Не паранойя: как смартфоны шпионят за своими владельцами

Фото: Сергей Куликов/Интепресс

Развитие современных технологий, а главное, их использование бизнесом опережает готовность потребителей делиться личной информацией. В последнее время пользователи соцсетей стали активно обсуждать случаи подозрительного совпадения тем приватных разговоров и маршрутов прогулок по городу с контекстной рекламой в браузере и рекламными звонками.

«Обсуждала в устной беседе с другом устрицы, на следующий день реклама в ленте была про продажу устриц, рестораны устриц. В истории поиска этого слова точно нет. Неужели мой телефон подслушивает меня?», — возмущается Елена. «Захожу я вчера на сайт застройщика посмотреть на планировку. Захожу первый раз, с агентами не общалась, ничего не гуглила. Зашла, посмотрела и вышла, ничего не писала, не оставляла. А сегодня звонок от них: «Вы планируете брать квартиру?». Спрашиваю откуда номер. «У нас стоит программа на сайте, и мы собирам данные. Это законно». Ну вообще-то нет», — пишет пользовательница Facebook Александра.

Опрошенные РБК Петербург эксперты говорят, что в настоящее время многие компании активно используют программы, позволяющие выхватывать ключевые слова из истории поиска пользователей и даже их разговора. Технологии распознавания речи уже достаточно совершенны, процент ошибки составляет всего 5% речи, а это уровень понимания обычного человека, сообщал в своем отчете Microsoft. Специалисты по персональным данным из юридической и IT-сферы рассказали РБК Петербург, как бизнес получает доступ к персональным данным и чем это опасно для пользователей.

Владислав Тушканов, аналитик данных в «Лаборатории Касперского»:

«Потенциальных каналов для сбора данных о потребителях несколько. В первую очередь это, разумеется, наша активность в интернете. Информация о наших действиях может отслеживаться компаниями-агрегаторами данных, которые затем помогают своим клиентам показывать на основе этих сведений таргетированную рекламу. Например, вы заходили на сайт ателье по пошиву свадебных платьев — через некоторое время вы можете увидеть рекламу свадебных фотографов. К счастью, специальные инструменты для защиты от сбора данных в интернете, например, встроенные в антивирусы, позволяют такую «слежку» прекратить практически полностью.

Но есть и менее очевидные способы сбора данных. Например, когда вы хотите воспользоваться общественным Wi-Fi, вы должны предоставить номер телефона. Этот номер телефона затем ассоциируется с рекламным идентификатором, присвоенным вам компанией-агрегатором, которая может предоставить его сайту, на который вы зашли. Скидочные карты в магазинах позволяют не только отслеживать, что вы покупаете, но и потенциально делать на основе этих данных предположения о вашем уровне дохода, отношении к здоровому питанию и наличии вредных привычек или даже беременности.

Безусловно, очень богатый источник информации о своем владельце — смартфон. Наличие тех или иных приложений позволяет понять интересы, пол и возраст пользователя. Приложения с доступом к Bluetooth могут взаимодействовать со специальными маячками в магазинах — и показать, у какой полки в магазине вы провели больше времени, какими товарами больше всего интересовались. Доступ к записной книжке позволяет собрать информацию о вашем круге общения, GPS — о ваших перемещениях. Включенный Wi-Fi предоставляет эту информацию владельцам бесплатных точек доступа, к которым вы подключались. В итоге вы заходите в торговый центр, где когда-то подключались к Wi-Fi, а вам тут же приходит СМС с рекламой одного из магазинов.

Операторы сотовой связи также могут анализировать, какие сайты вы посещаете при помощи мобильного интернета, чтобы делать выводы о ваших интересах, семейном положении, планах на отпуск и так далее, а затем предоставлять эту информацию для рекламы.

Часто мы предоставляем данные о себе сами. Иногда по-другому не получается (например, когда мы указываем адрес доставки), а порой мы даже не осознаем, что отдаем данные — например, регистрируясь на сайте с помощью входа через соцсети или проходя психологические тесты в тех же соцсетях.

Как правило, все компании, собирающие данные в маркетинговых целях, прописывают этот факт в пользовательском соглашении, которое следует внимательно прочитать. Но чтобы прочесть все соглашения, с которыми мы встречаемся за год, нужно по разным данным 76 рабочих дней!

Главными игроками на рынке пользовательских данных являются так называемые дата-брокеры — они покупают пользовательские данные, агрегируют их из различных источников, анализируют и продают. Крупные дата-брокеры могут иметь данные на сотни миллионов людей с тысячами параметров. Как правило, данные хранятся в обезличенной форме, без имени и фамилии. Однако исследования показывают, что при такой подробности их легко сопоставить с другими наборами данных, и связать имена и фамилии с остальной информацией.

Неприятностей для пользователей от такого масштабного сбора данных множество. Таргетированная реклама не только надоедает и создает неприятное ощущение слежки, но может и оказывать влияние на жизнь. Например, реклама скидок на обручальные кольца может испортить сюрприз, если всплывет на планшете, когда ваша будущая невеста сидит рядом. Выводы о вашем образе жизни на основе покупок в супермаркете могут повлиять на цену вашего полиса страхования, а посты в соцсетях — на ставки по кредиту и рассмотрение вашего резюме при приеме на работу.

Кроме того, опасности возникают, когда личные данные попадают в руки злоумышленников. Утечки данных — не редкость: только за 2017 год количество записей о пользователей, украденных у различных компаний, превысило, по некоторым расчетам, 4 миллиарда. Это те данные, которые могут затем использоваться в разнообразных мошеннических схемах».

Вадим Перевалов, юрист международной юридической фирмы Baker McKenzie:

«Несколько лет назад стало распространяться использование технологии «кликджекинг», когда пользователь, сам того не подозревая, регистрируюсь на каком-нибудь сайте, дает разрешение на доступ к своим профилям в социальных сетях. Получив доступ к профилям в социальных сетях, сервис получает номер телефона пользователя. Этот номер сервис может передать магазину, который будет атаковать пользователя рекламой. Причем, несмотря на то, что чаще всего сбор данных ведут специализированные компании, ничто не мешает отдельным интернет-магазинам самостоятельно реализовать данную технологию.

Ее использование вряд ли можно назвать законным, ведь в данном случае речь идет об обработке персональных данных. Федеральный закон «О персональных данных» однозначно запрещает обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи. А Минкомсвязи России разъяснило, что номер телефона или email могут считаться персональными данными, если они относятся к конкретному физическому лицу.

Помимо этого, звонки интернет-магазинов с высокой долей вероятности могут быть признаны рекламой, распространение которой по телефону также должно осуществляться с предварительного согласия пользователя, и переход по невидимой ссылке на сайте, разумеется, не может считаться таким согласием. Опыт показывает, что российские суды трактуют положения о допустимости использования общедоступных персональных данных достаточно узко.

Ответственность за такие нарушения чаще финансовая. Это могут быть штрафы за нарушение рекламного законодательства (для юрлиц — до 500 тыс. руб.) и штрафы за обработку персональных данных в случаях, не предусмотренных законодательством (для юрлиц — до 55 тыс. руб.) для компаний, которые их используют. Другое дело, что финансовый риск несопоставим с выгодами от дополнительных продаж, которые могут получить онлайн-магазины и различные сервисы от использования подобных технологий.

Помимо штрафов, компания может получить предписание об устранении нарушений со стороны Роскомнадзора или ФАС, а в некоторых случаях ее сайт может быть деранжирован в поисковой выдаче («Яндекс» уже сообщил о начале активной борьбы с «кликджекингом»). Социальные сети также могут прекратить предоставлять компании доступ к своим данным, если им станет известно о злоупотреблениях.

Для многих компаний также может быть важна репутационная составляющая, так как пользователи достаточно остро реагируют на незаконный сбор и использование своих данных, а отдельные случаи злоупотреблений могут публиковаться на сайтах регуляторов или широко обсуждаться в социальных сетях.

При этом существуют ситуации, при которых сбор и использование персональных данных пользователей получены законно. Например, регистрируясь на сайте или оставляя свои контакты, пользователи не всегда обращают внимания на текст рядом, а в нем может быть указано, что пользователи согласны получать анонсы или спецпредложения. Если такое согласие является прямым, конкретным, хорошо читаемым и получено заранее, использование личной информации пользователя весьма вероятно будет признано законным как с точки зрения закона о персональных данных, так и с точки зрения закона о рекламе.

На практике, как только персональные данные пользователя попадут в распоряжение одного недобропорядочного сервиса, достаточно сложно остановить их дальнейшее распространение. Поэтому по по-настоящему действенным способом защиты пользователя может стать только самозащита — ему лучше заранее убедиться в том, что в социальных сетях и на иных общедоступных ресурсах опубликовано минимальное количество контактных данных».

Мнения спикеров могут не совпадать с позицией редакции.