В открытии, которое никого не должно удивлять, аудит того, как политические партии Великобритании обрабатывают информацию об избирателях, выявил вопиющее несоблюдение правил защиты данных во всем политическом спектре – партии не могут сказать избирателям откровенно о том, как люди незаметно ведут себя. профилируемые и нацеленные на цифровые агитационные машины партий.
«Политические партии могут законно хранить личные данные, принадлежащие миллионам людей, чтобы помочь им эффективно проводить кампании. Но развитие использования политическими партиями аналитики данных и социальных сетей означает, что многие избиратели не знают, как используются их данные », – Офис Комиссара по информации (ICO) предупредил сегодня.
«Все политические партии должны четко и прозрачно сообщать людям, как используются их личные данные, и должны быть улучшены управление и подотчетность», – говорится в отчете.
«Политические партии всегда хотели использовать данные, чтобы понять интересы и приоритеты избирателей, и в ответ объяснять правильную политику нужным людям. Теперь технологии делают это возможным на гораздо более детальном уровне. Это может быть положительным моментом: привлечение людей к интересующим их темам способствует большей явке на выборы. Но участие должно быть законным, особенно там, где существует риск серьезного нарушения конфиденциальности – например, в связи с невидимыми действиями по профилированию, использованием конфиденциальных категорий данных и нежелательным и навязчивым маркетингом. Риск для демократии, если выборы будут проводиться несправедливым или непрозрачным цифровым таргетингом, слишком велик для нас, чтобы сместить акцент с этой области ».
Несмотря на то, что риски для демократического доверия и вовлеченности отмечаются, регулирующий орган решил не предпринимать принудительных действий.
Вместо этого он выпустил серию рекомендаций, почти треть которых оценена как «срочные», в которых говорится, что он проведет дополнительную проверку в конце этого года и может принять меры, если не будет достигнут достаточный прогресс.
«Если наши последующие обзоры покажут, что стороны не предприняли соответствующих шагов для соблюдения, мы оставляем за собой право принять дальнейшие регулирующие меры в соответствии с нашей Политикой регулирующих действий», – отмечается в отчете, который также включает теплые слова о том, как «положительно «Стороны занимались этим по вопросам.
ICO также заявляет, что обновит существующее руководство по политической кампании в конце этого года, которое, как отмечается, будет иметь более широкое значение для (неполитических) участников кампании, групп давления, брокеров данных и компаний по анализу данных.
Ранее он выпустил руководство для сектора прямого маркетинга, связанного с брокерскими данными, в рамках последующих мер по поводу скандала с неправомерным использованием данных в Facebook, созданного Cambridge Analytica.
От Cambridge Analytica к «должен работать лучше»
Аудит данных политических партий Великобритании был инициирован ICO после Cambridge Analytica Скандал привлек внимание всего мира к роли социальных сетей и больших данных в цифровых кампаниях.
В более раннем отчете по этой теме в июле 2018 года ICO призвало к “ этической паузе ” вокруг использования рекламных инструментов микротаргетинга для политической кампании, предупреждая, что существует риск подрыва доверия к демократии из-за отсутствия прозрачности в отношении данных. -правленные методы нацеливания, применяемые к избирателям.
Но не прекращалось использование таргетинга в социальных сетях до или во время всеобщих выборов в Великобритании в 2019 году, когда среди поднятых вопросов были опасения по поводу того, как Консервативная партия Бориса Джонсона использовала рекламу в Facebook для сбора данных о избирателях.
Однако отчет ICO призван избавить стороны от индивидуального покраснения – это всего лишь обобщение «агрегированных» уроков, полученных в результате глубокого погружения в контекст Консервативной партии; Лейбористская партия; либерал-демократы; Шотландская национальная партия (ШНП); Демократическая юнионистская партия (DUP); Плед Камрю; и Партия независимости Соединенного Королевства (UKIP) работают с данными людей.
Регулирующий орган также не раздает приказы о выступлении.
«Мы рекомендовали сторонам предпринять следующие действия», – это предпочтительное оксюмороническое построение ICO, т.к. оно стремится не допустить того, чтобы какие-либо политические носы вырвались из колеи. (Не в последнюю очередь те, которые принадлежат к людям в правительстве.) Таким образом, он выбирает мягкий, мягкий подход «рекомендовать и пересматривать», пытаясь избавиться от сомнительных привычек сторон в отношении данных.
Среди его основных выводов следует отметить, что уведомления политических партий о конфиденциальности не соответствуют требуемому уровню прозрачности и ясности; не имеют соответствующих законных оснований для данных, которые они обрабатывают, во всех случаях, и если они требуют согласия, возможно, они не получают его на законных основаниях; не сообщают заранее, как они объединяют данные для составления профилей избирателей, и не проводят достаточных проверок поставщиков данных, чтобы убедиться, что эти третьи стороны получили данные людей законным образом; не вводят надлежащий договорный контроль при использовании платформ социальных сетей для нацеливания на избирателей; и не выполняют свои обязательства, чтобы продемонстрировать подотчетность.
Так что довольно обширный список недостатков защиты данных.
Рекомендации ICO политическим партиям также забавно просты – они должны:
- провести информационный аудит или сопоставление данных, чтобы выяснить, какие личные данные они хранят и где они находятся;
- провести проверку, чтобы выяснить, почему они используют персональные данные, с кем они делятся ими и как долго они хранятся, путем распространения анкет по соответствующим областям, встреч напрямую с ключевыми бизнес-подразделениями и изучения политик, процедур, контрактов и соглашений;
- подробно и содержательно задокументировать свои выводы в письменной форме.
Вставьте свой собственный смайлик на ладони и представьте себе хаотическое зло, лежащее в основе этих маркеров.
«Мы признаем, что достижение эффективной прозрачности для взрослого населения Великобритании является сложной задачей», – отмечает ICO в разделе отчета о требованиях к прозрачности, добавляя, что в его более раннем отчете рекомендовалось, что «следует также применять более широкие, объединенные подходы к повышению осведомленности как данные используются в кампании ».
Он добавляет, что продолжит работу с Избирательной комиссией по этой рекомендации.
Взрывной рост цифровой рекламы для политической кампании в Великобритании количественно оценивается строкой в отчете со ссылкой на данные Избирательной комиссии, показывающие, что 42,8% рекламных расходов участников кампании приходилось на цифровую рекламу в 2017 году по сравнению с 1,7% в 2014 году.
Таким образом, использование платформ социальных сетей, которые, как отмечается в отчете, использовались всеми партиями для проведения политических кампаний, цепно связано с тревожным отсутствием прозрачности, на которое ссылается регулирующий орган.
«Социальные сети использовались всеми сторонами для продвижения своей работы среди людей, которые могут быть заинтересованы в их ценностях. Большинство из них было доставлено через Facebook, включая их платформу Instagram, и Twitter. Там, где политические партии использовали инструменты выбора аудитории, мы были обеспокоены отсутствием прозрачности этой практики », – пишет ICO. «Информация о конфиденциальности не дает понять, что личные данные избирателей, собранные или обработанные партией, будут затем профилированы и использованы для целевого маркетинга через платформы социальных сетей.
«Ключевая рекомендация, сделанная после наших аудитов, заключалась в том, что партии должны информировать людей и быть прозрачными в отношении этой обработки, чтобы избиратели полностью понимали, что их личные данные будут использоваться таким образом в соответствии со статьей 13 (1) (e) GDPR. Например, партии должны сообщить избирателям, что их адреса электронной почты будут использоваться для сопоставления их в социальных сетях с целью демонстрации им политических сообщений ».
«Перед началом любой кампании необходимо провести комплексную проверку, чтобы стороны могли убедиться в том, что у компании, работающей в социальных сетях, есть: соответствующая информация и инструменты конфиденциальности; и обработка данных, которую они будут выполнять от имени стороны, является законной и прозрачной и поддерживает права людей в соответствии с законом о защите данных », – добавляет он.
В отчете также обсуждается необходимость того, чтобы политические партии полностью понимали правовые последствия использования определенных платформ / инструментов таргетинга рекламы на основе данных (то есть до того, как они ворвутся и загрузят данные людей в Facebook /Twitter) – чтобы они могли правильно выполнять свои обязательства.
А именно:
Когда стороны стремятся использовать инструменты таргетинга платформы, как сторона, так и сама платформа должны четко определить обстоятельства, при которых существует совместное управление, и принять меры для выполнения этих обязательств. Они должны оценивать это в индивидуальном порядке, независимо от содержания любого контроллера или устройства процессора. На практике может существовать совместное управление, если платформа осуществляет значительную степень контроля над инструментами и методами, которые они используют для нацеливания на отдельных пользователей своего сервиса политических сообщений от имени партии.
Статья 26 GDPR определяет требования для ситуаций совместного контролера. Стороны должны договориться и полностью понимать, кто за что отвечает. Это означает, что они должны работать с любой платформой социальных сетей, которую они используют, чтобы убедиться, что нет пробелов в соблюдении, и убедиться, что у них есть соответствующие контракты или соглашения. Они также должны осуществлять мониторинг контрактов в течение жизни, чтобы гарантировать, что платформы соблюдают эти контракты.
В отчете ICO описываются последствия для защиты данных, возникающие в ситуациях совместного контролера, называют «сложными», добавляя: «Мы осознаем, что решения проблем … могут потребовать больше времени для решения и потребуют дополнительных указаний для всех вовлеченных сторон».
«После наших аудитов мы понимаем, что компании, работающие в социальных сетях, предприняли некоторые шаги в рамках пересмотренных условий предоставления услуг цифровой рекламы», – добавляет он.
В отчете также упоминается о продолжающемся регулирующем контроле рекламной платформы Facebook в Ирландии в соответствии с законодательством ЕС, в котором основное внимание уделяется опасениям, что использование «похожих аудиторий» Facebook для таргетинга на избирателей может не соответствовать требованиям GDPR.
Комиссар по информации Элизабет Денхэм ранее предполагала, что технологическому гиганту придется изменить свою бизнес-модель, чтобы сохранить доверие пользователей. Но агентство по защите данных Ирландии еще не приняло никаких решений GDPR, касающихся бизнеса Facebook.
«В более широкой экосистеме ICO также признает, что есть еще другие вопросы, которые необходимо решить, связанные с использованием личных данных в политическом контексте», – пишет сейчас регулятор. «К ним относятся некоторые из вопросов, изложенных в отчете, который он представил Ирландской комиссии по защите данных (IDPC), как ведущему органу в соответствии с GDPR, о целевой рекламе в Facebook и других изданиях. [sp] в том числе, где платформу можно использовать в политическом контексте. ICO продолжит поддерживать связь с технологическими платформами, чтобы рассмотреть, какие дальнейшие шаги могут потребоваться для решения проблем, поднятых в нашем отчете «Нарушение демократии». Это будет иметь отношение к использованию партиями платформ социальных сетей на будущих выборах ».