Вопросы об анонимизации пользователей и GDPR

Здравствуйте,

На публичном экземпляре Discourse пользователь недавно запросил удаление своей учётной записи, на что модератор ответил, воспользовавшись функцией анонимизации Discourse.

Однако я быстро заметил, что новый назначенный идентификатор пользователя можно было использовать в расширенной форме поиска для нахождения всех предыдущих сообщений этого автора. В таких сообщениях вполне могут содержаться фрагменты данных, позволяющие идентифицировать пользователя и связать его онлайн-активность с «анонимизированной» учётной записью с его реальной личностью (например, фамилия, возраст, упоминание места жительства и т. п.).

Это создаёт проблему, поскольку не выполняет просьбу этих пользователей о защите их права на неприкосновенность частной жизни. Более того, они могут подумать, что их запрос был выполнен, хотя на самом деле информация останется доступной и её будет очень легко найти другим лицам. Кроме того, возможно, пользователь был несовершеннолетним в момент использования этой учётной записи, что создаёт дополнительные проблемы.

Хотя я не юрист, это, несомненно, не соответствует законодательству по крайней мере некоторых европейских стран — включая, как мне кажется, Францию, гражданином которой я являюсь (для русскоязычных читателей, говорящих по-французски, вот ссылка на посвящённую страницу официального агентства по защите данных: Le droit à l’effacement : supprimer vos données en ligne | CNIL). Обычно считается, что удаление данных пользователя действительно означает удаление любых данных, которые могут помочь идентифицировать пользователя (не обязательно полное официальное имя или однозначный идентификатор: достаточно любого упоминания личных характеристик, даже если они неточны).

Учитывая, что вы, вероятно, не хотите, чтобы администраторы и модераторы просматривали всю историю публикаций пользователя, запросившего анонимизацию, и вручную удаляли любую потенциально личную информацию из содержания этих сообщений, на мой взгляд, единственным разумным решением является физическое удаление всех сообщений этого человека, а также любых цитат из них в последующих сообщениях.

Также, если существует опасение, что это может нарушить ход прошлых обсуждений, возможно, стоит предоставить пользователям и модераторам два варианта: поверхностная анонимизация (текущее поведение) и полное удаление (как предложено выше).

P.S.: Я не предоставляю ссылки на оригинальный экземпляр Discourse, поскольку это лишь рискует обнародовать информацию о человеке, который попросил, чтобы о нём забыли. Конечно, я могу отправить их в частном порядке разработчикам Discourse.

Уже существует опция для полного удаления аккаунта. Вам просто нужно удалить все сообщения, а затем удалить сам аккаунт.

Screenshot_20240313_133522_Chrome1079×2362 151 KB

Кроме того, если вы хотите оставить сообщения, но не привязывать их к конкретному пользователю, вы можете анонимизировать аккаунт, а затем объединить его с системным аккаунтом или другим аккаунтом, который может служить заглушкой для всех анонимизированных пользователей.

Примечание: это предупреждение — лишь настройка, которую можно переопределить.

Screenshot_20240313_134621_Chrome1080×913 129 KB

В Discourse есть опция, которую можно использовать.

Объединение учётных записей

Screenshot_20240313-144239864×1698 137 KB

Просто объедините каждую новую анонимизированную учётную запись с другой новой анонимизированной.

Конечно, было бы удобно иметь возможность полного удаления или набор ключевых слов для удаления возможных идентификаторов. Однако вышеописанный метод усложнит использование цепочек сообщений.

Ещё одна возможная функция для анонимизации — это запрос на добавление опции «Сделать профиль анонимного пользователя приватным». Тогда профиль пользователя станет недоступен для просмотра.

Я тоже не юрист, но базовое понимание соответствия GDPR (не привязанное к конкретной стране) заключается в том, что его можно обеспечить политикой запрета публикации любой информации, позволяющей идентифицировать личность, в сообщениях форума.

Это требует активного мониторинга для поддержания, но при условии его проведения функция анонимизации технически даже не обязательна для соблюдения GDPR. Учётную запись пользователя можно просто навсегда заблокировать, если её имя пользователя и карточка не позволяют идентифицировать личность — тогда никаких персональных данных не будет сохранено. (Редакция: никаких персональных данных в публичном доступе, но в базе данных всё ещё хранятся электронная почта и IP-адрес, если учётная запись не была анонимизирована).

Это может стать проблемой, если администраторы форума добровольно не выполняют все требования; в таком случае можно только сообщить о нарушении, после чего регулятор может вынести предписание или связаться с ними для принуждения к соблюдению.

Редакция: учётную запись действительно необходимо анонимизировать, чтобы удалить IP-адрес и электронную почту из базы данных, что важно для соответствия GDPR. Однако эти данные никогда не публикуются системой в публичном доступе, в отличие от имени пользователя, которое может являться юридически идентифицируемым именем.

Кроме того, если что-то было опубликовано в открытом интернете более двух месяцев назад, могут существовать публичные или непубличные архивы этого контента, поэтому простое удаление оригинальных сообщений на платформе Discourse не изменит ситуацию. Важно, чтобы люди были осторожны и не делились личной информацией в сообщениях форума, если хотят сохранить анонимность или иметь возможность полной анонимизации своей учётной записи.

Ваше предложение должно звучать так: …которые собираются системой.

Включая Францию, поскольку это вопрос уровня ЕС, а не национальный.

По моему опыту, это не соответствует реальной практике публикаций ни на одном реальном форуме. Даже в относительно безличных сообществах (например, в проектах с открытым исходным кодом) некоторые пользователи всё же периодически публикуют личную информацию, которая с большей или меньшей лёгкостью может помочь читателю их идентифицировать, даже после анонимизации имени пользователя.

Иными словами, я считаю, что форум такого рода, который вы описываете, на практике, вероятно, не существует.

Спасибо за эту информацию. Я сам не модератор, но передаю её дальше.

Эти законы, как вы отмечаете, допускают различное толкование.

Discourse предоставляет несколько вариантов, которые администраторы форумов могут использовать по своему усмотрению для реализации собственного толкования закона.

У нас есть несколько клиентов с интеграциями запросов на удаление в соответствии с GDPR, направленными на их сайты; некоторые из них полностью удаляют сообщения и учётные записи, другие анонимизируют. Некоторые делают это вручную.

Но то, что они делают, — это их решение: мы не являемся владельцами данных форумов — это они. И если они считают, что наше处理方式 анонимизации недостаточно (так и было), мы исправляем это (мы это сделали).

Если вы считаете, что анонимизация на сайте, о котором идёт речь, была недостаточной, лучше всего обратиться к ним напрямую.

Хм. Странно, что администраторы сайта должны нести ответственность за личные следы, которые люди переплели в паутину обсуждений на форуме.

Я не знаю, что означает “IOW” (то есть), но я видел, как эта практика соблюдалась на форуме в США для соблюдения требований FTC, а также GDPR для пользователей из Европы. Я нахожусь в США, а не в ЕС.

Здесь, в Meta, действует политика не подписывать сообщения, так как карточка пользователя служит подписью, где люди могут разместить ссылку на свой сайт и некоторые личные контактные данные, при условии, что это ограничено карточкой пользователя и не должно публиковаться в самих сообщениях.

Часто люди забывают, что это политика, поэтому требуется активная модерация для её соблюдения. Возможно, это не распространённая практика, но она существует.

Это полезно, спасибо!

Да, я знаю

Именно это я и сделал, но в ответе мне предложили задать вопрос на meta.discourse.org, отсюда и эта тема

«Иными словами»

Спасибо, тогда ещё одна аббревиатура «IME» — и это тоже загадка.

Я говорил конкретно о прямой личной контактной информации, которую регулируют как FTC, так и GDPR.

Такие заявления, как «Я живу в Швеции», не нужно цензурировать для соответствия GDPR.

Мне кажется, что администраторы этого форума не знают о доступных возможностях. Я могу со всей уверенностью сказать, что мы предоставляем все необходимые инструменты для использования Discourse в соответствии с GDPR. То, как они решат использовать эти инструменты, остаётся на их усмотрение.

«IME», полагаю, означает «в моём примере».

ЕС интересен тем, что обязанность лежит на администраторе сайта «блокировать» IP-адреса из ЕС, если он не соответствует GDPR. Возможно, в моём воспоминании что-то не совсем верно.

Небольшое уточнение: я бы сказал, что это «In My Experience».

Да, именно так! Извините за ошибку.

Хотя «Я живу в Швеции» недостаточно специфично, фраза «Мне 14 лет, и я живу в этой маленькой деревне в Швеции», скорее всего, является таковой.

Насколько я понимаю, определение GDPR гораздо шире, чем «прямая личная контактная информация», как и определения национальных законов, предшествовавших GDPR, например во Франции.

См. What is considered personal data under the EU GDPR? - GDPR.eu

И в частности этот пример:

Миллионы Робертов по всему миру, но когда вы говорите имя «Роберт», вы обычно пытаетесь привлечь внимание человека, стоящего перед вами. Добавив ещё один элемент данных к имени (в данном примере — близость), вы получаете достаточно информации для идентификации конкретного человека. Эти элементы данных являются идентификаторами.

Нет, это даже отдалённо не так.

И GDPR для этого вообще не предназначен. Пользователь может раскрывать личную информацию столько, сколько захочет.

Спасибо за разъяснение, трудно уследить за всеми этими аббревиатурами.

@pitrou всё в порядке, слишком много аббревиатур для запоминания. . Часто приходится гуглить их, если не знаком с какой-то из них.

По умолчанию функция анонимизации просто удаляет из базы данных IP-адрес, адрес электронной почты и имя пользователя учётной записи, что не гарантирует защиту анонимности человека, в зависимости от того, что именно он опубликовал на сайте и что не было удалено.

Для описанной вами ситуации, возможно, лучше всего подать жалобу во французские органы, если администраторы сайта не выполняют свои обязательства в соответствии с французским GDPR и другими соответствующими законами.