Законы, государственные регуляторы и IoT как «мотор» ритейла

10 март, 2015 - 19:02Андрей Зубинский

Похоже, к IoT уже можно относить почти всё, что угодно, лишь бы оно было каким-то образом подключено к чему-то «облачному». Можно считать это свершившимся фактом, поэтому обсуждать его мы не будем вообще, по крайней мере в этой записи. Поговорим о другом, о столкновении интересов разных сторон и о легальных аспектах, которые все почему-то предпочитают забывать. Это интересно хотя бы для поверхностного понимания изменений, происходящих при распространении границ применения технологий в «непривычные» области.

Итак, семейство в чём-то не совсем новых технологий, которое теперь «часть IoT», обещает большой взрыв в ритейле. Это если принимать на веру видение прогнозистами SAP. Для не желающих утруждать себя чтением пусть не большого, но довольно типичного «прогнозистского документа» с его специфическим водянистым лексиконом – в 2018 году предсказывается $326-миллиардная выручка ритейл-сектора IoT (оценка IDC). Совокупный среднегодовой темп роста (CAGR) доходов в ритейл-IoT-секторе декларируется равным 19,8%.

Областей внедрения IoT-инноваций в ритейл всего три, они вполне соответствуют соображениям, основанным просто на здравом смысле, но даже в этих трёх соснах получилась некоторая путаница, потому я себе позволю подправить кое-какие мелочи:

  • автоматизация оперативного управления во всех звеньях цепочки от производителя до розничного продавца;
  • совершенствование мерчандайзинга и персонализированный маркетинг;
  • совершенствование дополнительных механизмов обслуживания клиентов.

С первой областью как бы всё понятно и очевидно, как и очевидны все возможные явные (и даже неявные) потенциальные удобства и выгоды. В Morgan Stanley даже оценили это всё очевидное на уровне 50% сокращения неизбежных потерь (inventory shrinkage), возникающих в цепочке от производителя до покупателя в ритейл-сети (для анализа были выбраны три крупных британских супермаркета). Сюда входит всё невидимое покупателю – от RFID-маркировки больших упаковок и палет с товаром до систем отслеживания машин автопарка, управления холодильным оборудованием, прогностического планирования заказов скоропортящихся продуктов, «умных» складских полок и вообще всей складской автоматики, включая роботов. В общем, здесь ни у кого вопросов нет, потому что во всей цепочке никаких принципиальных противоречий между звеньями не возникает, все решают одну общую задачу – товар должен быть продан. И места-роли IoT-систем здесь прекрасно понятны – здесь действительно критически нужны сети сенсоров (в том числе и очень специфических), развитые распределённые системы управления, связанные в том числе с системами управления электросетями, большие системы сопровождения автотранспорта, планирования перевозок, поддержки экстренных ремонтов, etc, насколько хватит воображения и знания предметной области.

Вторая и третья области только очень косвенно касаются «спаянной одной целью» производяще-храняще-распределяюще-доставляюще-продающей цепи, в них IoT-применения локализованы в потенциально конфликтной зоне между розничным продавцом и покупателем (источник конфликта очевиден – продавец заинтересован в продаже «как можно больше всего», покупатель заинтересован в покупке ему нужного). На деле игроков здесь (как и в «в общем бесконфликтной» цепи) много больше, просто не все они видимы невооружённым глазом, особенно, глазом покупателя. Но пока о них не будем, посмотрим, что такое IoT во второй области «мерчандайзинга и персонализированный маркетинга». Благо, что пока здесь видимы только два фундаментальных пункта:

  • «взаимодействие с пользователем на основе его местоположения в торговом ряду» (на всякий случай привожу оригинальное название, оно того стоит: «proximity-based consumer interaction in the aisle»);
  • «интерактивный персонализированный непрерывный (бесшовный) цифровой опыт».

Первое не очень внятное на деле означает сочетание любых или систем indoor-навигации, или более простых, позволяющих выявить факт приближения покупателя к некоторому устройству, и систем поставки контента, ассоциированного с местом или фактом нахождения вблизи чего-то. Первой волной подобного были QR кодированные таблички (факт возможности считывания которых однозначно соответствует факту нахождения покупателя в строго определённом месте). Это было несколько лет назад. И совершенно не прижилось ни в США, ни в ЕС, чего не скажешь о Юго-Восточной Азии. Теперь вместо QR-табличек – радиопередающие «маячки» (обычно Bluetooth LE), всё прочее почти что остаётся без изменений, даже в фундаментальном – чтобы считать QR-код, покупатель должен был принять решение о необходимости для себя этого действия, чтобы принимать сигналы от «маячков», покупатель должен принять решение о включении Bluetooth адаптера своего устройства. В остальном – всё то же самое, кроме простого, но исключительно важного удобства (всё-таки, для приёма сигнала «маячка» не требуется наводить камеру на табличку с QR-кодом, фокусировать её, что-то там нажимать, в общем, куча лишних действий отпадает).

Второе ужасно звучащее, этот «seamless digital experience», похоже, означает нашу пользовательскую любовь к удобству мобильных приложений, которая (выражаясь словами явно понимающих в «бесшовности опыта» специалистов из Urban Airship), при правильном использовании превращает потребителей «в преданных чирлидерш» (не утрирую, а цитирую). В подтверждение обычно приводится фраза из отчёта JWTIntelligence: 81% современных взрослых американцев и британцев «предпочитают опыт материальным ценностям» (но, к сожалению, не уточняется, о каком именно «опыте» идёт речь). «Бесшовность» же означает единые механизмы «распознавания пользователя» и доставки ассоциированного с ним и со всем вообще контента при смене им платформ (смартфон-планшет-ПК-медиацентр-умный телевизор-что там ещё может быть). Не понимаю, по каким критериям всё это вообще отнесено к IoT, разве что если покупателя считать «вещью» (шучу, а, может, и нет), но факт остаётся фактом – и это теперь IoT.

Третья область внедрения IoT в ритейл расположена в той же потенциально конфликтной зоне, но её призвание – улучшение восприятия покупателями продавца за счёт «приятных непосредственно не связанных с процессом купли-продажи» мелочей. Автоматические парковки с возможностью бронирования места, всевозможные системы безопасности, временного хранения вещей etc. Здесь тоже всё понятно, это серьёзная область для в том числе репутационного менеджмента.

Основной областью, привлекающей внимание ритейла, конечно, является вторая, в которой сконцентрированы странные, порой не поддающиеся ни переводу, ни даже объяснению, термины. Потому что стимулирование покупателя, в том числе и к совершению «импульсивных покупок» - это если не топливо, то точно присадка к топливу мотора экономики.

«Многоканальные розничные продажи», «me-tailing» - термины из этой области. И в этой же области (в том числе из-за декларируемой «бесшовности») законодатели и регуляторы пытаются ограничивать риски утечек и использования не по прямому назначению персональной информации пользователей. Да, регуляторы работают небыстро, государственные и межгосударственные механизмы тоже не отличаются реактивностью, но если какое-то движение у них вообще началось – с большой степенью вероятности оно приведёт к определённым изменениям в законодательствах, вносящим серьёзные коррективы в проектирование, создание и развёртывание реальных систем.

В качестве примера можно привести несколько лет добиравшееся до законодательного уровня регулирование теперь уже ещё одного сегмента IoT – RFID. С лета прошлого года законы Евросоюза требуют явной визуальной маркировки товаров, содержащих RFID, а ритейлеры имеют право использовать RFID только для совершенствования системы поставок и защиты от краж (что интересно, это строгое ограничение не распространяется на QR-маркеры, стикеры etc), причём и эти разрешённые варианты использования должны учитывать требования директивы 95/46/EC.

Теперь общеевропейский регулятор защиты данных, похоже, хоть и не очень громко, но всерьёз взялся за «IoT вообще». И профессиональные юрконсультанты уже рассматривают возможные варианты развития событий и даже пытаются предсказать их последствия.

Во-первых, после одобрения Европарламентом в прошлом году закона об ответственности за «data breach» (специально не перевожу, этот термин подразумевает чуть ли не любое «что-то не то» с персональными данными пользователя), компания, допустившая data breach, может быть оштрафована на сумму до 5% от её глобального оборота.

Во-вторых, очень любопытный документ Article 29 Working Party "о современном развитии IoT систем", не закон, но рекомендации, отражающие взгляды на защиту данных в IoT всех профильных госструктур стран Евросоюза, содержит в себе настоящие бомбы замедленного действия. Например, глава 2.2 «Особенности пользовательского согласия [на сбор и обработку данных]» даёт следующее определение:

«Во многих случаях пользователь может быть не предупреждён об обработке данных, сопутствующей объектам [реального мира]. Такая нехватка информации создаёт существенное препятствие для получения от пользователя согласия [на использование объекта] на основании законов ЕС, требующих полной информированности пользователя. В таких случаях, в соответствии с законами ЕС, полученное от пользователя согласие не даёт права на обработку данных».

В общем, очень любопытный этот документ от Article 29 Working Party, рекомендуется к прочтению всем, кто присматривается к IoT, хотя бы потому, что для IoT-систем в нашей пост-советской реальности с её суперэластичным рынком, уровнем доходов населения и развитием промышленности места очень мало, а растущий рынок означает в том числе и то, что на нём всем найдётся место, было бы предложение.

В качестве «выжимки» из Article 29 Working Party приведу мнение его авторов (это авторитетное мнение всё-таки, подкреплённое знанием законодательств стран ЕС) о действующих ограничениях на персональные данные, получаемые с помощью IoT-систем:

  • они не должны использоваться для любых иных целей, кроме открыто заявленных сервисом;
  • допускается сбор только тех данных, которые необходимы для работоспособности сервиса;
  • данные не могут храниться дольше, чем нужно для работоспособности сервиса.

Есть много очевидных вопросов о реалистичности проверки на соответствие всем этим требованиям. Но не следует забывать, что речь идёт о государственных машинах очень не бедных стран «золотого миллиарда». И если потребность в таких проверках реально возникнет – найдутся и механизмы их исполнения.

Есть и готовые довольно очевидные юридические рекомендации для IoT-разработчиков, основанные на уже действующем для RFID законодательстве:

  • «сырые» (raw) данные, относящиеся к персонификации, в IoT-системах должны храниться минимальное время и удаляться сразу после обработки;
  • принятие конфиденциальности фундаментальным критерием проектирования и обеспечение её проектированием (Privacy by Design);
  • пользователи должны иметь доступ к обрабатываемым данным о них в любой момент времени;
  • все механизмы оповещения пользователей о доступе к их приватной информации должны быть максимально user-friendly, они не могут допускать разных толкований пользователями и обязаны предусматривать возможность отказа от услуг пользователем;
  • пользователи приобретённых IoT-устройств должны иметь право сохранять анонимность, это не должно влиять на работу устройств, не допускается никаких «ограничений функциональности» или любых форм «экономического наказания» (например, увеличения стоимости сервиса).

Поместить «всё» в короткую запись невозможно, да и в статью тоже. Этим объёмом и ограничимся. Почему это важно знать и учитывать? Мне думается, что даже не «почему», а «зачем». Во-первых, для лучшего понимания серьёзности изменений влияющего на те же IoT-проекты «ландшафта». Если кому-то интересно, чем на деле M2M радикально отличается от IoT, то, хотя бы, такой деталью. Во-вторых, можно предугадать с приличной степенью вероятности, с какими проблемами столкнутся многие IoT-проекты, потому что госрегуляторы – они как бульдоги, извините, и челюстей не разжимают (тем более, что никакой «крамолы», ограничений свобод и странных требований «тотальной подконтрольности регулятору» в этой области как раз нет). И уж если взялись за IoT, то играть придётся по правилам. В-третьих, так как IoT теперь чуть ли не всё, что кто угодно назвал IoT, кто знает, в какие области завтра распространятся усилия регуляторов и, тем более, какие методы могут быть ими использованы для проверок соблюдения своих требований.

Откланиваюсь.