Этика обращения с данными

1. ВВЕДЕНИЕ

Согласно простейшему определению, этика это принципы поведения, основанные на понимании того, что такое хорошо и что такое плохо. Этические принципы часто строятся вокруг идей о справедливости, уважении, ответственности, честности, целостности, надежности, про зрачности и доверии. Соответственно, этика обращения с данными занимается определени ем правил получения, хранения, управления, использования и ликвидации данных, которые в полной мере соответствуют общечеловеческим этическим принципам и нормам. Этичное обращение с данными — непременное условие долгосрочного успеха организации, желающей извлекать выгоду для себя из имеющихся в ее распоряжении информационных активов. Ведь неэтичное обращение с данными может привести к потере репутации и клиентов, поскольку подвергает риску людей, данные которых раскрыты. В некоторых случаях неэтичное обращение с данными считается незаконным1. В конце концов, для профессионалов в области управления данными и организаций, на которые они работают, этичное обращение с данными — часть их социальной ответственности.

Этика обращения с данными включает достаточно сложно устроенный комплекс правил, но все они выстроены вокруг трех ключевых понятий.

Воздействие на людей. Поскольку данные отражают индивидуальные характеристики и осо бенности людей и используются для принятия решений, которые влияют на человеческие жизни, крайне важно управлять их качеством и надежностью.

1 «Закон о преемственности и учете данных в медицинском страховании» (Health Insurance Portability and Accountabi lity Act [HIPAA], Pub. L. 104–191, 110 Stat. 1936) в США (1996), «Закон о защите личных сведений и электронных доку ментов» (Personal Information Protection and Electronic Documents Act [PIPEDA]) в Канаде (2000), «Общий регламент по защите данных» (General Data Protection Regulation [GDPR]) в ЕС (2016) и другие национальные законы о защите данных / конфиденциальности информации [в частности, Федеральный закон РФ № 152-ФЗ «О персональных данных» (2006). — Примеч. пер.] описывают обязанности, связанные с обработкой персональных идентификационных данных (например, ФИО, адресов, религиозной принадлежности, сексуальной ориентации и т. п.) и обеспечением неразглашения (ограничения доступа) подобной информации.

Риск злоупотребления данными. Нецелевое использование данных может негативно сказы ваться на отдельных людях или организациях. Таким образом, предотвращать возможность злоупотреблений — этический долг специалистов, работающих с данными.

Экономическая ценность данных. Поскольку данные имеют экономическую ценность, эти ческие нормы владения данными должны определять, кому и каким образом эта ценность может быть доступна.

Организации обеспечивают защиту данных, руководствуясь прежде всего действующими право выми актами и требованиями регулирующих органов. Тем не менее, поскольку данные касаются людей (клиентов, сотрудников, пациентов, поставщиков и т. д. и т. п.), профессионалы в области управления данными должны отдавать себе отчет в том, что имеются и этические (наряду с юри дическими) причины обеспечивать защиту данных и не допускать злоупотреблений. Данные, на первый взгляд не отражающие никаких сведений о физических лицах, всё равно могут быть ис пользованы для принятия решений, которые в конечном счете навредят людям.

Этическим императивом является не только защита, но и управление качеством данных. И те, кто принимает решения, и те, на ком эти решения сказываются, вправе рассчитывать на полноту

иточность данных, служащих основанием для принятия того или иного решения. И с деловой,

ис технической точки зрения профессионалы в области управления данными обязаны по этиче ским соображениям выполнять свою работу с минимально возможным риском искажения, не верного представления, нецелевого использования или ошибочной интерпретации данных. И эта обязанность охватывает весь жизненный цикл данных — от их создания до ликвидации.

Ксожалению, во многих организациях этого не понимают и, как следствие, не принимают всех необходимых мер по исполнению своих этических обязанностей в сфере управления данны ми. Где-то по традиции занимают чисто техническую позицию и делают вид, будто им не до того, чтобы разбираться со смыслом обрабатываемых данных; где-то исходят из представления, что достаточно соблюдать букву закона — и никакого риска от данных, имеющихся в их распоряже нии, не возникнет. Это весьма опасные заблуждения.

Среда, в которой обрабатываются и используются данные, стремительно эволюционирует

иразвивается. Сегодня организации находят такие применения данным, о возможности кото рых еще пару лет назад никто даже не догадывался. Законы вроде бы и предписывают некоторые этические принципы управления данными, но угнаться за всё новыми и новыми рисками, связан ными со стремительным эволюционным развитием информационных технологий, законодатели пока не в состоянии. Организации должны отдавать себе отчет в том, что защита доверенных им данных — их этический долг, и развивать соответствующую корпоративную культуру, в которой ценится этичное обращение с информацией.

К этике в полной мере применим один из сформулированных Эдвардом Демингом1 принци пов управления качеством: «Всё должно делаться правильно даже при отсутствии надзора». В бизнесе этичный подход к данным всё чаще рассматривается в качестве конкурентного пре имущества (Hasselbalch and Tranberg, 2016). Соблюдение норм этики при обращении с данны ми повышает доверие к организации, а также к ее данным и результатам деятельности. А это, в свою очередь, способствует улучшению отношений между организацией и заинтересованны ми лицами. Создание этичной культуры включает в себя обеспечение надлежащего руководства данными, в том числе учреждение структур, призванных контролировать и обеспечивать этичность как планируемых, так и достигнутых результатов обработки данных и не допускать, чтобы они подрывали доверие или могли интерпретироваться как посягательство на человече ское достоинство.

Обращение с данными происходит не в вакууме, и клиенты и другие заинтересованные лица ожидают этичного подхода и таких же этичных результатов от организаций и их процессов об работки данных. Снижение риска злоупотребления данными со стороны сотрудников, клиентов или партнеров служит ключевой причиной, по которой организации следует приступить к куль тивированию принципов этичного обращения с данными. Также организация несет моральную ответственность за обеспечение защиты данных от посягательств со стороны правонарушителей (защита от взлома и утечек; см. главу 7).

Различные модели владения данными по-разному влияют и на этику обращения с ними. К примеру, развитие технологий значительно расширило возможности организаций в плане об мена данными и их совместного использования. Но новые возможности обязывают организации еще этичнее относиться к принятию ответственных решений относительно дальнейшего распро странения данных, права на которые принадлежат не им или не им одним.

Недавно появившиеся во многих организациях должности директора по управлению данны ми (Сhief Data Officer, CDO), директора по рискам (Chief Risk Officer, CRO), директора по во просам конфиденциальности информации (Chief Privacy Officer, CPO) и директора по аналитике (Chief Analytics Officer, CAO) нужны для того, чтобы всецело фокусироваться на контроле рисков за счет установления соответствующей практики обращения с данными. Но ответственность ле жит не только на этих должностных лицах. Гарантией этичного обращения с данными может служить лишь понимание всеми сотрудниками организации рисков, обусловленных злоупотреб лением данными, а также приверженность организации практике обращения с ними на основе принципов, обеспечивающих защиту индивидуумов, и нравственных обязательств, связанных

с владением данными.

1 Уильям Эдвардс («Эдвард») Деминг (англ. William Edwards «Edward» Deming, 1990–1993) — американский специа лист по математической физике и классик научного управления качеством. — Примеч. пер.