Skip to content
AKTUALIZACJA DOTYCZĄCA POSTĘPÓW W ZAKRESIE PRYWATNOŚCI

Od 2019 roku przeprowadziliśmy w Meta gruntowne zmiany w zakresie prywatności, inwestując 5,5 mld USD w rygorystyczny program ochrony prywatności obejmujący ludzi, procesy i technologię. Jego celem jest wczesne identyfikowanie i eliminowanie zagrożeń prywatności oraz uwzględnianie ochrony prywatności w naszych produktach od samego początku.

01. JAK TO ROBIMY

Zespoły ds. produktów, inżynierii i operacji skupiające się przede wszystkim na ochronie prywatności w całej firmie powiększyły się z kilkuset osób na koniec 2019 r. do ponad 3000 osób na koniec 2023 r.

Photo of Chief Privacy Officer of Product Michel Protti on Meta’s Menlo Park campus

„Zdaliśmy sobie sprawę, że potrzebujemy zwiększyć inwestycje w ochronę prywatności o cały rząd wielkości – miało to miejsce latem 2019 r. Zakres zmian w Meta był ogromny – wymagało to fundamentalnie odmiennego podejścia do pracowników, procesów i infrastruktury technicznej, a także nadzoru i odpowiedzialności. Nadal inwestujemy w ochronę danych użytkowników w miarę ewolucji systemów, technologii i oczekiwań”.


– Michel Protti, dyrektor ds. prywatności produktów

Zarządzanie

Nasze działania w obszarze prywatności opierają się na wewnętrznych strukturach zarządzania, które dbają o to, aby standardy w zakresie ochrony prywatności i wykorzystywania danych wpływały na każdy etap działalności firmy.

Aby konsekwentnie wprowadzać ochronę prywatności we wszystkich obszarach działalności firmy, stworzyliśmy zespoły ds. prywatności w ramach grup produktów, które dzięki swojej specjalistycznej wiedzy pogłębią zrozumienie kwestii związanych z prywatnością. Zespoły te znajdują się na pierwszej linii odpowiedzialności w zakresie ochrony prywatności w ramach naszych produktów.

Zespół ds. ochrony prywatności i praktyk dotyczących wykorzystywania informacji, na czele którego stoi dyrektor ds. prywatności produktów Michel Protti, obejmuje kilkadziesiąt mniejszych zespołów, ds. technicznych i nie tylko, zajmujących się planowaniem i realizacją strategii w zakresie ochrony prywatności oraz umożliwianiem pozostałym pracownikom stosowania się do nich.

Zespół ds. ochrony prywatności i praktyk dotyczących wykorzystywania informacji znajduje się w centrum działań naszej firmy na rzecz prowadzenia kompleksowego programu ochrony prywatności. Jego misja – zaszczepianie praktyk dotyczących odpowiedzialnego wykorzystywania informacji w Meta – wyznacza kierunek tych działań, dbając o to, aby użytkownicy wiedzieli, w jaki sposób Meta wykorzystuje ich dane, i ufali, że nasze produkty wykorzystują ich dane w sposób odpowiedzialny.

Zespół ds. ochrony prywatności i praktyk dotyczących wykorzystywania informacji to tylko jedna z wielu struktur w całej firmie, które są odpowiedzialne za prywatność. Tysiące osób w ramach różnych struktur i na różnych stanowiskach w Meta, w tym m.in. w zakresie polityki publicznej i prawa, pracują nad tym, aby ochrona prywatności stanowiła integralny element wszystkich aspektów działalności naszej firmy. Właściwa ochrona prywatności to działania obejmujące osoby na wszystkich stanowiskach i wierzymy, że wszyscy w Meta są za nie odpowiedzialni.

Zespół ds. zasad ochrony prywatności i danych, na czele którego stoi Erin Egan, wiceprezes i dyrektor ds. ochrony prywatności, kieruje naszym zaangażowaniem w publiczną dyskusję na temat ochrony prywatności, w tym nowych ram regulacyjnych, i zapewnia, że ​​opinie organów administracji i ekspertów z całego świata są uwzględniane w naszych praktykach w zakresie projektowania produktów i wykorzystywania danych.

W tym celu zespół ds. zasad ochrony prywatności i danych konsultuje się z tymi grupami za pośrednictwem różnych mechanizmów, w tym:

  • Grup doradczych ds. ochrony prywatności, które są ekspertami regionalnymi lub mają specjalistyczną wiedzę na takie tematy jak reklamy lub rzeczywistość poszerzona (XR);
  • Warsztatów (w tym dialogów dotyczących danych) i innych spotkań w sprawie złożonych pytań dotyczących prywatności;
  • Ciągłych konsultacji z ekspertami w ramach procesu rozwoju naszych produktów oraz w celu kształtowania naszego długofalowego podejścia do kwestii prywatności;
  • Finansowania badań ekspertów i działań na rzecz ochrony prywatności, w tym naszych badań dotyczących prywatności i grantów w zakresie odpowiedzialności rzeczywistości poszerzonej;
  • Finansowania ekspertów w celu przeprowadzenia z nami pogłębionych konsultacji na temat tego, jak możemy ulepszyć różne aspekty naszego programu ochrony prywatności;
  • Wspierania organizacji międzybranżowych, takich jak Trust, Transparency and Control Labs (TTC Labs) i Open Loop, które opracowują innowacyjne rozwiązania pomagające nam i innym podmiotom w odpowiedzialnym rozwijaniu technologii.

Organizujemy również regularne rozmowy i doroczne spotkania ekspertów w zakresie prywatności z udziałem czołowych specjalistów z całego świata, poświęcone naglącym kwestiom związanym z zasadami ochrony prywatności.

Zespół prawny ds. ochrony prywatności jest zaangażowany w projektowanie i bieżącą realizację naszego programu, a także udziela porad dotyczących wymogów prawnych w trakcie naszego procesu weryfikacji prywatności.

Komitet ds. ochrony prywatności to niezależny komitet w ramach naszej rady nadzorczej, który spotyka się co najmniej raz na kwartał, aby zapewnić wywiązywanie się z naszych zobowiązań w zakresie prywatności. Komitet składa się z niezależnych dyrektorów z bogatym doświadczeniem, którzy pełnią podobne funkcje nadzorcze. Co najmniej raz na kwartał otrzymują informacje między innymi na temat globalnego otoczenia regulacyjnego, postępów naszego programu ochrony prywatności oraz statusu jego niezależnej oceny przez podmioty zewnętrzne.

Audyt wewnętrzny zapewnia niezależną gwarancję ogólnej kondycji naszego programu ochrony prywatności i wspierających go ram kontrolnych.

Edukacja w zakresie prywatności

Dbanie o to, aby każdy w Meta rozumiał swoją rolę w zakresie ochrony prywatności, opiera się również na ustawicznej edukacji w zakresie prywatności, która obejmuje szkolenia i wewnętrzne kampanie uświadamiające.

Podstawowym elementem naszego podejścia do edukacji w zakresie prywatności są szkolenia. Nasze szkolenia w zakresie prywatności obejmują podstawowe kwestie związane z ochroną prywatności i mają na celu pomóc wszystkim w Meta rozwinąć umiejętność rozpoznawania i brania pod uwagę zagrożeń związanych z prywatnością. Format szkoleń e-learningowych, zarówno w przypadku corocznych szkoleń w zakresie prywatności, jak i szkoleń dla nowo zatrudnionych i nowych pracowników tymczasowych, dostarcza opartych na scenariuszach przykładów kwestii związanych z prywatnością dostosowanych do obszaru naszej działalności. Szkolenia kończą się testem sprawdzającym zrozumienie odpowiednich zagadnień. Są aktualizowane co roku, aby poza podstawowymi pojęciami uwzględniały także aktualne informacje.

Oprócz podstawowego wymaganego szkolenia w zakresie prywatności prowadzimy również katalog wszystkich szkoleń w zakresie prywatności przygotowanych przez Meta, które obejmują tematy istotne dla osób zajmujących określone stanowiska.

Kolejnym sposobem, w jaki prowadzimy edukację w zakresie ochrony prywatności, jest regularna komunikacja z pracownikami. Oprócz naszych szkoleń dotyczących ochrony prywatności stale dostarczamy treści o tej tematyce za pośrednictwem wewnętrznych kanałów komunikacyjnych, aktualizacji od kierownictwa ds. prywatności, wewnętrznych sesji pytań i odpowiedzi oraz Tygodnia ochrony prywatności.

Podczas naszego Tygodnia ochrony prywatności koncentrujemy się na prywatności w różnych firmach, organizujemy wystąpienia wewnętrznych i zewnętrznych prelegentów oraz podkreślamy kluczowe koncepcje i priorytety dotyczące prywatności poprzez zajmujące treści i wydarzenia.

Kiedy uczestniczymy w zewnętrznych wydarzeniach dotyczących ochrony prywatności, takich jak Dzień Ochrony Danych Osobowych lub nasze doroczne spotkanie ekspertów w zakresie prywatności, informujemy o tym za pośrednictwem kanałów wewnętrznych, aby zapewnić wszystkim możliwość uczestnictwa i poszerzenia wiedzy w tym zakresie.

Proces gotowości regulacyjnej

Powołaliśmy zespół, którego zadaniem jest zapewnienie zgodności z przepisami w zakresie ochrony prywatności i danych na całym świecie. Nasz proces gotowości regulacyjnej jest zorganizowany wokół kluczowych tematów związanych z prywatnością, czyli „obszarów ochrony prywatności” (np. młodzież, dane poufne, akceptacja warunków itp.), aby zapewnić holistyczne podejście do wymogów dotyczących prywatności.

Identyfikacja i ocena ryzyka w zakresie ochrony prywatności

Stworzyliśmy nasz program zarządzania ryzykiem w zakresie ochrony prywatności, aby identyfikować i oceniać zagrożenia związane ze sposobem, w jaki gromadzimy, wykorzystujemy, udostępniamy i przechowujemy dane użytkowników. Wykorzystujemy ten proces do identyfikowania zagadnień wiążących się z ryzykiem, ulepszania naszego programu ochrony prywatności i przygotowywania się do przyszłych inicjatyw dotyczących zgodności z przepisami.

Zabezpieczenia i środki kontroli

Opracowaliśmy zabezpieczenia, w tym procesy i techniczne środki kontroli w celu zapobiegania zagrożeniom prywatności. W ramach tych działań przeprowadzamy wewnętrzną ocenę zarówno konstrukcji, jak i skuteczności zabezpieczeń ograniczających zagrożenia prywatności.

Zarządzanie problemami

Utworzyliśmy scentralizowaną funkcję zarządzania problemami, aby ułatwić samodzielną identyfikację i rozwiązywanie problemów związanych z ochroną prywatności. Proces ten obejmuje pełny cykl zarządzania problemami związanymi z ochroną prywatności, począwszy od przyjęcia i klasyfikacji, przez planowanie środków zaradczych, aż po wnioski końcowe.

Red Team w zakresie prywatności

Powołaliśmy Red Team w zakresie prywatności, którego rolą jest identyfikowanie potencjalnych zagrożeń prywatności z wyprzedzeniem poprzez testowanie naszych procesów i technologii. Red Team przyjmuje rolę podmiotów zewnętrznych lub wewnętrznych próbujących ominąć nasze mechanizmy kontroli i zabezpieczeń w zakresie prywatności, co pomaga nam z wyprzedzeniem identyfikować obszary, w których możemy ulepszyć nasze środowisko kontroli.

Zarządzanie incydentami

Bez względu na to, jak solidne są nasze zabezpieczenia i środki ograniczające zagrożenia, potrzebujemy również procesu umożliwiającego (1) identyfikację, kiedy jakieś zdarzenie potencjalnie narusza poufność, integralność lub dostępność danych, za które Meta odpowiada, (2) wyjaśnianie takich sytuacji i (3) podejmowanie wszelkich niezbędnych kroków w celu wyeliminowania zidentyfikowanych luk w zabezpieczeniach.

Nasz program zarządzania incydentami działa na całym świecie, aby nadzorować procesy, za pomocą których identyfikujemy i oceniamy incydenty dotyczące prywatności oraz ograniczamy i usuwamy ich skutki. Chociaż zespół ds. ochrony prywatności i praktyk dotyczących wykorzystywania informacji kieruje procesem zarządzania incydentami, za incydenty związane z prywatnością odpowiadają wszyscy pracownicy Meta. Zespoły w całej firmie, w tym zespoły prawne, ds. zasad i produktów, odgrywają w tym kluczową rolę. Systematycznie poświęcamy czas, zasoby i energię na budowanie wielopoziomowego programu, który stale ewoluuje i jest ulepszany. Poniżej przedstawiamy trzy elementy naszego podejścia.

Stosujemy wielopoziomowe podejście do ochrony użytkowników i ich informacji, które obejmuje wdrażanie zabezpieczeń mających na celu wychwytywanie błędów z wyprzedzeniem, zanim zaczną stanowić problem. Ze względu na naszą skalę działalności zainwestowaliśmy znaczne środki w tworzenie i wdrażanie szerokiego zakresu zautomatyzowanych narzędzi, które mają za zadanie pomóc nam jak najwcześniej i jak najszybciej zidentyfikować potencjalne incydenty dotyczące prywatności i usuwać ich skutki. Te zautomatyzowane systemy wykrywają incydenty w czasie rzeczywistym, co ułatwia szybką reakcję.

Jednak bez względu na to, jak skuteczne staną się nasze zautomatyzowane systemy, nadzór i staranność naszych pracowników zawsze będzie odgrywać kluczową rolę w proaktywnym identyfikowaniu incydentów i usuwaniu ich skutków. Nasze zespoły inżynierów regularnie sprawdzają nasze systemy, aby zidentyfikować i usunąć incydenty, zanim będą miały wpływ na użytkowników.

Od 2011 r. prowadzimy program Bug Bounty, w ramach którego zewnętrzni badacze pomagają poprawić bezpieczeństwo i prywatność naszych produktów i systemów poprzez zgłaszanie nam potencjalnych luk w zabezpieczeniach. Program ten pomaga nam zwiększyć skalę działań w zakresie wykrywania i szybciej rozwiązywać problemy, aby lepiej chronić naszą społeczność, a nagrody, które wypłacamy kwalifikującym się uczestnikom, zachęcają do prowadzenia lepszych badań nad bezpieczeństwem.

W ciągu ostatnich 10 lat do programu dołączyło ponad 50 000 badaczy, a około 1500 badaczy ze 107 krajów otrzymało nagrody.

Chociaż wprowadziliśmy szereg zabezpieczeń chroniących przed incydentami dotyczącymi prywatności, takimi jak nieautoryzowany dostęp do danych, uważamy, że w przypadku wystąpienia incydentu transparentność ma duże znaczenie dla odbudowania zaufania do naszych produktów, usług i procesów. W związku z tym, poza naprawianiem błędów i wyciągnięciem z nich wniosków, nasz program zarządzania incydentami w stosownych przypadkach obejmuje powiadomienie użytkowników np. poprzez post w naszym Serwisie informacyjnym lub na naszym blogu dotyczącym prywatności o problemach mających wpływ na naszą społeczność, a także współpracę z organami ścigania lub urzędami w celu rozwiązania wykrytego incydentu.

Nadzór nad firmami zewnętrznymi

Firmy zewnętrzne to partnerzy, którzy współpracują z firmą Meta, ale nie są jej własnością ani nie są przez nią zarządzani. Większość firm zewnętrznych należy do jednej z dwóch kategorii: firmy świadczące usługi na rzecz Meta (np. dostawcy usług w zakresie projektowania witryn) oraz firmy, których działalność opiera się na naszej platformie (np. deweloperzy aplikacji lub API). Aby ograniczać zagrożenia prywatności stwarzane przez firmy zewnętrzne, które uzyskują dostęp do danych osobowych, opracowaliśmy specjalny program nadzoru i zarządzania współpracą z firmami zewnętrznymi, który odpowiada za nadzorowanie zagrożeń ze strony firm zewnętrznych i wdrażanie odpowiednich zabezpieczeń w zakresie prywatności.

Stworzyliśmy także proces oceny ochrony prywatności przez firmy zewnętrzne dla dostawców usług w celu oceny i ograniczenia zagrożenia prywatności. Nasz proces wymaga, aby dostawcy usług byli związani umowami zawierającymi klauzule ochrony prywatności. Profil ryzyka dostawcy określa sposób monitorowania, ponownej oceny oraz, w stosownych przypadkach, jakie działania należy podjąć w przypadku naruszenia zasad, z zakończeniem współpracy włącznie.

Opracowaliśmy oficjalny proces wyciągania konsekwencji i kończenia współpracy z firmami zewnętrznymi, które naruszają swoje zobowiązania w zakresie ochrony prywatności lub bezpieczeństwa. Obejmuje on standardy i mechanizmy techniczne, które wspierają stosowanie lepszych praktyk przez deweloperów na naszej platformie, i obejmuje następujące elementy:

  • Kontrola wykorzystania danych: Procedury i infrastruktura stworzone w celu zapewnienia, że deweloperzy zewnętrzni przechodzą coroczną kontrolę wykorzystania danych, w ramach której poświadczają cel i sposób wykorzystania każdego rodzaju danych osobowych, do których chcą uzyskać lub zachować dostęp, oraz że te cele i sposoby wykorzystania są zgodne z odpowiednimi regulaminami i zasadami. Wprowadziliśmy nowe pytania i ulepszoną logikę, aby zapewnić dokładniejsze odpowiedzi i lepsze zrozumienie ze strony deweloperów. Stworzyliśmy nowe narzędzia w celu zebrania komunikacji z deweloperami i próśb o dodatkowe informacje w jednym miejscu.
  • Monitorowanie przestrzegania regulaminu przez deweloperów: Opracowaliśmy mechanizmy techniczne i administracyjne służące do bieżącego i okresowego monitorowania przestrzegania regulaminu platformy przez deweloperów. Gdy wykryjemy naruszenie regulaminu, podejmujemy ujednolicone działania zmierzające do wyciągnięcia konsekwencji, które uwzględniają między innymi wagę, charakter i skutki naruszenia zasad, dotychczasowe działania dewelopera w złej wierze lub przypadki naruszenia zasad oraz obowiązujące przepisy.
  • Standardy bezpieczeństwa danych: Opracowaliśmy również zasady bezpieczeństwa danych oparte na standardach branżowych dla deweloperów, aby wprowadzać lepsze praktyki w zakresie bezpieczeństwa na naszej platformie i w szerszym kontekście ekosystemu deweloperskiego.
  • Developer Trust Center: Uruchomiliśmy Developer Trust Center, centrum w witrynie Meta for Developers, które zawiera materiały dla zewnętrznych deweloperów dotyczące prywatności danych, bezpieczeństwa danych, regulaminu platformy i mechanizmów monitorowania, z którymi deweloperzy mają do czynienia, takimi jak weryfikacja aplikacji, ponowna weryfikacja aplikacji, kontrola wykorzystania danych i Ocena ochrony danych.

Niewłaściwe wykorzystanie danych przez podmioty zewnętrzne

Nasz zespół ds. niewłaściwego wykorzystania danych przez podmioty zewnętrzne zajmuje się wykrywaniem, badaniem i blokowaniem wzorców zachowań związanych ze scrapingiem. Scraping to automatyczne przechwytywanie danych z witryny internetowej lub aplikacji, które może być autoryzowane lub nieautoryzowane. Wykorzystanie automatyzacji w celu uzyskania dostępu do danych na platformach Meta lub ich gromadzenia bez naszej zgody stanowi naruszenie naszego Regulaminu.

Nieustannie inwestujemy w infrastrukturę i narzędzia, aby utrudnić scraperom gromadzenie danych za pośrednictwem naszych usług oraz wykorzystanie danych pozyskanych w ten sposób. Przykładami takich inwestycji są ograniczenia transferu i limity danych. Ograniczenia transferu ograniczają liczbę interakcji z naszymi produktami w określonym czasie, natomiast limity danych uniemożliwiają użytkownikom uzyskanie większej ilości danych, niż powinni potrzebować podczas normalnego korzystania z naszych produktów.

Wykorzystujemy generowane wewnętrznie identyfikatory użytkowników i treści, ponieważ zauważyliśmy, że nieautoryzowany scraping często wiąże się z odgadywaniem lub kupowaniem tych identyfikatorów. Korzystamy również z nowych, pseudonimizowanych identyfikatorów, które pomagają powstrzymać nieautoryzowany scraping, utrudniając odgadywanie i łączenie danych oraz wielokrotny dostęp do nich.

Codziennie blokujemy miliardy podejrzanych prób nieautoryzowanego scrapingu na Facebooku i Instagramie oraz podejmujemy szereg działań przeciwko nieautoryzowanym scraperom, w tym poprzez wyłączanie kont i żądanie usunięcia pozyskanych w ten sposób danych przez firmy hostujące.

Weryfikacja ochrony prywatności

Proces weryfikacji ochrony prywatności jest centralnym elementem opracowywania nowych i zaktualizowanych produktów, usług i praktyk Meta. Proces ten służy ocenie, w jaki sposób dane będą wykorzystywane i chronione w ramach nowych lub zaktualizowanych produktów, usług i praktyk. Aby ocenić i ograniczyć zagrożenia prywatności, co miesiąc w całej firmie weryfikujemy średnio 1200 produktów, funkcji i praktyk dotyczących wykorzystywania informacji, zanim zostaną one wdrożone.

W ramach tego procesu interdyscyplinarny zespół ekspertów w zakresie prywatności ocenia potencjalne zagrożenia prywatności związane z projektem i określa, czy przed rozpoczęciem realizacji projektu należy wprowadzić jakieś zmiany, aby ograniczyć te zagrożenia. Jeśli nie ma zgody co do oceny występującego ryzyka lub proponowanych środków zaradczych w ramach produktu, proces wymaga, aby zespół skontaktował się z kierownictwem ds. produktu i zasad, a w razie konieczności nawet z dyrektorem generalnym, w celu dalszej oceny i podjęcia decyzji.

Rozwijanie nowych lub zmodyfikowanych produktów, usług lub praktyk z wykorzystaniem procesu weryfikacji informacji przebiega zgodnie z naszymi wewnętrznymi oczekiwaniami dotyczącymi ochrony prywatności, na które składają się:

  1. Ograniczanie celu: Przetwarzanie danych tylko w ograniczonym, jasno określonym celu, który zapewnia korzyści użytkownikom.
  2. Minimalizacja danych: Gromadzenie i tworzenie minimalnej ilości danych wymaganych do realizacji jasno określonych celów.
  3. Przechowywanie danych: Przechowywanie danych tylko przez okres rzeczywiście wymagany do realizacji jasno określonych celów.
  4. Zapobieganie niewłaściwemu wykorzystaniu danych przez podmioty zewnętrzne: Ochrona danych przed niewłaściwym wykorzystaniem, przypadkową utratą i dostępem nieuprawnionych osób trzecich.
  5. Transparentność i kontrola: Informowanie o działaniu produktu i praktykach dotyczących wykorzystywania informacji w sposób proaktywny, jasny i uczciwy. Kiedy jest to możliwe i uzasadnione, zapewnienie użytkownikom kontroli nad naszymi praktykami.
  6. Dostęp do danych i zarządzanie nimi: Zapewnienie użytkownikom dostępu do danych, które ich dotyczą, i możliwości zarządzania danymi.
  7. Sprawiedliwość: Tworzenie produktów, które identyfikują i ograniczają ryzyko dla wrażliwych populacji i zapewniają użytkownikom korzyści.
  8. Odpowiedzialność: Przestrzeganie wewnętrznych procedur i środków kontroli technicznej w związku z naszymi decyzjami, produktami i praktykami.

Zainwestowaliśmy również w przeglądy weryfikacyjne i scentralizowaną platformę wspierające obsługę procesu weryfikacji ochrony prywatności na dużą skalę:

  • Scentralizowana platforma: Zainwestowaliśmy w scentralizowaną platformę, która jest wykorzystywana podczas całego procesu weryfikacji ochrony prywatności oraz umożliwia zespołom zarządzanie wszystkimi aspektami weryfikacji, wymaganiami i decyzjami w zakresie prywatności. To centralne repozytorium umożliwia zespołom zarządzanie wszystkimi aspektami procesu weryfikacji ochrony prywatności, w tym wyszukiwanie zewnętrznych zobowiązań w zakresie ochrony prywatności podjętych przez naszą firmę oraz zarządzanie nimi.
  • Przeglądy weryfikacyjne: Weryfikacja prywatności obejmuje fazę przeglądu technicznego mającą na celu sprawdzenie i udokumentowanie technicznego wdrożenia wymagań i środków zaradczych w zakresie prywatności, a także odpowiednich zobowiązań w przypadku każdej nowości. Opracowaliśmy przegląd techniczny wdrożenia, aby analizować, weryfikować i dokumentować techniczne wdrożenie ograniczania zagrożeń ochrony prywatności i zobowiązań. Ten proces, zintegrowany z narzędziami wykorzystywanymi do tworzenia oprogramowania w Meta, umożliwia weryfikację, czy uzgodnienia w ramach weryfikacji ochrony prywatności zostały wdrożone.
02. WPŁYW OCHRONY PRYWATNOŚCI NA PRODUKTY

Nieustannie inwestujemy w innowacje w zakresie produktów, które zapewniają prywatność i kontrolę naszym użytkownikom.

Komal Lahiri, VP Privacy Review

„Miliardy ludzi codziennie zawierzają nam swoją prywatność. Weryfikacja prywatności jest kluczem do uszanowania tego zaufania i pomaga zapewnić, że wprowadzamy innowacje w sposób odpowiedzialny. Naszym głównym celem jest pokazanie użytkownikom i organom regulacyjnym, że wywiązujemy się z naszych zobowiązań w zakresie prywatności i robimy to tak, jak trzeba”.


– Komal Lahiri, wiceprezes ds. weryfikacji prywatności

Stawiamy ochronę prywatności użytkowników w centrum tego, jak tworzymy i stale aktualizujemy nasze produkty. Polega to na udostępnianiu domyślnych ustawień i opcji kontroli ułatwiających użytkownikom wybranie poziomu prywatności, który najbardziej im odpowiada. Obejmuje to również stawianie prywatności na pierwszym miejscu podczas opracowywania nowych produktów.

Od 2016 r. użytkownicy Messengera mogą włączyć opcję pełnego szyfrowania. W 2023 r. zaczęliśmy wprowadzać domyślne pełne szyfrowanie wszystkich prywatnych czatów w Messengerze i na Facebooku.

Zajęło nam to kilka lat, ponieważ staraliśmy się zrobić to dobrze. Nasi inżynierowie, kryptografowie, projektanci, specjaliści ds. zasad i menedżerowie produktów niestrudzenie pracowali nad przebudowaniem funkcji Messengera od podstaw. Umożliwienie pełnego szyfrowania w Messengerze oznaczało fundamentalną przebudowę wielu aspektów protokołów aplikacji w celu poprawy ochrony prywatności i bezpieczeństwa bez szkody dla funkcji sprawiających, że Messenger jest tak popularny. Nasze podejście polegało na wykorzystaniu wcześniejszych wniosków dotyczących WhatsApp i tajnych konwersacji w Messengerze, a następnie tworzenie kolejnych wersji rozwiązań problemów stwarzających największe wyzwania, takich jak działanie na wielu urządzeniach i w przeglądarce, obsługa funkcji oraz historia wiadomości. Przy okazji wprowadziliśmy nowe funkcje ochrony prywatności, bezpieczeństwa i kontroli, takie jak blokada aplikacji i kontrola dostarczania, które pozwalają użytkownikom wybrać, kto może wysyłać do nich wiadomości, a także ulepszyliśmy istniejące funkcje bezpieczeństwa, takie jak zgłaszanie, blokowanie i prośby o zgodę na otrzymywanie wiadomości.

U podstaw pełnego szyfrowania leży ochrona komunikacji między ludźmi, aby mogli czuć się bezpiecznie rozmawiając ze znajomymi i rodziną. Ściśle współpracowaliśmy z zewnętrznymi ekspertami, naukowcami, aktywistami i rządami, aby zidentyfikować zagrożenia i opracować środki zaradcze, które zapewnią ochronę prywatności i bezpieczeństwo. Zleciliśmy niezależną ocenę oddziaływania w zakresie praw człowieka i opublikowaliśmy obszerny raport dotyczący podejścia firmy Meta do bezpiecznego wysyłania prywatnych wiadomości w Messengerze oraz wiadomości Direct na Instagramie.

Inteligentne okulary Ray-Ban Meta umożliwiają robienie zdjęć i nagrywanie klipów wideo ze swojej unikalnej perspektywy, słuchanie muzyki, odbieranie połączeń oraz korzystanie ze stopniowo wprowadzanych inteligentnych funkcji – a wszystko to bez konieczności wyciągania telefonu. Inteligentne okulary Ray-Ban Meta zostały wyposażone w lepszej jakości kamerę, unowocześnione systemy audio i mikrofonów oraz nowe funkcje, takie jak transmisja na żywo i Meta AI, dzięki czemu nie trzeba wybierać między cieszeniem się chwilą a jej rejestracją.

Inteligentne okulary Ray-Ban Meta zostały stworzone z myślą o prywatności i stanowią dowód naszego zaangażowania w odpowiedzialne wprowadzanie innowacji i wbudowaną ochronę prywatności. Uwzględniliśmy opinie zainteresowanych – które otrzymywaliśmy od momentu wprowadzenia na rynek okularów Ray-Ban Stories – w namacalnym zakresie.

  • Dioda aparatu jest teraz lepiej widoczna i wykorzystuje różne sygnały – świeci światłem ciągłym lub miga – w przypadku nagrywania przez dłuższy czas (nagrywanie filmu, transmisja na żywo).
  • Wprowadziliśmy także funkcję wykrywania prób manipulacji, aby uniemożliwić użytkownikom nagrywanie, gdy dioda aparatu jest całkowicie zasłonięta. W przypadku całkowitego zasłonięcia diody użytkownik nie będzie mógł korzystać z aparatu i zostanie powiadomiony o konieczności jej odsłonięcia, zanim będzie mógł kontynuować.
  • Aplikacja towarzysząca Meta View w dalszym ciągu zapewnia łatwy dostęp do ustawień prywatności dotyczących zarządzania informacjami i udostępniania dodatkowych danych firmie Meta.

Wprowadziliśmy w naszych aplikacjach nowe funkcje generatywnej SI, w tym naklejki SI, edycję obrazów za pomocą SI, asystenta SI o nazwie Meta AI oraz 28 postaci SI wzorowanych na ikonach kultury i influencerach. W związku z wprowadzeniem tych funkcji opublikowaliśmy Przewodnik ochrony dotyczący generatywnej SI i inne zasoby z zakresu przejrzystości ułatwiające użytkownikom zrozumienie, w jaki sposób stworzyliśmy nasze modele sztucznej inteligencji, jak działają nasze funkcje SI i jakie możliwości wyboru oraz prawa do ochrony prywatności danych im przysługują.

W ubiegłym roku zaktualizowaliśmy nasze narzędzie „Dlaczego to widzę?”, które ma za zadanie pomóc użytkownikom zrozumieć, dlaczego widzą dane reklamy w swoich Aktualnościach na Facebooku i Instagramie. Jedną z kluczowych aktualizacji było zgrupowanie informacji w ramach tematów dotyczących tego, jak aktywność zarówno na naszych platformach, jak i poza nimi – np. polubienie posta na stronie znajomego na Facebooku lub odwiedzenie witryny poświęconej sportowi – może wpływać na modele uczenia maszynowego wykorzystywane do wyświetlania reklam. Wprowadziliśmy także nowe przykłady i ilustracje wyjaśniające, w jaki sposób nasze modele uczenia maszynowego łączą różne tematy, aby wyświetlać trafne reklamy. Dodatkowo wprowadziliśmy więcej możliwości wyszukiwania ustawień reklam przez użytkowników, zapewniając dostęp do preferencji reklamowych z poziomu dodatkowych stron w narzędziu „Dlaczego widzę tę reklamę?”.

Opracowaliśmy Bibliotekę materiałów Meta i API Biblioteki materiałów Meta – nowe narzędzia badawcze, które oferują kwalifikującym się badaczom dostęp do dodatkowych publicznie dostępnych materiałów na Facebooku i Instagramie w sposób zapewniający ochronę prywatności.

Narzędzia te zapewniają badaczom dostęp do publicznych danych niemal w czasie rzeczywistym, w tym do materiałów ze stron, grup i wydarzeń na Facebooku, a także z kont twórców i firm na Instagramie. Dostępne są również szczegółowe informacje na temat tych materiałów, takie jak liczba reakcji, udostępnień, komentarzy i – to nowość – liczba wyświetleń postów. Badacze mogą wyszukiwać, przeglądać i filtrować te materiały zarówno za pomocą graficznego interfejsu użytkownika, jak i programowego interfejsu API.

Nawiązaliśmy współpracę z Międzyuczelnianym Konsorcjum Badań Politycznych i Społecznych (Inter-University Consortium for Political and Social Research, ICPSR) przy Archiwum mediów społecznościowych (Social Media Archive, SOMAR) University of Michigan. To inicjatywa mająca na celu udostępnianie publicznych danych z naszych platform, w ramach której dostęp do zastrzeżonych danych jest ściśle kontrolowany, a uprawnieni użytkownicy zobowiązują się do przestrzegania rygorystycznych regulaminów w zakresie wykorzystania danych i poufności, aby uzyskać do nich dostęp.

Nasze działania na rzecz przejrzystej komunikacji obejmują zewnętrzne materiały edukacyjne w celu poprawy zrozumienia i świadomości naszych praktyk wśród użytkowników oraz zapewnienie dostępności informacji.

  • Zasady ochrony prywatności, które opisują, w jaki sposób gromadzimy, wykorzystujemy, udostępniamy, przechowujemy i przekazujemy informacje, a także jakie prawa i możliwości przysługują użytkownikom w zakresie ochrony prywatności.
  • Centrum ochrony prywatności, w którym użytkownicy mogą lepiej poznać nasze praktyki, aby mogli podejmować świadome decyzje dotyczące swojej prywatności w sposób, który im odpowiada. Poprzez edukację i dostęp do mechanizmów kontroli prywatności i bezpieczeństwa rozwiązujemy niektóre z najczęstszych problemów związanych z prywatnością wśród miliardów ludzi, którzy codziennie poświęcają nam swój czas. Centrum ochrony prywatności obejmuje kilka modułów, w tym udostępnianie, gromadzenie, wykorzystanie, bezpieczeństwo, młodzież, generatywną SI i reklamy, bezpośrednio łączące problem lub obawy z odpowiednimi mechanizmami kontroli prywatności i bezpieczeństwa, które przez lata zawarliśmy w naszych aplikacjach i usługach.
  • Sekcja poświęcona danym i prywatności w Serwisie informacyjnym, gdzie zamieszczamy więcej informacji o naszym podejściu do prywatności w kontekście konkretnych funkcji lub problemów.

Aby zaoferować użytkownikom większą transparentność i kontrolę, opracowaliśmy szereg narzędzi do ochrony prywatności, które pomagają zrozumieć, jakie informacje są udostępniane i w jaki sposób są wykorzystywane. Te narzędzia to:

  • Kontrola prywatności, która przeprowadza użytkowników przez ważne ustawienia prywatności i bezpieczeństwa na Facebooku, aby pomóc im wzmocnić bezpieczeństwo konta i zarządzać tym, kto może zobaczyć, co udostępniają, i jak wykorzystywane są ich informacje. Kontrola prywatności obejmuje pięć odrębnych tematów, które pomagają użytkownikom kontrolować, kto może zobaczyć, co udostępniają, w jaki sposób wykorzystywane są ich dane i jak zwiększyć bezpieczeństwo konta.
    • Kto może zobaczyć to, co udostępniasz pomagające użytkownikom sprawdzić, kto może zobaczyć ich informacje profilowe, takie jak numer telefonu i adres e-mail, a także ich posty.
    • Wskazówki dotyczące zabezpieczenia konta pomagające użytkownikom zwiększyć bezpieczeństwo ich kont poprzez ustawienie silniejszego hasła i włączenie uwierzytelniania dwuskładnikowego.
    • Jak inni mogą wyszukać Cię na Facebooku pozwalające użytkownikom sprawdzić, w jaki sposób inni mogą ich znaleźć na Facebooku i kto może wysyłać im zaproszenia do grona znajomych.
    • Ustawienia dotyczące Twoich danych na Facebooku umożliwiające użytkownikom sprawdzenie, jakie informacje udostępniają aplikacjom, do których logują się przez Facebooka. Mogą oni także usunąć aplikacje, z których już nie korzystają.
    • Twoje preferencje reklamowe na Facebooku, które dostarcza informacji o tym, jak działają reklamy w naszych produktach, pozwala użytkownikom decydować, jakie informacje profilowe reklamodawcy mogą wykorzystywać do wyświetlania im reklam, a także kontrolować, kto może zobaczyć ich interakcje społecznościowe, takie jak polubienia, obok reklam.
  • Aktywność poza technologiami Meta: Zawiera podsumowanie aktywności użytkowników udostępnianej nam przez firmy i organizacje, takiej jak odwiedzanie ich aplikacji lub witryn internetowych, a także umożliwia użytkownikom odłączenie ich wcześniejszej aktywności od konta.
  • Zarządzanie aktywnością: Umożliwia użytkownikom zbiorcze zarządzanie postami za pomocą filtrów ułatwiających sortowanie i znajdowanie takich treści jak posty z określonymi osobami lub z określonego zakresu dat. Obejmuje to również opcję usuwania, która stanowi bardziej permanentne rozwiązanie, dzięki któremu użytkownicy mogą zbiorczo przenosić stare posty do kosza. Po upływie 30 dni posty przeniesione do kosza zostaną usunięte, chyba że wcześniej użytkownik zdecyduje się je ręcznie usunąć lub przywrócić.
03. Inwestycje w technologie ochrony prywatności

Inwestujemy w innowacje technologiczne, które zapewniają naszym użytkownikom korzyści w zakresie prywatności.

„Dzięki inwestowaniu w infrastrukturę możemy mieć pewność, że prywatność jest nieodłącznym elementem wszystkiego, co robimy. Umożliwia nam ciągłe tworzenie innowacyjnych, przydatnych dla użytkowników produktów z poszanowaniem prywatności”.


Michel Protti, dyrektor ds. prywatności produktów

Photo of two people collaborating

Nieustannie tworzymy infrastrukturę uwzględniającą ochronę prywatności – skalowalne i innowacyjne rozwiązania w zakresie infrastruktury umożliwiające inżynierom łatwiejsze stosowanie się do wymagań w zakresie prywatności podczas tworzenia produktów. Infrastruktura uwzględniająca ochronę prywatności pozwala nam również w coraz większym stopniu korzystać z automatyzacji, zamiast polegać głównie na ludziach i ręcznych procesach sprawdzenia, czy wypełniamy nasze obowiązki w zakresie prywatności.

Zmniejszamy ilość gromadzonych i wykorzystywanych danych użytkowników poprzez wdrażanie w firmie Meta innowacyjnych narzędzi i technologii. Nadal inwestujemy w techniki ochrony prywatności – technologie oparte na zaawansowanych technikach kryptograficznych i statystycznych, które pomagają zminimalizować ilość gromadzonych, przetwarzanych i wykorzystywanych przez nas danych. Pracujemy nad udostępnieniem tych technologii na zasadach open source w przypadkach, w których byłoby to przydatne dla szerszego ekosystemu, w tym wykorzystania technik ochrony prywatności w związku ze sztuczną inteligencją za pośrednictwem PyTorch. Ponadto nasze inwestycje w techniki ochrony prywatności pozwoliły nam udostępnić nową funkcję zabezpieczeń kryptograficznych w WhatsApp, która pomaga zweryfikować, czy połączenie i rozmowa są bezpieczne w oparciu o przejrzystość kluczy. Ta funkcja ogranicza możliwość podszywania się kogoś innego pod osobę lub firmę, z którą użytkownik chce się połączyć i udostępnić jej zaszyfrowane wiadomości, poprzez sprawdzenie ważności kluczy publicznych w konwersacji z katalogiem po stronie serwera, w którym przechowywane są klucze publiczne z informacjami o użytkownikach, a następnie udostępnienie publicznie dostępnego, chroniącego prywatność zapisu audytu, aby każdy mógł sprawdzić, czy dane w katalogu nie zostały usunięte lub zmodyfikowane.

Opracowaliśmy również zasady ramowe usuwania kodu i zasobów, które pomagają inżynierom w bezpiecznym i skutecznym wycofywaniu produktów z użycia. Wycofywanie produktów to złożony proces obejmujący zależności wewnętrzne i zewnętrzne, w tym zależności od innych produktów Meta, które nie są przeznaczone do usunięcia. Aby rozwiązać ten problem, nasz system Systematic Code and Asset Removal Framework (SCARF) zawiera narzędzie do zarządzania przepływem pracy, które pozwala inżynierom oszczędzić czas poprzez identyfikację zależności, a także prawidłową kolejność zadań związanych z oczyszczaniem produktu. Dodatkowo system SCARF obejmuje podsystemy do bezpiecznego usuwania martwego kodu oraz niewykorzystywanych typów danych.

System SCARF obsługuje tysiące projektów w zakresie wycofywania produktów realizowanych przez ludzi i automatycznie usunął miliony fragmentów kodu oraz zasobów danych. Jest także przydatny dla naszych zespołów ds. ochrony prywatności, które wykorzystują to narzędzie do monitorowania postępów w wycofywaniu produktów i dbania o jego terminową realizację.

04. NIEUSTAJĄCE DZIAŁANIA NA RZECZ PRYWATNOŚCI

Stawiamy na prywatność i dążymy do ciągłego doskonalenia się w tej dziedzinie.

„Właściwa ochrona prywatności to przedmiot ciągłych zbiorowych wysiłków w naszej firmie, a wszyscy pracownicy Meta są zobowiązani do realizacji tej misji”.Michel Protti, dyrektor ds. prywatności produktów

Ochrona danych i prywatności użytkowników jest kluczowym elementem naszej działalności i naszych planów na przyszłość. W tym celu nieustannie ulepszamy nasz program ochrony prywatności oraz nasze produkty, reagując na zmieniające się oczekiwania i postęp technologiczny – współpracując z decydentami i ekspertami w zakresie ochrony danych w celu znalezienia rozwiązania bezprecedensowych wyzwań – i informując o naszych postępach.