Naujas KTU mokslininkų ir verslo projektas: kuria asmens duomenų patikėtinio paslaugą

Įmonė ICYBIT, bendradarbiaudama su KTU, projekto DUOMUO metu siekia sukurti ir asmens duomenų apsaugos rinkai pateikti asmens duomenų patikėtinio platformą ir paslaugą. Tai leistų subalansuoti asmenų ir įmonių poreikius, įgalinant visiškai naują būdą teikti prekes ir paslaugas.

„Duomenų kaupimas apie savo klientą yra visiškai normalus reiškinys, nes tai leidžia įmonei ne tik teikti bazines, bet ir siūlyti suasmenintas paslaugas, taip pat užtikrinti geresnę vartotojo patirtį. Tačiau tais atvejais, kai įmonė negali ar neturi intereso teikti papildomų paslaugų, gali būti taikomas duomenų minimizavimo principas“, – sako mokslinių tyrimų, eksperimentinės plėtros ir inovacijų įmonės ICYBIT mokslinis tyrėjas, Kauno technologijos universiteto Informatikos fakulteto (KTU IF) docentas dr. ir vienas iš projekto vykdytojų Mindaugas Vasiljevas.

Jis teigia, kad turėdama daug jautrios informacijos apie asmenį, įmonė tampa geidžiamu programišių taikiniu, todėl tenka investuoti į sudėtingesnius duomenų apsaugos sprendimus ir užtikrinti atitiktį įvairiems teisės aktams.

Toks centralizuotas asmens duomenų kaupimas, dalijimasis jais su trečiosiomis šalimis ir jų apsauga reikalauja iš įmonės nemažų išteklių.

Alternatyva šiam veikimo modeliui yra decentralizuotas asmens duomenų saugojimo ir dalijimosi būdas, kuris įgyvendinamas DUOMUO projekte.

Prieiga prie duomenų – ribotą laiką

KTU mokslininkas M. Vasiljevas pasakoja, kad norėdamas nusipirkti išmanųjį telefoną, pirkėjas internetinei elektronikos parduotuvei neretai turi pateikti savo el. pašto adresą, vardą, pavardę, mobiliojo telefono numerį, tikslų adresą, pašto kodą, miestą, apskritį, šalį ir mokėjimo kortelės duomenis (numerį, galiojimo pabaigos datą ir saugos kodą).

Visos šios informacijos prašo internetinė elektronikos parduotuvė, kuri tam, kad galėtų parduoti prekę pirkėjui, paprastai dalijasi šia informacija su savo partneriais – elektroninių mokėjimų teikėju ir siuntų paslaugas teikiančia įmone.

Pavyzdžiui, siuntų paslaugas teikianti įmonė dažnai yra priversta saugoti to paties pirkėjo adresą tol, kol prekė jį pasieks, tačiau prekei pristatyti pirkėjo adresas galimai buvo reikalingas daug trumpiau ir tik tam tikrais laiko momentais. Analogiškai, pirkėjui yra įprasta, kad jo adreso prašo internetinė elektronikos parduotuvė, tačiau dažnu atveju ši informacija reikalinga tik siuntų paslaugas teikiančiai įmonei.

„DUOMUO sistema pirkėjui leidžia suteikti prieigą prie savo asmens duomenų tik esant būtinybei ir tik ribotą laiko tarpą. Pavyzdžiui, pirkėjas internetinei elektronikos parduotuvei savo asmens duomenų galėtų visai neatskleisti, ir tik atsiradus būtinybei pristatyti siuntinį, pirkėjas ribotam laikui suteiktų prieigą prie savo adreso siuntų paslaugas teikiančiai įmonei“, – sako jis.

Verslas be asmens duomenų

ICYBIT įmonės vadovas Giedrius Sirevičius teigia, kad tokiu būdu, internetinei elektronikos parduotuvei nusprendus, jog ši tenori pardavinėti prekes, o ne investuoti į asmens duomenų apsaugą, internetinė elektronikos parduotuvė pasirinktų vykdyti savo veiklą nenaudojant asmens duomenų.

„Analogiškai, pirkėjui pasirinkus atskleisti savo adresą siuntų paslaugas teikiančiai įmonei tol ir tik tol, kol internetinėje elektronikos parduotuvėje įsigyta prekė bus pristatyta, vėliau piktavaliui įsilaužus į siuntų paslaugas teikiančios įmonės sistemą, pirkėjui būtų vienareikšmiškai aišku, jog įsilaužimo metu jo asmens duomenys nutekėti negalėjo, nes jų ten paprasčiausiai nebuvo“, – aiškina jis.

Galiausiai, asmenims ir įmonėms mainytis asmens duomenimis yra tiek įprasta, kad joks kitas būdas įsigyti bei teikti prekes ir paslaugas atrodo neįmanomas.

„Taigi, atsirado poreikis nustatyti, ar egzistuoja būdas subalansuoti asmenų ir įmonių poreikius, bei ištirti, ar paslaugoms, kurių teikimo be asmens duomenų šiandien neįsivaizduojame, iš tiesų yra reikalingi asmens duomenys. Būtent šias problemas ir sprendžia asmens duomenų patikėtinis“, – dalijasi ICYBIT įmonės vadovas.

Atsižvelgia į abiejų šalių interesus

M. Vasiljevas teigia, kad absoliuti dauguma šiuo metu egzistuojančių sistemų arba padeda asmeniui pasiekti privatumą, arba padeda įmonei pažinti savo klientą apsisaugant nuo asmens duomenų apsaugos pažeidimų.

„Tačiau, mūsų turimomis žiniomis, praktiškai nė vienas sprendimas nesiekia nešališkai atstovauti abiejų pusių interesus. Taigi, asmens duomenų apsaugos rinka yra tam tikra prasme asimetriška. Mūsų sprendimas būtent tuo ir skiriasi nuo visų kitų – jis siekia sukurti tvarų balansą tarp įmonės poreikio pažinti savo klientą ir asmens poreikio apsaugoti savo privatumą“, – sako jis.

KTU mokslininkas aiškina, kad pasiekti ilgalaikį stabilų balansą dalijantis informacija riboto tarpusavio pasitikėjimo sąlygomis yra nepaprastai sunkus uždavinys, kuris iki šiol nebuvo išspręstas. Taigi, šis išradimas suteikia galimybę spręsti asmens duomenų apsaugos rinkoje vyraujančią asimetriškumo problemą dar nemėgintu būdu.

Pasak KTU mokslininko, asmens duomenų patikėtinio platforma ir paslauga DUOMUO įgyvendina decentralizuotą asmens duomenų saugojimo ir dalijimosi būdą, apimantį galingus informacijos šifravimo ir pseudonimizavimo algoritmus, kurie leidžia subalansuoti asmenų ir įmonių interesus asmens duomenų apsaugos srityje bei įgalina verslo procesus vykti nenaudojant asmens duomenų.

„Asmens duomenų patikėtinis leidžia asmeniui savo duomenims skirti tiek dėmesio, kiek šis pats nori ir gali skirti, tuo tarpu įmonei – pačiai nuspręsti, kiek savo resursų ši turėtų investuoti į asmens duomenų apsaugą, kad šios verslas galėtų nekliudomai augti ir klestėti“, – pasakoja jis.

Taigi, tiek asmuo, tiek įmonė gali patikėti asmens duomenis ir jų apsaugą asmens duomenų patikėtiniui tam, kad abiejų šalių interesai būtų subalansuoti. Tai reiškia, jog asmuo gali ne tik užtikrinti savo privatumą, bet ir nuspręsti įmonei atskleisti dar daugiau duomenų (netgi tų, kurių įmonė iki šiol neturėjo, bet kuriuos įmonei turėti būtų labai naudinga ir pačiam asmeniui).

Analogiškai, įmonė gali ne tik nuo savo pečių nusimesti dalį asmens duomenų apsaugos naštos, bet ir nuspręsti visiškai atsisakyti asmens duomenų, kurie jai dažnu atveju net nėra reikalingi, tačiau kurių ji šiandien neturi jokių galimybių atsisakyti netrikdydama savo nusistovėjusių verslo procesų.

Platesnės pritaikymo galimybės

KTU IF profesorius ir vienas projekto vadovų Rimantas Butleris teigia, kad tokio pobūdžio sistemos yra sudėtingos tuo požiūriu, jog turi tiek technologinę, tiek socialinę dedamąsias, taigi savo esme yra susijusios su skirtingomis mokslo sritimis.

„Kadangi šiandieninėje visuomenėje visų šių informacijos mainų metu beveik neišvengiamai dalyvauja įvairios informacinės sistemos, natūraliai atsiranda poreikis tirti projekte siūlomo inovatyvaus verslo modelio įtaką įmonių verslo procesams, o tokio pobūdžio taikomieji moksliniai tyrimai yra ypač aktualūs Informacinių sistemų projektavimo technologijų centrui (ISPTC)“, – aiškina R. Butleris.

G. Sirevičius papildo, kad šiuo metu planuojama DUOMUO sistemą taikyti elektroninės komercijos srityje, tačiau ateityje ketinama plėsti taikymo sričių spektrą.

„Matome galimybę DUOMUO pritaikyti medicinos paslaugų, bankininkystės ir kitose srityse, kuriose figūruoja asmens duomenys“, – sako ICYBIT įmonės vadovas.