Люди не задумываются о том, зачем банковскому приложению может понадобиться доступ к микрофону, а соцсети с короткими роликами – постоянно обращаться к буферу обмена. В целом, приложения могут получить доступ к любой информации на смартфоне без особых ухищрений и не нарушая закона: достаточно вывалить множество окон с запросом данных, которые пользователь может прокликать не глядя. В итоге самое простое приложение для записи заметок может в момент получить и геопозицию пользователя, и фотографии, и список контактов. «Лента.ру» при поддержке М.Видео и Apple разбирается, как все устроено и как контролировать поток сообщаемых миру сведений о себе.
Данные как нефть
Мессенджер Signal в мае 2021 года провел рекламную кампанию в Instagram с целью показать, как много соцсети знают о своих пользователях и какую информацию продают. Это при учете, что все данные обезличены (не содержат имени и другой информации, по которой можно было бы определить принадлежность данных к конкретному человеку). Каждый человек видел в объявлениях некоторые сведения о себе, которые собирает соцсеть и продает к ним доступ, например работа, интересы, отношения. Сообщения выглядели примерно следующим образом: «Вы видите эту рекламу, потому что вы работаете учителем, но, что более важно, вы Лев по знаку зодиака (и холосты). Эта реклама использовала данные о вашей локации и видит, что вы в Москве. Вам нравятся комедии, и эта реклама думает, что вы переодеваетесь в женскую одежду».
Разумеется, ничего из этого сам пользователь соцсети не сообщал — все это стало известно на основе его активности в сети. В итоге рекламный аккаунт мессенджера быстро заблокировали.
Даже если вы просто используете браузер, ваши данные могут считывать. Сайты могут получить доступ к локации человека, его IP-адресу и данным о провайдере, движениям курсора и действиям на других сайтах. В нагрузку к этому добавляются трекеры, которых порой может быть несколько десятков на одной странице. Все они пытаются составить портрет пользователя, список его интересов, чтобы затем таргетировать рекламу.
Данные – новая нефть. И это законно. Поисковики или социальные сети, предоставляя пользователям бесплатный доступ к удобным сервисам – поиску нужной информации, общению с друзьями, ведению блогов, — сами зарабатывают на рекламе, то есть на данных о своей аудитории.
Безопасность – забота каждого
Можно прийти к мысли вроде «Мне нечего ни от кого скрывать, поэтому я не переживаю за свои данные», но это не так. Даже если человек не занят противоправной деятельностью, его данные должны быть в безопасности, так как их применение может быть не всегда законно. Простейший пример — телефонные мошенники, которые могут, представившись сотрудником банка, украсть деньги.
Хорошо, если у пользователя есть возможность определять, что именно он сообщает владельцам приложений, поисковых платформ и прочим. Например, владельцы iPhone защищены особой политикой конфиденциальности, в основе которой лежат несколько принципов. Во-первых, Apple постоянно следит за тем, чтобы минимизировать данные, которые компания собирает у пользователей. Во-вторых, все данные, предоставляемые пользователем, остаются исключительно на устройстве либо на серверах в обезличенном виде. Третий принцип вынуждает каждое приложение, установленное на iPhone, запрашивать разрешение на сбор данных. В Apple считают, что разработчики приложений не всегда следуют этому правилу, поэтому ввели одобрения доступу к функциям смартфона на уровне операционной системы.
Фото: Андрей Золотов
С другой стороны, легкость, с которой пользователи готовы сами отдать свои данные непонятно кому, поражает. В 2018 году особую популярность получило приложение GetContact, которое позволяло узнать, как ты записан у других людей в телефонной книге. Другое предназначение, по словам разработчиков, — защита от спама. Для этого надо предоставить доступ к своему списку контактов и на этом этапе стоило забыть об этой программе. В дополнение, в правилах прописано, что сервис может задействовать полученные данные в своих целях и делиться сведениями с третьими лицами. Но нет, оно набрало огромную популярность, все вокруг делились шутками с тем, как они записаны у других людей, не понимая, что сам отдали турецким разработчикам весь свой список контактов. Сложно представить, сколько именно номеров смогли получить разработчики, но это точно была одна из крупнейших баз номеров, причем с именами и фамилиями.
Видовое разнообразие
Сбор данных не ограничивается номером телефона или поисковыми предпочтениями. Так, в 2015 году Google выпустила сервис Google Photo, который предоставлял для всех пользователей безлимитное хранилище снимков и роликов абсолютно бесплатно. На фоне остальных предложений это выглядело как невиданная щедрость, однако задумка Google в том, чтобы использовать фотографии для обучения систем искусственного интеллекта. В компании уверяют, что используют обезличенные данные без привязки к конкретным людям.
Пользователям iPhone повезло и в отношении безопасности фотографий. Apple устанавливает на каждый смартфон чип Neural engine, который позволяет обрабатывать фото прямо на смартфоне, так что можно быть уверенным в том, что они не попадут в третьи руки.
Фото: Андрей Золотов
Еще один бесценный источник информации для множества компаний - геопозиция. Во всех продуктах Apple установлен собственный браузер — Safari — который отлично защищает данные пользователей и куда ежегодно компания добавляет новые инструменты безопасности. Как только сайт хочет получить какую-либо информацию, браузер спрашивает, разрешаете ли вы отслеживать ее. Специалисты рекомендуют использовать поле поиска вверху Safari: в таком случае на сайт передается только поисковый запрос, без личных данных.
Приложение «Карты» на iPhone вообще не сохраняет информацию о точном местоположении пользователя. Сервисом управляет гибридная система, данные в которой хранятся в обезличенном виде. На серверах Apple сохраняются только данные о квадрате, в котором находится пользователь. На такие квадраты поделена вся планета, в каждом из них находится 1000 iPhone. Например, если вы находитесь на необитаемом острове или в пустыне, то размер этого квадрата может достигать многих километров.
Фото: Андрей Золотов
Закон и порядок
Регулированием этой области стали заниматься государства. В России использование и защита персональных данных регулируется многими документами, в частности, 152-ФЗ «О персональных данных» и 149-ФЗ «Об информации, информационных технологиях и о защите информации». В законодательстве довольно четко прописана ответственность за нарушение закона о персональных данных. С 1 марта действует закон о дополнительной защите ПД россиян и обязывающий операторов удалять их по первому запросу пользователя. Все это привело к тому, что крупные компании начали лучше следить за данными пользователей и более ответственно подходить к их хранению.
Самые жесткие правила действуют в Евросоюзе. «Общий регламент защиты персональных данных» (GDPR) вступил в силу в 2018 году, и это заставило многие компании пересмотреть свое отношение к обработке персональных данных. Самое главное, что этот регламент дает пользователям полный контроль над своими данными, они могут запросить всю имеющуюся у компании информацию о себе и потребовать ее удалить. Еще интересно, что он является экстерриториальным, поэтому все компании, в том числе за пределами ЕС, работающие с европейским рынком, должны следовать GDPR.
Полностью оградить себя от сбора информации нереально. Зачастую информация о геопозиции нужна для того, чтобы построить маршрут и показать прогноз погоды, а в Instagram невозможно выложить фотографии, не предоставив доступ к снимкам на смартфоне. Но зато можно отфильтровать, какие данные будут получать сервисы, и отследить количество запросов.
Фильтруем все
В первую очередь нужно смотреть, какие данные запрашивает приложение и ограничивать доступ к тому, что кажется явно лишним. Например, мессенджеру явно не нужно постоянно знать, где находится пользователь. Дальше уже все зависит от устройства и системы: есть ли информирование о доступе к микрофону и камере, можно ли скрыть свой IP-адрес, а вместо точного местоположения передавать сервису примерное.
Если речь об iPhone, то уже на этапе скачивания приложения пользователь может посмотреть, что и в каком объеме собирают приложения. Этот пункт проходит особую проверку перед выпуском приложения в App Store. Другим обязательным пунктом попадания в App Store является поддержка регистрации с помощью Apple ID. Это позволяет скрыть e-mail пользователя и дать приложению случайно сгенерированный. Также iOS имеет оповещения о доступе к камере или микрофону (даже в системных программах «Камера» или «Телефон»), и предупреждает пользователя, если программа пытается записывать информацию, находясь в фоновом режиме. Если разработчик пойдет дальше и захочет отслеживать действия человека в других программах, то и это можно запретить.
Фото: Андрей Золотов
В браузере Safari на iPhone и Mac также встроена защита от слежки. Браузер по умолчанию блокирует все сторонние Cookie-файлы и слежку через виджеты соцсетей вроде кнопок «Нравится» из Facebook, через которые компании получают доступ ко всем действиям пользователя на странице. Чтобы рекламодатели не могли составить цифровой портрет юзера, браузер блокирует идентификацию устройства. В будущих обновлениях появится отчет о конфиденциальности, наглядно показывая все запросы от сторонних приложений, а подписка iCloud+ позволит скрыть местонахождение пользователя и в один клик создать фальшивый e-mail, чтобы защитить основной от спама и фишинга.
Первый шаг к безопасности собственных данных — безопасная покупка оригинальных устройств. М.Видео гарантирует, что покупатель получит ровно то, за что заплатит деньги. Кроме того, в М.Видео можно взять рассрочку на iPhone 11 и 12 18 месяцев. По программе trade-in есть возможность сдать старый iPhone и получить скидку на новый. Для выбора смартфона доступны видеоконсультации с экспертами ретейлера, что позволит не посещать магазин и при этом выбрать нужную модель. После консультации можно заказать экспресс-доставку.