Почему опция «Удалить аккаунт» не доступна автоматически всем пользователям в любое время?

Здравствуйте,

Я хотел бы снова затронуть эту проблему, так как на форуме, которым я пользуюсь, также возникают сложности с запросами на удаление данных от пользователей.

Мне хотелось бы понять это лучше.

1. Почему в Discourse невозможно удалить свой профиль в несколько кликов?
   Существуют ли какие-то причины, которые мне неизвестны или которые ещё не были обнародованы? Я предполагаю, что техническая реализация не является проблемой.
   Есть ли соображения, связанные с пользовательским опытом, которые обосновывают такое решение?

Или уже запланировано, что для всех пользователей будет предусмотрен простой способ самостоятельно удалить свою учётную запись?

2. Могут ли возникнуть проблемы в связи с GDPR, если не предоставляется прозрачная коммуникация и возможность удаления собственной учётной записи?

Благодарю за ответы и разъяснения!

Немного информации:

И связанный компонент темы:

Я уже знаком с этими двумя ссылками. К сожалению, в них не объясняется, почему эта функция ещё не существует, и нет информации о планах по её реализации. Я исхожу исключительно из соображений UX и намеренно оставляю в стороне юридические аспекты.

Пользовательская история: Как пользователь Discourse, я хочу быстро и легко удалить свою учётную запись и получать мгновенное подтверждение.

Остаётся вопрос: какие аргументы против того, чтобы добавить кнопку, которая делает именно это?

Именно этот момент привлек моё внимание. Насколько я понимаю, удаление пользователя удаляет все его сообщения, что приводит к неполным темам с «дырами» в оставшейся информации на форуме. При этом не удаляются части сообщений пользователя, процитированные другими, что ещё больше снижает качество информации (и при этом эти цитаты всё ещё могут быть связаны с пользователем даже после его удаления, если его имя или любая другая публичная информация, которой он поделился, была процитирована другими).

Опять же, это моё понимание, но я могу ошибаться. Кроме того, я полностью понимаю ваши опасения.

Слово «разрушительный» кажется мне слишком резким в данном контексте. Никто не настаивает на том, чтобы в процессе удалялись все сообщения. Необходимо лишь удалить имя пользователя, а вместо него отображать текст «Удалённый пользователь».

Пользователи могут сообщать о сообщениях, ставить лайки, добавлять в закладки, делиться ими и так далее, хотя это и не требуется по закону. Таким образом, здесь также присутствует функционал, облегчающий использование программного обеспечения пользователем, даже если это не предписано законом. Так почему бы не предоставить возможность удалить свою учётную запись с помощью кнопки или, как минимум, анонимизировать её и заблокировать вход?

Именно для этого существует функция «Анонимизировать пользователя», и именно поэтому она была создана

Что касается того, почему анонимизация пользователя не доступна для самостоятельного выполнения, на это есть несколько причин, и я не помню их все прямо сейчас. Вот те, что приходят на ум:

1. Очевидно, что GDPR требует, чтобы удаление было выполнено в течение 30 дней после получения надлежащего уведомления. 30 дней — это достаточно времени для ответа человека и не требует автоматизации, доступной пользователю (… именно поэтому закон написан именно так …).
2. Ошибки. Это была бы кнопка, которая навсегда блокирует вход в аккаунт. Примечательно, что деактивация аккаунта в Facebook, Twitter и т. д. обратима (хотя Facebook делает повторную активацию слишком простой). В целом, индустрия разработки программного обеспечения начала осознавать, что кнопка «Уничтожить мои данные» — это плохая идея.
3. Человеческое участие иногда действительно приятно, что связано с…
4. Желание покинуть сообщество настолько сильно, что вы не хотите, чтобы ваше имя было с ним связано, — это то, о чём администраторы должны знать и чувствовать, когда это происходит. Могут ли они устранить причину для следующего человека?
5. Разговор — это возможность предложить альтернативные решения, такие как временная блокировка (для людей, обеспокоенных тем, что они зависимы от форума), или тщательная очистка конфиденциальной информации в сообщениях.
6. Атаки по захвату аккаунтов — это реальная угроза. Если предположить масштабный инцидент с захватом аккаунтов, в ходе которого не были скомпрометированы аккаунты модераторов, функция «Анонимизировать аккаунт» является самым разрушительным доступным действием после этого предложения. Это одна из основных причин, по которой удаление отдельных сообщений ограничено по частоте.
7. SSO — данные пользователя могут быть реплицированы в другие системы, о которых Discourse не знает, и модераторам также необходимо инициировать их очистку.

Ни одна из этих причин не является «абсолютным запретом», но я надеюсь, что это даст вам хорошее представление о балансе интересов.

Добавляю своё мнение к этой просьбе о новой функции. Решение о том, следует ли разрешать пользователям удалять свои учётные записи (независимо от того, как давно они зарегистрированы и т. д.), в конечном итоге должно оставаться за администратором сайта. Ответственным подходом было бы предоставить администратору возможность разрешать или запрещать удаление учётных записей (или их анонимизацию) в соответствии с требованиями законодательства и внутренними политиками компании. Это не должно навязываться им платформой Discourse (или заставлять их совершать лишние действия для получения этой базовой функции).

Ссылка на связанные обсуждения: два варианта, которые остро необходимы в Discourse для соблюдения нормативных требований и корпоративной политики:

Я вижу критические проблемы во всех этих блестящих аргументах.

• Пробелы в потоках обсуждений раздражают, это понятно, но «право на забвение» (GDPR) имеет прежде всего юридический смысл (конфиденциальность важнее удобства и функциональности).
• Самообслуживание неизбежно, и нет законных оснований для его отсутствия.

Регламент прямо не упоминает самообслуживание, но намерение закона, которое имеет решающее значение, подразумевает, что самообслуживание неизбежно.

Технически все веб-сайты с регистрацией и управлением аккаунтами, не имеющие такой функции самообслуживания, отказывают пользователям в их законных правах на собственные личные данные (или PII), включая сообщения, где личность человека может быть идентифицирована. Следовательно, они, вероятно, нарушают GDPR, который следует интерпретировать максимально широко.

Я считаю, что нарушается также немецкое законодательство, так как наше толкование GDPR гораздо глубже и «шире», чем оригинальный GDPR. На немецких платформах люди всегда имеют право удалять все свои данные в любое время. Единственные исключения — юридические и соображения безопасности. В данном случае ни одна из этих законных причин не может быть оправдана.

Я согласен, что владелец или супер-администратор должен решать, активирована ли эта функция, но по умолчанию она должна быть включена для всех систем Discourse, где есть пользователи из Германии или ЕС.

Наличие кнопки, предлагающей администратору провести анонимизацию, — хороший инструмент и может быть достаточным в соответствии с законодательством США.

В любом случае, простого анонимизирования аккаунта недостаточно. Вероятно, при этом сохраняются адрес электронной почты, IP-адреса и т. д., что в большинстве случаев, вероятно, незаконно.

Это лишь отчасти верно. GDPR допускает такой срок, но только в исключительных обстоятельствах, например, когда речь идёт о Facebook. Во всех остальных случаях процесс удаления должен быть завершён как можно скорее. GDPR в этом смысле не снисходителен, и его следует толковать максимально широко. Безопасность, моральный дух и правовые права пользователя являются главными целями этого регулирования.

Это никогда не было идеей индустрии программного обеспечения изначально, и всё же как разработчик и хакер я люблю такие кнопки. Люди всегда будут ими пользоваться, и предоставление такой возможности — это человеческое и правовое право. Но мы можем поспорить о действиях, происходящих после нажатия на кнопку.

Лучшая защита от атак взлома аккаунтов — это обучение пользователей! Не ограничение действий, которые в любом случае должны быть ограничены (через rate-limiting) ради общей безопасности приложения сайта.

Так что нам не разрешается уходить, когда мы хотим? Несмотря на то, что у администраторов должно быть здравый смысл и понимание этого, у меня есть личное право уйти, когда я захочу, с кем угодно или без уведомления кого-либо. Точно так же вы не можете просто запереть меня в комнате, потому что хотите узнать, почему я ухожу.

Для справки:

Хорошо! А как насчёт ПДн в постах?

Я хотел бы обратить внимание на следующий аспект ст. 7 GDPR (Art. 7 GDPR – Conditions for consent - General Data Protection Regulation (GDPR)):

Субъект данных имеет право в любой момент отозвать своё согласие. Отзыв согласия не влияет на правомерность обработки, основанной на согласии до его отзыва. Перед предоставлением согласия субъект данных должен быть проинформирован об этом. Отзыв согласия должен быть таким же простым, как и его предоставление.

Если регистрация проста, то и удаление (отзыв согласия) должно быть таким же простым.

Если пользователь отказывается от своего утверждения, оно больше не подпадает под это исключение. Таким образом, с юридической точки зрения это создаст крайне странную серую зону, которая противоречит фундаментальным принципам GDPR.

Суть идеи ЕСПЧ, а следовательно, и свободы выражения мнения и включения информации в рамках GDPR, заключается в том, что вы можете подать в суд, например, на владельца СМИ или частного блога, если они разместили ПДн в рамках обоснованного дела, представляющего общественный интерес. Я не вижу, чтобы это применялось к форумам.

Пожалуйста, рассмотрите статью 85 в этом контексте: https://gdprhub.eu/Article_85_GDPR

Таким образом, здесь будет применяться подход «от случая к случаю»: например, если пользователь публикует статистический обзор, такие данные могут быть сохранены, но не остальное, например, когда пользователь публикует своё фото.

Я также прочитал в одном из сообщений, на которое здесь была дана ссылка:

Вы можете восстановить резервную копию, созданную до деструктивного действия [удаления аккаунта]

Поскольку «удаление» (анонимизация) обратимо, это технически незаконно.

GDPR должен толковаться в наиболее радикальном смысле.

Это не имеет никакого отношения к удалению контента как такового.

Это даже отдалённо не соответствует действительности. Удаление незаконно, если не учитывать резервные копии, которые существуют до конца света. Однако законно хранить резервные копии в течение разумного срока. Но, конечно, если резервная копия восстанавливается, удаление должно быть выполнено заново.

не имеет прямого отношения к удалению контента как такового

Зависит от обстоятельств! Можно вполне утверждать, что пользователь обладает всеми правами на работу, которую он опубликовал. Следовательно, всё «принадлежит» пользователю и, таким образом, косвенно связано с его личностью, а значит, и все связанные с ней публикации/информация. Я согласен, что это было бы крайностью.

Ключевой момент при удалении аккаунта заключается в том, что все связанные персональные данные (PII) или, по крайней мере, все ссылки на них должны быть безопасно удалены. Контент может быть сохранён, так как это полностью открытая информация, не ведущая к пользователю (к его личности).

Но, конечно, если резервная копия будет восстановлена, удаление придётся выполнить заново.

Я согласен! Как вы и говорите, удаление придётся выполнить снова, однако сам факт того, что можно восстановить информацию удалённых пользователей, является ключевой проблемой, хотя у вас есть право создавать резервные копии для поддержания работы сервиса и обеспечения безопасности. Я не думаю, что кто-либо подаст в суд на это или что какой-либо прокурор позволит продолжить судебное разбирательство. Однако, когда речь заходит о конфиденциальности, нам необходимо согласовать правовые и технические аспекты.

Отчасти нет. Это две совершенно разные вещи.

GDPR ограничивает причины, способы, сроки и длительность идентификации пользователей сервисом.

Авторское право и право на публикацию — это совершенно другая история, и они не имеют ничего общего с защитой данных и GDPR.

Любой пост в этой теме не является творческим контентом, который мог бы быть защищён авторским правом где-либо в мире. Однако у Meta есть контент, защищённый авторским правом, например блоги и т.п.

А затем мы переходим в сферу соглашений и условий, а также к тому, как лицензируется контент.

пометьте свой пост и попросите удалить его

Но это противоречит принципам GDPR Суть в том, что я могу легко удалить свои сообщения, аккаунт и т. д. Всё, что связано с моей персональной идентифицирующей информацией (PII) или личностью.

Когда удаляется первое сообщение темы, удаляется вся тема

Это особый случай, когда можно оставить сам пост, но заменить его содержимое на «пользователь удалил это сообщение». Тогда структура обсуждения сохранится.

Хотели бы вы, если бы кто-то просто удалил эту тему вместе со всем обсуждением?

Я колеблюсь в этом вопросе. С одной стороны, у пользователя есть на это право. Конфиденциальность и свобода важнее моего интереса к обсуждению, а иногда даже важнее общественного интереса. С другой стороны, я люблю дискутировать, и если всё просто исчезнет, меня это тоже разозлит.

Эти законы, как вы отмечаете, допускают различные толкования.

Законы всегда допускают различные толкования, но мы должны руководствоваться толкованием судов, учёных и тем, что прямо сказано в самом регламенте. Идеология, лежащая в основе GDPR, довольно ясна и оставляет меньше пространства для интерпретаций.

Извините, я думаю, вы меня неправильно поняли. Я указал, что сочетание упомянутых законов может привести к одному и тому же эффекту и, таким образом, установить ответственность в соответствии с GDPR. Конечно, авторское право (или аналогичное) и персональные данные (PII) — это совершенно разные вещи от GDPR. Тем не менее, их можно комбинировать для установления основания для ответственности.

Любое сообщение в этой теме не является таким творческим контентом, который мог бы быть защищен авторским правом где-либо в мире.

Кажется, вы путаете авторское право и право собственности. Особенно в рамках немецкой юрисдикции вы обладаете особым правом собственности на всё, что создаете, и можете защищать его по всему миру.

мы входим в мир соглашений и условий, а также того, как лицензируется контент.

Даже в этом случае вы не можете просто лишить пользователя его права собственности, и главной проблемой по-прежнему остаются персональные данные (PII), связанные с сообщением, в зависимости, конечно, от содержания и характера сообщения.

Порядок слов в вашем утверждении неверен и это имеет огромное значение.

Всё, что является вашей ПИИ или связано с вашей личностью.