Digital integritet framställs ofta som en fråga för konsumenter, men Ruslan Momot hävdar att företag måste betrakta konceptet som en nyckelkomponent i sin verksamhet.

Momot, biträdande professor vid University of Michigans Ross School of Business, har publicerat flera artiklar om integritetsfrågor. Han delar med sig av insikter om hur företag bör börja närma sig integritet, inklusive en stor förändring i hur webbplatser använder cookies och hur man tänker på data som något som ska hämtas hållbart.

Varför ska företag, såväl som enskilda konsumenter, vara intresserade av integritetsfrågor?

Tre skäl dyker upp omedelbart.

För det första kan det påverka slutresultatet. Vi konsumenter är ganska smarta, och om vi vet att ett företag inte använder vår data på ett ansvarsfullt sätt kommer några av oss att använda den produkten mindre eller helt sluta använda den. Det betyder att företaget tjänar mindre intäkter från sina annonsörer.

Vi har sett detta hända med Facebook och Cambridge Analytica, och med WhatsApp som avslöjar en viss inte särskilt ansvarsfull användning av data. I båda fallen ändrade konsumenterna sitt beteende, och det påverkade företagens resultat.

För det andra kräver helt nya dataskyddslagar och -förordningar företag att agera i denna fråga. Dessa lagar kommer att bli ännu strängare och mer utbredda inom en snar framtid.

Många ställen har för närvarande inga integritetsbestämmelser, men de strängaste bestämmelserna, som i Europa (den europeiska allmänna dataskyddsförordningen) och Kalifornien (California Consumer Privacy Act), säger saker som "Du kan inte hantera denna data i detta eller på det sättet; du måste be om uttryckligt samtycke från konsumenten. Du kan inte bara ta tag i data som du gjorde för 10 år sedan." Företag kanske inte vill uppmärksamma detta, men dessa nya lagar och förordningar tvingar dem att göra det.

För det tredje kanske företag kan använda integritet för att få en konkurrensfördel på marknaden. Om Apple driver sin integritetsagenda ganska omfattande, och jag producerar Android-telefoner, kanske jag borde reagera och förbättra integriteten för Android-användare. Ett stort antal konsumenter är ganska känsliga för dessa frågor – som vi har sett när 96 % av Apples användare valde att använda Apples senaste sekretessfunktion och valde bort att deras beteende spåras över appar – och vi kommer sannolikt att se företag försöka att tävla mer och mer på deras integritetsarbete.

Är det rättvist att säga att de flesta företag idag inte riktigt förstår integritetsfrågor?

Det är mycket rättvist att säga. På de flesta platser finns det ingen korrekt reglering. På de ställen där det finns åtminstone en viss reglering försöker de flesta företag att följa det så att de bara kan kryssa i en ruta. Men de går sällan utöver de grundläggande kraven.

En anledning till detta är att de flesta företag inte har resurserna. Endast de största företagen har resurserna att verkligen ta itu med integritet. Till exempel kallas en av de mest välutvecklade datavetenskapliga teknikerna för bevarande av integritet differentiell integritet.

Det är som en garanti – om en algoritm som används av ett företag är differentiellt privat, finns det bara en liten chans för en motståndare/hacker att sluta sig till något meningsfullt om sina kunder. För att implementera differentiell integritet genom alla ett företags algoritmer måste du anställa ett gäng datavetare som kommer att tänka om algoritmerna som du använder och kommer att designa de nya. Apple har möjlighet att göra det; Google har möjlighet att göra det; men mindre företag gör det inte.

Dessutom kanske företag inte ens har lämpliga incitament att implementera integritetsbevarande tekniker som differentiell integritet. Ingen av de nuvarande befintliga reglerna kräver differentierad integritet som standard, inte heller har regeringar tillräckligt med resurser för att kontrollera efterlevnaden av varje företag. Det finns alltså en naturlig tendens ur företagens perspektiv att helt undkomma integritetsskyddet genom att slöa och inte göra någonting.

Om du hade uppmärksamhet från alla världens vd:ar i fem minuter, vad är det största du skulle försöka förmedla till dem om integritet?

Du måste börja tänka på det nu (eller, faktiskt, igår). Under de senaste 20 åren eller så har vi drivit denna big-data-agenda, samlat in mer data, använt data, utnyttjat kraften i datan.

Nu har vi en rörelse i motsatt riktning, vad vi skulle kunna kalla hållbart hämtad data. Cykeln liknar hållbarhetsfrågornas. Plötsligt började konsumenterna uppmärksamma och företag började köpa saker på ett hållbart sätt.

Nu har vi alla dessa ekologiska, hållbart framställda varor. Varför har vi inte samma sak med data? Budskapet är att du måste börja tänka på hur du på ett hållbart sätt skaffar din data och hur du ansvarsfullt använder den data.

Får denna idé om hållbar data fäste?

Vi börjar se lite av det här. Nästa år tror jag att det vi kommer att se är att tredjepartscookies kommer att försvinna, och det betyder att vi kommer att sitta kvar med det som kallas nollpartscookies och förstapartscookies.

Detta är information som konsumenter ger till ett företag med uttryckligt samtycke. Så på sätt och vis är det hållbart hämtad data eftersom vi inte samlade in denna data från tredje part som datamäklare. Istället ger konsumenter uttryckligt tillstånd att använda dessa uppgifter. Jag tror att vi kommer att gå mot det.

Vilka steg kan ett företag vidta om dess ledare vill vara smarta och ansvarsfulla och börja anskaffa sin data på ett hållbart sätt?

För det första måste företag vara på förhand med konsumenterna om vad som händer med deras data. Kommer det att säljas till mäklarna i det ögonblick de får informationen, eller kommer det att användas för företagets interna syften – till exempel för att göra produkten bättre för konsumenten?

Ett annat startsteg skulle vara att följa de strängaste integritetsbestämmelserna. Ta en titt på den europeiska allmänna dataskyddsförordningen och försök att följa den, även om du är ett USA-baserat företag, eftersom det är ett bra ramverk.

Sedan finns det mäklarföretag som samlar in denna nollparts- och förstapartsdata, där konsumenterna uttryckligen tillhandahåller uppgifterna till företagen. Du kan hämta dina data från dessa mäklare.

Du kan också tänka på vad du gör med datan. Vart tar dessa uppgifter vägen? You need to understand the supply chain of the data, so you can make sure that the data doesn't go to the irresponsible brokers, and it's used in a responsible manner.

So you think about data as a supply chain?

It is a supply chain. Let's say you use a weather application. The app tracks your GPS location, and this GPS location is sold to a data broker. The broker uses this location, matches it with other data and infers something about you. Then this list of inferences about you is sold to some other companies and so on. So the data travels.

What else should companies be aware of when they start thinking about privacy?

Many companies operate with a disconnect when it comes to privacy. A lot of companies think about privacy from the legal perspective; the people who are responsible for privacy are law people.

At the same time, we have a computer science community which has been developing all these concepts like differential privacy for many years. There has to be this bridge between the two. Improving consumer privacy has to be done by people who are familiar with both sides—with the regulations, but at the same time with the theoretical and engineering component.

Similarly, when we think about privacy, it should not be only about IT departments. Preserving consumer privacy should be embedded into the business model of the company, in the same way that sustainability should be part of the business model.

Management should be centered on consumer privacy. It should not be a patchwork, like, "Hey, yeah, we are creating this product, let's ask our IT guys to protect privacy." It will never work. For it to work, it has to be deep inside the business model of the company.