebraniem określonych kategorii danych wrażliwych. Ich definicje danych wrażliwych wahają się od powszechnie dostępnych punktów danych (takich jak numery telefonów lub adresy e-mail) po ściśle przechowywane informacje (takie jak dane dotyczące rachunków medycznych lub finansowych). Ponadto projekt ustawy Cantwell uważa informacje dotyczące działań online za wrażliwe, które – zgodnie z projektem – mogą obejmować przeglądanie stron internetowych, transakcje e-commerce i korzystanie z aplikacji mobilnych. W każdym razie propozycje te nadal zapewniałyby osobom fizycznym wiele powiadomień do wyświetlenia i pola do kliknięcia.



Widzieliśmy, jak kilka projektów Izby do tej pory opierało się w równym stopniu na wypowiedzeniu i zgodzie. W połowie grudnia pracownicy House Energy & Commerce Committee rozesłali a projekt ustawy o dyskusji ponadpartyjnej co na ogół wymaga od firm dostarczenia jasnego i zwięzłego powiadomienia oraz uzyskania wyraźnej, potwierdzającej zgody przed przetwarzaniem informacji niezgodnych z uzasadnionymi oczekiwaniami konsumentów. W sumie w projekcie do dyskusji termin zgoda posługuje się 37 razy. Przedstawicielki Kalifornii Anny Eshoo i Zoe Lofgren w listopadzie 2019 r. Ustawa o prywatności w Internecie — który również opiera się na standardach uzasadnionych oczekiwań — używa terminu zgoda 58 razy.



Wiele obecnych ustaw ma na celu skrócenie informacji o prywatności i uczynienie ich bardziej przyjaznymi dla użytkownika, podczas gdy inne rozszerzają je, dodając szczegółowe wymogi dotyczące ujawniania informacji. Niektórzy nawet próbują obu w tym samym czasie – na przykład sen. Ed Markey (D-MA) Ustawa o Karcie Praw Prywatności wzywa do zamieszczania krótkich powiadomień, które nie tylko są jasne, zwięzłe, dobrze zorganizowane, napisane w zrozumiały sposób i kompletne, ale jednocześnie szczegółowo opisują, jakie dane są gromadzone, jakiemu celowi służą, jakim stronom trzecim są udostępniane i nie tylko. Projekt dyskusji House Energy & Commerce tworzy podobne prokrustowe łóżko.

Wydaje się zatem, że informacja i wybór nadal ma trochę życia i prawdopodobnie odegra rolę w prawodawstwie dotyczącym prywatności. Dla pewności przejrzystość jest w dużej mierze znacząca, ale każdy projekt ustawy musiałby uwzględniać, że informacje o gromadzeniu i przetwarzaniu danych pełnią odrębne funkcje dla różnych odbiorców i kontekstów, a każda funkcja wymaga innego poziomu ujawniania. Aby uzyskać prawo do powiadomienia i przejrzystości, prawodawstwo powinno określać dwa różne rodzaje powiadomień: a) pełne oświadczenia dotyczące ujawniania prywatności dla organów regulacyjnych i innych wyspecjalizowanych stron oraz b) różne kontekstowo odpowiednie powiadomienia dla konsumentów.



Pełne oświadczenia dotyczące ujawniania prywatności dla organów regulacyjnych

Wiele informacji zawartych w typowej polityce prywatności jest bezużytecznych dla przeciętnej osoby. Nie chodzi tylko o to, że podane opisy przetwarzania danych są zazwyczaj legalistyczne i nieprzejrzyste; nawet jeśli jest wyrażona w sposób jasny i prosty, wiele informacji nie jest od razu wykonalne, a może nawet istotne.



Natomiast pełne i szczegółowe opisy przetwarzania danych i praktyk w zakresie prywatności mają istotną wartość dla organów regulacyjnych, dziennikarzy i organizacji interesu publicznego. W szczególności Federalna Komisja Handlu (FTC) wykorzystuje obecnie polityki prywatności i inne oświadczenia firm jako punkty odniesienia w celu identyfikacji nieuczciwych lub wprowadzających w błąd czynów lub praktyk zgodnie z sekcją 5 ustawy FTC. Uznając wagę wzorców odpowiedzialności, Kongres będzie dalej wspierał tę wyspecjalizowaną grupę strażników, włączając do ustawodawstwa szczegółowe wymogi dotyczące ujawniania informacji.

W propozycjach Cantwella i Wickera uznano, że kompleksowe oświadczenia o ochronie prywatności mogą służyć dobru publicznemu i wzywają do bardziej kompleksowych ujawnień korporacyjnych do publicznego rejestru. Co ważne i powiązane, oświadczenia korporacyjne muszą wykroczyć poza ogólne ogólniki na rzecz konkretnych ujawnień dotyczących pełnego zakresu praktyk w zakresie prywatności, aby służyć rzeczywistym punktom odniesienia w zakresie odpowiedzialności. Jak proponują ustawy Cantwell, Wicker i House Energy & Commerce (między innymi), ujawnienia te powinny obejmować, jakie dane są gromadzone, w jaki sposób są wykorzystywane i przechowywane, jak i komu są udostępniane, jakie środki bezpieczeństwa są wdrożone, oraz za pomocą jakich mechanizmów konsumenci mogą korzystać z praw do prywatności.



Wreszcie, pisemne zasady mogą pomóc organizacjom w wewnętrznym wyjaśnieniu ich sposobu myślenia i pociągnięciu do odpowiedzialności funkcjonariuszy korporacyjnych, którzy nadzorują zarządzanie danymi i ocenę ryzyka prywatności. Ustawa Cantwella formalizuje tę funkcję odpowiedzialności, podnosząc nadzór nad prywatnością na dyrektorów generalnych i importując wymogi dotyczące ujawniania i certyfikacji z przepisów dotyczących papierów wartościowych. Zgodnie z tą ustawą kwalifikujące się firmy byłyby zobowiązane do składania rocznych raportów o ochronie danych do FTC, poświadczonych przez funkcjonariuszy korporacyjnych, które określają zgodność każdej firmy z proponowanymi przepisami.



Zróżnicowane kontekstowo odpowiednie powiadomienia dla osób fizycznych

Kierowanie wiadomości do osób może być zupełnie inną grą. Najbardziej szczegółowe i uczciwe ujawnienie prywatności mogłoby być srebrną kulą przejrzystości dla organów regulacyjnych, ale całkowicie bezużyteczne dla większości konsumentów.

Mimo to jednostki zasługują na przejrzystość. Przejrzystość jest podstawową wartością, ale dla większości ludzi niewiele znaczy, chyba że jest zarówno ukierunkowana, jak i wykonalna. Firmy mogą uosabiać tę wartość, dostarczając odpowiednie informacje w wielu formatach i kontekstach. Na przykład Apple zapewnia wyskakujące powiadomienia, gdy aplikacje na iOS żądają danych o lokalizacji iPhone'a, które przedstawiają konsumentom zarówno aktualne, jak i konkretne informacje.



W innych sytuacjach, na przykład przed zebraniem informacji dotyczących zdrowia lub informacji dotyczących dzieci poniżej 13 roku życia, osoby mogą korzystać z powiadomień w różnych formatach. W kontekście danych medycznych lub danych dzieci, dodatkowe wymagania dotyczące zawiadomień przed pobraniem mogą być konieczne, aby umożliwić kontrolę opt-in (zgodnie z tym, co HIPAA oraz PUCHAR obecnie mandat). W takich okolicznościach nowe prawodawstwo powinno wymagać jasnych i praktycznych informacji w formacie zapewniającym użytkownikom wyrażenie znaczącej zgody w (ograniczonych) okolicznościach, w których firmy mogą nadal z nich korzystać. Wymóg ujawniania jednego rozmiaru dla wszystkich może podważyć znaczenie kontekstowe, które sprawia, że ​​zgoda ma znaczenie.



Udostępniając informacje w wielu formach, koncepcja powiadomienia może się zmienić, aby zapewnić bardziej znaczącą i prawdziwą przejrzystość. Na koniec: podczas gdy większość osób realistycznie nie powinna być odpowiedzialna za czytanie szczegółowych powiadomień, każdy, kto chce przestrzegać praktyk przetwarzania danych, praw do prywatności i możliwości dochodzenia roszczeń, powinien mieć dostęp do pełnego zakresu tych informacji. W tym przypadku propozycje Cantwella, Wickera i Markeya przyjmują właściwe podejście, nakazując, aby szczegółowe informacje były publicznie dostępne dla wszystkich.

Prawa i obowiązki osób fizycznych i firm

Przejrzystość może mieć wartość, ale w praktyce sama wiedza nie zawsze wystarcza do zapewnienia prywatności konsumenta. Co więcej, nie powinno być konieczne, aby ktoś w pełni rozumiał praktyki firmy w zakresie przetwarzania danych, aby zaufać firmie w zakresie ochrony danych osobowych – to stwierdzenie, że David Medine i Gayatri Murthy, obaj z Grupy Konsultacyjnej ds. Pomocy Ubogim (CGAP), ostatnio wyróżnione w TechTank .

Z tych powodów propozycje Cantwell i Wicker, wraz z wieloma innymi, uzupełniają informacje o prywatności o indywidualne prawa, których nie można zmienić ani zrzec się. Wiele z tych proponowanych praw obejmuje indywidualny dostęp, poprawianie, usuwanie i przenoszenie danych osobowych online, równolegle do prawa Unii Europejskiej Ogólne rozporządzenie o ochronie danych (RODO) i Kalifornijska ustawa o ochronie prywatności konsumentów w tym zakresie. Te cztery prawa skutecznie nakazywałyby wszystkim odpowiednim firmom oferować osobom zarówno dostęp, jak i kontrolę nad danymi osobowymi — takimi jak funkcje obecnie wbudowane w Facebooka. Uzyskaj dostęp do swoich informacji portal i Google Panel Google . Oferują one osobom konkretne przykłady praktyk opisanych wcześniej w odniesieniu do ujawnień, a przykłady te można dostosować do indywidualnych użytkowników.

Dostosowany dostęp może służyć jako potężne narzędzie przejrzystości i odpowiedzialności. Przypomnijmy, że w 2013 r. austriacki student prawa Max Schrems skorzystał z portalu Facebook „Dostęp do swoich informacji” i poprosił toczące się postępowanie sądowe przed Trybunałem Sprawiedliwości Unii Europejskiej który rzuca UE-USA kwestionowane transfery danych do dnia dzisiejszego. Zarówno prawa przed, jak i po pobraniu dałyby zatem drogę do większej indywidualnej agencji w stosunku do danych osobowych w Internecie, bez względu na to, z której usługi lub produktu korzystają ludzie, co skutecznie prowadzi nas do pełnej przejrzystości. Zapewniając podstawowe mechanizmy kontrolne, Kongres ustanowiłby trzecią warstwę widoczności — oprócz kompletnych ujawnień prywatności dla organów regulacyjnych i odpowiednich kontekstowo powiadomień dla osób — aby umożliwić publiczne zaangażowanie w przetwarzanie danych i praktyki dotyczące prywatności.