Агентство по безопасности указывает на прорехи в европейской политике «право быть забытым»

«Право быть забытым», выдвинутое в  Евросоюзе в рамках скоро выходящего
Регулирования Защиты Данных (PDF), должно позволить людям, которые пользуются
социальными сетями и другими онлайновыми сервисами, где хранятся их фотографии,
корреспонденция и другая персональная информация, полностью ее удалить по
запросу. На этой неделе ENISA опубликовало техническую оценку предложений,
определив весь спектр проблем, которые могут препятствовать их применению.

«Для любой разумной трактовки права быть забытым, чисто техническое и полное
решение для его внедрения в открытом пространстве интернета, по большей части,
невозможно», — говорится в отчете агентства. «Необходим более комплексный
подход, и авторам этой политики необходимо это понимать».

Если некоторые данные, такие как изображения и всем видимые публикации легко
удалить, то ситуация сложнее когда появляются большие данные, т.е. когда
информация была проанализирована и обработана для предоставления рекомендаций.
После этого невозможно реконструировать и идентифицировать  информацию из
огромных массивов данных, считает ENISA.

«Вопрос в том, что агрегированная и извлекаемая информация будет
подвергаться модификации, когда некоторые необработанные данные следует забыть.
Удаление забываемой информации может представлять огромную техническую
проблему», — считает агентство.

«С другой стороны, не удалять такую информацию из агрегированных форм
рискованно, поскольку возможны ссылки на забытую исходную информацию в связях
различных агрегированных формах».

Google и Facebook, которые продают целевую рекламу клиентам после анализа
пользовательских данных, теперь должны будут удовлетворять запросы людей по
удалению их данных, заявила Еврокомиссия еще в феврале. Правила будут применимы
к социальным сетям и поисковым системам, но не к платформам, которые хостят
контент без его обработки. Это заявление появилось после того, как Google
выразила недовольство, аргументируя это тем, что предложения накладывают
неразумные требования на сервис-провайдеров.

По мнению ENISA, главные проблемы с регулированием заключаются в слишком
широкой интерпретации его требований. Например, в нем не говорится, кто
конкретно имеет право требовать удаление данных и что является допустимым
объемом «забываемых данных».

В предложениях говорится, что «персональные данные» — это информация,
которая может уникально соответствовать конкретной персоне. Но, по мнению
ENISA, это определение не достаточно четкое.

«Здесь остается поле для интерпретирования информации, которая может быть
использована для идентификации личности с высокой вероятностью, но не
абсолютной. Например, фотографии или  история поведения и т.д.»

«Не понятно, относится ли к этой группе информация, которая не уникальна.
Например, о небольшой группе, куда относится конкретный человек, такой как его
семья».

ENISA считает, что авторам политик и защитникам данных следует вместе
выработать четкие определения и понять затраты на внедрения этих политик. Также
рекомендовано заставить поисковые системы и другие совместные сервисы внутри
Евросоюза фильтровать ссылки на «забытые данные», которые хранятся вне
Евросоюза, и принять на вооружение комплексный, междисциплинарный подход для
настройки предложений.

Представленное в январе «Регулирование по Защите Данных» сейчас находится на
обсуждении европейскими законодателями перед передачей его в Европейский
Парламент.