Brokerzy danych kontra reszta świata

Są takie firmy, które sprawiają, że National Security Agency zaczyna wydawać się miłą, przyjazną ludziom instytucją. O kim mowa? O brokerach danych. Na świecie istnieje kilka tysięcy firm zajmujących się zbieraniem informacji o konsumentach z publicznych i niepublicznych źródeł w celu odsprzedania ich innym firmom. W Stanach Zjednoczonych, gdzie prawo dotyczące prywatności danych jest mało restrykcyjne najlepsi brokerzy mają około 1500 informacji o każdej osobie.

Jak działają brokerzy danych?
Chociaż niewiele osób zdaje sobie sprawę z ich istnienia, to często tego typu firmy posiadają więcej informacji o obywatelach niż organy państwowe. Za odpowiednią kwotę można otrzymać bazy danych zawierające m. in.: pełne nazwiska, adres zamieszkania (oraz poprzednie adresy), numery telefonów, adresy e-mail, wiek i płeć, informacje o rodzinie (stan cywilny oraz dzieci), numery ubezpieczenia społecznego, wyznanie, dane o posiadanych nieruchomościach, szacowany dochód, wykształcenie, zawód... i tak dalej. Federal Trade Comission w raporcie nt. brokerów danych opisała najistotniejsze segmenty danych (od str. 97).

Skąd pochodzą tego typu dane? Zaczynając od administracji publicznej, poprzez media społecznościowe, dane ze stron www, ciasteczek, aplikacji mobilnych, “anonimowe” dane ze szpitali, baz kredytów hipotecznych i nieruchomości, aż po dane z kart lojalnościowych (programów), ankiet konsumenckich i konkursów. Brokerzy danych kupują też informacje o innych firm zajmujących się ich zbieraniem w celach marketingowych i statystycznych.

Największą zmorą krajów, gdzie zakres dostępu do danych konsumentów reguluje rynek, a nie regulacje prawne, jest brak zahamowań brokerów w dążeniu do zdobycia nawet najbardziej wrażliwych danych. Firma MEDbase 200 sprzedawała bazy ofiar gwałtów (7,9 centa za osobę) oraz listy osób chorujących na HIV/AIDS, choroby genetyczne, demencję i uzależnienia (posegregowane na hazard, seks, alkohol oraz narkotyki) w podobnej cenie. Bazy zostały wycofane ze sprzedaży w 2013 po głośnych zeznaniach Pam Dixon z World Privacy Forum. Jednak jest to tylko jedna firma z kilku tysięcy, a biorąc pod uwagę, że brokerzy często sprzedają też dane między sobą nigdy nie można mieć pewności, że niebezpieczne informacje nie są dostępne gdzieś na świecie.

Ochrona prywatności w Unii Europejskiej
24 maja br. Zostało przyjęte nowe prawo dotyczące prywatności obywateli Unii Europejskiej - General Data Protection Regulation. Wprawdzie zacznie obowiązywać dopiero 25 maja 2018 roku, firmy mają dwa lata na dopasowanie się do nowych wymagań, ale zapowiada duże zmiany w podejściu do ochrony prywatności. Najważniejsze zmiany to m.in.: wymóg zgody opiekuna prawnego na zbieranie danych osób poniżej 16 roku życia, większych restrykcji dotyczących świadomego wyrażania zgody na przetwarzanie danych, utrudnienie profilowania oraz odpowiedzialności za przetwarzanie danych przez inne jednostki, którym zostaną udostępnione.

Aby nie było zbyt różowo eksperci już zdążyli zauważyć szereg problemów związanych z nowym prawem. Chociaż stworzone jako tarcza ochronna przed zapędami największych internetowych korporacji, to uderzy również w małe lokalne firmy, które będą musiały ponieść znaczne koszty dopasowania się do wymogów. Dodatkowo nowe prawo promuje pseudonimizację danych, czyli oddzielanie od bazy danych identyfikujących. Ochrona tego typu baz jest dużo mniej restrykcyjna. Nie można jednak zapomnieć, że zebranie wystarczającej liczby anonimowych danych pozwala na ich reidentyfikację.

Scenariusze dla ochrony zdrowia
General Data Protection Regulation ma za zadanie chronić obywateli przed dyskryminacją, także tą pod kątem zdrowia. Jednak znaczące ograniczenia w przetwarzaniu i udostępnianiu danych utrudnią szukanie połączeń przyczynowo skutkowych pomiędzy danymi z wielu dyscyplin, np. środowiska, stylu życia oraz medycyny. Wprawdzie obostrzenia w przypadku wykorzystania informacji do badań są trochę łagodniejsze, ale stopień wiarygodności ich wyników będzie zależał od dostępnego zakresu danych. Przykładowo dane lokalizacyjne, niezbędne do dokładnego określenia wpływu otoczenia na stan zdrowia, zostały uznane za dane identyfikujące i w związku z tym nie powinny być rozpowszechniane.
Trwa ładowanie komentarzy...