Cambridge Analytica: урок управления данными не только для платформ

История с Cambridge Analytica в марте 2018 года взорвала публичное пространство. Компания получила данные о десятках миллионов пользователей Facebook без их явного согласия и использовала их для политического профилирования. Facebook упал в капитализации, Цукерберг давал показания в Конгрессе, и весь мир внезапно стал говорить о том, что именно происходит с данными людей.

Большинство комментариев были направлены в сторону Facebook и платформ. Это понятно - масштаб там гигантский. Но я думаю, что для руководителей обычных компаний здесь есть другой, более практичный урок.

Что произошло с точки зрения данных

Cambridge Analytica не взламывала Facebook. Она использовала легальный механизм - приложение, которое пользователи авторизовывали сами. Проблема была в том, что этот механизм позволял собирать данные не только авторизовавшего пользователя, но и его друзей - которые ни о чём не знали и ни на что не соглашались.

С технической точки зрения это работало по правилам платформы. С точки зрения ожиданий людей - это было нарушением. Именно этот разрыв и создал кризис.

Вопрос "что технически разрешено" и вопрос "что ожидают люди, предоставившие данные" - это разные вопросы. Компании, которые это не понимают, рискуют оказаться в похожей ситуации.

Почему это важно не только для платформ

Обычная компания - розничный бизнес, сервисная компания, B2B-игрок - собирает данные о клиентах каждый день. Email-адреса, история покупок, поведение на сайте, результаты опросов. Иногда передаёт их подрядчикам - рекламным агентствам, аналитическим платформам, сервисам email-рассылок.

Вопросы, которые стоит задать:

• Знают ли клиенты, что именно происходит с их данными?
• Есть ли в договорах с подрядчиками требования к обращению с этими данными?
• Кто в компании отвечает за то, что эти требования выполняются?
• Что происходит с данными, когда договор с подрядчиком заканчивается?

Это не риторические вопросы. Это конкретные пробелы, которые я нахожу почти в каждой компании среднего размера.

Управление данными как операционная функция

История с Cambridge Analytica показала, что управление данными - это не только юридический и технический вопрос. Это вопрос о том, как компания думает об ответственности перед людьми, данные которых она использует.

Практически это означает несколько вещей:

Во-первых, знать, где данные находятся. Это та же инвентаризация, о которой говорит GDPR, - но мотивация здесь не только регуляторная.

Во-вторых, знать, кто к ним имеет доступ - внутри компании и снаружи. Не на уровне "примерно понимаем", а на уровне конкретного списка.

В-третьих, иметь процесс реагирования на ситуацию, когда что-то пошло не так. Не "будем разбираться по факту", а продуманный план.

Что изменилось после этой истории

В ближайшие месяцы регуляторное давление на работу с персональными данными будет только расти - и не только из-за GDPR. Cambridge Analytica изменила общественный климат вокруг темы данных. Люди стали больше задавать вопросы и меньше доверять по умолчанию.

Для бизнеса это означает, что прозрачность в обращении с данными перестаёт быть конкурентным преимуществом и становится базовым ожиданием. Компании, которые выстраивают эту практику сейчас, окажутся в лучшей позиции - не потому что избегут штрафов, а потому что сохранят доверие.