Ниже — краткий список вопросов и рекомендаций, которыми следует руководствоваться.
1) Вопросы морали, права и социальной ответственности к заказчику
- Цель: зачем именно нужны данные и какие решения будут приниматься на их основе? (прямое объяснение цели, метрики успеха).
- Объем данных: какие поля, гранулярность, идентификаторы, метаданные? Можно ли обойтись агрегатами?
- Субъекты: затрагиваются ли дети или уязвимые группы? Есть ли чувствательные данные (здоровье, политические взгляды и т. п.)?
- Согласие и прозрачность: как будет получено информированное согласие? Будут ли понятные уведомления и возможность отказаться?
- Правовая база: какие законы применимы (GDPR, местные законы о слежке, хранении данных)? Планируется ли передача данных третьим сторонам или за границу?
- Минимизация риска: проведёте ли оценку воздействия на защиту данных (DPIA) и независимый аудит?
- Использование и срок: как долго хранить данные, кто имеет доступ, какие политики удаления и исправления?
- Противодействие вреду: какие меры для предотвращения дискриминации, манипуляции, ненадлежащего таргетинга?
- Коммерческая модель: будут ли данные продаваться или использоваться для рекламы?
- Ответственность и контроль: кто несёт ответственность за ущерб пользователям, механизмы обжалования и компенсации?
2) Технические альтернативы и меры защиты приватности
- Альтернативы:
- Обработка на устройстве (edge): персональные данные не покидают устройство.
- Аггрегированная телеметрия: собирать лишь суммарные метрики (счётчики, гистограммы), без событий, привязанных к пользователю.
- Федеративное обучение: модель обучается локально, передаются агрегированные обновления.
- Синтетические данные: генерировать синтетические выборки для аналитики и тестирования.
- Псевдонимизация и минимизация: удалять идентификаторы, собирать только нужные поля.
- Технологии приватности:
- Дифференциальная приватность: добавить шум к агрегатам (нижний $\epsilon$ → сильнее приватность).
- K‑анонимность / l‑диверсификация там, где применимо.
- Шифрование: TLS для транспорта, сильное шифрование at‑rest; ключевой менеджмент.
- Secure MPC / гомоморфное шифрование для совместных вычислений без раскрытия данных.
- Контейнеризация и изоляция доступа, ролевой контроль (RBAC), принцип наименьших прав.
- Операционные меры:
- Минимальный период хранения и автоматическое удаление (удалять «по времени»).
- Журналы доступа и аудит (immutable logging), регулярные внешние проверки.
- Ясные UX‑механизмы согласия и отказа, простые способы удаления данных.
- Ограничение передачи третьим сторонам, договора с обработчиками (Data Processing Agreement).
- Тестирование на предвзятость и сценарии вреда, план реагирования на инциденты.
3) Условия для отказа от работы
- Запрос противоречит закону (незаконная слежка, обход правовых ограничений).
- Заказчик отказывается от прозрачности и отказывать пользователям в информированном согласии.
- Требуется скрытый (незаметный для пользователей) сбор или таргетинг уязвимых групп.
- Клиент запрещает минимизацию риска, требует хранения всех данных навсегда или их продажи без ограничений.
- Невозможность провести DPIA при высокой степени риска или отсутствие готовности пройти аудит.
- Требуются технические способы обхода безопасности/шифрования или создания уязвимостей.
- Если коммерческая модель прямо направлена на манипуляцию, дискриминацию или иные публично вредные практики.
Если нужно, могу составить шаблон вопросов (анкеты) для заказчика и краткий план DPIA или варианты реализации (edge vs server) с плюсами/минусами.