Ірландський наглядовий орган конфіденційності взаємодіє з Twitter через доступ до даних журналістів • TechCrunch

Бажання Ілона Маска розбурхати конспірологічне лайно, надавши вибраним аутсайдерам, які погоджуються з його консервативною програмою, доступ до систем і даних Twitter, може призвести найбагатшу людину світу до серйозної дурниці з регуляторами по обидва боки Атлантики.

Останніми днями цей доступ, наданий Маском кільком зовнішнім репортерам, призвів до публікації того, що він і його вболівальники озвучують як викриття попереднього підходу платформи до модерації контенту.

Поки що ці публікації «Твіттер-файлів», як він їх назвав, були вологою міткою з точки зору відкриттів, які заслуговують на висвітлення в пресі — якщо тільки думка про те, що компанія з великим обсягом створеного користувачами контенту А) наймає довірливих і безпечних співробітників, які обговорюють, як запроваджувати політику, в тому числі у ситуаціях B) швидкого розвитку, коли всі факти щодо частин вмісту ще не встановлені; і C) також має системи модерації, які можуть бути застосовані для зменшення видимості потенційно шкідливого вмісту (як альтернатива його видаленню). Це особливо дика новина.

Але ці значно розширені дампи даних все ж можуть створити важкі новини для Twitter — якщо тактика Маска щодо відкриття своїх систем для зовнішніх журналістів обернеться бумерангом у формі регулятивних санкцій.

Комісія із захисту даних Ірландії (DPC), яка є (принаймні на даний момент) провідним регулятором із захисту даних Twitter у Європейському Союзі, запитує у Twitter більше деталей щодо проблеми доступу сторонніх осіб.

«Сьогодні вранці DPC зв’язався з Twitter. Ми співпрацюємо з Twitter з цього питання, щоб встановити додаткові подробиці», – повідомили TechCrunch прес-секретарі.

Раніше сьогодні видання Bloomberg також повідомило про занепокоєння з приводу того, що сторонні особи мають доступ до даних користувачів Twitter, посилаючись на твіти колишнього керівника CISO Facebook Алекса Стамоса, який публічно заявив, що повідомлення в Twitter, опублікованого вчора одним із журналістів, якому Маск надав доступ, «мало бути достатньо». щоб FTC розпочала розслідування указу про згоду».

Указ FTC про згоду Twitter датується 2011 роком — і стосується звинувачень у тому, що компанія протягом кількох років спотворювала «безпеку та конфіденційність» даних користувачів.

У травні соцмережу вже оштрафували на 150 мільйонів доларів за порушення наказу. Але майбутні штрафи можуть бути набагато суворішими, якщо FTC визнає, що це грубе порушення умов угоди. І ознаки є передчутними, враховуючи, що FTC вже повідомила Twitter минулого місяця, попередивши, що «жоден генеральний директор або компанія не стоїть вище закону».

Іншим зауваженням є Загальний регламент захисту даних Європейського Союзу (GDPR), який містить юридичну вимогу щодо належного захисту персональних даних.

Це відоме як принцип безпеки — або «цілісності та конфіденційності» — GDPR, згідно з яким персональні дані мають бути:

обробляються у спосіб, який забезпечує належну безпеку персональних даних, включаючи захист від несанкціонованої або незаконної обробки та від випадкової втрати, знищення або пошкодження, використовуючи відповідні технічні або організаційні заходи («цілісність і конфіденційність»).

Передача даних користувачів (та/або системного доступу, який може розкрити дані користувачів) стороннім особам для перевірки може викликати запитання щодо того, чи Twitter повністю відповідає принципу безпеки GDPR. Тут також слід розглянути ще одне питання — на яку правову основу покладається Twitter, щоб передавати (непублічні) дані користувачів стороннім особам, якщо це справді відбувається.

На перший погляд, користувачі Twitter навряд чи свідомо погодилися б на таку екстраординарну обробку відповідно до його стандартних умов і умов. І незрозуміло, які ще правові підстави тут можна розумно застосовувати. (Твіттер умови посилатися на договірну необхідність, законні інтереси, згоду чи юридичне зобов’язання, різним чином, щодо обробки прямих повідомлень користувачів або інших непублічних повідомлень залежно від сценарію обробки — але яка з цих підстав підійде, якщо це справді передається вид закритих даних користувачів для непрацівників, які не є ні постачальниками послуг Twitter, ні організаціями, такими як правоохоронні органи тощо, є дискусійним.)

На запитання про її думку з цього приводу, Ліліан Едвардс, професор права, інновацій та суспільства в Юридичній школі Ньюкасла, сказала нам, що застосування GDPR тут не є чітким, але вона запропонувала Twitter розкривати дані непередбаченим третім особам («які може поділитися ним волею-неволею») може бути порушенням принципу безпеки.

«Якщо ти погодився [to Twitter’s expansive terms]чи дозволили ви ці використання — тож без порушення безпеки? Я вважаю, що тут має бути кричущий елемент», – стверджувала вона. «Наскільки ви цього не очікували та наскільки це залишає вас відкритими для безпеки та конфіденційності — наприклад, якщо воно містить особисту інформацію, як-от паролі чи номери телефонів?»

«Це складно», — додала вона, посилаючись на вказівки британського органу із захисту даних, у яких зазначено, що заходи безпеки, необхідні відповідно до GDPR, «повинні бути спрямовані на те, щоб дані: могли бути доступні, змінені, розкриті або видалені лише тими, хто у вас є. уповноважені на це (і що ці люди діють лише в межах повноважень, які ви їм надаєте).

«Маск правильно їх уповноважив, але чи повинен він? Це ризики для безпеки? Я думаю, що розумний DPA поставився б до цього досить суворо».

На момент написання статті невідомо, які саме дані або обсяг системного доступу Twitter надає обраним стороннім репортерам, тому неясно, чи були передані будь-які закриті дані користувачів чи ні.

Один із репортерів, які отримали доступ через Twitter, журналіст Барі Вайс, заявив у a твіт потік (де посилається на чотирьох інших авторів, пов’язаних із заснованою нею публікацією, які будуть звітувати про дані), що: «Автори мають широкий і розширений доступ до файлів Twitter. Єдина умова, на яку ми погодилися, це те, що матеріал спочатку буде опубліковано в Twitter».

Інша з цих письменниць, Ебігейл Шрієр, далі стверджував: «Наша команда отримала широкий нефільтрований доступ до внутрішніх комунікацій і систем Twitter».

Тим не менш, в обох твітах бракує конкретних деталей щодо типу даних, до яких вони мають доступ.

Twitter також через свого співробітника спростував надання журналістам прямого доступу до закритих даних користувачів у відповідь на тривогу щодо рівня наданого доступу. Новий керівник компанії з довіри та безпеки, Елла Ірвін, написала в Twitter за останні кілька годин, щоб стверджувати, що скріншоти внутрішнього системного перегляду облікових записів, якими ділилися в Інтернеті, начебто показуючи подробиці внутрішнього доступу, наданого стороннім особам Twitter, не зобразити живий доступ до своїх систем.

Ратер сказала, що вона сама надала журналістам ці скріншоти цього внутрішнього інструменту — «з метою безпеки».

У твіті Ірвіна також стверджувалося, що ця методологія обміну скріншотами була обрана, щоб «забезпечити відсутність ідентифікаційної інформації [personally identifiable information] було викрито».

«Ми не надавали цей доступ репортерам, і ні, репортери не мали доступу до DM користувачів», — додала вона у відповідь користувачу Twitter, який висловив занепокоєння щодо безпеки щодо доступу репортерів до його систем (і, можливо, до DM). Ірвін приєднався до Twitter лише в червні як керівник відділу довіри та безпеки, але минулого місяця його підняли до керівника відділу довіри та безпеки (через The Information), щоб замінити колишнього керівника Йоеля Рота, який пішов у відставку лише через два тижні роботи під керівництвом Маска. занепокоєння щодо «диктаторського указу», який Маск переймає від сумлінного застосування політики.

Якщо залишити осторонь питання про те, чому новий керівник відділу довіри та безпеки Twitter витрачає свій час на скріншоти внутрішніх даних, щоб поділитися ними з особами, які не є співробітниками, метою яких є публікація звітів, що включають таку інформацію, її вибір номенклатури тут примітний: «ІНФО» не є термін, який ви знайдете будь-де в GDPR. Це термін, який віддають перевагу організації США, які прагнуть звести ідею «конфіденційності користувача» до мінімуму (тобто справжнє ім’я, адреса електронної пошти тощо), замість того, щоб визнати, що конфіденційність людей може бути скомпрометована багатьма іншими способами, ніж через прямий вплив PII.

Це важливо, оскільки відповідною юридичною термінологією в GDPR є «персональні дані», що набагато ширше, ніж ідентифікаційна інформація, охоплюючи різноманітні дані, які не можуть вважатися ідентифікаційною (наприклад, IP-адреса, ідентифікатори рекламодавця, місцезнаходження тощо). Отже, якщо головним завданням Ірвіна є уникнути розкриття «ІН», вона або не розуміє — або не надає пріоритету — безпеці персональних даних, як це розуміється в GDPR ЄС.

Це повинно стурбувати регуляторів Європейського Союзу.

У той час як DPC Ірландії наразі є провідним контролером даних для Twitter, після того як Маск очолив компанію наприкінці жовтня — і почав скорочувати чисельність персоналу та змушувати більше співробітників залишати за власним бажанням, включаючи тріо старших спеціалістів із безпеки, конфіденційності та керівників комплаєнсу, які одночасно пішли у відставку місяць тому — були підняті питання щодо статусу його претензії на те, що він «основно заснований» в Ірландії для GDPR.

Як ми повідомляли раніше, одностороннє прийняття Маском рішень у США загрожує виходу Twitter з механізму «єдиного вікна» GDPR (OSS), оскільки для прийняття рішень, які впливають на дані користувачів ЄС, потрібно залучати ірландську компанію Twitter. І якщо компанія втратить свої претензії на статус головного представництва в Ірландії, це негайно підвищить її регулятивний ризик, оскільки контролери даних у всьому ЄС, а не лише DPC, зможуть відкривати власні запити, якщо вважатимуть, що дані місцевих користувачів є ризик.

Оскільки Маск тепер відкриває системи Twitter для неочікуваних аутсайдерів, він влаштовує дуже публічне видовище, яке викликає серйозні питання щодо ризиків для безпеки та конфіденційності, які — за відсутності надійного контролю з боку DPC — можуть посилити занепокоєння інших органів захисту даних ЄС щодо цілісності ірландської інформації Twitter. нагляд теж. (І GDPR дозволяє екстрене втручання непровідних DPA, якщо вони бачать значний ризик для даних місцевих користувачів, тому Twitter може зіткнутися з ретельною перевіркою в інших країнах ЄС, навіть якщо він все ще нібито в OSS, як нещодавно TikTok в Італії.)

Після того, як Маск очолив компанію, Twitter припинив свою комунікаційну функцію, тому було неможливо поставити запитання прес-службі про рівень доступу до даних, який надає Twitter стороннім репортерам, або правову основу, на яку він покладається для обміну даними. цю інформацію. Але ми з радістю включимо заяву від Twitter, якщо він захоче її надіслати.

Leave a Comment