У всех на виду: какую информацию собирают о вас в Сети?

А вы можете защитить свои цифровые права? Фото с сайта: pixabay.com (CCO).
А вы можете защитить свои цифровые права? Фото с сайта: pixabay.com (CCO).

Что зна­ет о вас Facebook, и кому пере­сы­ла­ет ваши лич­ные дан­ные «ВКон­так­те»? Жур­на­лист Теп­ли­цы Юлия Кален­ко­ва выяс­ни­ла, поче­му ано­ним­ность в Интер­не­те нахо­дит­ся под угро­зой.

Скры­вая свои фото­аль­бо­мы или семей­ное поло­же­ние в соц­се­тях, мы полу­ча­ем лишь иллю­зию кон­фи­ден­ци­аль­но­сти. На самом деле все, что вы дове­ря­е­те Сети, ста­но­вит­ся досто­я­ни­ем кор­по­ра­ций, а точ­нее – сер­ви­сов, кото­ры­ми они вла­де­ют.

Какие данные хранят соцсети?

В 2018 году Facebook опуб­ли­ко­вал обра­ще­ние, в кото­ром объ­яс­нял, в чем заклю­ча­ет­ся защи­та пер­со­наль­ных дан­ных поль­зо­ва­те­лей, и глав­ное – какие све­де­ния все же оста­ют­ся доступ­ны­ми. Итак, соц­сеть откры­то соби­ра­ет и ана­ли­зи­ру­ет:

  • дан­ные об устрой­стве: опе­ра­ци­он­ную систе­му, про­грамм­ное обес­пе­че­ние, при­ло­же­ния и пла­ги­ны;
  • доступ­ное место для хра­не­ния фай­лов, тип бра­у­зе­ра, типы и назва­ния при­ло­же­ний и фай­лов;
  • све­де­ния об опе­ра­ци­ях: сколь­ко и как часто выпол­ня­ет­ся каж­дое дей­ствие в окне с вклад­кой соц­се­ти;
  • иден­ти­фи­ка­то­ры (сим­воль­ное или циф­ро­вое имя, при­сва­и­ва­е­мое поль­зо­ва­те­лю), а так­же учет­ные запи­си из при­ло­же­ний;
  • сиг­на­лы устрой­ства: уро­вень заря­да бата­реи, мощ­ность сото­во­го сиг­на­ла, Bluetooth-под­клю­че­ние, све­де­ния о бли­жай­ших пунк­тах досту­па к Wi-Fi, радио­ма­я­ках и сото­вых выш­ках. Так­же ана­ли­зи­ру­ют­ся дви­же­ния мыши на устрой­стве поль­зо­ва­те­ля и сиг­на­лы с каме­ры в при­ло­же­нии Facebook;
  • све­де­ния о настрой­ках устрой­ства: мета­дан­ные фото­гра­фий (дата и вре­мя созда­ния изоб­ра­же­ния, гео­ло­ка­ция, модель каме­ры и пара­мет­ры созда­ния сним­ка, инфор­ма­ция о его соб­ствен­ни­ке), име­на и типы фай­лов на устрой­стве. Кро­ме того, доступ­ны све­де­ния о сво­бод­ном месте на дис­ке и кон­так­ты из адрес­ной кни­ги;
  • сеть и связь: мобиль­ный опе­ра­тор и про­вай­дер, язык, часо­вой пояс, номер мобиль­но­го теле­фо­на, ско­рость свя­зи. Сопря­жен­ные устрой­ства так­же «рас­сек­ре­чи­ва­ют» всю инфор­ма­цию;
  • сookie-фай­лы (фраг­мен­ты тек­ста, пере­да­ва­е­мые в бра­у­зер с посе­щен­но­го сай­та), кото­рые хра­нят­ся на устрой­стве поль­зо­ва­те­ля, в том чис­ле ID и настрой­ки.

Несмот­ря на то, что Facebook гово­рит о защи­те пер­со­наль­ных дан­ных, в 2018 году соц­сеть была ули­че­на в утеч­ке дан­ных. Так, Netflix, Spotify, Royal Bank of Canada, Apple и Microsoft поку­па­ли в Facebook инфор­ма­цию о поль­зо­ва­те­лях. Кро­ме того, дан­ные поль­зо­ва­те­лей Facebook ока­за­лись в рас­по­ря­же­нии фир­мы Cambridge Analytica, сотруд­ни­чав­шей с пред­вы­бор­ным шта­бом Дональ­да Трам­па.

Отдель­но сто­ит отме­тить мес­сен­джер WhatsApp, кото­рый при­над­ле­жит Facebook. Он соби­ра­ет кон­так­ты, сним­ки, све­де­ния из груп­по­вых чатов, но, под­чи­ня­ясь поли­ти­ке соц­се­ти, поз­во­ля­ет поль­зо­ва­те­лям полу­чить выгруз­ку дан­ных о себе.

«ВКон­так­те» высту­па­ет за то, «что­бы поль­зо­ва­те­ли пони­ма­ли, какие дан­ные они остав­ля­ют в Сети». Соц­сеть заре­ги­стри­ро­ва­на на Кип­ре, поэто­му на нее рас­про­стра­ня­ет­ся дей­ствие зако­на о пер­со­наль­ных дан­ных – General Data Protection Regulation (GDPR), при­ня­то­го в Евро­пей­ском сою­зе (ЕС) в 2018 году. На англо­языч­ной стра­ни­це «ВКон­так­те» ука­за­но, что соц­сеть может узнать о вас.

  • Лич­ные дан­ные, ука­зан­ные в про­фи­ле, под­пис­ки на сооб­ще­ства и исто­рию под­пи­сок.
  • Тех­ни­че­скую инфор­ма­цию: модель устрой­ства, вре­мя, дата и IP (уни­каль­ный иден­ти­фи­ка­тор, адрес устрой­ства).
  • Запи­си с пер­со­наль­ной стра­ни­цы, спи­сок дру­зей и исто­рию их добав­ле­ния.
  • Спи­сок загру­жен­ных аудио- и видео­за­пи­сей, фото­аль­бо­мы, заклад­ки.
  • Исто­рию бло­ки­ро­вок.
  • Инфор­ма­цию, полу­чен­ную в резуль­та­те дей­ствий дру­гих поль­зо­ва­те­лей, напри­мер, отмет­ки на фото­гра­фи­ях и видео.
  • Как зару­беж­ные, так и рос­сий­ские поль­зо­ва­те­ли соц­се­ти могут запро­сить архив дан­ных о сво­ем про­фи­ле «ВКон­так­те», одна­ко сей­час выгруз­ка рабо­та­ет в тесто­вом режи­ме. По опы­ту тех, кто полу­чил архив, мож­но ска­зать: «ВКон­так­те» зна­ет чуть боль­ше, чем ука­за­но выше. Так, выгруз­ка содер­жа­ла всю пере­пис­ку с момен­та созда­ния стра­ни­цы, а так­же аудио­со­об­ще­ния, кото­рые отправ­ля­лись в лич­ных сооб­ще­ни­ях.

Пред­ста­ви­те­ли соц­се­ти под­чер­ки­ва­ют: «ВКон­так­те» обя­за­на предо­ста­вить пере­пис­ку по реше­нию суда соглас­но рос­сий­ско­му зако­но­да­тель­ству. Дан­ные о поль­зо­ва­те­лях нель­зя уда­лить и при запро­се вла­стей они будут пере­да­ны в пол­ном объ­е­ме. Кро­ме того, в про­шлом году появи­лись дока­за­тель­ства того, что соц­сеть рас­кры­ва­ет дан­ные поль­зо­ва­те­лей без след­ствия и по e-mail.

Соглас­но Поли­ти­ке кон­фи­ден­ци­аль­но­сти Twitter, сер­ви­су доступ­ны:

  • тви­ты, кон­тент, кото­рый вы про­чи­та­ли, лайк­ну­ли или рет­вит­ну­ли;
  • дан­ные учет­ной запи­си, часо­вой пояс и исполь­зу­е­мый язык;
  • инфор­ма­ция о типе устрой­ства, кото­рое вы исполь­зу­е­те, а так­же ваш IP-адрес;
  • адрес вашей элек­трон­ной почты, номер теле­фо­на, кон­так­ты адрес­ной кни­ги и обще­до­ступ­ный про­филь;
  • кон­так­ты из адрес­ной кни­ги, кото­рые вы загру­жа­е­те в Twitter.

Twitter не сохра­ня­ет исто­рию посе­ще­ния веб-сай­тов, одна­ко мик­роб­лог дает пер­со­на­ли­зи­ро­ван­ные реко­мен­да­ции и пер­со­на­ли­зи­ро­ван­ные реклам­ные объ­яв­ле­ния. А они, в свою оче­редь, созда­ют­ся на осно­ве дан­ных о посе­щен­ных веб-стра­ни­цах, IP-адре­се, типе бра­у­зе­ра, опе­ра­ци­он­ной систе­ме и фай­лах cookie.

Спи­сок не такой уж боль­шой, одна­ко, он может ока­зать­ся лишь вер­хуш­кой айс­бер­га. В про­шлом году жур­на­ли­сты Project Veritas высту­пи­ли с гром­ким раз­об­ла­че­ни­ем: пред­ста­ви­те­ли Twitter при­зна­лись, что полу­ча­ют гоно­рар за про­смотр част­ных пере­пи­сок, в том чис­ле интим­ных сооб­ще­ний.

Сего­дня глав­ный вопрос заклю­ча­ет­ся в том, насколь­ко исполь­зо­ва­ние дан­ных потен­ци­аль­но при­но­сит вред людям или кон­крет­но­му чело­ве­ку, счи­та­ет Лилия Зем­ну­хо­ва, социо­лог, науч­ный сотруд­ник Социо­ло­ги­че­ско­го инсти­ту­та РАН и Цен­тра иссле­до­ва­ний нау­ки и тех­но­ло­гий Евро­пей­ско­го уни­вер­си­те­та в Санкт-Петер­бур­ге.

Лилия Земнухова. Фото с сайта: соцшкола-спбгу.рф.
Лилия Зем­ну­хо­ва. Фото с сай­та: соцшкола-спбгу.рф.

Мож­но наде­ять­ся, что пуб­лич­ное обсуж­де­ние помо­жет дер­жать в тону­се опе­ра­то­ров дан­ных и заста­вит их быть более ответ­ствен­ны­ми за свои дей­ствия перед поль­зо­ва­те­ля­ми, пото­му что прак­ти­че­ски все, что попа­да­ет в циф­ро­вое про­стран­ство, уже в каком-то смыс­ле нам не при­над­ле­жит. Тут может встать вопрос даже о кра­же циф­ро­вой лич­но­сти, кото­рый упи­ра­ет­ся в идею соб­ствен­но­сти дан­ных: кому эти дан­ные при­над­ле­жат, кто и что может с ними сде­лать, сколь­ко раз­ных участ­ни­ков в этой сети с досту­пом к дан­ным. А вот воз­мож­но ли по этим дан­ным вос­ста­но­вить вашу циф­ро­вую лич­ность, доста­точ­но спор­ный момент. Лилия Зем­ну­хо­ва

О чем может рассказать ваш браузер?

Поль­зу­ясь сер­ви­са­ми Google, вы дове­ря­е­те им свою лич­ную инфор­ма­цию, гла­сит Поли­ти­ка кон­фи­ден­ци­аль­но­сти ком­па­нии. Кон­кре­ти­зи­ру­ем, что это за инфор­ма­ция.

  • Све­де­ния об устрой­стве и про­грамм­ном обес­пе­че­нии, в том чис­ле дан­ные о цен­траль­ном про­цес­со­ре, видео­кар­те и акку­му­ля­то­ре.
  • Дан­ные о под­клю­че­нии к Интер­не­ту, IP-адрес, ско­рость загруз­ки фай­лов.
  • Гео­ло­ка­ция, даже если вы не предо­ста­ви­ли доступ к GPS-коор­ди­на­там, напри­мер, при помо­щи сер­ви­са Geolocation API от Google.
  • Дви­же­ния мыши: бра­у­зер «уви­дит», как вы пере­ме­ща­е­те кур­сор и по каким эле­мен­там веб-ресур­сов кли­ка­е­те.
  • Инфор­ма­ция о том, где лежит смарт­фон: в кар­мане, сум­ке или на сто­ле. Эти дан­ные мож­но полу­чить бла­го­да­ря уста­нов­лен­но­му в гад­же­тах гиро­ско­пу (устрой­ству, реа­ги­ру­ю­ще­му на изме­не­ние углов ори­ен­та­ции тела).
  • Исто­рия посе­ще­ния соци­аль­ных сетей.
  • Мета­дан­ные фото­гра­фий, в том чис­ле модель каме­ры, на кото­рую был сде­лан сни­мок.

Вы може­те лич­но убе­дить­ся в том, что меж­ду вами и вашим бра­у­зе­ром нет тайн, напри­мер, вос­поль­зо­вав­шись сер­ви­сом Webkay (про­сто клик­ни­те по ссыл­ке – все под­гру­зит­ся авто­ма­ти­че­ски). Он не толь­ко пока­жет, какие дан­ные извест­ны, но и под­ска­жет, как избе­жать излиш­ней откро­вен­но­сти (исполь­зо­вать прок­си, Tor и дру­гие инстру­мен­ты).

Еще по теме: Луч­шие инстру­мен­ты циф­ро­вой без­опас­но­сти, для обыч­но­го поль­зо­ва­те­ля. По вер­сии Теп­ли­цы

Яндекс обнов­ля­ет Поли­ти­ку кон­фи­ден­ци­аль­но­сти, в кото­рой ука­зы­ва­ет, к какой пер­со­наль­ной инфор­ма­ции у него име­ет­ся доступ.

  • Дан­ные учет­ной запи­си: имя, номер теле­фо­на, адрес и воз­раст.
  • Элек­трон­ные дан­ные: HTTP-заго­лов­ки, IP-адрес, фай­лы cookie, веб-мая­ки (элек­трон­ные изоб­ра­же­ния или пустые GIF-изоб­ра­же­ния, помо­га­ю­щие рас­по­зна­вать опре­де­лен­ные типы инфор­ма­ции на вашем ком­пью­те­ре), дан­ные об иден­ти­фи­ка­то­ре бра­у­зе­ра, инфор­ма­ция об аппа­рат­ном и про­грамм­ном обес­пе­че­нии.
  • Дата обра­ще­ния и вре­мя, про­ве­ден­ное на сай­тах и сер­ви­сах.
  • Инфор­ма­ция об актив­но­сти во вре­мя исполь­зо­ва­ния сай­тов и сер­ви­сов (напри­мер, исто­рия поис­ко­вых запро­сов, адре­са элек­трон­ной почты тех, с кем вы веде­те пере­пис­ку, содер­жа­ние элек­трон­ной почты и вло­же­ния, а так­же фай­лы, хра­ня­щи­е­ся в систе­мах Яндек­са).
  • Гео­ло­ка­ция.

Обра­ти­те вни­ма­ние, что инфор­ма­ция, кото­рую вы откры­ва­е­те парт­не­рам Яндек­са, авто­ма­ти­че­ски ста­но­вит­ся извест­на и поис­ко­ви­ку. Но, как заве­ря­ют пред­ста­ви­те­ли ком­па­нии, «Яндекс не соби­ра­ет целе­на­прав­лен­но чув­стви­тель­ную пер­со­наль­ную инфор­ма­цию (такую как расо­вое про­ис­хож­де­ние, поли­ти­че­ские взгля­ды, инфор­ма­ция о здо­ро­вье и био­мет­ри­че­ские дан­ные)».

Еще по теме: Чего боять­ся: основ­ные уяз­ви­мо­сти мес­сен­дже­ров

Дока­за­тельств обрат­но­го пока нет, но есть осно­ва­ния пред­по­ла­гать, что защи­та дан­ных поль­зо­ва­те­лей не такая уж надеж­ная. Напри­мер, в 2018 году выяс­ни­лось, что с помо­щью поис­ко­вой систе­мы мож­но полу­чить лич­ные дан­ные граж­дан с сай­тов Сбер­бан­ка и ВТБ, депар­та­мен­та транс­пор­та Моск­вы и агре­га­то­ра биле­тов Trip.com.

Чем вы делитесь с Microsoft?

Одна из круп­ней­ших ком­па­ний по про­из­вод­ству про­грамм­но­го обес­пе­че­ния полу­ча­ет дан­ные обо всех поль­зо­ва­те­лях Windows и дру­гих про­дук­тов ком­па­нии, в том чис­ле:

  • место­по­ло­же­ние само­го поль­зо­ва­те­ля и его детей, если были созда­ны дет­ские учет­ные запи­си;
  • исто­рия поис­ка, жур­нал бра­у­зе­ра, ска­чан­ные кни­ги, филь­мы и дру­гие фай­лы;
  • мобиль­ные устрой­ства и ком­пью­те­ры, кото­рые вы в раз­ное вре­мя под­клю­ча­ли через свою учет­ную запись;
  • све­де­ния о место­по­ло­же­нии: исполь­зу­ют­ся дан­ные, кото­рые предо­ста­вил поль­зо­ва­тель или обна­ру­жи­ла сама систе­ма с помо­щью GPS или IP-адре­са;
  • инфор­ма­ция с сопря­жен­ных устройств и сер­ви­сов, таких как Microsoft Health, Microsoft Band и HealthVault. Кста­ти, послед­ний хра­нит меди­цин­ские запи­си, кото­рые, оче­вид­но, так­же ста­но­вят­ся доступ­ны­ми для про­смот­ра;
  • поис­ко­вые запро­сы Bing, про­смат­ри­ва­е­мые веб-стра­ни­цы Microsoft и рекла­мо­да­те­лей, демо­гра­фи­че­ские све­де­ния и эле­мен­ты, добав­лен­ные в избран­ное;
  • дан­ные вхо­да в систе­му и пла­теж­ные дан­ные, кото­рые хра­нят­ся в учет­ной запи­си. Часто поль­зо­ва­те­ли сохра­ня­ют их для быст­рой опла­ты при­ло­же­ний, опла­ты под­пис­ки, покуп­ки филь­мов;
  • дан­ные от дат­чи­ков устройств – мик­ро­фо­на или аксе­ле­ро­мет­ра теле­фо­на, ска­не­ра отпе­чат­ков паль­цев ноут­бу­ка, дат­чи­ка GPS.

Прак­ти­че­ски все дан­ные, кото­рые пере­чис­ле­ны выше, поль­зо­ва­те­ли предо­став­ля­ют сами – запол­няя учет­ные запи­си и загру­жая кон­тент, напри­мер, фото с мета­дан­ны­ми. На что обра­тить вни­ма­ние, откры­вая в Интер­не­те доступ к сво­им дан­ным?

«Если подой­ти к вопро­су осно­ва­тель­но, хоро­шо бы понять, что это за юри­ди­че­ское лицо, кото­ро­му вы отда­е­те дан­ные. В кор­по­ра­ци­ях есть свои поли­ти­ки без­опас­но­сти, и они долж­ны быть про­пи­са­ны и доступ­ны поль­зо­ва­те­лям. Ста­вя в оче­ред­ной раз галоч­ку в «Согла­сии на обра­бот­ку пер­со­наль­ных дан­ных», нуж­но как мини­мум про­чи­тать базо­вые пунк­ты про при­ват­ность и мас­штаб исполь­зо­ва­ния. Но на прак­ти­ке, боюсь, что эти шаб­лон­ные фор­мы про­сто­му поль­зо­ва­те­лю ниче­го тол­ком не гово­рят – их никто не чита­ет, они непо­нят­ны и слиш­ком объ­ем­ны», – уве­ре­на Лилия Зем­ну­хо­ва.

По ее мне­нию, дело не толь­ко в самих поль­зо­ва­тель­ских согла­ше­ни­ях – они не столь­ко гаран­ти­ру­ют без­опас­ность нам, сколь­ко обес­пе­чи­ва­ют сво­бо­ду опе­ра­то­рам дан­ных. Важ­но осо­зна­вать, что мы пока пло­хо себе пред­став­ля­ем, куда спря­та­ны оче­ред­ные при­ло­же­ния: дают ли они доступ сто­рон­ним сер­ви­сам, какие дан­ные они соби­ра­ют с устрой­ства. Ори­ен­ти­ро­вать­ся мож­но ско­рее на пуб­лич­ное дове­рие ресур­сам, кото­рое выстра­и­ва­ет­ся через внут­рен­ний кон­троль и рей­тин­ги.

Офи­ци­аль­но каж­дый сайт и сер­вис опо­ве­ща­ет, к каким дан­ным у него име­ет­ся доступ, что, конеч­но, не исклю­ча­ет утеч­ки. «Сего­дня воз­ни­ка­ет все боль­ше про­блем с уго­ном акка­ун­тов и неза­кон­ным исполь­зо­ва­ни­ем дан­ных поль­зо­ва­те­лей. Эта инфор­ма­ция про­да­ет­ся бан­кам, ком­мер­че­ским орга­ни­за­ци­ям, госор­га­нам. Рынок дан­ных нахо­дит­ся в серой зоне и при этом посто­ян­но рас­тет», – рас­ска­зы­ва­ет веду­щий юрист «Рос­ком­сво­бо­ды», руко­во­ди­тель Цен­тра циф­ро­вых прав Сар­кис Дар­би­нян.

По его мне­нию, самый боль­шой хол­дер (от англ. holder – «дер­жа­тель», в дан­ном слу­чае дан­ных) сей­час госу­дар­ство. Соот­вет­ствен­но зако­но­да­тель­ное регу­ли­ро­ва­ние защи­ты пер­со­наль­ных дан­ных ста­но­вит­ся прин­ци­пи­аль­ным вопро­сом, и его мы рас­смот­рим в сле­ду­ю­щих ста­тьях.