В черном зеркале: приложения учатся следить за нами

Совсем недавно Spotify получил патент на анализ голоса и звуков вокруг пользователя. Так приложение сможет получать огромный массив данных от пола и возраста до текущих эмоций и окружающей обстановки клиентов. Как результат, сервис будет предлагать музыку, действительно подходящую моменту. Кажется, это совершенно новая технология. Звучит сюрреалистично и очень напоминает «Черное зеркало». К счастью или к сожалению, героями этого сериала мы стали уже давно.

Никогда такого не было, и вот опять

На самом деле, мы куда ближе к «Черному зеркалу», чем кажется. Нет, чипы в нас все еще не вшивают, но это и не нужно: отследить наше местоположение, привычки, финансовое положение сегодня можно без операции.

Компании собирают, анализируют и используют данные о нас постоянно. Чаще всего это делается ради монетизации: если ты знаешь своего клиента, можешь заработать на нем больше.

Этот процесс не нов: бизнес и 10, и 20, и даже 100 лет назад работал с данными, чтобы больше узнать о своих клиентах. Например, изучали записи с камер наблюдения, отправляли по почте рассылки-опросы, предлагали пользователям стать членами «закрытых клубов» в обмен на некоторые данные.

О том, что сбор данных может быть опасным, заговорили только сейчас: информация о 4,5 млрд людей уже активно используется создателями сайтов и приложений. Пользователи, напротив, важность персональных данных не осознают и делятся ими спокойно: ну какое кому дело, проводим мы вечера в домашнем кинотеатре или на аквадискотеке? Мы же не президенты.

В то же время, больше половины россиян уверены, что их данные в сети используются третьими лицами. Страха это не вызывает. Скорее раздражение, когда очередная девушка с уставшим голосом предлагает пройти бесплатное медицинское обследование в вашем районе.

Информацию о них действительно часто собирают одни компании, а используют – другие. Например, Facebook, WhatsApp, Instagram и другие соцсети узнают о вас, чтобы клиенты рекламных сетей могли более точно таргетироваться на целевую аудиторию. Это довольно безобидный пример.

Заработок на таргетированной рекламе – это то, вокруг чего построена бизнес-модель социальных сетей.

Facebook в 2018 году заработал 98,5 % дохода на таргетированной рекламе. Google в 2019 году декларировал 83 % дохода от таргетированной рекламы.

Рекламодатель платит за то, что его продукт будет показан конкретной, четко определенной аудитории. Если площадка не будет обладать данными о пользователях, то не сможет избирательно показывать рекламные объявления.

При запрете сбора персональных данных исчезнет основной источник дохода многих компаний, канут в лету бесплатные сервисы и площадки для пользователей.

То, как выглядят интернет-гиганты сейчас, во многом обусловлено сбором и использованием персональных данных. Без них сервисы будут вынуждены повысить цены и продавать те услуги, которые ранее были доступны бесплатно. Запрет на сбор данных для этих компаний станет большим шагом назад, но пользователь в любом случае заплатит либо деньгами, либо данными. Это аксиома.

Менее приятных историй тоже много, например, скандал вокруг GetСontact. Пользователи так хотели узнать, как знакомые подписывают их в контакт-листе, что охотно делились своим номером и списком контактов. Все это происходило условно добровольно: люди приняли соглашение, согласно которому компания запросто может передать полученные данные третьим лицам.

Когда Вы используете любой из наших Сервисов, мы можем раскрыть Ваши персональные данные следующим лицам:

a. компаниям нашей группы, сторонним поставщикам услуг и партнерам, которые оказывают нам услуги обработки данных, включая тех, кто расположен за пределами территории Вашего проживания.

b. любому компетентному правоохранительному органу, регулятивному, правительственному органу власти, суду или другой третьей стороне, которой, как мы полагаем, необходимо раскрыть такие данные.

c. любому другому лицу с Вашего согласия на раскрытие.

Наши Сервисы носят глобальный характер по своей природе, и Ваши персональные данные могут быть переданы и обработаны в иных странах, помимо страны, резидентом которой Вы являетесь. В этих странах могут существовать законы о защите данных, которые отличаются от законов Вашей страны.

Увы, не только соцсети собирают данные о нас.

В 2018 году журналистка Кашмир Хилл решила выяснить, как работают умные устройства у нее дома, и провела любопытный эксперимент. В течение 2 месяцев она контролировала все сообщения, пересылаемые смарт-гаджетами на сторонние ресурсы. Выяснилось, что зубная щетка считала, сколько раз в день и по сколько минут Кашмир и домочадцы чистят зубы. О том, сколько семья спит, компаниям-производителям сообщали будильники. Телевизор передавал информацию о предпочтениях жильцов. Колонки анализировали обстановку, даже когда формально были отключены, и раз в 3 минуты отправляли отчет. Даже вибратор делился данными о поведении пользовательницы: как часто она его использует, какие настройки выбирает, до какой температуры нагревается игрушка.

Звучит пугающе, правда? Кому вообще могут понадобиться все эти данные? Ваши гигиенические привычки, например, будут полезны страховым и статмологическим клиникам – так они рассчитывают размер вашего взноса или планируют программу лечения.

Голосовые помощники и ассистенты записывают и анализируют речь; производители фитнес-браслетов и умных весов собирают на серверах данные владельцев; системы распознавания лиц фиксируют перемещение конкретных граждан по городу; службы такси хранят информацию о поездках и маршрутах; банковские системы владеют информацией о доходах и расходах.

Вам приходило уведомление от популярной социальной сети с предложением подтвердить знакомого вам человека на фотографии? Бурное развитие нейросетей позволяет анализировать и предугадывать действия пользователей.

Уже сейчас корпорации и государства знают о каждом нашем шаге, наших желаниях и предпочтениях. Иногда это может быть полезно. Например, некоторые данные позволяют спрогнозировать возникновение болезни. Это благо и для пользователя, который своевременно позаботится о своем здоровье, и для страховой компании, которой не придется оплачивать дорогостоящее лечение.

Walt Disney Company анализирует перемещение гостей по парку. С помощью браслетов, которые служат входными билетами, компания контролирует логистику и облегчает передвижение посетителей. Например, чтобы продлить перерыв между аттракционами, Disney может предложить дополнительную скидку в ближайшем магазине или ресторане. Так гость не томится в очередях, а компания получает дополнительный доход.

Корпорации годами собирают и даже продают наши данные, а мы часто об этом вовсе не задумываемся. Сомнения возникают, только когда в инфополе появляются новости о каких-то судебных исках: кто-то из далеких Америк дерзает обвинить гигантов IT-рынка в слежке.

Хороший пример – история вокруг дочернего сервиса Avast. Сотрудники изданий PCMag и Motherboard, проводившие совместное расследование, заявили, что дочернее предприятие Avast продавало сведения третьим лицам, в том числе Microsoft и Google.

Подмена реальности: как россияне переехали в выдуманный мир и обжились там

Судиться будем?

Подобных историй, на самом деле, становится все больше.

Например, в 2018 году выяснилось, что платформа Netflix показывает пользователям разные постеры и тизеры в зависимости от их пола, возраста и национальности. Сервис обвинили в расизме, хотя его целью было предоставление максимально подходящего клиенту контента. Предполагалось, что люди охотнее смотрят сериалы и фильмы, главными героями которых являются представители их расы.

Едва ли не больше всего скандалов было связано с социальной сетью Facebook. В конце января 2020 года соцсеть раскрыла данные о том, какие сведения собирает о своих пользователях, даже когда те не используют сервис. Оказалось, что Facebook отслеживает и посещение сайтов, касающихся личной жизни людей.

Несколько штрафов вынужден выплатить Google, а в июне 2020 против него было возбуждено еще одно дело – 3 истца требуют от компании компенсации в 5 тыс. долл. каждому пользователю США за незаконный сбор данных.

На фоне этих событий защита данных пользователя из обязанности «по умолчанию» превратилась УТП. Apple и другие компании даже используют его в рекламе.

Предположим, у вас есть претензии к одной из этих соцсетей, связанные с незаконным использованием ею ваших персональных данных. Можно ли привлечь иностранную компанию к ответственности? Российский закон дает такую возможность. В соответствии с Гражданским процессуальным кодексом РФ иски о защите прав субъекта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, могут предъявляться в суд по месту жительства истца.

Верховный суд РФ в Определении от 9 июня 2020 года прямо указал на предоставленную гражданину РФ возможность предъявить в российском суде иск к иностранной организации «Facebook inc». Если так, то аналогичный иск можно подать к сингапурской, китайской и любой другой зарубежной организации при условии, что спор вытекает из договора пользования социальной сетью, исполнение по которому должно осуществляться по месту нахождения пользователя на территории Российской Федерации.

Как это будет работать, мне неизвестно.

Во-первых, Верховный Суд РФ обозначил свою позицию относительно недавно: с даты вынесения определения не прошло и года.

Во-вторых, у пользователя возникнут большие трудности с формированием доказательственной базы, подтверждающей тайный, незаконный характер получения сведений и направления их дальнейшего использования.

В-третьих, юридические документы соцсетей, о которых я говорил вначале, написаны таким образом, чтобы иметь легальную возможность отслеживать информационную активность пользователя и передавать сведения третьим лицам.

В любом случае, для защиты своих прав гражданин скорей всего вынужден будет обратиться за помощью не только к юристам, но и к экспертам в IT-сфере.

Регулировать ситуацию на законодательном уровне пока очень сложно (особенно в России): первые неловкие постановления выпускаются у нас на глазах, и даже определение персональных данных в них от раза к разу меняется, чтобы больше соответствовать современным реалиям.

Пока актуальных изменений в GDPR и российских законодательных актах нет, защищать себя придется самостоятельно.

Рассмотрим ситуацию на примерах самых популярных сегодня сервисов TikTok и Instagram.

В Политике конфиденциальности TikTok, с которой необходимо согласиться при регистрации в приложении, есть два принципиально важных места, позволяющих компании TikTok Pte. Ltd распоряжаться сведениями пользователя.

Во-первых, обратите внимание на третий абзац раздела «Краткое содержание», в котором написано: «Мы делимся вашими данными с нашими сторонними поставщиками услуг, которых мы используем, чтобы предоставлять вам доступ к Платформе. К таким поставщикам относятся поставщики услуг облачных хранилищ и поставщики иных ИТ-услуг. Мы также предоставляем вашу информацию нашим деловым партнерам, рекламодателям, операторам аналитических и поисковых систем. Мы также можем предоставлять вашу информацию правоохранительным органам и иным государственным органам в соответствии с требованиями закона». Это означает, что информацию о пользователе может получить третье лицо.

Второе важное место находится в конце Политики, где сказано, что пользователи из России дают согласие на обработку персональных данных и их трансграничную передачу в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другим нормативным правовым актом, принятым вместо него.

Таким образом, если говорить о самой популярной сегодня социальной сети и приложении TikTok, ее владельцы позаботились о том, чтобы иметь возможность собирать и обрабатывать персональные данные пользователей из России, передавать их различным организациям и государственным органам (необязательно российским).

Политика использования данных Instagram позволяет Facebook собирать самые разные сведения о пользователе и его активности. Собирается информация «о людях, страницах, аккаунтах, хештегах и группах, с которыми вы связаны, и о вашем взаимодействии с ними в различных продуктах Facebook. Это, например, люди, с которыми вы больше всего общаетесь, или группы, к которым вы присоединились», информация об операциях, совершаемых в продуктах Facebook: «платежная информация, например номер кредитной или дебетовой карты и другие данные о ней, другая информация о счете и аутентификации, выставлении счета и доставке, а также контактные данные».

Или как вам такое: «Мы собираем информацию с используемых вами компьютеров, телефонов, подключенного ТВ (connected TV) и других подключенных к Интернету устройств, интегрируемых с нашими продуктами, а также информацию об этих устройствах, и объединяем такие данные с разных устройств, которые вы используете». Слова «информацию об этих устройствах» можно читать по-разному. Не понятно, какая именно информация об устройствах собирается.

Или вот: «Партнеры предоставляют информацию о ваших действиях вне Facebook, в том числе информацию о вашем устройстве, посещаемых вами сайтах, совершаемых вами покупках, просматриваемой вами рекламе и использовании вами их сервисов независимо от наличия у вас аккаунта Facebook и входа в него». Что это, если не слежка?

И наконец: «Мы также предоставляем информацию и контент партнерам по исследованиям и ученым... используем имеющуюся информацию (в том числе полученную от сотрудничающих с нами партнеров по исследованиям) для проведения и поддержки исследований и инноваций на темы общего социального обеспечения, технического прогресса, общественных интересов, здравоохранения и благополучия».

Последнюю формулировку при желании можно распространить на передачу сведений различным структурам: иностранным, международным, военным, разведывательным и т.д. Словосочетания «технический прогресс», «общественные интересы», «благополучие» весьма оценочны, особенно если их использует зарубежная компания.

В то же время, Facebook заявляет: «Мы никому не продаем и никогда не будем продавать вашу информацию. Мы также строго ограничиваем способы использования и раскрытия партнерами предоставленных нами данных».

Что мы видим в итоге? Крупнейшие игроки интернета позаботились о получении сведений от пользователей на законных основаниях.

Читает ли кто-то пользовательские соглашения и политики конфиденциальности при регистрации? Сильно сомневаюсь. Пользователь продуктов Facebook принимают целый пакет соглашений, связанных между собой кросс-ссылками. На их медленное, вдумчивое чтение нужно потратить не менее суток, и еще останется много вопросов, для получения развернутых ответов на которые потребуются юридические консультации по российскому праву и праву США.

Вот теперь задумайтесь, TikTok и Instagram при таком пакете соглашений, политик и заявлений получают данные человека тайно или открыто? То, что процесс получения сведений происходит незаметно для пользователя, то, что пользователя не отвлекают, еще не значит, что сведения собираются втайне от пользователя. Напротив, человека письменно предупреждают при регистрации: так мол и так, будем собирать, изучать, объединять, передавать. Согласен – присоединяйся. Нет? Никто не настаивает и насильно в сеть не тянет.

Тогда вы можете спросить: а есть ли разница между собираемой информацией о поставленном лайке и личным сообщением пользователя, отправленным другому пользователю? В Политике использования данных Instagram написано: «Мы собираем контент, сообщения и другую информацию, которые вы предоставляете … в том числе когда... отправляете сообщения или взаимодействуете с другими людьми». «Наши системы автоматически обрабатывают контент и сообщения, предоставляемые вами и другими людьми, для анализа их контекста и содержания в целях, описанных ниже». Зачем? Например, чтобы отправлять пользователю маркетинговые предложения для использования в исследовательских программах.

Теперь посмотрим, что закреплено в российских законах. Трансграничная передача персональных данных регулируется статьей 12 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». Под такой передачей понимают передачу персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Пользователь TikTok передает свои персональные данные иностранному юридическому лицу, зарегистрированному в Сингапуре, а также разрешает их передачу в США и Китайскую Народную Республику, а пользователь Instagram передает свои персональные данные иностранному юридическому лицу, зарегистрированному в Калифорнии, США.

Наш закон о ПД в статье 12-й делит все государства, в которые могут передаваться персональные данные из России, если говорить простым языком, на заслуживающие доверия и остальные. В законе заслуживающие доверия названы «обеспечивающими адекватную защиту прав субъектов персональных данных». С 20 августа 2017 года Республика Сингапур вошла в российский, утвержденный Роскомнадзором, перечень государств, обеспечивающих адекватную защиту. США и КНР в этом списке нет.

Однако тем же законом россиянам не запрещается добровольно передавать свои персональные данные в штаты и любую другую страну, независимо от того, указана она в перечне Роскомнадзора или нет.

В 2020 году мы видели, насколько «спустя рукава» относятся к сохранности данных по заболеваемости коронавирусом многие ответственные организации, и насколько легко получить доступ к собранным ими данным кому угодно, причем бесплатно, без какого-либо подкупа.

Организации очень часто относятся к защите персональных данных именно как к скучной рутине, формальности для выполнения требований регуляторов, а если могут игнорировать регулятора, то так и делают.

Как результат, появился и расширяется черный рынок «слитых» баз персональных данных, который настоящие преступники используют, насколько хватит фантазии: звонки мошенников от имени службы безопасности вашего банка, бот-атаки на сайты любимых магазинов, чтобы монетизировать ваши бонусные баллы, ну и регистрация подставных фирм на основе утекших сканов паспорта и других документов.

Рерайтерам – приготовиться к увольнению: интервью с создателем шведского «ИИ-автора» Monok

Как понять, что данные собирают, и защитить себя

Совет для настойчивых – изучить разработчика, чье приложение вы собираетесь скачивать. Важно просматривать политику конфиденциальности не только конкретной программы, но и всей компании: зачастую первый документ ссылается на второй и не уточняет, что передает информацию, например, правительству страны. Кроме того, вполне возможно, что разработчик уже был замечен за некорректным использованием данных ­– это тоже будет сигнальным маячком.

Если настолько глубоко погружаться вы не готовы, хотя бы внимательно следите за запросами приложения. Действительно ли трекеру шагов нужна камера? Для чего утилите-календарю ваши паспортные данные?

Обязательно проверьте, к каким данным ваши приложения уже получили доступ раньше. Например, уверены ли вы, что WhatsApp должен иметь постоянный доступ ко всем вашим фотографиям? Точно ли фоторедактору важна геопозиция?

Следите за своим поведением в соцсетях. Некоторые компании исследуют активность пользователей и на основе нее формируют свою политику. Например, студенту, который учится в музыкальной консерватории, но при этом лайкает исключительно посты из сообщества про компьютерные игры, рекламировать будут скорее другие игры, а не новую скрипку. Замужней девушке, которая при этом активно сидит в «Тиндере», скорее одобрят потребительский кредит, чем «семейную» ипотеку.

Вовремя удаляйте ненужные приложения. Бытует мнение, что больше всего данных «сливают» сервисы доставки и такси: они всегда знают, где вы живете или работаете, в какое время отдыхаете или развлекаетесь.

Они и сами, кстати, активно пользуются вашими данными. Например, завышают стоимость поездки, если у вас на телефоне осталось мало зарядки, или если вы возвращаетесь из бара поздно ночью – в обоих случаях у вас не будет выбора, такси придется заказывать по любой цене.

Для тотальной анонимности можно использовать браузеры или поисковики, шифрующие поведение. Например, DuckDuckGo или Tor, правда, последний запрещен в России.

Персональные данные ничем не отличаются от любой другой информации, которую надо защищать. Разве что их просто очень много. Плюс «заказчики», т. е. субъекты персональных данных, часто сами не считают эти данные каким-то там секретом, что не облегчает задачу.

Не все так плохо: некоторые крупные компании прилагают большие усилия и совместно с учеными создают математические методы, которые в ближайшем будущем позволят обрабатывать анонимизированные данные без потери качества, и компании смогут хранить, например, медицинские данные в форме, которая не позволит сопоставить запись с конкретным человеком.

Многие специалисты, впрочем, считают, что следить за официальным доступом приложений к вашим данным нет смысла. Это иллюзия контроля: даже без ваших разрешений они могут узнать уникальный идентификатор вашего устройства, что уже немало.

Чтобы идентифицировать человека, получают данные об операционной системе, о браузере пользователя, установленных в нем плагинах и расширениях. Изучается провайдер, анализируется тип процессора и видеокарта. На мобильных устройствах дополнительно могут использоваться геолокация пользователя и IMEI телефона.

Кроме основных данных, современные приложения способны распознавать и анализировать речь, чтобы составить представление о предпочтениях пользователя. Скандал с компанией Burger King продемонстрировал, что некоторые приложения могут записывать видео и делать снимки экранов мобильных устройств без предупреждения.

Единственное, что реально может защитить вас и ваши данные – более совершенные законы о конфиденциальности. Но это еще вопрос – нужно ли защищать свои данные вообще? Может быть, тотальная «слежка» приложений скорее идет нам на пользу?

Данные о пользователях нужны не для контроля, а для продаж. Контроль не приносит денег, а целевые продажи – бесконечный источник средств в современно потребительском обществе. Чем больше системы будут знать о нас, тем лучше они подстроят выдачу товаров, найдут за нас друзей, составят расписание вечера.

Big data в наше время ведет себя как «знаки судьбы», предлагая то, о чем мы вот-вот планировали подумать.

Хотим ли мы вернуться в мир, где нам самим необходимо было все искать часами, вместо того, чтобы это за нас делал алгоритм на основе нашего портрета?

Пользу, которую люди получают в обмен на приватность, трудно корректно оценить. Нужно учитывать и фактор безопасности, ведь по портрету пользователя, который строит нейросеть на основе данных о его активности, можно заранее вычислить преступников. Готовы ли люди запретить сбор данных и лишиться этого фактора безопасности?

Однозначного ответа нет, однако развитие прогресса уже не оставить. Данные собираются, и частные запреты уже ни на что не повлияют. Нужно приспосабливаться к жизни в новом обществе. В полностью прозрачном обществе без тени приватности. В общесте, полностью контролируемом AI-алгоритмами.

Сам факт сбора данных не является ни злом, ни благом. Персональные данные собираются абсолютно везде: не только в соцсетях, но и на любых сайтах и даже в офлайне. Да-да, каждый раз, используя скидочную карточку в «Пятерочке» или «Магните», например, вы своими руками передаете алгоритмам свои персональные данные. Надо принять это, как данность.

Кто и как использует эти данные – это уже может быть предметом для обсуждения. Надо для себя решить такой вопрос: а действительно ли мы готовы отказаться от удобств, которые с этим связаны? Точно ли мы, сидя по несколько часов в TikTok, хотим сами искать креативных авторов и решать, интересны ли они нам, или все-таки пусть уютные алгоритмы и дальше подбирают нам рекомендованное?

Или, например, «ВКонтакте». Допустим, мы не покупаем подписку на музыку. Хотим ли мы рандомно получать рекламу про что угодно или все-таки хоть как-то совпадающую с нашими предпочтениями, а оттого хоть чуточку менее раздражающую?

Даже если чисто гипотетически сбор данных можно было бы запретить, таким ли уж благом это бы для нас оказалось?

Источник: texterra.ru

Комментарии: