27.9.11

И вновь о психологии персданных

Чем больше погружаешься в тему психологии персональных данных (или privacy в англоязычной терминологии), тем больше понимаешь, что наши регуляторы вообще не думают о том, ради ЧЕГО и ради КОГО изначально затевался ФЗ-152. Вместо того, чтобы запускать программу повышения осведомленности,они выбивают из операторов персданных деньги на то, что никому не нужно. Ведь те требования, которые прописаны в законе и будут прописаны в подзаконных актах не имеют никакого отношения к реальной защите прав субъектов ПДн. Выскажу даже крамольную мысль- субъектам ПДн в массе своей наплевать на свои ПДн и защиту их прав.

Про отношение молодежи к ПДн я уже писал. Посмотрим теперь чуть шире. В работе, посвященной принятию решений относительно собственных ПДн, приводятся результаты интересного исследования согласно которому словесные высказывания субъектов ПДн сильно отличаются от их реального поведения в отношении своих же ПДн.

Во-первых,люди готовы торговать конфиденциальностью своих данных в обмен на удобство (например, при доступе к каким-то сайтам или ресурсам) или какие-то незначительные награды (например, в системах повышения лояльности, в картах накопительных скидок и т.д.). Причем выгоды субъект хочет получить сейчас и сразу, а о будущих последствиях думать он будет потом (если вообще будет). Достаточно вспомнить, как часто, мы заполняем различные анкеты на получение скидок, участие в различных накопительных программах (полетные мили, ночи в гостиницах и т.д.).

Во-вторых, люди, не имея полной информации для принятия решения относительно своих ПДн, могут принять решение неверное, последствия которого сложно устранить. И даже имея всю необходимую информацию, рациональное поведение субъектов ПДн - скорее из области фантастики. Психологи не раз уже доказывали этот, казалось бы, нелогичный, но при этом реальный феномен. И они продолжают доказывать, что даже имея неоднократный негативный опыт с обработкой своих ПДн, последующие действия также не всегда подчиняютмя логике (я про это, кстати, тоже говорил в посте про психологию восприятия риска и в курсе по моделированию угроз). Нередко люди руководствуются социальными нормами поведения. Например, будучи честным альтруистом, человек может считать остальных таковыми же и предоставлять свои ПДн всем, кто их у него запрашивает.

Согласно проведенному исследованию на общий вопрос: "Считаете ли вы защиту ваших ПДн важной задачей?" около 90% отвечают положительно. Правда, если погружаться в детали, то людям с небольшими доходами (менее 450000 рублей в год) на защиту своих персональных данных практически наплевать, в отличие от более обеспеченных граждан. Учитывая, что в России средний доход меньше названной цифры, то можно предположить, что большинству наших сограждан тема ПДн неактуальна. Интересно тут другое. На уточняющие и более глубокие вопросы люди отвечают уже незаученным фразами. Например, на вопрос о сексуальных предпочтениях (включая ориентацию) только 12% респондентов ответили, что их сильно волнует защита этих личных данных. Еще 26% респондентов эта тема волнует, но на среднем уровне, а 62% не сильно заботит утечка этой информации. Также граждан больше волнует проблема нарушения их прав при оффлайн-обработке ПДн, а не онлайн - 40% против 25%. И вообще, почему-то людей больше волнует конфиденциальность их идентификаторов (имя или адрес e-mail), чем остальной информации - профессиональные навыки, политические воззрения, возраст и т.д.

Еще одна подмеченная проблема в том, что даже те субъекты ПДн, которых беспокоит неприкосновенность частной жизни, не сильно заботятся о том, чтобы что-то предпринять для ее защиты. Мало кто (чутьбольше 37%) использует шифрование электронной почты. Не все (56%) используют средства контентной фильтрации. Мало кто исключает себя из общедоступных телефонных справочников. 50% людей не используют шредеры. Хотя есть и исключения, которые предпринимают различные усилия для защиты своих ПДн - указывают поддельную информацию в формах на сайтах, прерывают оформление покупок перед вводом ПДн и т.д.). Но все-таки большинство действуют в части защиты своих ПДн нецеленаправленно и, даже, хаотично.

В качестве выводов авторы исследования отмечают, что основная проблема, с которой сталкиваются субъекты ПДн - это нехватка или неполнота информации о том, как обрабатываются их ПДн и какие действия они должны предпринять для защиты своих ПДн. При этом граждане считают, что решение этих задач лежит преимущественно в плоскости государственного регулирования (около 54%). Еще 30% считают, что нужно внедрять культуру работы с ПДн и изменять поведенческие нормы их обработки. И только 15% считают, что эта проблема может быть решена с помощью технологий, причем самостоятельно выбранных, а не навязанных сверху.

Вот такое исследование. Правда, учитывая все последние новости, до учета этих моментов у наших регуляторов руки точно не дойдут.

19 коммент.:

Unknown комментирует...

Алексей, а что за исследование? Цифры печенкой чувствую верные, но хотелось бы ссылку. ;)

Ригель комментирует...

Поэтому требования по защите ПДн и должны устанавливаться государством, а не демократическим волеизявлением.

Korwin комментирует...

Кстати, да. Мои ПД это моя КТ, я их именно продаю разным компаниям за скидки, кредиты и проч. бонусы либо отдаю гос. органам (но тут уж от меня это сильно не зависит). Соответственно и подход нужно строить от этого, меры защиты должны быть сравнимы с выгодами. И в основном при запросе ПД пишу Vasya Pupkin, DC, Lenina,1, ))).

Андрей Абрамов комментирует...

Кроме финансовых(материальных) проблем при утечке ПДн, основную массу людей никакие другие не интересуют, о чем и пишет Алексей.
А законы в России сами знаете для кого пишут...

Анонимный комментирует...

Усилия государства нужно направить на НЕВОЗМОЖНОСТЬ криминального использования ПДн, даже если они стали известны злоумышленнику, тогда и утечки станут бессмыслены.

ROM комментирует...

Некоторые работодатели требуют заполнить анкету еще до знакомства с самой компанией. В анкете всё: начиная от данных паспорта, заканчивая вопросом о бабушках и дедушках (условно). Если не заполняешь, то шанс устроится стремится к нулю.

Недавний пример: компания ISOEMO. Анкету можно попробовать заполнить здесь: http://isoemo.ru/job

По всем параметрам я к ним подходил, но анкету заполнил с минимальным раскрытием данных о себе и меня не взяли.

-)гоист комментирует...

Да, сложно представить чтобы я в своих личных целях купил себе шредер, да и потом в нем всё резал (а уже есть 50% таких! с ума сойти). контентная фильтрация... о чем это?

Алексей Лукацкий комментирует...

Руслан: "Privacy and Rationality in
Individual Decision Making"

Ригель: В исследование речь идет не о мерах защиты, а о мерах повышения осведомленности. Вот на это государство долно концентрироваться. А они концентрируются на самом низком уровне, который проблему не решает. И к субъекту никакого отношения не имеет.

Trotsky комментирует...

Вы не поверите, но одна из очень известных косметических компаний, требует указать в анкете, при трудоустройстве знак зодиака(sic!), естественно в 4х страничной анкете ни слова о термине ПДн.

Анонимный комментирует...

Совершенно верно все сказано.. Не волнует их ничего. И очень верно замечено - блага то сейчас, а последствия потом.
А во многих компаниях вам легко подпишут бумагу, что дескать не против распространения своих данных в служебных целях кому угодно.

Анонимный комментирует...

Захочешь получить кредит или устроиться на работу - подпишешь что угодно.

Алексей Лукацкий комментирует...

А потом доказать, что это не свободное волеизъявление ;-)

Tomas комментирует...

tiger-66, в этих компаниях, хоть озаботились прочтением 152-ФЗ и пытаются что-то сделать, чтоб соответствовать, а в других... сами знаете.
Согласен, законом проблему не решить и это мы наблюдаем с 2006 года, но пиар закона - это и есть повышение осведомленности пользователей в нашей стране. В данном блоге Алексей этим и занимается, ну и еще немножечко Cisco))), но это тоже хорошо!

Д.Никитин комментирует...

Что то Волков примолк.. увлёк, видимо, его учебный процесс с молодёжью, которая торгует своими ПДн) очень не хватает его эмоциональных комментов.

Д.Никитин комментирует...

А ещё хочется напомнить, что кривая наша действительность до недавнего времени ФЗ-152 представляла чуть ли не локомотивом в развития ИБ для широких бизнес-кругов (так оно на самом деле и было)... а теперь и этот локомотив ходит исключительно по отечественным дорогам))

Алексей Лукацкий комментирует...

В отпуске он

Д.Никитин комментирует...

Да я тоже.. но на инфосеке надо же выступить! Только вот что людям то говорить? Операторам, праздношатающимся... Новая редакция - проблемы старые!

Amdei комментирует...

Ну вот, опять поклеп в сторону "тупых регуляторов".
Известно что критиковать легче чем самому делать.
А вот взять бы и написать что именно надо исправить в требованиях, и на что. Желательно с обоснованием.

Адрес куда слать подсказать? :-)

Алексей Лукацкий комментирует...

Уже давно все направлено через Минкомсвязь, которые просили сделать эту работу. А вот дальше посмотрим, прислушаются ли регуляторы или нет...

Но за адрес буду благодарен - по нескольким каналам всегда шансов больше.