63.27 € 73.48

Значение GRPR для IoT

Значение GRPR для IoT

25 мая в странах Европейского Союза вступило в силу положение о GDPR (General Data Protection Regulation). С этого момента компании, работающие на территории ЕС или же с партнерами из ЕС, должны сообщать о том, каким образом используются их данные. Действие положения касается IoT напрямую. Разработчики должны устранить некоторые барьеры, чтобы соответствовать GDPR.

Осложнения для IoT

Действие GRPR будет иметь последствия не только для сетей IoT, но и для самих устройств и их разработчиков. Рекомендации, предлагаемые предприятиям в отношении общих требований к GRPR, справедливы, однако применение положения в контексте IoT может стать реальной проблемой.

Во-первых, устройства IoT по своей природе не имеют (за редким исключением) графических пользовательских интерфейсов (например, дисплея с удобной навигацией по операционной системе), поэтому получение уведомлений для пользователя может стать реальной проблемой. Во-вторых, использование технологий IoT полагается на обработку данных и аналитику в облаке. Взаимодействие между устройством и данными не является чем-то простым, оно многостороннее, и, в соответствии с GDPR, ответственность за данные распространяется на все стороны.

Как сказать «да»

Отсутствие стандартного пользовательского интерфейса может создать осложнения при пользовании устройствами IoT. Устройства IoT часто по дизайну сдержанны, поэтому проблема получения согласия является в некотором виде вызовом для разработчиков. К примеру, домофон, оснащенный функцией видео, показывает, кто звонит в дверь. Современные домофоны могут «переадресовать» звонок в дверь на телефон, чтобы пользователь вне дома увидел гостей. Данные любого гостя будут собраны, обработаны в облаке и будут хранится некоторое время.

Производитель видеодомофона может легко получить согласие на обработку данных домовладельца, связавшись с ним по электронной почте. Как быть с посетителями, чье согласие не было получено? Согласие на обработку личных данных от посетителей с трудом, но все же может быть получено. Однако есть ли в этом необходимость?

Удаление «хвостов» данных

Если субъект данных попросит ознакомится с информацией, то любая организация, которая имеет дело с обработкой персональных данных, должна ее предоставить. Субъект при этом должен получить доступ к информации безвозмездно, равно как и потребовать организации удалить данные в соответствии с пунктом «Право на забвение».Такой подход применяется в защите частной жизни людей, но когда дело доходит до технологий IoT, то возникают проблемы.

Например, сети камер видеонаблюдения в городах могут заснять любого человека в любое время. Если следовать логике GDPR, то пользователь может обратится в организацию, которой принадлежит камера, потребовать просмотреть записи с его «участием» и настоять на немедленном удалении данных. Может возникнуть ситуация, когда на видеозаписи рядом будут присутствовать другие люди, которые, возможно, находятся в розыске или недавно совершили преступление. Такое «ручное» удаление данных может иметь негативные последствия для поддержания правопорядка и безопасности.

Обновление для IoT-устройств

Уведомление об обновлении легко получить владельцам смартфонов, ноутбуков, компьютеров, телевизоров и другой техники с понятным пользовательским интерфейсом. Владелец такой техники может вручную проверить наличие обновлений, скачать модифицированные обновления из интернета, установить их в любой момент, а также в любой момент отказаться от их установки. Как правило, обновления устраняют «дыры» в безопасности. Теперь, со вступлением GRPR в силу, устройствам IoT не смогут получать полные права на самообновление. Требования к защите данных и конфиденциальности должны быть соблюдены при проектировании новых устройств. Как быть со старыми девайсами, не совсем понятно.

Роль мобильных операторов

Большая часть данных с IoT-устройств в сетях мобильных операторов будет передаваться в облако. В таком случае мобильные операторы могут помочь экосистеме IoT соответствовать требованиям GDPR, подключив устройства IoT к пользовательскому идентификатору мобильного телефона. Прозрачные идентификаторы не определяют фактического пользователя; они просто предоставляют ссылку для соединения. Экран телефона и клавиатура также могут использоваться в качестве устройств для просмотра обновлений конфиденциальности и получения согласия пользователя на подключенные устройства и запроса журналов данных.

Конфиденциальность с дизайна

Соответствие GDPR несет много проблем для операторов, разработчиков устройств и пользователей Интернета вещей. Главное, что предполагает GDPR – переход создателей девайсов на модель «конфиденциальность с дизайна». Это означает, что устройство проектируется с нуля таким образом, чтобы соответствовать GDPR, и только потом выходит на рынок. 

В целом проблемы, которые несет реализация постановления, являются преодолимыми. Учитывая редкость обновления ЕС правил в отношении данных (последний раз это произошло более двадцати лет назад), сообществу разработчиков IoT предстоит серьезно подумать над реализацией конфиденциальности.

Подписаться на новости Обсудить Заказать исследование на тему

Назад

Комментарии

Текст сообщения*
Защита от автоматических сообщений