Центр информационной секретности Electronic Privacy Information Center (EPIC) (http://www.epic.org/) определяет секретность как право отдельных пользователей на управление сбором, использованием и распространением личной информации, осуществляемым другими пользователями. Секретность данных в интернете подразумевает, что обработка сайтом персонально идентифицируемой информации (PII) попадает под широкий набор применимых в этом случае законов, индустриальных стандартов и рекомендаций. В общем, если информация попадает под категорию PII, необходимо обращаться с ней крайне осторожно. В противном случае могут возникнуть проблемы, начиная с недовольных клиентов и потери позиций на рынке и заканчивая штрафами и тюремным заключением.

Масштаб негативных последствий нарушения секретности является одной из причин, по которым ни одна книга по безопасности веб-сайта не будет законченной без упоминания о секретности данных в интернете. Другая причина заключается в том, что средства и методы обеспечения безопасности в значительной степени определяют соответствие веб-сайта установленным стандартам секретности.

Совет. PII – это информация, которая указывает на пользователя, например, имя, почтовый адрес или адрес электронной почты. Согласно электронной организации секретности данных TRUSTe (http://www.truste.org/) "персональные предпочтения пользователя, фиксируемые веб-сайтом посредством элементов cookie, являются персонально идентифицируемой информацией при присоединении к другой персонально идентифицируемой информации, предоставляемой вами в интернете". В директиве защиты данных этой организации Европейский Союз выделяет среди аспектов PII идентификационный номер, присваиваемый пользователю, и один или более факторов, присущих "физической, психологической, ментальной, экономической, культурной или общественной особенности".

Большинство стран мира считают, что секретность PII достаточно важна и должна быть защищена законом. В некоторых странах защита PII законом широко распространена и применяется практически ко всем персональным данным. В остальных странах, в особенности в США, защита, предусмотренная законом, является частичной и применяется только к определенной информации в определенных обстоятельствах. Например, существует федеральный закон, защищающий статус частности записей о видеопрокате, выпущенный в 1988 году, после того как в газетах были опубликованы записи, принадлежащие кандидату на должность в Верховном Суде Роберту Борку.

Работа с секретными данными, которую приходится выполнять операторам веб-сайтов, по существу, заложена в саму природу всемирной сети. Поэтому мы и говорим о законодательных актах, определяющих требования секретности как внутри государства, так и за его пределами. Тем не менее, для многих операторов коммерческих веб-сайтов требования закона относительно секретности данных часто являются не более чем базовым, минимальным стандартом, согласно которому они работают в интересах бизнеса. Например, на рисунке ниже изображен веб-сайт, отображающий "логотип секретности", являющийся формой, принятой среди операторов веб-сайтов; этот логотип отображается только на сайтах, соответствующих добровольному, самостоятельно примененному набору стандартов секретности.

Хорошим показателем, который говорит о важности сохранения секретности для веб-пользователей, является тот факт, что за три года с начала работы бюро TRUSTe его логотип стал самым "щелкаемым" элементом в интернете, опередив Microsoft, чей логотип остался на втором месте, и Yahoo!, Amazon и eBay вместе взятые. Все главные веб-порталы отображают этот логотип, его можно найти на пятнадцати из двадцати наиболее популярных веб-сайтов и на пятидесяти из ста наиболее посещаемых сайтов. Очевидно, что использование таких программ связано с денежными затратами, однако риск нарушения секретности и потерь завоеванных в бизнесе позиций делает их ценным вложением в "светлое будущее" многих компаний. Средства обеспечения секретности и разрабатываемые для этого технологии обсуждаются далее в лекции.

Парадоксы секретности

Задача по сохранению секретности информации является даже более сложной, чем обеспечение надежности самого сайта. В этом разделе мы объясним, почему обеспечение секретности в интернете является столь трудоемким процессом, а также поможем в затруднительной ситуации.

Обеспечение секретности представляет собой исключительно трудную задачу, так как никто до конца не понимает, что такое секретность в сегодняшнем компьютеризированном и зависимом от информации мире. Секретность в информационном веке остается поводом для обсуждения. Аналогично тому, как загрязнение окружающей среды является темной стороной века развития индустрии, опасность нарушения секретности является темной стороной века информационного. Согласны вы или нет с данным суждением, но нет никаких сомнений, что сегодня базы данных и компьютерные сети представляют угрозу для секретности персональных данных многих пользователей. Следовательно, необходимо обеспечить гарантии тем, кто обеспокоен проблемами защищенности своей личной информации.

Многие используют коммерческие продукты информационных технологий, которые зависят от предоставляемой пользователями личной информации. Хорошим примером служит потребительское кредитование, быстрое развитие и распространение которого стало возможным благодаря раскрытию данных о счетах и платежных историй клиентов. Другим примером является персонализированное обслуживание, специальные предложения и программы скидок. Например, когда я останавливаюсь в отелях предпочитаемой мною сети, я автоматически получаю возможность немедленной регистрации, бесплатного обновления комнаты, и мне бесплатно преподносят бутылку вина. Поэтому я стараюсь, по возможности, останавливаться именно в этих отелях. Те же принципы заложены в работе авиакомпаний по отношению к их постоянным клиентам. Эти программы возможны только в том случае, если клиенты доверяют компаниям, предоставляя им свои личные данные, такие как планы путешествий и личные предпочтения. Если предпочитаемая мной компания воспользуется моим доверием (например, продаст без разрешения сведения о моих предпочтениях рекламной компании, которая начнет бесконечно звонить мне по телефону с различной рекламной информацией), то, ясное дело, она перестанет быть предпочитаемой мною компанией.

Каждый раз, когда клиент видит, что его доверием пользуются, он, как правило, теряет желание предоставлять личную информацию. Применительно к интернету это выражается в том, что клиент не хочет вводить информацию о кредитной карте на веб-сайтах, так как сомневается, что эта персональная информация сохранится в секрете. Таким образом, первый парадокс секретности заключается в нежелании разглашать личные данные, несмотря на потребность в получении персонализированных предложений и услуг.

Важно. Посетители сайта сильно огорчатся, если узнают, что на сайте выполняются действия, нарушающие секретность их личных данных. Многие атаки на веб-сайты и атаки DoS мотивируются негодованием атакующих, что их личными данными воспользовались. Эти атаки ни при каких обстоятельствах не могут быть оправданы, однако принятие мер по защите, таких как регистрация и предупреждение пользователей о секретности, имеет смысл с точки зрения бизнеса.

Второй парадокс секретности связан с правом собственности на информацию. Возьмем список клиентов компании с именами и адресами людей, купивших товары или воспользовавшихся услугами. Как правило, компании рассматривают эту информацию как свою собственность. Действительно, данные о клиентах представляют серьезный компонент успешного бизнеса, в особенности, если сюда входит информация о предыстории покупок, излюбленных товарах, личных предпочтениях и т.п. Конкурент компании может дорого дать за эти данные, поэтому примите серьезные меры безопасности, такие как контроль доступа и шифрование. Помните, что компания владеет этими данными вместе с людьми, к которым они относятся, и это общее владение оговорено в законах.

Возьмем, к примеру, банк. Банк обязан знать, сколько денег хранится на счету клиента, но определенные законодательные акты ограничивают то, как и с кем банк может делиться данной информацией. С одной стороны, банку запрещается предоставлять информацию клиенту, если нет уверенности в том, что он действительно клиент (данный факт напрямую относится к веб-сайтам банков). С другой стороны, банк может сообщить любому человеку о том, сколько денег лежит на счету клиента, если эти данные являются агрегированными или "деидентифицированными" (лишенными идентификации). Банк может поделиться детализированной и полностью идентифицированной информацией о клиенте с другой компанией, например, с фирмой, занимающейся биржевым маклерством, или страховым агентством, но только в случае согласия клиента. Кроме того, разрешения клиента не требуется при предоставлении информации о счете клиента правительству (например, данные о депозитах и расходах, которые банк обязан сообщить согласно законам, связанным с отмывкой денег, уклонением от уплаты налогов и терроризмом). Банк обязан сообщать клиенту и о том, какой информацией о нем он обладает, и предоставить ему возможность исправления любых неточностей в этой информации.

Таким образом, второй парадокс секретности формулируется так: владение информацией о лицах не исключает для этих лиц знание отдельных аспектов или фрагментов данной информации. И третий парадокс секретности заключается в том, что владение информацией о лицах налагает обязательство на разглашение некоторой части этой информации, например, государственным службам или людям, указанным в этой информации.

Совет. В Европе используют термин "субъект данных" взамен расплывчатого словосочетания "человек, идентифицированный данными" или "человек, к которому относятся данные". В этой лекции термин "субъект данных" будет употребляться именно в этом смысле.

Пространство секретности

Упрощенно пространство секретности в США определяется двумя силами: маркетологами и правозащитниками, защищающими личные данные своих клиентов. Маркетологи используют информацию о субъектах данных для увеличения объема продаж (например, направляют им сообщения следующего содержания: "Дорогая Джейн! Мы знаем, что Вы предпочитаете останавливаться в самых лучших отелях, поэтому спешим сообщить Вам о том, что расценки на наши люксовые апартаменты снизились на 50 процентов"). Их цель заключается в анализе большого количества информации для выявления тенденций (например, городские семейные пары с новорожденными детьми, как правило, предпочитают питаться дома, поэтому имеет смысл направлять им предложения от ресторанов, обеспечивающих доставку). Правозащитники, защищающие личные данные своих клиентов, стремятся на законном основании сузить рамки действий компаний (и государственных организаций) по отношению к информации о лицах. Правозащитники в США считают необходимым издание правовых актов для тех областей, в которых они отсутствуют, чтобы люди контролировали использование их личной информации.

Мнения маркетологов и правозащитников очень сильно расходятся. Необходимо знать об этом, так как правозащитники выступают в роли неофициальных "стражей" секретности. В случае с товаром, получившим огромную популярность, о котором пойдет речь далее, крупная корпорация столкнулась с серьезными регулятивными мерами, касающимися определения секретности данных на сайте этой компании, благодаря немалому участию в этом Американского Союза человеческих свобод. Если маркетологи являются основной силой, поддерживающей сайт, то сопоставьте их перспективные действия с реальной возможностью того, что любое нарушение "честной информационной политики" привлечет внимание правозащитников и приведет к крайне негативным последствиям. В последние годы каждое крупное деловое или компьютерное издание публиковало, как минимум, одну реальную историю, связанную с секретностью. Это означает, что нельзя отразить поток критики, связанной с секретностью веб-сайта, просто сказав: "Я не знал, что это настолько важно".

Политики и определения секретности

Широкое отображение вопросов секретности в средствах массовой информации объясняет, почему при посещении любого сайта, принадлежащего известной компании, велика возможность увидеть на их домашней странице ссылку, содержащую слово "секретность" (см. рис. 12.1).

Такие ссылки обычно ведут на страницы, излагающие политику секретности веб-сайта компании. Если требуется, чтобы сайт был, образно выражаясь, "членом высшего общества", необходимо обеспечить наличие на всех главных страницах аналогичной ссылки. Иными словами, изложение политики секретности – это неотъемлемая часть структуры сайта. (Даже если сайт и не осуществляет сбор PII, изложение политики секретности в краткой форме обязательно должно присутствовать).

Совет. Некоторые сайты предлагают помощь в построении политики секретности. Порталы Better Business Bureau Online и TRUSTe предоставляют базовые модели политики секретности, которые можно адаптировать под свой сайт, а сайт Direct Marketing Association – бесплатный генератор политики секретности Privacy Policy Generator. Подобная программа имеется и на сайте Organization for Economic Cooperation and Development (ссылки в интернете расположены по адресу http://eprivacygroup.com/sources). Самым сложным является определение того, какие персональные данные обрабатываются сайтом, с целью корректного отражения этого в политике секретности. Трудности может вызвать привлечение юриста для изучения и заверения секретности.

Расположение на сайте определения секретности представляет собой не просто способ "выглядеть профессионально". Данный элемент обеспечивает ясность при просмотре сайта потребителем; когда пользователи посещают новые сайты, особенно, интернет-магазины, они ищут подобные определения политик. Вам могли попадаться на глаза сведения о том, что с определениями секретности знакомятся лишь некоторые посетители. Что ж, может быть, это и правда, но это не означает, что они не заметят отсутствие такой политики на посещаемых ими сайтах. Если "логотип секретности" на сайтах является лишь мерой визуального воздействия на посетителей, то особое внимание пользователей, уделяемое секретности их данных, может быть хорошо вознаграждено. Статистика показывает, что девять из десяти пользователей интернета не доверяют определениям секретности, если сайт не использует контролирующую программу типа TRUSTe. (Обратитесь к разделу "Логотипы секретности в интернете" для получения более подробной информации о том, как разместить подобный логотип на своем сайте.)

В чем состоит разница между политикой секретности и определением секретности? В некоторых случаях это одно и то же, хотя такой подход не совсем правилен. В идеальном случае в определении секретности на веб-сайте излагается то, каким образом сайт применяет общую политику секретности, особенно по отношению к элементам cookies, учету посетителей, адресам электронной почты и т.д. Правильно назвать это "политикой секретности веб-сайта", подразумевая определенную часть общей политики секретности веб-узла. Тем не менее, во многих компаниях размещение на веб-сайте определения секретности было "первым контактом" с вопросом секретности, после того как на сайте появились элементы, требующие наличия политики. В результате определение секретности веб-сайта становится фактически политикой секретности компании. Однако компаниям могут понадобиться (как из-за особенностей бизнеса, так и вследствие регулятивных мер со стороны соответствующих органов) политики, излагающие положения о других аспектах секретности. При размещении этих положений имейте в виду, что Федеральная торговая комиссия (FTC) рассматривает политики секретности, размещенные на веб-сайте, как описание автономного сбора данных, их использования и разглашения, если компания четко не определит, что политика секретности относится только к работе сайта в интернете. Другими словами, те заключения, которые приводятся на сайте, могут привести к серьезным последствиям, связанным с использованием данных самой организацией. (Роль FTC обсуждается далее в этой лекции.)

Принципы и практическая реализация секретности

Несмотря то, что отношение к распространению личной информации, особенно компьютерных данных, довольно различно, некоторые основные принципы устоялись годами, и о них рассказывается в этом разделе. Для получения более подробной информации посетите сайт http://eprivacygroup.com/sources.

Базовые принципы

Необходимо иметь в виду базовые принципы по нескольким практическим причинам. Во-первых, они представляют собой основу многих современных законодательных документов США, определяющих конкретные требования к секретности данных на веб-сайтах. Во-вторых, они стали основой законов о секретности данных во многих других странах. В некоторых странах базовые принципы секретности переросли в правовые акты, которые по умолчанию защищают личные данные.

В настоящее время в США используется избирательный подход к защите личной информации, который заключается в издании более тридцати законодательных актов, оговаривающих ситуации, связанные с секретностью записей о видеопрокате, школьных записей и данных водительского удостоверения (на уровне штатов реализована более сложная система законов). В недалеком будущем в США будет введена в действие обширная законодательная база, касающаяся секретности данных, а поскольку многие компании реализуют деловые взаимоотношения через интернет, ознакомление с принципами секретности позволит реализовать подход к ее обеспечению, отвечающий стандартам в любой сфере деятельности.

Оказывается, в США первый закон, связанный с секретностью компьютерных данных, был издан еще в начале 1970-х годов. Элиот Ричардсон, министр здравоохранения, образования и благополучия при Ричарде Никсоне, исследовал методы сбора информации в разных сферах. В результате появился отчет, широко известный под названием "HEW Report", явившийся основой для Акта о секретности, изданного в 1974 г., который определял меры защиты данных, обеспечиваемые федеральным правительством. Документ HEW Report (Отчет министерства здравоохранения, образования и благополучия) рекомендовал к применению федеральный документ "Свод законов о честных информационных взаимодействиях" по отношению ко всем автоматизированным системам обработки личных данных. Этот закон содержал пять принципов, по существу, являющихся "требованиями к защите", предъявляемыми к автоматизированным системам обработки личных данных.

1. Не должно существовать засекреченных систем записи личных данных.
2. Человек должен иметь возможность выяснить, какая информация о нем фиксируется, и каким образом она используется.
3. Человек должен иметь возможность запретить использование информации, предоставленной им для конкретных целей, для достижения каких-либо иных целей без его личного разрешения.
4. Человек должен иметь возможность корректировки или исправления записи, относящейся к информации о его личности.
5. Любая организация, выполняющая действия по созданию, управлению, использованию или распространению записей персонально идентифицируемой информации, должна обеспечивать надежность данных при использовании их по назначению, а также принимать меры предосторожности для предотвращения нецелевого использования данных.

Защита директив секретности Организацией экономического сотрудничества и развития (OECD)

Еще одни важные принципы секретности данных опубликованы в 1980 г. Организацией экономического сотрудничества и развития (OECD). Чтобы не приводить здесь основные положения OECD, мы предлагаем посетить страницу http://eprivacygroup.com/sources для ознакомления с полным документом. Этот сайт можно использовать для получения справочной информации по вопросам, связанным с секретностью данных в организации, так как этот документ формирует базу законов о секретности данных и практических решений во многих странах мира. Полное название документа звучит так: "Guidelines on the Protection of Privacy and Transborder Flows of Personal Data" ("Директивы защиты секретности и международного перемещения личной информации").

Одним из главных мотивов OECD при разработке этих директив стала необходимость обеспечения беспрепятственного перемещения необходимой с экономической точки зрения личной информации. Например, в 1991 г. шведской авиакомпании запретили передачу личных данных в таможенную службу США без предупреждения пассажиров о неадекватности законов США о защите данных, что было воспринято положительно. В другом случае бюро обработки данных Германии запретило обработку информации в Великобритании вследствие неадекватности законов этого государства. Франция даже затребовала гарантии в виде контракта, предусматривавшего строгое соблюдение французских законов, перед передачей генеалогических записей о мормонах в штат Юта.

Принципы честного информационного взаимодействия

Несмотря на то, что базовые принципы секретности разработаны задолго до коммерциализации сети интернет, они нашли четкое отражение в изданном в 1998 г. документе Федеральной торговой комиссии США "Privacy Online: A Report to Congress" ("Секретность в интернете: отчет для Конгресса"). Отчет начинался со следующего обзора.

За последнюю четверть столетия правительственные службы США, Канады и Европы выявили способы, при помощи которых в различных сферах осуществляется сбор и использование личных данных (т.е. реализуется "информационное взаимодействие"), а также определили меры, необходимые для обеспечения честности этих действий и защиты их секретности. В результате составлено множество отчетов, директив и сводов законов, представляющих широко распространенные принципы честной обработки информации. С момента публикации данный отчет стал достаточно важным документом, так как он определил текущую роль Федеральной торговой комиссии в "принудительной политике" в отношении секретности (ссылка на документ находится по адресу http://eprivacygroup.com/sources).

Давайте познакомимся с пятью ключевыми принципами защиты секретности, которые (по заключению Федеральной торговой комиссии) являются общими для всех изданных документов, и рассмотрим возможность их практического применения.

Уведомление/Осведомленность

Уведомление – это термин, который знаком специалистам в области информационной безопасности. Многие системы, включая веб-сайты, предупреждают пользователей об аспектах безопасности. Таким уведомлением является баннер, отображающийся при входе в сеть и предупреждающий о том, что доступ в сеть имеют только авторизованные пользователи. Это может быть всплывающее окно на веб-сайте, информирующее посетителей о том, что вход на сайт подразумевает их согласие с условиями его использования. В контексте секретности в интернете уведомление означает, что посетителям веб-сайта предоставляются сведения о политике работы с получаемыми личными данными посетителей. В "Отчете для конгресса" о секретности в интернете Федеральная торговая комиссия приводит следующие заключения.

Потребителям необходимо представить уведомление о подходах к обработке их личной информации в конкретной организации. Без этого потребитель не сможет принять обоснованного решения о необходимости и возможной степени разглашения личной информации. Более того, остальные принципы имеют смысл лишь тогда, когда потребитель осведомлен о политике организации и о своих правах.

С практической точки зрения основным способом уведомления о секретности для посетителей сайтов является определение секретности, описанное ранее. Для простых сайтов, которые не устанавливают на компьютеры элементы cookie и не запрашивают у пользователей их личных данных, такое определение разработать достаточно просто. Чем более сложную и интерактивную структуру имеет сайт, тем больше усилий придется приложить к разработке определения, оговаривающего все необходимые моменты. Ниже приведены основные аспекты, которые должны присутствовать в определении.

• Идентификация организации, осуществляющей сбор данных.
• Идентификация целевого использования данных.
• Идентификация любых потенциальных получателей данных.
• Природа собираемых данных и методы их сбора, если они не очевидны (пассивные, посредством электронного мониторинга, или активные, посредством запроса у потребителя соответствующей информации).
• Тот факт, является ли предоставление запрошенных данных добровольным или принудительным, а также последствия отказа в предоставлении запрошенной информации.
• Шаги, предпринимаемые сборщиком данных для обеспечения их конфиденциальности, целостности и качества.

Разумеется, в обязанности администратора сайта не входит объединение всей этой информации воедино и разработка определения секретности; в последние годы многие крупные организации назначали ответственных за секретность сотрудников для наблюдения за созданием политик секретности веб-сайтов. Тем не менее, если администратор является ответственным за веб-сайт лицом, он может выполнить часть этой работы, например, документирование входа в систему, использования элементов cookie и отслеживания потоков данных.

Вход в систему. Необходимо, чтобы посетители сайта знали, используются ли автоматизированные средства для сбора информации об их посещениях. На многих сайтах в связи с этим приводятся заключения следующего содержания: "Мы обрабатываем данную информацию по мере накопления для определения наиболее посещаемых страниц сайта, наиболее часто загружаемых форм и других характеристик, связанных с производительностью сайта. Данная информация не идентифицирует вашу личность. Мы не отслеживаем и не записываем информацию о посетителях и их посещениях нашего сайта. Агрегируемые нами данные обрабатываются посредством программной утилиты. Исходные данные журнала сохраняются в течение трех месяцев, после чего уничтожаются".

Можно указать, какие именно данные фиксируются, например, следующие.

• Домен интернета (например, www.earthlink.net) и IP-адрес (номер компьютера при работе в интернете).
• Тип браузера и операционной системы, используемой для доступа к сайту.
• Дата и время доступа к сайту.
• Просмотренные страницы и пути, по которым осуществлялся переход на сайте.

Использование элементов Cookie. Если сайт IIS использует элементы cookie для расширения возможностей и улучшения работы посетителей, то об этом необходимо сообщить. Можно разделить элементы cookie на два типа: сеансовые cookie, срок действия которых истекает при закрытии браузера, и постоянные cookie, загружаемые на компьютер пользователя для дальнейшего использования при работе с сайтом. Необходимо предоставить на страницах сайта информацию, поясняющую, какие данные собираются постоянными элементами cookie, для чего они предназначены и каким образом используются.

Позитивные уведомления о секретности

Определение секретности на сайте представляет собой основную форму уведомления о секретности, однако существуют и другие формы уведомления. Администратор сайта может разместить дополнительное уведомление там, где пользователи сайта вводят информацию в формы. Например, такого вида: "Информация, вводимая в эту форму, будет оцениваться в соответствии с нашим определением секретности". Данное сообщение говорит пользователю о том, что на сайте имеется действующая политика секретности, и это повышает уровень доверия пользователей к сайту, а следовательно, увеличивает число пользователей, заполнивших форму. В некоторых случаях рекомендуется применять более конкретные заверения, например, при запросе адреса электронной почты пользователя: "Мы обязуемся не разглашать ваш адрес электронной почты, и в каждом отправляемом нами сообщении будет присутствовать ссылка для выполнения отказа от рассылки, которая предотвратит дальнейшую отправку корреспонденции с нашего сайта на ваш адрес". Разумеется, если вы разместили на сайте такие заверения, будьте готовы их оправдать.

Отслеживание потоков данных. Многие компании, обеспечивающие поддержку секретности, сталкиваются с отсутствием документации о том, какие данные необходимо собирать, как осуществлять сбор данных, в каком месте их хранить или куда отправлять. Пользователь, у которого есть свой веб-сайт, вряд ли сразу ответит на эти вопросы относительно организации в целом, однако он может ответить на каждый из них применительно к своему веб-сайту. Эти ответы сформируют часть определения секретности, уведомляющую пользователей о том, какие данные фиксируются на сайте и куда они поступают (эти условия оговариваются, например, в соглашении о распространении данных или предоставлении другой организации в рамках сотрудничества).

Выбор/Согласие

Выбор означает предоставление потребителям опций, соответствующих способам получения от них любой личной информации. Это относится ко вторичному использованию информации, описываемому Федеральной торговой комиссией как "использование в целях, не являющихся необходимыми, для осуществления рассматриваемой транзакции". Она заключает также, что "подобное вторичное использование может быть либо внутренним и заключаться, например, в размещении данных о потребителе в списке рассылки для рекламирования дополнительных продуктов или предложений, либо внешним, таким как передача информации сторонним организациям".

Независимо от того, кто принимает решение об использовании личной информации, поступающей с сайта, администратор сайта должен предоставлять пользователям выбор, даже если это такой простейший элемент, как опция "Вы можете сообщать нам по электронной почте о специальных предложениях на соответствующие товары". Правозащитники предпочитают опциональную форму согласия, при которой пользователь подтверждает, что предоставляемая им информация будет использоваться определенным образом. Можно привести в качестве примера опцию "Я хочу получать информацию о новых продуктах", которая не отмечена по умолчанию, что позволяет пользователю подтвердить свое решение посредством ее выбора.

Некоторые правозащитники, занимающиеся защитой личных данных, идут дальше и требуют подтвержденный (двойной) выбор и для разрешения отправки электронной почты. Термин "подтвержденный выбор" означает, что когда пользователь отметит эту опцию и разрешит контактировать с собой, компании необходимо подтвердить этот факт (например, пользователь получит сообщение электронной почты с таким содержанием: "Вы разрешили нам отправлять вам сообщения электронной почты с информацией о специальных предложениях. Подтвердите, пожалуйста, ваше разрешение, отправив ответ на это сообщение"). Это может показаться излишним, но данный подход имеет некоторые преимущества, так как удивительно большое число пользователей допускает ошибки при указании адреса электронной почты. Подтвержденный выбор обеспечивает использование сайтом корректного адреса при отправке сообщений.

Среди маркетологов распространен подход, заключающийся в отказе от опционального выбора. Этот подход можно разделить на несколько уровней, главным из которых является использование информации о пользователе без какого-либо разрешения, пока от него не поступит возражений. Вы сталкивались с таким подходом при получении сообщения электронной почты от незнакомой компании, содержащего ссылку, с помощью которой можно отказаться от дальнейшего получения сообщений. Примером такого подхода может быть опция "Не присылать информацию о специальных предложениях по продуктам". Если эта опция отключена по умолчанию, человек, заполняющий форму, должен явно указать, что его информация не должна использоваться. Это более честный подход, нежели "псевдосогласие", при котором в опции "Использовать мои данные" по умолчанию выбрано значение "Да" (что особенно не по нраву пользователям, озабоченным секретностью своих данных).

Доступ/Участие

Данный принцип позволяет пользователю выяснить, какой именно информацией обладает администрация сайта, и проверить ее правильность и полноту, если он сомневается в ее корректности. Во многих интернет-системах в настоящее время отсутствуют решения по безопасному использованию таких процедур. Тем не менее, доступ к данным является значимым элементом честных информационных процессов и защиты секретности. Основным препятствием является обеспечение надежной и безопасной аутентификации пользователей. В настоящее время в соответствии с законами США о доступе к данным (акт Fair Credit Reporting Act) используются традиционные средства связи, такие как письма и факсы. Если не обеспечена высокая степень аутентификации пользователей при доступе через интернет (например, аутентификация по нескольким факторам), то доступ может быть предоставлен постороннему несанкционированному пользователю, выдающему себя за субъекта данных, что приведет к провалу секретности и разглашению личной информации.

Важно. Так как стоимость связи с клиентами через интернет и электронную почту ниже, чем связь по телефону или бумажную почту, администратор может реализовать доступ субъекта данных к базам данных компании через веб-сайт и/или электронную почту. Однако это связано с риском несанкционированного разглашения информации посредством подмены пользователя, предлога или перехвата незашифрованной электронной почты; этот подход не следует использовать, если руководство компании не знает об этих угрозах и не готово финансировать соответствующие меры безопасности.

Целостность/Безопасность

етвертый принцип заключается в том, что данные должны быть точными и защищенными. Для обеспечения целостности данных сборщики информации должны использовать только проверенные источники данных и ссылки, предоставляя доступ к данным, уничтожая неуместные данные или преобразовывая их в анонимную форму. Безопасность включает в себя управленческие и технические меры защиты от потери данных и несанкционированного доступа, уничтожения, использования или разглашения информации. Управленческие меры включают в себя внутренние организационные меры, ограничивающие доступ к данным и их несанкционированное использование. Ниже приведены технические меры по предотвращению несанкционированного доступа к данным.

• Ограничение доступа при помощи списков контроля доступа (ACL), сетевых паролей, средств безопасности баз данных и других методов.
• Хранение данных на безопасных серверах, к которым невозможен доступ из интернета или через модем.
• Шифрование данных при передаче и хранении (применяя протокол защищенных сокетов SSL при отправке информации через веб-сайт).

Принуждение/Компенсация

Федеральная торговая комиссия США сделала вывод о том, что "основные принципы защиты секретности могут быть эффективными только в том случае, если есть механизм, принуждающий к их соблюдению". Что это за механизм, зависит от нескольких факторов. Как будет показано далее, сайт необходимо привести в соответствие с определенными законами секретности. Организация, которой принадлежит сайт, может прибегнуть к индустриальным нормам и стандартам или использовать программу "логотипа секретности", причем в обоих случаях используются механизмы публичного вынесения решений и определения последствий ошибки. Секретное действие против организации представляется возможным, если выяснилось, что организация несет ответственность за нарушение секретности, которое причинило ущерб какому-либо лицу. Кроме этого, уже имели место процессы по групповым искам, связанным с нарушением секретности.

Законы, связанные с секретностью

Независимо от личного мнения администратора сайта о принципах секретности существуют законы, которым сайт должен соответствовать в обязательном порядке, включая конкретные требования к безопасности. В данном разделе мы определим, выполняет ли сайт обязательства, связанные с секретностью и безопасностью.

В полномочия ответственного за сайт лица может не входить определение законов, которые должны быть применены к сайту. (Проконсультируйтесь у квалифицированного юриста, особенно если предполагаете применить к сайту какие-либо законы. Данная книга не является пособием по юриспруденции, а этот раздел не следует воспринимать как юридическую консультацию.) Разумеется, даже если полномочия администратора ограничиваются только безопасностью веб-сайта, ему полезно знать о том, какие законы применимы к сайту, и как они связаны с его безопасностью. Для получения более подробной информации перейдите на страницу http://eprivacygroup.com/sources.

Акт о защите секретности информации, вводимой в интернете детьми

• Разместить на веб-сайте четкие и полные сведения о политике секретности, описывающие действия, которые сайт выполняет с информацией, предоставляемой детьми.
• Разместить на сайте примечание для родителей, а в некоторых случаях получать заверенное согласие родителей ребенка перед началом сбора с него личной информации.
• Предоставить родителям выбор для разрешения сбора и использования информации о ребенке и наложения запрета на разглашение этой информации сторонним организациям или лицам.
• Предоставить родителям доступ к личной информации, вводимой их детьми, для просмотра или удаления.
• Предоставить родителям возможность предотвращения дальнейшего сбора или использования информации.
• Обеспечить конфиденциальность, безопасность и целостность информации, вводимой детьми на сайте.

Обратите внимание на последний пункт. По существу, закон говорит о том, что сайт должен быть защищенным. Хотя этот закон относится не ко всем веб-сайтам, он подталкивает к принятию более серьезных мер по обеспечению безопасности сайта.

Еще одно условие данного закона олицетворяет принцип "необходимого минимума". Детским веб-сайтам запрещено брать с детей больший объем информации, нежели минимально необходимый, для участия в том или ином действии. Предположим, что вы отвечаете за безопасность сайта, попадающего под закон COPPA. По существу, COPPA требует защиты информации, собираемой сайтом, но разве в обязанности администратора входит отслеживание того, что данные, вводимые в формы на сайте, соответствуют ограничениям COPPA? Ответ на этот вопрос зависит от структуры рассматриваемой организации и разделения полномочий.

Независимо от того, чьей обязанностью является соблюдение закона COPPA, полезно знать о том, что Федеральная торговая комиссия США одобрила несколько программ безопасности Safe Harbor для COPPA. Программы Safe Harbor представляют собой саморегулирующие директивы, в которых говорится о соответствии постановлениям правительства. Программа COPPA Safe Harbor участвует в программе TRUSTe из Entertainmet Software Rating Board (ESRB) (Таблица рейтинга развлекательного программного обеспечения) и в Children’s Advertising Review Unit of the Council of Better Business Bureaus (CARU) (Детский центр рекламного обзора Совета лучших бюро занятости), являющейся пропагандой саморегулирующей индустриальной программы.

Акт Gramm-Leach-Bliley

С лета 2001 г. многие американцы получили большое количество писем с информацией о секретности от банков, компаний кредитных карт и других финансовых институтов. Это стало результатом выхода в свет Акта о модернизации финансового обслуживания в 1999 году, который чаще называют Актом Gramm-Leach-Bliley или G-L-B по фамилиям трех конгрессменов, представивших законопроект. Главной целью G-L-B было выведение из действия регулятивных мер, введенных после депрессии Актом Glass-Steagall в 1933 г. Согласно G-L-B поставщики финансовых услуг, включая банки, охранные агентства и страховые компании, могут взаимодействовать друг с другом и проникать на рынок друг друга (целью является открытая и свободная конкуренция в сфере финансовых услуг). Однако в процессе рассмотрения законопроекта многие высказали свою озабоченность в связи с распространением информации между компаниями различных категорий, например, между страховыми компаниями и банками, которые получат новые возможности для "перекрестных продаж" согласно закону G-L-B.

Непосредственно к веб-сайтам относится раздел закона под названием "Разглашение непубличной частной информации". В данном разделе говорится: "Каждый финансовый институт имеет необходимое и постоянное обязательство защищать секретность своих клиентов… Финансовый институт имеет необходимое и постоянное обязательство обеспечивать безопасность и конфиденциальность непубличной частной информации о своих клиентах". Основное применение закона аналогично применению COPPA: когда тип данных, обрабатываемых сайтом, попадает под категорию, о которой говорится в законопроекте, то защита этих данных обязательна на основании закона. В действительности закон G-L-B стал сводом стандартов безопасности, которым должны отвечать финансовые институты (ссылки на эти стандарты расположены по адресу http://eprivacygroup.com/sources).

Согласно G-L-B финансовым институтам запрещается разглашение непубличной частной информации несвязанным с ними третьим сторонам (либо напрямую, либо через партнера), если данный финансовый институт четко и конкретно:

• не оповестил клиента о том, что его информация может быть разглашена какой-либо третьей стороне;
• не предоставил клиенту возможность запретить разглашение информации;
• не предоставил описание метода, с помощью которого клиент может запретить разглашение.

Отдельная часть законодательного акта ставит вне закона получение непубличной персональной информации посредством жульничества (этот вид незаконной деятельности называется доступом под предлогом, когда злоумышленник выдает себя за авторизованное лицо для доступа к личным данным). Имейте в виду, что закон G-L-B применим не только к банкам и страховым компаниям. Данный законодательный акт говорит о "финансовом институте" в широком смысле, включая любые организации, участвующие в процессах, по определению являющихся финансовыми, а также подразумевается любая другая активность, которая может быть зафиксирована федеральными органами. В число этих организаций входят компании, занимающиеся ипотечным кредитованием, выплатами по чекам, электронной передачей денежных средств, туристические агентства, осуществляющие денежные операции, сборщики налогов, консультанты по кредитам, компании по подготовке данных о налогах и т.д.

Любая организация, попадающая под действие закона G-L-B, в обязательном порядке должна четко определить свою политику и действия по обеспечению секретности, особенно, если речь идет о разглашении непубличных персональных данных партнерам компании и лицам, которые в прошлом были клиентами данного финансового института; также должны четко определяться категории непубличной личной информации, собираемой организацией, меры защиты, обеспечивающие конфиденциальность и безопасность непубличной персональной информации.

G-L-B требует использования полнофункциональной программы по защите информации, включающей в себя административные, технические и физические меры по обеспечению безопасности записей и информации клиента в соответствии с размером и сложностью организации, ее природой и областью деятельности. Совет директоров организации должен одобрить и вести наблюдение за процессом разработки, применения и управления программой по обеспечению безопасности информации. Организация должна уделять особое внимание выбору и отслеживанию работы поставщиков услуг, которые обеспечивают соответствующие меры безопасности, для удовлетворения установленным директивам. Другими словами, если вы отвечаете за веб-сайты, принадлежащие финансовым организациям или компаниям по обслуживанию таких организаций, защита этих сайтов является обязательной по закону.

ПРОБЛЕМА

Руководство компании приняло решение обновить веб-сайт IIS, чтобы клиенты могли заказывать товары и осуществлять платежи по кредитным картам. Какие меры предпринять для обеспечения секретности? Требуется ли соответствие положениям закона G-L-B? Какие другие законы, связанные с секретностью, будут относиться к сайту?

Во-первых, необходимо задать эти вопросы юридическому консультанту, чтобы получить точную и самую свежую информацию для принятия решений, связанных с секретностью.

Если прием платежей по кредитным картам будет реализован самостоятельно, то сайт не попадает под действие закона G-L-B. Однако в случае поэтапной оплаты, когда с кредитной карты клиента первоначально снимается только часть стоимости дорогого товара, а остальная сумма погашается в рассрочку, сайт попадает под действие Акта G-L-B.

Независимо от положений Акта G-L-B администратор может обновить определение секретности сайта, чтобы отразить в нем сбор персональных данных (адреса и номера телефонов), необходимых для обработки платежей по кредитным картам. Необходимо убедить покупателей в том, что их личная информация не попадет к третьим лицам и не будет использована в рекламных целях без их личного разрешения. Администратору необходимо также обеспечить меры безопасности для защиты информации о кредитных картах при ее передаче, обработке и хранении.

Акт о переносимости и ответственности страхования здоровья (HIPAA)

Не следует сразу пропускать этот раздел, если сайт не связан со страхованием здоровья. Законодательный акт США, называемый HIPAA (Health Insurance Portability and Accountability), содержит гораздо больше информации, чем можно предположить по названию. Если сайт даже косвенно связан со здоровьем, медициной или медикаментами, необходимо ознакомиться с HIPAA, чтобы узнать, как относится данный закон к сайту.

Многим акт HIPAA больше известен как акт Кеннеди-Кессбаума, изданный в 1996 г. с целью облегчения страхования здоровья при смене работы. Авторы законодательного акта, сенаторы Кеннеди и Кессбаум, сделали вывод о том, что описанные обстоятельства поднимут стоимость страхования здоровья (например, из-за ограничения страховых компаний в отклонении требований или отказе в предоставлении услуг). Закон призван обеспечить компьютеризацию медицинских записей, особенно в области ведения счетов и платежей. Многочисленные исследования показали, что стандартизация кодов платежей обеспечивает огромные финансовые выгоды страховым компаниям и здравоохранительным организациям, увеличивает скорость и точность осуществления платежей при уменьшении числа младших сотрудников. Ранее подобные предложения не принимались, поэтому в законе HIPAA они вынесены в отдельный раздел под названием "Административное упрощение".

Сайт может попасть под действие закона HIPAA, поскольку в разделе "Административное упрощение" законодатели упомянули потенциальную утерю секретности, связанную с компьютеризацией медицинских данных. Согласно Закону о секретности (изданному в дополнение к Акту HIPAA) организация не имеет права использовать или разглашать информацию о защите здоровья, за исключением конкретных обстоятельств, описанных в законе. Более того, говорится, что "организация должна иметь соответствующие административные, технические и физические средства безопасности для защиты секретности информации о здоровье".

Эти средства безопасности описываются в документе Security Rule (Правило безопасности), который "определяет требования к безопасности, необходимые для защиты конфиденциальности и секретности информации, о которых идет речь в Законе". В Правиле безопасности описываются средства защиты для физического хранения и управления, передачи и доступа к личной информации о состоянии здоровья. Правила относятся не только к транзакциям, попадающим под действие закона HIPAA, но и к любой личной информации о состоянии здоровья, передающейся по электронным каналам. К счастью, Правило безопасности не требует использования каких-либо конкретных технологий. Оно подразумевает применение различных решений в зависимости от требований той или иной организации.

На кого распространяется закон HIPAA?

HIPAA относится ко всем здравоохранительным организациям и связанным с ними объектам, включая клиники, больницы, частные врачебные организации, персонал, страховые компании, расчетные палаты, пункты выписки счетов, поставщиков информационных систем, организации сферы услуг и учебные заведения. Правило секретности предусматривает защиту секретности информации, относящейся к здоровью лиц, лечению или плате за медицинские услуги. Правило секретности дает лицам право на получение письменного уведомления о том, какие действия выполняются с их информацией, а также право на доступ и изменение информации о состоянии здоровья. Клиники и поставщики других услуг, связанных со здоровьем, должны предоставлять клиентам журналы с данными о разглашении информации и получать письменное разрешение клиентов на использование информации в целях, которыми не являются лечение, внесение платежей или операции, связанные со здравоохранением. Организации должны ограничить до необходимого минимума разглашение информации. На сегодняшний день срок действия Правила секретности уже истек (апрель 2003 г.), хотя некоторые его детали прорабатываются до сих пор. Срок действия Правила безопасности еще не установлен, поэтому трудно говорить о том, как "попадающая под действие закона" организация может соответствовать Правилу секретности без применения мер, о которых говорится в Правиле безопасности.

Для веб-сайтов HIPAA применяется аналогично положениям о принципах честного информационного взаимодействия. Каждый раз при предоставлении личной информации через сайт ее владелец должен в обязательном порядке уведомляться об этом. Информация должна шифроваться при передаче (здесь устанавливаемым требованиям вполне отвечает SSL) и быть защищенной при хранении (что означает ее хранение вне самого веб-сервера). Запросы на доступ к личной информации могут поступать через веб-сайт, но в этом случае нужно соблюдать особую осторожность. Если на сайте не реализована аутентификация, то нельзя гарантировать, что доступ к информации получит именно тот, кому эта информация принадлежит. Аутентификация может проводиться в различных формах, вплоть до обычных бумажных анкет, заполняемых владельцем информации.

Совет. Для привлечения внимания руководства к закону HIPAA следует уведомить его о том, что закон предусматривает строгие наказания по гражданской и уголовной ответственности, включая штрафы до $25 000 за неоднократное нарушение закона за календарный год, даже если эти нарушения несущественны. Нецелевое использование информации о здоровье может привести к штрафам до $250 000 и/или тюремному заключению на срок до десяти лет.

Правила секретности стран мира

В последние годы во многих странах изданы новые законы в области секретности. Веб-мастеру не обязательно знать обо всех законах, однако в зависимости от тематики сайта следует обдумать, как он соответствует правилам секретности, имеющимся в других странах. В предыдущих разделах подразумевалось, что веб-сайт расположен в США и, следовательно, подчиняется законам США. В этой книге описаны не все правила секретности, имеющиеся в странах мира. Посетив приведенные ссылки, можно получить информацию о законах других стран. Рассмотрим ситуацию, когда сайт находится в Европе (на территории Европейского Союза), чтобы рассказать о законах целого ряда стран; при этом затронем такой важный аспект секретности как "международные потоки данных".

Европейский Союз представляет собой географически, экономически и политически взаимосвязанную структуру, состоящую из пятнадцати стран: Австрии, Бельгии, Дании, Финляндии, Франции, Германии, Греции, Ирландии, Италии, Люксембурга, Нидерландов, Португалии, Испании, Швеции и Великобритании. Общее население Европейского Союза больше, чем население всей Северной Америки, а в его состав входят десять из пятнадцати богатейших наций мира.

В далеких восьмидесятых годах некоторые члены ЕС начали создание законодательной базы, призванной защитить субъектов данных. Например, в Великобритании в 1984 г. был издан Акт о защите данных, в основу которого заложен принцип принуждения/восстановления, и создан орган, во главе которого стоял Комиссионер защиты данных; в этой структуре проходили регистрацию все контроллеры данных. Под контроллером данных подразумевалось любое лицо, определяющее цели и способ обработки данных; это мог быть любой человек, владеющий базой данных с информацией о других людях. В реестре общего доступа приводились имена и адреса контроллеров данных и общее описание процесса обработки данных, осуществляемого тем или иным контроллером. (Акт о защите данных Великобритании обновлен в 1998 г., однако лежащий в его основе принцип регистрации в базе данных остался неизменным, что иллюстрирует разницу между подходами к защите данных в США и в Европе.)

Несмотря на то, что члены ЕС свободно издают свои собственные законы, они обязаны согласовывать их с соответствующими законами других стран Союза. Так, в 1995 г. издана Директива о защите данных (DPD), призванная согласовать законы о защите информации. Директива DPD вступила в силу в 1998 г.; она не только устанавливала общие стандарты защиты данных, но и определяла "основополагающие права и свободы обычных людей, и, в частности, их право на сохранение секретности при обработке их личной информации". Согласно директиве DPD, личные данные должны:

• обрабатываться честно и с полным соблюдением законов;
• собираться для определенных, конкретных и легальных целей;
• быть адекватными, соответствующими и не избыточными в отношении той цели, с которой они собираются;
• быть точными и, если это необходимо, постоянно обновляемыми;
• содержаться в форме, разрешающей идентификацию субъектов данных в течение промежутка времени, не превышающего срока, необходимого для удовлетворения целей сбора данных и последующей обработки.

По большей части, это несколько иная интерпретация четко устоявшихся принципов, но в директиве DPD говорится о том, что "передача третьей стороне личных данных, которые подвергаются обработке или будут обрабатываться после передачи, может осуществляться только в том случае, если…рассматриваемое государство обеспечит достаточный уровень защиты". Иными словами, директива DPD запрещает передачу личных данных странам, не входящим в ЕС, которые считаются "небезопасными" с точки зрения обеспечения безопасности личных данных. Следует заметить, что США рассматриваются как "небезопасная" зона. Ниже приведено дипломатическое заключение об этом с веб-сайта Министерства торговли США.

Общей целью США и ЕС является повышение уровня защиты данных, но США используют другой подход к защите секретности, чем ЕС. США используют секторальный подход, основывающийся на комбинации законов, регулятивных мер и саморегуляции. В Европейском Союзе используются методы, основанные на всеобъемлющем законе, который требует создания правительственных служб по защите данных, регистрации баз данных в этих службах и, в некоторых случаях, получения предварительного разрешения перед началом обработки данных. В результате основательного различия в этих подходах директива DPD препятствует возможности США участвовать в трансатлантических транзакциях.

Документ "U.S./EU Safe Harbor"

К счастью, Министерством торговли США установлен некий "мост" между столь различными подходами посредством разработки особых положений, с помощью которых организации США могут действовать в рамках директивы DPD. После проведения консультации с Европейской Комиссией в Министерстве торговли США разработан документ "Safe Harbor" ("Залив безопасности"), одобренный Европейским Союзом в июле 2000 г. На сайте Министерства торговли этот документ описывается следующим образом.

"Safe Harbor" представляет собой действенный способ избежать прерывания деловых взаимоотношений компаний США с Европейским Союзом или запрета операций на основе европейских законов о секретности. Сертификация документа "Safe Harbor" обеспечивает тот факт, что организации Европейского Союза будут уверены в обеспечении американскими компаниями "адекватной" защиты секретности, определенной в Директиве.

Совет. Документ "Safe Harbor" не является обязательным в двух случаях: если субъект данных не имеет возражений против передачи данных, или если передающая сторона использует "адекватные средства защиты" данных в принимающей их стране, что подтверждается заключением договора между передающей и принимающей сторонами. Оба эти исключения используются при передаче данных в США из ЕС.

Любая компания в США, меры по защите секретности которой соответствуют положениям документа "Safe Harbor", может получить одобрение европейских организаций, обеспечив "адекватную" защиту секретности, определенную в директиве. Американская компания должна использовать семь принципов документа Safe Harbor. Они представляют собой разновидность основных концепций секретности и находятся в разделе Safe Harbor веб-сайта Министерства торговли США (http://www.export.gov/safeharbor/). На сегодняшний день в список сертифицированных организаций входит более ста компаний.

Совет. Концепция Safe Harbor уже упоминалась ранее в отношении закона COPPA. TRUSTe (одна из организаций, одобренная Федеральной торговой комиссией США в части использования Safe Harbor для COPPA) предлагает программу EU Safe Harbor. Очевидно, что с помощью TRUSTe можно решить множество проблем, однако нельзя просто "приобрести" защиту, оплатив стоимость лицензии. Необходимо предпринимать все меры для соответствия требованиям TRUSTe.

Средства построения и применения политик секретности

Специалисты в области информационной безопасности используют сетевые сканеры для обнаружения уязвимых мест сети. В настоящее время на рынке существуют также продукты и услуги, призванные помочь в применении и аудите политик секретности.

Продукты, предназначенные для обеспечения секретности в интернете

Мы уже упоминали средства построения политики, например, продукты организации Direct Marketing Association (DMA) и Организации экономического сотрудничества и развития (OECD). Генератор политики создает политику секретности, а другие продукты, описываемые в данном разделе, совершенствуют ее.

PrivacyRight

Компания PrivacyRight предлагает систему TrustFilter, упрощающую управление секретной информацией о клиентах. Она интегрируется со структурами управления информацией на предприятии, и основной ее функцией является разработка единой безопасной точки доступа к личной информации о клиенте. Пакет TrustFilter состоит из системы разрешений и сервера аудита. Система разрешения представляет собой промежуточную Java-платформу уровня предприятия, усиливающую контроль над секретностью посредством оценки запросов на данные и сопоставления их с наборами правил динамического контроля доступа. Система разрешений включает в себя набор правил секретности, созданных в соответствии с требованиями законов. Поддержка нескольких наборов правил делает возможной обработку ситуаций с конфликтующими законами (например, когда правила штата замещают федеральные правила).

Сервер аудита предназначен для IT-администраторов и потребителей, он управляет разрешениями и использованием данных. Он ведет запись функций системы TrustFilter, фиксирует детали аутентификации при запросах на раскрытие данных, а также разрешает и отклоняет эти запросы. Авторизованным пользователям по требованию представляется отчет аудита в виде твердой копии или в электронном виде. Администраторы могут просматривать отчеты с информацией об изменении политик и запросах на авторизацию, что помогает при вынесении положительных или отрицательных решений о доступе к данным.

IDcide

Семейство продуктов PrivacyWall от IDcide разработано для предотвращения нарушения сайтом секретности пользователей. PrivacyWall тщательно анализирует даже самые сложные веб-сайты и выводит отчет обо всех ключевых моментах, которые должны быть известны заинтересованному в секретности лицу. Например, отображает все личные вопросы, задаваемые на сайте, предупреждает о наличии веб-конструкций, вызывающих утечку секретных личных данных, выявляет веб-страницы со случайно опубликованными личными данными, а также обнаруживает веб-сайты, управление которыми осуществляется без разрешения руководства.

В семействе PrivacyWall представлено два продукта. Программа ProvacyWall Site Analyzer используется для удаленного анализа веб-сайтов либо самим администратором сайта, либо консультантом, лицензировавшим продукт. С помощью этой программы можно быстро разобраться в том, как на сайте реализована обработка личной информации, и разработать соответствующую политику секретности. Программа PrivacyWall Site Monitor обеспечивает необходимые инструменты для самостоятельной разработки средств обеспечения секретности и безопасности. Эта программа легко устанавливается в качестве пассивной части инфраструктуры и обеспечивает постоянный надзор за соответствием требованиям секретности.

IBM Tivoli Privacy Wizard

На сайте IBM можно бесплатно загрузить программу Tivoli Privacy Tool, предназначенную для преобразования письменной политики секретности в электронные правила секретности, которые могут использоваться предприятием и программным обеспечением для повышения уровня защиты или преобразовываться в стандартизированные наборы правил секретности, такие как P3P. С помощью этой программы можно импортировать имеющиеся политики или использовать графический интерфейс программы для создания и корректировки политик секретности согласно законам или требованиям организации. Данная программа определяет, кто может использовать данные, какие именно это данные, и с какими целями они могут быть использованы. В программе имеются автоматические ссылки на программное обеспечение, предназначенное для управления секретностью данных на предприятии.

Другие службы секретности

Если нет возможности заплатить за программы для обеспечения секретности, либо если в организации слишком мало сотрудников в этой области, можно привлечь кого-либо для частичной реализации поставленной задачи. Совет секретности предлагает услуги службы Privacy Scan для детальной проверки веб-сайта, в результате работы которой выявляется следующее:

• перечень элементов cookie на сайте (включая расположения и сроки действия), а также наборы параметров и значений в формате P3P;
• сравнение открытых действий элементов cookie с установленной политикой секретности;
• представление журналов cookie, комбинаций элементов cookie и форм, а также информации, связанной с безопасностью cookie;
• результаты тестирования безопасности и конкретные рекомендации относительно общих правил соблюдения секретности, особенно касательно политик P3P, а также информация об аспектах соответствия.

После сканирования специалисты Совета секретности анализируют данные относительно индустриальных законов и подходов, а также изучают установленную в компании политику секретности. Они создают отчет, в который включают все обнаруженные аспекты, конкретные рекомендации и инструкции по дальнейшим действиям. Аналогичные услуги предоставляют большие консалтинговые фирмы (например, PricewaterhouseCoopers и IBM Global Services) либо небольшие компании, такие как ePrivacy Group.

Логотипы секретности в интернете

В данном разделе приводится информация о программах, предусматривающих размещение на сайтах логотипов секретности. Основная цель этого размещения заключается в лицензировании логотипа у соответствующей ему организации, как правило, за определенную плату. Сайт приводится в соответствие стандартам, представляемым логотипом. Когда пользователь щелкает на логотипе, появляется сообщение, уведомляющее его об этом.

TRUSTe

Будучи некоммерческой организацией, созданной совместными усилиями многих крупнейших интернет-компаний, TRUSTe разработала широко известный сегодня логотип секретности. Программа логотипа секретности TRUSTe основана на трех основных элементах.

• Программные принципы. Призваны обеспечить реализацию на сайте честных информационных взаимодействий.
• Контроль. Меры, предпринимаемые TRUSTe для обеспечения соответствия лицензированных веб-сайтов установленным политикам секретности.
• Резолюция. Роль, которую выполняет TRUSTe при обработке вопросов и жалоб, поступающих от потребителей в отношении сайта.

После прохождения формальностей для получения лицензии представитель TRUSTe проводит исследование сайта на соответствие принципам программы, требованиям секретности и использованию метки доверия. Представитель организации будет периодически контролировать сайт для проверки заявленной политики секретности, а также на наличие изменений.

TRUSTe "просеивает" веб-сайты, учитывая уникальные идентификаторы в базе данных сайтов. Без вашего ведома TRUSTe отправит на сайт информацию об уникальном пользователе и проведет отслеживание результатов для проверки того, соответствует ли процесс сбора и использования информации установленной политике. В дополнение к этому TRUSTe разработала удобную интерактивную форму отчетов, с помощью которой любой пользователь может сообщать о подозрениях в нецелевом использовании логотипа доверия. Ключевым моментом, обуславливающим успешную деятельность программы TRUSTe, является возможность сообщать обладателю лицензии о нарушениях установленных политик секретности, нецелевом использовании логотипа доверия TRUSTe или об определенных моментах, связанных с секретностью. Для получения более подробной информации посетите сайт http://truste.org.

BBBOnLine

Программа BBBOnLine Privacy предоставляет логотип секретности компаниям, сайты которых соответствуют стандартам, установленным в требованиях программы. Они включают в себя размещение онлайнового уведомления о секретности, всестороннее обеспечение секретности, отслеживание и обзор доверенной организации, а также участие в программах разрешения вопросов потребителей. За дополнительной информацией обратитесь к сайту http://bbbonline.com.

Специализированные логотипы

Имеются также логотипы Children’s Privacy (защита секретности информации, получаемой от детей), EU Safe Harbor и E-Health (секретность информации о состоянии здоровья) от компании TRUSTe. Для подтверждения доверия к сайту используется логотип BBBOnLine Reliability Seal (логотип надежности), подтверждающий надежность записей клиента интернет-магазина. Компания Health On the Net (http://www.hon.ch/), клиентами которой являются сайты медицинского и здравоохранительного направления, предоставляет логотип HONcode, подтверждающий надежность и доверие к информации о здравоохранении на веб-сайтах.

Платформа проекта предпочтений секретности

Одним из средств, занимающих свой собственный сектор, является Platform for Privacy Preferences Project (Платформа проекта предпочтений секретности) или P3P. Это не такая глобальная разработка, как технология, разработанная Консорциумом World Wide Web (W3C). Цель данного продукта – обеспечение стандартизированного набора вопросов с несколькими вариантами ответов, покрывающего основные аспекты политик секретности веб-сайта. Объединенные вместе, эти данные представляют собой четкую картину того, каким образом на сайте осуществляется обработка личной информации о пользователях сайта. Веб-сайты с поддержкой P3P форматируют эту информацию в стандартном, понятном для компьютерных систем, виде.

Это означает, что при посещении веб-сайта с поддержкой P3P посредством браузера, также поддерживающего P3P, браузер сопоставляет картину секретности сайта с собственным набором настроек секретности потребителя. Таким образом, P3P повышает уровень контроля посредством "размещения политик секретности в том месте, где они могут быть найдены пользователем, в форме, понятной пользователю и, что самое главное, с возможностью пользователя действовать в соответствии с увиденной информацией".

W3C описывает P3P как "простой, автоматизированный метод повышения контроля над использованием личной информации пользователей на посещаемых ими веб-сайтах", хотя здесь наблюдается некоторое противоречие между предпочтениями секретности пользователя и выполнением пользователями этого действия для самих себя. Это привело к критике от правозащитников, заявлявших, что P3P не будет работать, так как пользователи не будут читать все встречающиеся им политики секретности, а включат автоматическое согласование с широким рядом параметров, подобно тому, как они поступают в отношении элементов cookie и параметров безопасности.

Они понимают, что P3P поднимает вопрос о том, какими должны быть стандарты онлайновой секретности, и это может быть истолковано как попытка сосуществования широкого спектра подходов к обработке личных данных, некоторые из которых могут быть навязчивыми. Более того, P3P не соответствует последнему из пяти принципов информационных взаимодействий (принуждение/компенсация). На сайте будет заявлено соответствие определенным стандартам, однако на практике они могут игнорироваться, а проверка P3P, тем не менее, будет проведена.

Остается непонятным, станет ли P3P полезным средством управления секретностью информации на веб-сайте. Тем не менее, если на сайте не размещена P3P-политика, то может потребоваться подтверждение того, что приложения функционируют корректно при доступе к ним через браузер Internet Explorer 6 с настройками по умолчанию. Чтобы ознакомиться со средствами, предназначенными для реализации этой цели, посетите сайт http://eprivacygroup.com/sources.

P3P в Internet Explorer 6

Чтобы читателю было понятно, чем же является P3P на практике, расскажем о том, в каком виде этот компонент присутствует в Internet Explorer 6 (IE6) (последняя версия браузера Internet Explorer на момент написания книги), веб-браузере от компании Microsoft. IE6 поддерживает стандарт P3P и широко рекламируется как браузер с новыми возможностями по обеспечению секретности и улучшенной фильтрацией элементов cookie. Пользователи могут настраивать параметры секретности IE 6 на вкладках Privacy (Секретность), Content (Содержание) и Advanced (Дополнительно) в диалоговом окне Internet Options (Свойства интернета), что позволяет им контролировать элементы cookies, а также узнать больше о политиках секретности веб-сайтов. Эти параметры определяют, каким образом IE6 обрабатывает определения секретности в формате P3P, встречающиеся на веб-сайтах.

При просмотре веб-сайта IE6 проверяет, имеется ли на сайте информация о секретности P3P. Если такой информации нет, пользователь не получает никакого уведомления, но IE6 будет блокировать любые элементы cookie согласно параметрам секретности пользователя. Если на сайте имеется информация о секретности P3P, IE6 сравнивает пользовательские предпочтения секретности с политикой P3P сайта и определяет, разрешить или запретить установку сайтом элементов cookie. Если элементы cookie блокируются по причине несоответствия пользовательских предпочтений политике сайта, то появляется уведомление о том, что элемент cookie заблокирован. В следующий раз при блокировке элемента cookie отобразится значок в строке состояния. Сообщение с уведомлением выглядит так.

IE6 содержит шесть параметров обработки элементов cookie, начиная с параметра Accept All Cookies (Разрешить все элементы cookie) и заканчивая параметром Block All Cookies (Блокировать все элементы cookie), причем параметром по умолчанию является Medium (Средний). Можно импортировать особые настройки секретности, однако подразумевается, что все пользователи используют параметр по умолчанию. Параметр Medium автоматически блокирует элементы cookie, использующие персонально идентифицируемую информацию для вторичных целей или передающие такую информацию получателям вне посещаемого сайта. Тем не менее, данный параметр позволяет сайтам использовать элементы cookie для сбора данных, которые могут понадобиться службам доставки продуктов. В параметр Medium входят следующие настройки.

• Блокировка сторонних элементов cookie, не имеющих компактную политику секретности.
• Блокировка сторонних элементов cookie, использующих персонально идентифицируемую информацию без разрешения ее обладателя.
• Блокировка принадлежащих сайту элементов cookie, использующих персонально идентифицируемую информацию без отдельного разрешения.

Каждый раз при блокировке элементов cookie после начального уведомления о секретности в строке состояния браузера появляется значок, говорящий о том, что IE6 предпринял действие по защите секретности, заблокировав соответствующий элемент cookie. Пользователь может щелкнуть на значке, чтобы просмотреть отчет Privacy Report (Отчет о секретности) (см. рис. 12.2), в котором приводится содержимое веб-страницы.

Отчет о секретности содержит ссылку на сведения о секретности относительно содержимого для каждого элемента списка (см. рис. 12.3). Пользователи могут в любое время отобразить отчет о секретности через меню View (Вид).

Так как IE6 призван повысить внимание пользователей к аспектам секретности (особенно к использованию элементов cookie), а также облегчить блокировку определенных типов элементов cookie, руководство компании, которой принадлежит защищаемый сайт, может запретить ненужные вызовы функций IE6 от веб-приложений.

P3P в действии

P3P предназначена для достижения "информированного согласия посредством пользовательского выбора", при котором пользователь разрешает или запрещает дальнейшее использование его личных данных. Это устанавливает доверие со стороны пользователя тем веб-сайтам, на которых личные данные используются и разглашаются согласно предпочтениям пользователя. Более того, это решение может быть вынесено посредством привлечения программного агента, выступающего от имени пользователя намеренно или по умолчанию. Протокол P3P предназначен для поддержки взаимодействий в самых различных контекстах, включая следующее.

• Предоставление внутренних данных (последовательность перехода или набор страниц, посещенных на веб-сайте).
• Предоставление внешних данных (ответы пользователей, вводимые в веб-формы).
• Предоставление внешних данных из установленного веб-профиля (набор терминов, отражающих интересы человека и обычно используемых при поиске информации о предпочитаемых товарах и контактной информации).

Если руководство компании решило, что сайт организации должен быть P3P-совместимым, ему необходимо разработать версию политики секретности, соответствующую P3P, что означает добавление большого числа информации и определений, требуемых P3P. Необходимо распределить по категориям все собираемые данные и классифицировать все элементы cookie, используемые сайтом. Необходимо упомянуть обо всех фиксируемых данных, о том, что с ними происходит, кто имеет к ним доступ, в течение какого времени они хранятся. Эту информацию нужно отправить генератору P3P, который создаст машинную версию политики. Если сайт является сложным, и на нем используются сторонние службы, это займет несколько рабочих дней с учетом происходящих в организации бизнес-процессов. Тем не менее, в результате будет создан важный документ, используемый в дальнейшем для поддержки сайта. Ниже приведен перечень данных, необходимых P3P.

• Организация, осуществляющая сбор информации.
• Тип собираемой информации.
• Использование информации.
• Будет ли информация разглашаться другим организациям.
• Будут ли пользователи иметь доступ к персональным данным и изменять способ их использования.
• Каким образом будут разрешаться спорные ситуации в организации.
• Каким образом будет храниться собранная информация.
• В каких местах организация опубликует детальную информацию о своих политиках секретности.

К счастью, для создания машинной версии файла политики P3P используется программа P3P Policy Generator (Генератор политики P3P). Генератор запрашивает всю необходимую информацию, и политика полностью и корректным образом представляется в формате XML. В настоящее время доступно несколько таких генераторов, ссылки на которые расположены по адресу http://eprivacygroup.com/sources. В зависимости от текущей спецификации P3P на W3C-P3P-сайте генератору политики потребуется следующая информация.

• Сущность. Кем вы являетесь, и как пользователь может связаться с вами.
• Разглашение. В каком месте сайта расположена ваша политика, понятная для пользователя.
• Гарантии. Какая третья сторона или закон отвечает за правдивость действий администрации сайта.
• Сбор данных и его цель. Какие данные собираются, и каким образом они используются.

Любые данные описываются в P3P при помощи следующих четырех категорий.

• Категория данных. Определены четырнадцать категорий данных и категория "другие".
• Предназначение. Присваивается до шести определенных целей.
• Получатели. Присваивается до шести возможных параметров получателей.
• Хранение. Пять параметров, определяющих срок хранения информации, начиная с отсутствия хранения и заканчивая неопределенным сроком хранения.

После того как генератору P3P предоставлена вся необходимая информация, сгенерированный файл сохраняется под именем policy1.xml. Если существует несколько политик P3P, они нумеруются policy2.xml, policy3.xml и т.д. Генератор создает файл поддержки политики с именем p3p.xml, содержащий все включения, исключения и другие особые задачи, которые будут использоваться браузерами для работы с политиками P3P. В процессе регистрации могут включаться и исключаться целые страницы и папки.

Файл (файлы) политики P3P и файл поддержки политики отгружаются в корневой каталог сервера. Для подтверждения соответствия сайта P3P и выявления связанных с этим ошибок используйте сайт http://www.w3.org/P3P/validator.html. После подтверждения соответствия зарегистрируйте сайт как отвечающий требованиям P3P.

План действий P3P

Сначала необходимо решить, будет ли сайт совместим с P3P. Если это так, следует определить, соответствует ли текущая политика секретности положениям документа P3P Guiding Principles (Основные принципы P3P); если нет, то нужно привести сайт в соответствие этим требованиям. (Если сайт не имеет политики секретности, можно изначально разработать политику, соответствующую этим требованиям.) Имейте в виду, что решение о соответствии P3P может привести к опасностям, о которых говорится в следующем разделе.

Для сбора информации P3P и ее документирования должен быть назначен ответственный за секретность. Необходимо обеспечить для него изучение структуры каталогов сайта для упрощения работы с инструкциями P3P по включению/исключению. Также необходимо выяснить состояние всех сторонних служб относительно P3P.

Перед запуском программы P3P Policy Generator следует обдумать дополнительный необязательный аспект P3P – возможность обработки жалоб пользователей. P3P позволяет (но не требует) обеспечить один или несколько методов резолюции. Обработкой жалоб может заниматься имеющийся в организации отдел по работе с клиентами, независимая организация, например, программа логотипа секретности TRUSTe, либо процессы, основывающиеся на нужном законе; например, в Великобритании этим законом является Акт о защите данных, изданный в 1998 г. Так как имеются веские причины для обработки жалоб, следует обеспечить этот процесс, приведя его в соответствие с P3P.

Секретность и надежность в интернете

Веб-сайт представляет собой крайне значимый компонент организации, но и он не защищен от определенных опасностей. В предыдущих лекциях рассказывалось об угрозах безопасности в интернете. К сожалению, при реализации таких нужных элементов, как определение секретности, возникает еще больше угроз безопасности. Жалобы на секретность не нарушают надежности сайта только в том случае, если они не сохраняются на сайте.

Определения секретности и Федеральная торговая комиссия США

Самым известным примером компании, понесшей ответственность за свои обещания, присутствовавшие в определении секретности сайта, является компания Eli Lilly, крупнейший производитель фармацевтических препаратов (в частности, антидепрессанта Prozac, мировые продажи которого с 1995 по 2000 г. составили более двух миллиардов долларов). С 2000 г. сайты компании lilly.com и prozac.com предлагали посетителям подписаться на услугу под названием "Medi-messenger", которая отправляла сообщения по электронной почте с напоминанием о необходимости пройти или продолжить лечение. Примерно 600 – 700 человек предоставили свои адреса электронной почты и начали прием оповещений.

В 2001 г. Lilly решила закрыть данную услугу, и 27 июня отправила соответствующие уведомления подписчикам по электронной почте. К сожалению, это сообщение было отправлено всему списку единовременно, что привело к случайному раскрытию адресов электронной почты всех получателей в поле "To" ("Кому") сообщения. Результаты этого были, мягко говоря, неприятными, начиная с большого количества антирекламы, и заканчивая внутренним разрушением компании и внешним судебным процессом. Некоторые получатели сообщения решили отстаивать свое право на секретность и обратились в организацию American Civil Liberties Union (CALU) (Американский Союз человеческих свобод), который передал дело в Федеральную торговую комиссию. Федеральная торговая комиссия составила жалобу на компанию Lilly, указав на то, что в определении безопасности, размещенном на сайтах lilly.com и prozac.com, в частности, говорилось: "Eli Lilly и Компания уважает секретность посетителей своих веб-сайтов и считает важным сохранение секретности посетителей при их работе с данными ресурсами". Федеральная торговая комиссия заявила, что "заявленные на сайтах Lilly секретность и конфиденциальность были ложными, так как Lilly не обеспечила необходимых внутренних мер для сохранения секретности информации о потребителях, что привело к непреднамеренному разглашению 27 июня личной информации (адресов электронной почты) пользователей программы Medi-messenger".

Ответное заявление, направленное Федеральной торговой комиссии, повлекло за собой значительные судебные и административные расходы Lilly. Чтобы предотвратить подобные инциденты, компания наложила запрет на адресацию сообщений электронной почты более чем одному пользователю (можно не быть специалистом по электронной почте, чтобы понять, насколько обременительна эта задача). Между тем, нужно было собрать и изучить сотни страниц документов перед ответным обращением в Федеральную торговую комиссию, которая прибегла к услугам сторонних специалистов по секретности для помощи в проведении анализа. (Моя компания, ePrivacy Group, предоставила рекомендации Федеральной торговой комиссии по этому поводу; вся информация является общедоступной и находится на сайте http://www.ftc.gov.)

В конечном счете, компания Lilly достигла соглашения с Федеральной торговой комиссией, в котором указывалась недопустимость нарушения прав человека и требование привести компанию в соответствие с большим перечнем условий, включавших в себя следующее.

• Создать и осуществлять поддержку четырехэтапной программы по обеспечению информационной безопасности, включающей в себя действенные административные, технические и физические меры защиты персональной информации потребителей от каких бы то ни было угроз, связанных с безопасностью данных, их конфиденциальностью или целостностью.
• Обеспечить защиту информации от несанкционированного доступа, использования и разглашения.
• Назначить персонал для координации и контроля работы программы.
• Определить возможные внутренние и внешние угрозы безопасности, конфиденциальности и целостности личных данных, включая опасности, связанные с недостаточным опытом сотрудников.
• Учесть любые неидентифицированные опасности в каждой области деятельности, будь то действия сотрудников или агентов, включая управление и обучение персонала; следить за работой информационных систем, осуществляющих обработку, хранение, передачу или разглашение личной информации; предотвращать и осуществлять ответные действия по отношению к атакам, вторжениям, несанкционированному доступу или другим нарушениям безопасности информационных систем.

Все это должно выполняться любой ответственной компанией, однако теперь компании Lilly нужно провести сложную работу по документированию этих превентивных операций, предоставить сведения правительству и выполнять их под строгим надзором с возможностью дальнейших санкций в случае, если правительство будет недовольно положением дел. Приняв все это во внимание, можно удивиться, каким же образом возникшая проблема "всплыла" на столь высокий уровень. Были у компании Lilly свои политики и процедуры по защите секретной информации о клиентах? Разумеется, были. Федеральная торговая комиссия обнаружила, что сотрудники, работавшие с программой электронной почты, не были осведомлены о секретности определенной информации. То есть программа, с помощью которой было отправлено роковое сообщение, не была протестирована настолько, насколько это требовалось.

Важно. Сообщения электронной почты не шифруются по умолчанию. Отправка любой секретной информации через электронную почту без шифрования представляет собой риск. Например, в случае с компанией Lilly, даже не принимая во внимание непреднамеренное разглашение, существовала опасность разглашения данных каждого, кто получал или читал электронные сообщения от службы оповещения Prozac через локальную сеть на своей работе. Сетевой администратор с помощью инспектора пакетов или другой сотрудник, создавший резервную копию почтового сервера, мог просмотреть содержимое сообщения и сделать из этого выводы о личной жизни сотрудника. Имейте в виду, что упомянутый ранее HIPAA ставит вне закона использование нешифруемой электронной почты для передачи персональной медицинской информации.

Ознакомившись с общедоступными документами, связанными с этим случаем, можно сделать вывод о том, что Федеральная торговая комиссия была бы более снисходительной, если бы компания создала видимость того, что ее сотрудники прошли необходимое обучение. Федеральная торговая комиссия неоднократно заявляла о том, что лучшим способом предотвращения дальнейших инцидентов является обучение сотрудников. Менее очевидны принятые меры по обеспечению секретности личных данных клиентов.

Определения секретности и P3P

Если послушать некоторых правозащитников, представление о политиках секретности и P3P значительно изменится. Они говорят о том, что в P3P не требуется принуждение или компенсация. Действительно, возможно создать политики P3P так, чтобы они выглядели подобающим образом, даже если вы не хотите обеспечивать соответствие функциональности сайта политикам (если руководствоваться таким подходом, можно вызвать гнев членов Федеральной торговой комиссии и другие санкции). В то же время применение P3P в IE6 объясняется адвокатами как "вынужденное принятие" некорректного стандарта секретности. Некоторые высказывали мнение, что фильтры P3P "наказывают администраторов посредством блокировки или задерживания их элементов cookie" (слова Бенжамина Райта, автора Закона об электронной коммерции [Aspen Law & Business, 1990-2000]). По словам Райта, для любой организации, правительственной службы или другой структуры язык кодирования P3P представляет собой угрозу судебных процессов. Написанная на нем политика секретности в большинстве случаев подвергает компанию ответственности. Политика секретности, даже написанная на компьютерных языках, может на легальных основаниях иметь юридическую силу, как контракт. В судебных процессах, проходивших в 1999 г., истцы вынудили US Bancorp заплатить 7,5 миллионов долларов за несоответствие положениям, указанным в политике секретности на веб-сайте этой компании.

По мнению Райта, перед веб-администраторами стоит дилемма: как удовлетворить техническим требованиям IE6 для кодов P3P, чтобы не возлагать на политику секретности лишнюю ответственность. В качестве выхода из положения он предлагает разработать отказ от ответственности, написанный в виде нового кода на языке P3P. Новым кодом является DSA – сокращение от "disavow P3P and any liability it carries" (отказ от ответственности за P3P). Веб-администраторы могут использовать DSA в "компактных" политиках секретности P3P, руководствуясь следующим определением.

Символы DSA в компактной политике секретности P3P означают следующее: коды P3P и так называемые политики секретности P3P, которые мы публикуем, не имеют значения и не несут обязательств или ответственности. Они являются вымышленными. Мы отказываемся от какой-либо значимости этих кодов и политик, а также игнорируем все аспекты протокола P3P. Мы применяем коды P3P только в качестве технических мер, позволяющих нашему сайту правильно функционировать. Некоторым браузерам требуются эти коды для выполнения элементов cookie. Использование нами P3P никак не связано с какими-либо политиками данных и секретности, которыми мы можем руководствоваться. Для получения дополнительной информации посетите сайт http://www.disavowp3p.com.

Здесь вы видите одно из возможных решений вопроса, связанного с использованием P3P, но предварительно следует представить его в юридический отдел. Необходимо выяснить, является ли P3P-код достаточно законченным, чтобы соответствовать исходным целям его создателей, или от него нужно отказаться, как от неудачной попытки автоматизировать то, что более эффективно выполняется при помощи компаний, придерживающихся четких стандартов, и людей, хорошо осведомленных в юридической области.

Секретность в интернете и электронная почта

Случай с компанией Lilly затрагивает вопрос о взаимоотношении электронной почты, веб-сайтов и секретности. Человек (или подразделение), которому принадлежит веб-сайт, сам может не отправлять клиентам сообщения электронной почты, но веб-сайт считается единым ресурсом – источником адресов электронной почты и местом, где устанавливаются предпочтения клиентов относительно секретности.

Электронная почта или "спам"?

В наши дни многие компании активно используют электронную почту для связи с имеющимися и потенциальными клиентами. Речь идет не о нелегальной почтовой рассылке, известной под названием "спам", а о легитимном диалоге с клиентом через электронную почту, о целенаправленных рекламных сообщениях, отправляемых пользователям, которые хотят получать такие сообщения. Например, я каждый месяц получаю сообщение от компании, предоставившей мне кредитную карту, что на веб-сайте имеется информация, с которой я должен ознакомиться; или еженедельное сообщение от моей любимой авиакомпании, в котором говорится о специальных предложениях, доступных в данный момент на веб-сайте. Эти примеры показывают комплексную зависимость между веб-сайтами, электронной почтой и секретностью.

Многие веб-сайты запрашивают у посетителей адреса электронной почты. В этой лекции мы обсуждали, как ограничить такие запросы примечанием о секретности, однако важно, чтобы кто-то в организации нес ответственность за соблюдение условий этого примечания. Например, кто должен сообщать отделу рекламы о том, что существуют ограничения по типу и частоте отправки сообщений по получаемым адресам? Кто убедит руководство в том, что адреса электронной почты нельзя продать или обменять на другой материал, даже если компания находится на грани банкротства и может поправить свое положение при помощи средств, полученных от такой продажи?

Эти вопросы являются очень важными, так как если и существует какая-либо область деятельности компании, за которой адвокаты секретности следят больше, чем за любой другой, то это непременно электронная почта. И ничто не испортит репутацию компании быстрее, чем обвинение в спаме. И это не удивительно, принимая во внимание отношение к спаму большинства людей. По словам Франа Майера, исполнительного директора TRUSTe, "потребители рассматривают спам как вторжение в их частную жизнь".

Электронная почта, предусматривающая ответственность

Чтобы сайт отвечал требованиям, предусматривающим ответственность за функционирование электронной почты, веб-мастеру необходимо ознакомиться с "Шестью положениями об ответственности за использование электронной почты". Эти положения разработаны Советом по ответственности за электронную почту (CRE), сформированным при поддержке Ассоциации интерактивного маркетинга (AIM), являющейся дочерней организацией Ассоциации прямой рекламы (DMA). Несмотря на то, что названия этих организаций скрываются под малопонятными сокращениями, они предоставляют полезные рекомендации по работе с электронной почтой. Эти шесть принципов заключаются в следующем.

• Специалисты по рекламе не должны фальсифицировать доменное имя отправителя или использовать ложный IP-адрес без непосредственного или косвенно переданного разрешения пользователя.
• Специалисты по рекламе не должны целенаправленно фальсифицировать содержимое строки темы или запутывать читателей сообщений электронной почты посредством их содержимого.
• Все массовые рекламные рассылки должны предоставлять получателям возможность отказаться (т.е. быть удаленными из списка рассылки) от дальнейшего получения сообщений от конкретного отправителя, владельца списка рассылки или менеджера рассылки.
• Во время онлайн-сбора электронных адресов специалисты по рекламе должны информировать респондента о том, как будет использоваться его адрес электронной почты.
• Специалисты по рекламе не должны собирать адреса электронной почты для отправки нелегальной коммерческой рекламной почты без ведома потребителей или без их согласия. (В данном случае термин "собирать" подразумевает кражу адресов электронной почты анонимно, например, с помощью веб-паука, через чат или другие области общего доступа.)
• Запрещается массовая отправка нелегальной коммерческой электронной почты на адрес электронной почты без предшествующих этому деловых или личных взаимоотношений. (Деловыми или личными взаимоотношениями является любая имевшая место ранее и инициированная получателем переписка, сделки, предоставление услуг, использование стороннего разрешения или доказанный оффлайн-контакт.)

ПРОБЛЕМА

Глава отдела рекламы требует отправить ему файл с адресами электронной почты, введенными на странице регистрации технической поддержки веб-сайта компании. Что делать в этом случае?

Очевидно, ответ будет зависеть от того, какова природа организационной структуры компании. Предположим, что ответ отдела рекламы звучит так: "Мы включим их в список рассылки рекламной электронной почты". В этом случае посоветуйте рекламному отделу пересмотреть форму, в которую вводились адреса, а также определение секретности веб-сайта. Отправка сообщений электронной почты на адреса, введенные посетителями без четкого понимания того, как они будут использоваться, не рекомендуется. В зависимости от определения секретности это является нарушением политики секретности компании. Это нарушение не только неприятно для потребителей, но и может привлечь внимание соответствующих органов, таких как Федеральная торговая комиссия. Разумеется, нужно определить, входит ли в ваши обязанности урегулирование данного вопроса и несете ли вы за него какую-либо ответственность.

Основные меры предосторожности при работе с электронной почтой

Вероятно, самым главным предостережением является следующее: нельзя отправлять сообщение, если нет уверенности в том, как его воспримет получатель. В данном случае имеется в виду формат сообщения, используемый язык и адресация. Если нужно адресовать одно и то же сообщение нескольким людям одновременно, то есть четыре варианта, каждый из которых должен использоваться очень внимательно. Если указать адреса электронной почты всех получателей в строке To (Кому) или ввести один или несколько адресов в поле Cc (Копия), получатели будут видеть адреса других получателей. Иногда такой подход приемлем внутри небольшой группы людей, но если число человек в группе превышает 20, или если нужно предотвратить отображение получателям других адресов, переместите все адреса, кроме одного, в поле Bcc (Слепая копия), как показано на рис. 12.4.

Если разглашение получателей может вызвать проблемы, то проведите тестирование отправки электронной почты. Отправьте копию сообщения самому себе и хотя бы одному из ваших коллег вне организации, после чего попросите их просмотреть сообщение, чтобы убедиться в корректности добавления информации в поле Bcc (Слепая копия).

Среди мер предосторожности следует отметить следующее: никогда не отправляйте сообщение кому-либо, кто может быть раздражен его получением. Необходимо, чтобы получатели сообщений положительно относились к списку рассылки, чтобы их косвенное или прямое согласие на получение писем было добровольным решением. Всегда следует указывать в сообщении фразу: "Приносим свои извинения, если вы получили данное сообщение по ошибке".

Обязательно обеспечьте получателям способ отказа от дальнейшего получения рассылки. (Для этого больше всего подходит гиперссылка интернета. Не просите получателя ответить на сообщение. Если адрес электронной почты, на который отправлялись сообщения, больше не является основным адресом получателя, то у получателя возникнут проблемы с отказом от рассылки.)

Используя все меры предосторожности и рекомендации к использованию, можно работать с профессиональным программным обеспечением для рассылки сообщений по большим спискам получателей. Эти программы отправляют индивидуальные сообщения каждому члену списка для предотвращения проблем, связанных с использованием поля Bcc (Слепая копия). На рисунке 12.5 показана программа Group Mail Pro, сохраняющая адреса электронной почты в базе данных и создающая сообщения с помощью функции слияния. Программа содержит функцию расширенного тестирования и фильтрации сообщений и возможность настройки параметров отправки, таких как запланированная пакетная отправка сообщений.

Технология обеспечения секретности электронной почты

Логотипы секретности заверяют соответствие сайтов принципам обеспечения секретности. Наиболее известной некоммерческой организацией, заверяющей секретность данных в интернете, является TRUSTe; эта организация также предоставляет логотип секретности для размещения его в сообщениях электронной почты, отправляемых через программу Trusted Sender Program.

Коммерческие почтовые клиенты, участвующие в этой программе, размещают уникальный "штамп" доверия в правом верхнем углу каждого отправляемого сообщения электронной почты (см. рис. 12.6).

Штамп говорит потребителю о том, что сообщение отправлено заслуживающей доверия компанией, соблюдающей секретность информации клиентов. На штампе отображается логотип TRUSTe, а также дата пометки логотипом сообщения и адреса электронной почты отправителя и получателя. Этот штамп называется штампом доверия Postiva, так как он является продуктом технологии Postiva компании ePrivacy Group. Она использует шифрование для отражения потенциальных действий злоумышленников и разрешение использовать интерактивную верификацию сообщения на веб-сайте http://www.postiva.com без установки каких-либо надстроек, загрузки каких-либо файлов или изменения настроек стандартных почтовых клиентов.

Подведем итоги

Мы рассмотрели ситуации, связанные с нарушением секретности данных на веб-сайте. При помощи описанных средств, подходов и стратегий обеспечивается секретность информации как на веб-сайте, так и в самой организации, чтобы избежать потенциальных проблем с антирекламой и судебного процесса. Помните, что двумя ключевыми условиями выполнения заявленных на веб-сайте мер по обеспечению секретности данных являются высокий уровень безопасности и полная осведомленность всех сотрудников, выполняющих обработку личной информации.

Сводный перечень действий по обеспечению секретности личных данных

• Документируйте все личные данные, получаемые при помощи веб-сайта (IP-адреса посетителей, фиксируемые элементы cookie, веб-пауки и т.д.).
• Установите контакт с ответственным за секретность в организации.
• Убедитесь, что на веб-сайте размещено определение секретности для информирования посетителей о том, сбор каких данных производится и с какими целями.
• Проведите обзор принципов секретности и законов, рассмотренных выше, чтобы определить, нужно ли оговаривать их в определении секретности на веб-сайте, и/или при сборе и обработке информации.
• Убедитесь, что на веб-сайте реализованы процедуры защиты любых собираемых частных данных и их соответствие стандартам, указанным в соответствующем законе.
• Предоставьте посетителям веб-сайта способ разрешения вопросов, связанных с секретностью данных на сайте.
• Если веб-сайт IIS реализует продажу товаров или услуг, рассмотрите вступление в программу логотипа секретности, чтобы посетители не сомневались в выполнении соответствующих политик секретности.
• Если веб-сайт осуществляет сбор адресов электронной почты, убедитесь в наличии политик их использования, таких как предложение необязательной подписки на рассылку или возможность отказа от нее.
• Осуществляйте внутренний аудит секретности сайта для выявления моментов, которые вы упустили из виду.
• Проводите внешний аудит секретности веб-сайта для разрешения других вопросов.