Легальный шпионаж Использование личных данных пользователей в коммерческих целях – повседневная часть работы IT-компаний, и их вряд ли можно в этом упрекнуть, ведь люди добровольно дают на это согласие в пользовательском соглашении. Однако случается, что собранные данные оказываются у третьих лиц, или же в обработку попадают те сведения, которые человек раскрывать не соглашался. Защита пользователей от нелегального и противозаконного использования их данных в подобных ситуациях - обязанность государства.

Охота за информацией

Интернет – неотъемлемая часть жизни миллионов людей, дающая им возможности и инструменты, о которых еще в недавнем прошлом можно было только мечтать. Сеть позволяет работать, не выходя из дома, ходить по магазинам, болтать с друзьями, следить за новостями, смотреть кино и слушать музыку, и многое, многое другое. Но за это, как и за все остальное в жизни, приходится платить, причем не всегда речь идет о деньгах.

Некоторые IT-компании взымают плату за использование своих продуктов и сервисов, но большинство интернет-платформ остается условно бесплатными. Условно не том смысле, что кто-то таинственным образом все же попытается присвоить за их посещение деньги, а в способе такой оплаты, ведь расплачиваться можно не только наличными или картой. В современном мире появился не менее ценный ресурс, который достаточно просто монетизировать – информация, в том числе персональные данные пользователей.

Эксперты в области цифровой безопасности призывают людей к цифровой гигиене, чтобы сведения о пользователях не оказались в руках киберпреступников – речь идет, например, о паспортных данных или информации о банковских картах. Но ценность могут представлять не только сведения, непосредственно связанные с возможностью лишить человека денег, но и любые данные о его интересах, предпочтениях, месте жительства, семейном положении, возрасте и так далее. Такие сведения вполне легально собирают, обрабатывают и используют IT-компании, причем с добровольного разрешения обладателя таких данных – оно прописано в пользовательском соглашении, без согласия с которым, например, невозможно создать аккаунт в соцсетях.

«Большинство компаний, предоставляющих услуги в сети Интернет, собирают информацию о действиях пользователей . Владельцы сайтов электронной торговли стараются таким образом дать пользователю, о котором они знают больше, более точные персонифицированные предложения товаров и услуг. Производители программного обеспечения, в том числе операционных систем и браузеров, так отлавливают сбои и исправляют ошибки», — говорит первый вице-президент ГК InfoWatch, генеральный директор Attack Killer Рустэм Хайретдинов.

По его словам, для сбора такой информации используются специальные программные агенты, фиксирующие действия пользователя на сайтах и в операционной системе. Намерения этих компаний чисто коммерческие, с заботой о пользователе, которому надо быстрее и больше продать и быстрее исправить ошибку, поясняет Хайретдинов.

«Однако эти намерения гораздо меньше возможностей, открывающихся в результате сбора данных. И обязательно найдется тот, кто захочет эти возможности реализовать. Известны случаи, когда компании передавали собранные данные спецслужбам для раскрытия преступлений. То есть сбор данных с одной, пусть и благородной, целью не исключает использования данных с другой - уже более вредной для пользователя», —подчеркивает эксперт.

Глава команды аналитиков Департамента инновационной защиты бренда и интеллектуальной собственности Group-IB Антон Долгалев считает, что в данном случае корректнее говорить не о «слежке», а о сборе IT-корпорациями — разработчиками ПО, соцсетями личных данных пользователей.

«Парадокс в том, что делают это они только лишь по разрешению пользователя, дающего согласие на обработку персональных данных при регистрации в соцсети. Остальные IT-компании, в том числе разработчики антивирусов, тоже вполне могут собирать, хранить и обрабатывать персональные данные, но не бывает так, чтобы это происходило без уведомления пользователя. Да, зачастую это указано мелким шрифтом в правилах пользования программным обеспечением или сервисом, это не всегда заметно и очевидно, но факт остается фактом – никакой противозаконной слежки за людьми не ведется», — уверен он.

Антон Долгалев согласен с тем, что бывают случаи, когда компании собирают не только те данные, которые указываются в пользовательских соглашениях, а гораздо большие, и иногда случайно или не случайно эти данные попадают к третьим лицам. Однако он уверен, что в данном случае речь не идет о какой-то злонамеренности со стороны организации в целом, ведь такой удар по репутации обойдется гораздо дороже предполагаемой прибыли от продажи клиентской базы на черном рынке.

«Реальный кейс, когда глобальная компания нарушает мировое право и местное законодательство, а также условия пользования, специально ворует и использует личные данные, а затем умышленно продает их неким третьим лицам – это какая-то сильно конспирологическая история», — полагает эксперт.

Будничный шпионаж

Несмотря на скептицизм Антона Долгалева, примеров манипуляций с личными данными пользователей со стороны крупных компаний хватает — может быть, речь и не идет о преднамеренном злодействе, но этого достаточно, чтобы пользователи по всему миру насторожились.

Так, в сентябре 2019 года Google и YouTube обязали выплатить рекордный штраф в $170 млн за сбор персональной информации о детях без согласия их родителей. Как сообщала Федеральная торговая комиссия США, речь идет о сборе информации о постоянных идентификаторах (используются для отслеживания пользователей в интернете) зрителей каналов, ориентированных на детскую аудиторию. По мнению ведомства, это позволило видеохостингу заработать на таргетированной рекламе «миллионы долларов».

В начале 2020 года дочернюю компанию разработчика ПО в области цифровой безопасности Avast уличили в торговле данными пользователей, которые собирались при помощи фирменной антивирусной программы. Сотрудники изданий PCMag и Motherboard, проводившие совместное расследование, заявили, что «дочка» Avast продавала сведения третьим лицам, в том числе таким крупным компаниям, как Microsoft и Google. В результате в конце января генеральный директор Avast Ондрей Влчек заявил о закрытии провинившейся «дочки», чтобы успокоить разъяренную скандалом общественность. Тем не менее, нелегальной свою деятельность Avast признавать отказывается. По словам Влчека, обе компании действовали полностью в рамках закона и в соответствии с GDPR (Общим регламентом по защите данных), принятым в ЕС в апреле 2016 года.

Едва ли не больше всего скандалов было связано с социальной сетью Facebook. В конце января 2020 года соцсеть под давлением общественности раскрыла данные о том, какие сведения собирает о своих пользователях даже в то время, когда они не используют сервис: из настроек учетной записи появилась возможность перейти на вкладку «Действия вне Facebook».

На странице собраны данные о том, какие сайты посещал человек и какие приложения он запускал. Социальная сеть собирает эту информацию даже тогда, когда пользователь не заходит в свой аккаунт. Ее можно удалить, нажав на кнопку «Очистить историю», однако соцсеть может продолжить сбор этих данных и в будущем. Журналисты Washington Post подчеркивали, что Facebook отслеживает и посещение сайтов, касающихся личной жизни людей, например, медицинских учреждений.

Может быть, тогда разумным было бы запретить IT-компаниям сбор персональной информации? Может быть, однако это вряд ли возможно, объясняет первый вице-президент ГК InfoWatch, генеральный директор Attack Killer Рустэм Хайретдинов.

«Сегодняшняя модель вывода продуктов и услуг на рынок подразумевает постоянную обратную связь в виде сбора пользовательских данных. Если лишить ИТ-компании возможности сбора данных, она окажется «слепа», перестанет видеть то, как пользуются ее продуктами и услугами реальные пользователи. Соответственно, упадет качество услуг, ошибки станут исправляться дольше и дороже и т.д.» — говорит эксперт.

Глава команды аналитиков Департамента инновационной защиты бренда и интеллектуальной собственности Group-IB Антон Долгалев также не видит возможности для подобного запрета, при условии, разумеется, что IT-компании не нарушают установленных границ.

«Несомненно, для работы IT-компаний и соцсетей сбор персональных данных и их fair use просто необходим. Но какие-либо преувеличения этих полномочий или оговоренных условий сбора неправомерны. IT-компании вполне могут прожить без этих данных, потому что для рекламного таргетирования в тех же социальных сетях используется огромное количество алгоритмов, напрямую не взаимодействующих с персональными данными. Есть огромное количество субъективных сторонних метрик, сопутствующих деятельности пользователя в соцсетях, которые и без каких-либо личных данных человека прекрасно укажут на круг его интересов и на какие-то маркетинговые точки воздействия, которые можно использовать. Для этого не обязательно нужно что-то собирать и нарушать», — подчеркивает он.

Компенсации и закон

Но раз положить персональные данные под замок невозможно, может быть, было бы справедливым позволить пользователям получить какую-то компенсацию за использование их личных данных для получения прибыли? Антон Долгалев эту точку зрения не разделяет.

«Я не согласен с мнением о том, что люди, оставляющие свои данные, являются потенциальными бенефициарами рекламных доходов. Соцсеть зарабатывает на том, что люди ею пользуются, она для них удобна, нужна и важна, и у любого использования должна быть своя цена: чтобы соцсети были бесплатными, применяются другие формы монетизации, ведь это, в конце концов, бизнес», — говорит Долгаев.

Эксперт подчеркивает, что сбор личных данных — это не какой-то отдельный процесс и не какая-то самоцель IT-бизнесменов. «Нет такого бизнес-процесса «сбор личных данных». Есть остальные бизнес-процессы, которые параллельно ведут к тому, что и какие-то личные данные тоже используются. Собирают их потому, что для большинства сервисов это необходимое условие нормальной работы. А то, что при помощи этих данных можно дополнительно продвинуть и рекламу – это просто побочный эффект», — поясняет он.

При этом он уверен, что государству необходимо и дальше совершенствовать законодательство в области сбора персональных данных, чтобы защитить людей от злоупотреблений и своевременно реагировать на возникающие угрозы.

«Я не юрист, но моя позиция в этом вопросе довольно четкая— нужны актуальные изменения в законодательство, связанные со сбором и защитой персональных данных, нужны изменения в GDPR (Общий регламент по защите данных), потому что он устарел, а российские законодательные акты устарели еще больше – например, в отношении фишинга», —подчеркивает эксперт.

Первый вице-президент ГК InfoWatch, генеральный директор Attack Killer Рустэм Хайретдинов полагает, что вопрос о компенсациях для пользователей не настолько странный, каким кажется на первый взгляд.

«Теоретически пользователи за сбор данных могут получать компенсации либо в виде скидок на товары и услуги, либо в виде штрафов, которые уплатит IT-компания, за нарушение правил сбора или использования личных данных. Для первого случая нужна усиливающаяся конкуренция за обладание данными, для второго - соответствующие законы, они в основном уже есть, а к ним - понятные механизмы их реализации», — резюмирует он.