Вступление
Когда я присоединился к компании IDX после некоторого перерыва в профессиональной карьере, хотя и не в прежнем качестве архитектора и менеджера проектов, а в роли автора, я погрузился в обширный материал того, что произошло в отрасли информационной безопасности (ИБ) за последние десять лет. По мере вхождения в предмет я не мог не заметить, что тема персональных данных (ПД) стала занимать гораздо больший объем в необъятном и довольно эклектичном круге вопросов ИБ, чем это было всего несколько лет назад.
Попросту говоря, складывается ощущение, что выдувается пузырь. Тут же захотелось понять — сам выдувается или его выдувают. Вы же помните пузыри доткомов, когда в любой завалящий проект инвесторы вливали щедрые миллионы, лишь бы в описании было что‑нибудь «с точкой» (.com). Инвестиционному рынку это на пользу не пошло, но это другая история. Здесь меня больше волновала судьба того проекта, в котором я теперь участвую, и хотелось увидеть его в перспективе. Идею проекта я слышал от основателя и руководителя IDX Светы Беловой еще лет десять назад. Еще через пару лет звезды встали правильно, и вот уже седьмой год компания успешно работает на рынке, пусть и довольно нишевом. Если бы это был чисто инвестиционный пузырь, столько лет он бы не продержался, значит, как минимум, во всей это истории есть естественный дрейф, и есть искусственные воздействия на направление этого дрейфа. Захотелось посмотреть на этот дрейф на фоне «большой картинки». На нашем внутреннем жаргоне этот жанр называется «поговорить о великом». Поэтому я решил написать эту заметку, описывающую «большую картинку», как я ее вижу.
Во всех подразделах ИБ защита данных (баз данных) обладает примерно той же важностью, что и, скажем, обеспечение работоспособности серверов, исполняющих механизмов, контроллеров и микроконтроллеров. Однако, всякий раз, когда речь заходит о персональных данных, регистр обсуждения проблемы повышается, нарастает активность законодателей, которые пытаются описать, ухватить смысл того, что происходит. Появилось страшное слово «утечка», которое технически ничего не проясняет, детали инцидентов, связанных с похищением больших массивов персональных данных, как правило, не разглашаются, упоминаются только цифры огромных объемов этих утечек, чем больше миллионов, тем страшнее.
Что же это за страшный зверь?
Совсем недавно, уже в нынешнем году появилась публикация в малоприметном для специалистов по ИБ юридическом журнале, North Western University Law Review, с очень характерным названием: «Data Is What Data Does». Статья, прямо скажем, не маленькая, 58 страниц. Ее короткое изложение появилось в ТГ‑канале известных специалистов по ИБ, Privacy Advovates. Статья же настолько существенная, что стоит того, чтобы потратить время на ее прочтение целиком. Мне она существенно помогла решить задачку, поставленную в начале этого текста ‑понять эффект «пузыря ПД». В статье справедливо критикуются определения ПД, вошедшие во многие нормативные документы. Автор статьи, Дэниэл Солоув, смотрит на это дело сквозь призму юридической практики защиты частной жизни (privacy laws) и замечает, что как европейские, так и американские законодатели пошли по простому пути, объявив о необходимости защищать «чувствительные персональные данные». Далее автор подробно объясняет, почему этот путь тупиковый. Он сравнивает все многообразие ПД с тканым гобеленом, в котором переплетается множество нитей, и невозможно потянуть ни за одну, не задев все остальные. Само выделение «чувствительных данных» как объектов защиты — это все та же песня про политкорректность, защиту прав меньшинств, BLM, MeToo, cancel culture, дальше некуда, приехали. По определению европейского стандарта GDPR к «чувствительным данным» относят расовую или этническую принадлежность, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, сведения о здоровье, сексуальной жизни и ориентации, генетические данные и биометрические данные. При нынешних возможностях алгоритмов анализа данных и выводов из них практически все персональные данные становятся чувствительными, поскольку из тех, которые не вошли в список законодателя, сравнительно легко выводятся те, что вошли. Далее автор развивает мысль о том, что надо анализировать не природу данных, а вред, который они могут нанести, и риски нанесения вреда. Отсюда название статьи: «Данные — это то, что они делают».
Для меня это переключение точки зрения на ПД означает, что рассматривать их надо не столько в контексте охраны приватности, сколько в рамках операционной модели, в которой они задействуются. Вот для того, чтобы понять эту новую операционную модель, необходимо увидеть «большую картинку» не в юридичиском или сиюминутном политическом контексте, а как часть «новой экономики».
Оставшаяся часть этой статьи посвящена краткому описанию происхождения «новой экономики», в которой персональные данные уже занимают центральное место и играют критическую роль и этот процесс далеко не завершен.
История возникновения «новой экономики» вкратце
Несмотря на продолжающееся одичание людей, технологии пока продолжают развиваться, и, несмотря на возврат архаики во многих гуманитарных областях, мы все еще живем в постиндустриальной цивилизации. Многие аналитики вслед за Клаусом Швабом называют текущую ситуацию четвертой промышленной революцией (ЧПР). Большинство описаний ее содержания сводится к перечню технологий ЧПР, относительный хайповый рейтинг которых не быстро, но меняется. Еще не так давно во главе списка были нанотехнологии, теперь их даже не всегда вспоминают (возможно благодаря короткой, но ошеломляющей истории «Роснано»).
Для оценки текущей ситуации с персональными данными описание феномена «новой экономики» гораздо важнее технологической футуристики. Складывающаяся «новая экономика» — это та рамка, в которой хотелось бы увидеть тренды развития ИБ и среди них — феномен ПД, который постепенно занимает все более центральное положение в этой рамке.
Отсчет нового понимания я веду от 1999 года, от документа «Cluetrain manifesto», значительно опередившего свое время и его еще менее известного продолжения, «New Clues», опубликованного в 2015 году. Наиболее яркое изложение устройства будущего в новой экономике — это трилогия Александра Барда и Яна Сёдерквиста «Futurica Trilogy» (2000–2003–2009, перевод на английский 2003–2012). Не менее важны книги ныне гонимого Александра Долгина «Экономика символического обмена» (2006) и «Манифест новой экономики. Вторая невидимая рука рынка» (2010).
Для важности понимания эволюции ПД от хайпа защиты «чувствительной информации» к центральному вопросу ИБ, надо помнить, что главное определение новой экономики — это «экономика услуг». Эволюция цифровых продуктов от товара к услуге фактически завершена — «Все как услуга, включая сами услуги», в том числе и «Security as a Service». И все, разумеется, в облаке.
Смена парадигмы
Когда появился первый iPhone, все сразу заговорили о смене парадигмы (paradigm shift) цифровых коммуникаций, хотя это был и не первый смартфон, и устройства, называемые коммуникаторами, выпускали и до него, но сила эстетического воздействия была так велика, что именно iPhone привел к переключению картинки. Точно так же, когда был опубликован «Cluetrain manifesto» (Рик Левин, Кристофер Локк, Док Серлз и Дэйвид Уайнбергер), публицистическая сила этого высказывания была такова, что именно этот документ вошел как ключевой в историю смены парадигмы в области онлайновых систем массового обслуживания. Девяносто пять тезисов этого манифеста неявно, но довольно очевидно ссылались на такое же количество тезисов Мартина Лютера, которые он якобы прибил к дверям церкви Всех Святых в Виттенберге, ознаменовав начало протестантской реформации.
Cluetrain manifesto никуда не приколачивали, но уже первые его тезисы были подобны дзенскому удару палкой по голове.
-
Markets are conversations (Рынки — это разговоры).
-
Markets consist of human beings, not demographic sectors. (Рынки состоят из людей, а не демографических секторов).
-
…
-
Companies that assume online markets are the same markets that used to watch their ads on television are kidding themselves. (Компании, решившие, что онлайновые рынки — те же, что обычно смотрят по телевизору их рекламу, дурачат сами себя).
…
78. You want us to pay? We want you to pay attention. (Вы хотите от нас денег? Мы хотим от вас внимания).
(с) выдержки из перевода Cluetrain Manifesto на русский язык с разрешения автора Анастасии Грызуновой.
Все это звучало как манифест анти‑корпоративной революции, и, как позже оказалось, именно ее начало и ознаменовало. Забегая вперед отметим, что уже здесь упоминается, что сотрудники больших корпораций, сидящие в интранете тоже начинают разговаривать друг с другом мимо корпоративных иерархий. Чуть позже в этом тексте мы отметим скачок в понимании природы ПД, когда вдруг оказалось, что отделы кадров любой организации и предприятия являются операторами ПД.
Потом пришли шведы
Сначала это были два ученых с трудно произносимыми и плохо запоминающимися фамилиями ‑Кьелл Нордстрем и Йонас Риддерстрале, оба из Стокгольмской школы экономики, хотя и из разных ее подразделений. В 1999 году (еще в прошлом веке!) они написали очень смешную, даже стебную книжку «Funky business: talent makes capital dance (Бизнес в стиле фанк: капитал пляшет под дудку таланта)( перевод на английский язык — 2000 г). Это развернутое ренессансное понимание э‑/революции пост‑капитализма, в результате которой в центре внимания оказывается человек, индивидуум, и как работник (чему посвящена большая часть книги) и как потребитель. В предисловии ко второму изданию книги, вышедшем в 2007 году авторы пишут:
На нас повесили ярлык «новой экономики», многие сомневались в практической применимости наших идей, а кое‑кто был крайне удивлен тем, что книга была написана двумя шведскими профессорами. Многие из‑за этого даже не стали читать книгу. Таким людям мы можем сказать лишь: «Ну извините…» Мы так и не смогли превратить себя в средних, плоских и этаких ванильных академических профессоров.
Есть и еще несколько причин, по которым «Бизнес в стиле фанк» был написан именно шведами: шведы в целом, а в особенности в Стокгольме, уже давно живут по этим принципам. Развитие всей страны на протяжении нескольких десятилетий определяла одна большая идея: разрушение заповедей старой жизни и предоставление каждому свободы идти по своему пути, знать и делать то, что сам человек считает нужным, — вне зависимости от пола, социального класса или какой‑либо другой традиционной группировки.
После этой пары шведов очень скоро появилась следующая пара (да, раньше шведы появлялись четверками, а потом — чаще парами) с фамилиями попроще — Александр Бард и Ян Сёдерквист, но с гораздо более пестрыми биографиями. В их трилогии «Futurica» анти‑капиталистический пафос еще ярче. Если Нордстрем и Риддерстрале написали «Карл Маркс был прав» почти в шутку (из‑за чего их книга очень плохо продавалась в Америке, многие не смогли пойти дальше этого параграфа), то Бард и Сёдерквист бичуют капитализм и буржуазию по самое не могу. По их теории на смену капитализму пришел информационализм, и правящим классом этого общественного устройства является нетократия, то есть, мы с вами, люди, прикрученные к сети (wired2net). В сети складываются новые иерархии власти (силы, могущества, power), основанные не на деньгах или силе оружия, принципом устройства сетевых пирамид является attentialism (перевода термина на русский так и не появилось). Сильно упрощая, твое место в сетевой иерархии определяется тем, сколько внимания ты в состоянии привлечь. Создается сложная бартерная система. Мы о ней вспомним, когда будем говорить об экономике символического обмена в версии Александра Долгина. Кстати, сообщество Хабр является модельным примером нетократической пирамиды. Основной объем трилогии Futurica выходит за рамки моей линии рассуждений, а жаль. Вторая часть трилогии называется «Глобальная империя», а третья — «Телесная машина».
Черты новой экономики
Теперь, когда мы с помощью шведов установили, что главной производственной силой новой экономики является человек сетевой, и как потребитель, и как работник, осталось только спросить — а что же с товарным производством, оно же никуда не делось. Совершенно верно, несмотря на сервисный характер новой экономики, кто‑то по прежнему должен производить мириады товаров для потребления и производства. Здесь нам помогают сочинения Александра Долгина, который некоторое время заведовал кафедрой «Прагматика культуры» в ВШЭ, которую сам же и финансировал на доходы от своего бизнеса. Его больше интересовало производство культтоваров — музыки, книг и всего такого, то есть, товаров вполне специфических. Этой специфике в циркуляции этих товаров, их ценообразовании и других экономических характеристик посвящена его первая книга «Экономика символического обмена» (2006).
Для наших целей важнее его вторая книга — «Манифест новой экономики. Вторая невидимая рука рынка» (2010). Здесь Долгин, прежде чем изложить свой экономико‑символический подход к гуманитарным наукам и практикам, очень ёмко и целенаправлено описывает черты новой экономики, которые важны для наших рассуждений о смене парадигмы нового хозяйственного уклада — информационализма (прости господи). В последующем тексте используется много раскавыченных извлечений из этой книги.
Долгин был (и есть) последователем Рональда Коуза, отца новой институциональной экономики, который первый описал «транзакционные издержки» в экономике. Еще на заре капитализма в России я объяснял студентам, чем отличается хорошая программа от хорошего программного продукта. Условно говоря, описание программного продукта состоит из десяти пунктов. В первом пункте написано: «В основе хорошего программного продукта должна быть хорошая программа». Остальные девять пунктов — вообще не про программирование. То же самое с товарным производством. Еще Коуз заметил, что доля стоимости производства товара в рыночной стоимости товара убывает. Разницу между стоимостью производства товара и общей стоимостью товара стали называть транзакционными издержками (в отличие от трансформационных издержек, то есть затрат на физическое производство). В некоторых отраслях розничная цена в 5–10 раз выше стоимости производства.
Другая важная для нас тенденция новой экономики ‑– это символизация или деутилитаризация товаров. Символическими становятся не только культтовары, а вообще любой товар, который приобретается потребителем не столько как вещь с полезными свойствами, сколько как знак, символ, культурный код. В результате новая информационная экономика — это не только новости и развлечения, все отрасли культуры, включая интернет, но и такие, казалось бы, материальные сегменты рынка как одежда, мебель, электронные бытовые приборы, автомобили. Они просто начали функционировать по новым правилам и тоже стали информационным отраслями.
Отсюда следует много любопытных наблюдений. Например, вещи выходят из употребления много раньше их физического износа. Они становятся бесполезными и даже вредными, если могут скомпрометировать владельца в глазах окружающих. Качество товаров становится непрозрачным из‑за их огромного количества и сложности. В каждом отдельном случае потребитель может разобраться, стоит ли ему это покупать, но на все времени не хватит. Цена вещей все меньше связана с их универсальной ценностью, и все больше отражает ценность индивидуальную. Покупка становится высказыванием, причем не отдельно стоящим, а в контексте предыдущих покупок‑высказываний. Вспомним первый тезис «Cluetrain Manifesto»: Markets are conversations. Высказыванием является не только покупка символического товара, но и путь к нему, сильно упрощая — последовательность кликов, ведущая к покупке.
И тут мы плавно приплываем к «поведенческой экономике», которая изучает влияние социальных, когнитивных и эмоциональных факторов на экономическое поведение потребителя.
Но вернемся к заявленной теме — месту ПД в общей картине теории и практики ИБ.
Мы хорошо знаем, что делали и продолжают делать с персональными данным интернет‑компании, работающие по рекламной модели бизнеса — они ими торговали и продолжают торговать. Продажа аудитории до недавнего времени была едва ли не единственным методом монетизации интернет‑бизнеса. Потом законодатели решили, что это нехорошо и начали всячески ограничивать эту торговлю. Потом появился фиговый листок обезличенных данных, все еще представляющих бизнес ценность.
Нам же теперь осталось сделать только один шаг, чтобы применить это наблюдение ко всей ситуации в целом. Можно сказать, что персональные данные — это то, что вы с ними делаете. Это не только паспортные данные и IP адрес, это вообще весь цифровой след субъекта персональных данных. Персональные данные говорят об их субъекте, но и субъект формирует свои персональные данные каждый день, если только не живет в изоляции от мира.
В связи с этим можно сделать три вывода
-
Для персональных данных и того, что мы умеем с ними делать (проверять и удостоверять, например, как компания IDX) все только начинается. Если для бизнесов due diligence в отношении партнеров (контрагентов) практика относительно сложившаяся, то в отношении широких клиентских масс практика business intelligence, основанная на обширных и богатых ПД, только развивается.
-
Определение субъектом ПД так называемой природной личности (natural person) — это тоже тупиковый ход, который закладывает в регулирование моральное устаревание. Не пройдет и года как встанет вопрос о правах цифровых личностей, например, усопших, или об искусственно созданных цифровых аватарах. Другой яркий пример — это технологии так называемых «цифровых двойников», в которых состояние и поведение биологической личности и ее цифрового двойника могут расходиться. От этого персональные данные аватара не становятся бесхозными и тоже требуют защиты.
-
Вопрос о том, почему так быстро растет объем усилий по защите персональных данных (в том числе регулирование деятельности с персональными данным) — это с самого начала неправильно поставленный вопрос. Сфера ПД действительно растет, но рассматривать этот рост нужно не только и не столько в рамках ИБ, сколько в рамках операционных моделей «новой экономики», где все экономическое поведение потребителей формирует его цифровой след, который для оценки потребителя важнее, чем даже его паспортные данные.
С учетом всего этого можно утверждать, что методы защиты ПД, в том числе удостоверения ПД, буду развиваться, откликаясь на повышение спроса со стороны провайдеров онлайн‑сервисов, заинтересованных в оценке и прогнозе поведения субъекта ПД. Этим перспективам будет посвящено продолжение этой статьи.
ссылка на оригинал статьи https://habr.com/ru/articles/854358/
Добавить комментарий