Персональные данные пользователей больше им не принадлежат – после попадания в сеть они фактически становятся достоянием частного бизнеса или государства, но никак не самого владельца личной информации.
Данные – это новая нефть
Информация – кровь современного постиндустриального общества. Экономисты и социологи уже давно называют современное общество информационным.
Значительную часть всех собираемых и обрабатываемых данных составляет информация о гражданах, пользователях, резидентах, абонентах, пациентах, покупателях и пассажирах – то есть о нас с вами.
Сбором данных и их обработкой сейчас занимаются все: интернет-компании, операторы связи, банки, страховые и транспортные компании, торговые и медицинские организации, государственные структуры и даже криминал.
Без соответствующих баз данных не могут функционировать ни государственные структуры, ни бизнес, однако главные «майнеры» информации о пользователях – это интернет-компании, такие как Google, Apple, Amazon, Microsoft, мобильные операторы, производители мобильных телефонов, разработчики мобильных приложений и владельцы мобильных платформ. Объем информации о пользователях, доступный им, поражает воображение.
Госрегуляторы попытались (пока без особого успеха) как-то классифицировать информацию, касающуюся частных лиц, выделить ее и ограничить манипуляции с ней. Появился специальный термин – персональные данные.
В России персональными данными является любая информация, относящаяся прямо или косвенно к определенному лицу. Есть закон (№152-ФЗ), регулирующий сбор, хранение, обработку и передачу таких данных.
Серая зона
«Очевидно, что данные сегодня – это топливо цифровой экономики. Мы уже привыкли к множеству бесплатных сервисов и приложений, которые существуют только за счет тех данных, которыми мы их ежедневно кормим. Рынок данных – это действительно многомиллиардный рынок. Они есть у всех. И уже многие научились их обрабатывать, использовать в целях скорринга, маркетинга.
Тем не менее легализировать их достаточно сложно. Во многих случаях использование таких данных не совсем законно. Большинство договоров между дата-майнерами и заказчиками прикрываются различными притворными сделками по оказанию услуг, и этот рынок живет в серой зоне», – считает адвокат «Роскомсвободы» Саркис Дарбинян.
Часть данных о себе мы предоставляем явным образом, например, показывая паспорт в банке или в МФЦ, заполняя анкеты при получении услуг, но большая часть информации собирается о нас тайно. Сookie в браузере, история поиска и веб-серфинга, банковские транзакции, геоданные и множество других цифровых следов собирается без всякого уведомления.
Как правило, разрешение на сбор, обработку и использование любой информации мы даем в тот момент, когда «подписываемся» под лицензионным соглашением приложения или интернет-сервиса.
Добровольно ли мы даем такое соглашение? Не совсем. Попробуйте не дать приложению «Карты» доступ к геолокации смартфона и посмотрите, насколько неудобно станет пользоваться навигацией. А часть сервисов и программ вообще невозможно использовать без соответствующей «галочки» в лицензионном соглашении.
То, что называется благозвучным эвфемизмом «сбор пользовательских данных», можно заменить словом «слежка». Более того, если говорить о деятельности коммерческих компаний, то уже идет своеобразная война экосистем.
Чем больше экосистема, тем больше рекламы откручено, больше данных для аналитики. Чем полнее аналитика, чем лучше машинные алгоритмы обработки, тем более эффективен таргетинг и выше доход.
Например, вы обсуждаете дома с детьми, на какой фильм сходить в ближайшие выходные, а на следующий день видите рекламу киноновинок в своей ленте Facebook или в контекстной рекламе в браузере.
Если же вы воспользовались поиском, чтобы узнать цену на тот или иной товар, то предложения различных интернет-магазинов будут вас гарантированно преследовать еще пару недель.
Если мы говорим о мобильных устройствах, то технически такую коммерческую «слежку» реализовать не так уж сложно – достаточно установить приложение с рекламным модулем и разрешение на доступ к микрофону.
В этом случае оно сможет собирать любую звуковую информацию с помощью микрофона, смартфона или умной колонки. Пока похожий функционал есть в основном в шпионском вредоносном ПО, но вероятность такого поведения со стороны коммерческих приложений тоже существует.
«Рекламные модули в различных мобильных приложениях могут собирать много информации об устройстве и его владельце: начиная от истории браузера и идентификатора устройства IMEI, заканчивая геолокацией. Все это может быть использовано для улучшения эффективности рекламы, которая массово показывается пользователю», – говорит Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского».
Люди не видят опасности
Безопасен ли такой, практически неконтролируемый, сбор данных? Разумеется, нет. Более того, обеспечение приватности данных пользователя и защита его от взломов и утечек – не менее важная задача для современных защитных решений, чем собственно защита от вирусов или фишинга, считает веб-аналитик Владислав Тушканов.
Если у какого-то сайта «утекла» база логинов-паролей, а пользователь использовал на нем ту же комбинацию, что и для личной почты или онлайн-банка, его аккаунты на них могут быть взломаны.
Пока единственным способом ограничить себя от постоянной слежки в интернете, сохраняя при этом привычные социальные связи, является использование браузерных версий сервисов вместо соответствующих им приложений.
В этом случае пользователь жертвует удобством, но значительно ограничивает для этих сервисов доступ к записной книжке, геолокации, списку установленных приложений и другим данным, хранящимся на вашем смартфоне.
В отличие от мобильных приложений, веб-версии обычно продолжают работать, даже если не выдать им разрешение на доступ к GPS.
Интересны результаты невольно проведенного Facebook социального эксперимента.
Компания разместила в магазинах мобильных приложений программу Facebook Research, которая позволяла компании отслеживать все действия пользователя на его смартфоне. При этом пользователям, установившим приложение, компания выплачивала по $20 в месяц и дополнительное вознаграждение за привлечение новых пользователей.
Скандал разгорелся нешуточный, а Apple даже удалила из App Store приложение, обвинив Facebook в нарушении условий использования специальных сертификатов.
Однако не только Apple, у которой свои счеты с Цукербергом, не понравилось публичное размещение «шпионской» программы. Общественная реакция говорит о том, что несмотря на всю «новую прозрачность» и сетевой «эксгибиционизм», насаждаемый социальными сетями, люди ценят приватность и не хотят делиться информацией о себе с кем попало.
Кто владеет данными?
В текущей ситуации хорошо видны несколько фундаментальных противоречий между тремя основными сущностями современного информационного общества: пользователями, бизнесом и государством.
Обычный человек не хочет, чтобы государство или коммерческие организации следили за каждым его шагом, но при этом желает пользоваться бесплатными сервисами, невозможными без сбора данных.
Бизнес хочет максимально свободно собирать, хранить и использовать информацию о своих пользователях, причем без всяких ограничений, зарабатывать на ней и ни с кем не делиться доходами от такого рода деятельности.
Государство хочет иметь максимально полную информацию о своих гражданах и при этом ограничивать в этом сборе бизнес и все контролировать.
То есть мы имеем ситуацию, когда интересы каждой из сторон совершенно не совпадают, что создает почву для многочисленных конфликтов.
По словам руководителя проектов компании IDX Светлана Беловой, нынешние противоречия рынка данных связанны с отсутствием четкого ответа на вопрос: кому принадлежат данные о пользователе.
«С нашей точки зрения, противоречия между государственной политикой в отношении персональных данных и бизнесом, который стремиться коммерциализировать пользовательские данные, могут быть сняты, если будет однозначно определено, что персональные данные принадлежат самому субъекту, и граждане смогут активно участвовать в управлении своими данными.
Ужиться противоположные тренды могут очень просто. Необходимо обеспечить правовую основу вовлечения субъекта персональных данных в оборот его данных, сделать гражданина полноправным участником рынка ПД, заинтересованным в качестве и полноте его «цифрового профиля».
Все противоречия исчезнут, когда гражданин, а не только частные компании и государство, получит информацию о собираемых данных и возможность распоряжаться их использованием», – считает Белова.
По мнению Дарбиняна, для того чтобы найти баланс интересов следует воспользоваться европейским опытом.
«GDPR задал новые стандарты в части культуры сбора, хранения и использования данных. Требуется не только согласие пользователя, но и законная цель. В противном случае компанию ждут серьезные проблемы в Европе – штрафы, запрет на деятельность на европейском рынке. У нас тоже сейчас идет активная дискуссия по поводу реформирования законодательства о персональных данных.
Осенью 2018 года Россия подписала модернизированный протокол к 108-ой Конвенции, и после ее ратификации нам предстоит внести множество изменений, и даже полностью поменять систему охраны данных, в том числе создать действительно независимый уполномоченный орган. Недавно был предложен законопроект о больших данных. Его тоже долго обсуждали, критиковали», – заявил эксперт.
Адвокат «Роскомсвободы» отметил, что иногда звучат и радикальные идеи.
«Например, во ФРИИ [Фонд развития интернет-инициатив] предложили недавно идею заключения договора на продажу данных между пользователем и платформой. Чтобы после покупки оператор мог делать с данными что угодно без дальнейшего согласия пользователя.
Это очень тяжелая дискуссия. Но я надеюсь, рано или поздно мы придем к консенсусу и создадим реально работающие инструменты, которые с одной стороны дадут защиту самим пользователям, а с другой стороны, не задушат бурно развивающийся рынок», – заявил Дарбинян.