Компании обеспечивают защиту данных, руководствуясь правовыми актами и требованиями регулирующих органов. Но поскольку данные касаются людей — клиентов, сотрудников, пациентов, поставщиков — при работе с данными нужно отдавать себе отчет, что имеются и этические причины не допускать нарушений. Данные, на первый взгляд не отражающие никаких сведений о физических лицах, все равно могут быть использованы для принятия решений, и в конечном счете навредят людям.
Этика обращения с данными – комплекс мер по обеспечению соответствия практик получения, хранения, управления, интерпретации, анализа, применения и ликвидации данных общечеловеческим этическим принципам, включая ответственность перед обществом
Цели организации по этике данных
Определение понятия и принципов
этичного обращения с данными в рамках организации
Разъяснение сотрудникам рисков
обусловленных ненадлежащим обращением с данными
Привитие желаемой культуры
и моделей поведения в сфере обращения с данными
Мониторинг нормативно-правовой среды
Отслеживание, оценка и корректировка организационных подходов к обеспечению этичного обращения с данными
Работа с данными должна выполняться с минимально возможным риском искажения, неверного представления, нецелевого использования или ошибочной интерпретации данных на протяжении всего жизненного цикла данных
Бизнес-драйверы развития этичной работы с данными
Соблюдение норм этики при работе с данными, повышает доверие к организации, к ее данным и к результатам деятельности. Это способствует улучшению отношений между организацией и третьими лицами.
В DAMA DMBOK2 достаточно подробно рассматриваются различные подходы к соблюдению этических принципов обращения с данными и регламенты Организации экономического сотрудничества и развития (ОЭСР), ЕС, США, Канады.
Законодательное регулирование этических вопросов
Глобальная тенденция такова, что повсеместно усиливается законодательное регулирование защиты персональных данных, а за основу модели берутся, в целом, стандарты ЕС, преимущественно GDPR («Общий регламент по защите данных» ЕС).
В частности, Федеральный закон РФ «О персональных данных» № 152-ФЗ основан, в общих чертах, на тех же принципах защиты данных, унаследованных от ОЭСР, что и европейский регламент GDPR.
Принципы «Общего регламента по защите данных» ЕС (General Data Protection Regulation, GDPR)
Честность, законность, прозрачность
Персональные данные должны обрабатываться согласно букве закона, честно и прозрачно в отношении субъектов данных
Ограничение целей использования
Персональные данные должны собираться лишь в строго и явным образом оговоренных законных целях и не могут обрабатываться или использоваться как-либо иначе, чем это диктуется их целевым назначением
Минимизация объема данных
Персональные данные должны быть адекватными и релевантными, а объем собираемых данных не должен превышать минимума, необходимого для их целевого использования
Точность данных
Персональные данные должны быть точными и при необходимости обновляться. Должны предприниматься все разумные меры по оперативному выявлению и незамедлительному удалению неточных данных
Ограничение сроков хранения
Персональные данные должны храниться в форме, допускающей идентификацию субъектов данных (физических лиц), не дольше, чем это необходимо для их обработки
Целостность и конфиденциальность
Процессы обработки персональных данных должны обеспечивать их надлежащую защиту от несанкционированного доступа, обработки и использования, а незаконных целях, утечки, случайного уничтожения или повреждения. Для этого должны быть приняты все доступные технические и организационные меры
Ответственность и подотчетность
Должностные лица, ответственные за защиту данных, обязаны соблюдать все сформулированные принципы и отчитываться о принятых мерах по защите персональных данных с предоставлением подтверждающих документов
Проектируемая конфиденциальность (privacy by design)
Концепция интеграции мер защиты конфиденциальных данных на этапе проектирования системы их обработки. При этом защита персональных данных рассматривается как одна из основных функций системы
Библиотека полезных документов по GDPR на сайте ЕС
Открыть
Примеры неэтичного обращения с данными и риски
Большинство людей, работающих с данными, понимает, что данные вполне можно использовать для формирования неверных представлений
Манипуляции с хронологией временем
Пример: на фондовых рынках публикуют котировки акций «по состоянию на момент закрытия биржевых торгов», когда они, как правило, дорожают по сравнению с усредненными котировками за прошедший день
Нечеткие определения или некорректные сравнения
«Data mining snooping», или «слепое прочесывание данных»: поиск выборки данных, дающая формально «статистические значимые» результаты корреляций, которые в реальности не выходят за пределы статистической ошибки и являются чисто случайными
Вводящие в заблуждения визуальные представления
Пример:играя масштабом шкалы, можно представить тенденцию более выигрышной или неприглядной, чем она есть на самом деле
Предвзятость, систематические ошибки и искажения
Пример: Сбор данных для подтверждения предопредленного результата. Вместо объективного сбора и анализа данных происходит подгонка выборки исходных данных под заказанный результат
Полезные материалы для изучения: как распознавать хитрости данных
Нестареющая классика: книга Дарелл Хафф «Как лгать при помощи статистики» от 1954 года и подборка визуализаций из ТВ, газет и журналов с примерами графических манипуляций
Узнать больше про книгу
Посмотреть подборку визуализаций
Этические трудности могут возникнуть в процессе интеграции и преобразования данных, и связаны с фундаментальными процессами управления данными, включая: → Ограниченность знаний о первоисточнике и происхождении данных → Некачественные данные → Ненадежные метаданные → Отсутствие документированной истории исправления данных
Формирование культуры этичного обращения с данными
Требования этичного обращения с данными безусловно включают соблюдение норм действующего законодательства, но помимо этого, они должны распространяться и на процедуры сбора, анализа и интерпретации данных, и на вопросы, связанные с повышением эффективности их использования как внутри, так и снаружи.
1. Обзорный анализ текущего состояния практик обращения с данными
2. Выявление и определение принципов, практик и факторов риска + механизмов контроля соблюдения установленных практик
3. Разработка стратегии обеспечения этичного обращения с данными и дорожной карты ее реализации
Компоненты стратегии должны включать следующее:
→ Положение о ценностях → Принципы этичного обращения с данными → Рамочная структура обеспечения соответствия → Оценки рисков → Обучение и коммуникации. Сотрудники должны дать расписку в том, что они изучили этический кодекс и знают о последствиях неэтичного обращения с данными. Обучение должно быть непрерывным → Дорожная карта → Аудит и мониторинг
4. Непрерывное обучение и коммуникация в области этичного обращения с данными
Микроблоги и другие средства внутренней коммуникации
Метрики
Количество сотрудников, прошедших обучение
Количество инцидентов с соблюдением/несоблюдением сроков качества
Вовлеченность корпоративного руководства
Общая ответственность и надзор за соблюдением принципов и правил этичного обращения с данными возложены как на должностных лиц, отвечающих за руководство данными, так и на юридическую службу компании. Совместно они отвечают за стандарты и политики обращения с данными, а также механизмы надзора за их соблюдение на практике.