Ловцы душ: как IT-гиганты становятся крупнейшими владельцами вашей личной информации

Автор: Нина Глущенко, 02 октября 2019, 00:00

Чем больше в мире скандалов вокруг утечек персональных данных, тем больше данных концентрируется в руках IT-гигантов. Почему мы им доверяем больше и к чему это приведет?

Тиски регулятора и волшебная палочка

Несколько месяцев назад Google представила opensource-инструмент, который позволит компаниям собирать меньше данных о своих пользователях. Он даст возможность компаниям собирать и анализировать большие данные без идентификации пользователей. В Google говорят, что разработка такого инструмента — сложная задача и их решение с открытым кодом позволит упростить работу для программистов, обезопасить данные пользователей, а бизнесу — не лишаться тех преимуществ, которые дает работа с большими данными. Ложка к обеду, учитывая сколько проблем из-за обращения с персональными данными свалилось на голову бизнесу.

Что европейские, что теперь американские компании боятся утечек данных как огня. GDPR предполагает штраф за несанкционированные отношения с данными пользователей из Европы с размере до 20 000 000 евро или до 4% от годового мирового оборота за предыдущий финансовый год, в зависимости от того, что больше.

За первый год действия закона власти ЕС получили 144 376 запросов и жалоб на обращение с данными и выявили 89 271 нарушений. В общей сложности штрафы составили 56 млн евро. 50 млн евро пришлось на Google, французские власти посчитали, что компания нарушает GDPR.

В июне рекорд поисковика побила авиакомпания British Airlines — $230 млн за утечку персональных данных 380 000 пассажиров, среди данных — номера банковских карт и CVV. Как пишет ZDNet, это может быть только начало — регулятор расследует обращение компаний с данными на протяжении нескольких лет. Возможно, новые рекорды не за горами. Компаниям в свою очередь приходится полностью перестраивать свою работу с данными. По словам одного из собственных источников редакции в сфере микрокредитного бизнеса, у компании ушло около полугода на то, чтобы привести свою работу в соответствие с GDPR.

Аналогичный закон приняли в Калифорнии. California Consumer Privacy Act (CCPA) вступит в действие 1 января 2020, он считается мягче и распространяется только на компании с прибылью от $25 млн в год, а размер штрафа составляет порядка $7500 и только по факту доказательства неправомерного обращения с данными.

>Клиенты из США и Европы — лакомый кусочек для большинства компаний западного мира. Бизнес становится все более цифровым, поэтому даже маленькая кафешка в закоулке Европы со своей программой лояльности потенциально может подпасть под действие GDPR и старается себя обезопасить пояснительными листовками в офлайне. Поэтому Google с их новым opensource-проектом — придется как нельзя кстати даже малому бизнесу. Чем больше у него будет пользователей, тем лучше будут работать алгоритмы. И тем, вероятно, меньше в будущем компанию будут обвинять в шпионаже за пользователями.

Секрет в открытом доступе

С другой стороны этой истории находятся пользователи. Им тоже страшно. Уже который год утекают персональные данные с сайтов знакомств, гостиниц, сервисов бронирования билетов, клиентов операторов и телевидения. Более того, регулярно становится известно о базах данных в открытом доступе. В прошлом году в сеть утекла база Alibaba c 10 млн клиентов, 2,3 млн клиентов — у American Express India, 5,3 млн у Nixi Technology, 60 млн избирателей США в базе Elasticsearch (источник). Поисковик Google знает, что ищет 80% населения мира, как оно это делает и как реагирует на найденную информацию. Для Google пользователи — товар.

Пользователь уже знает, что его данные представляют ценность для компаний и не хочет ими делиться. Мало ли, что с ними произойдет. В этих реалиях отлично заходят слоганы подобного рода.



«Что случилось в iPhone, остается в iPhone»

А также обещания улучшения приватности со стороны Google и других гигантов. Или что они справляются лучше, чем непонятные кафе, магазины и т.д.

Пожалуй, самым резонансным скандалом вокруг открытых данных стала утечка данных 50 млн аккаунтов в Facebook в пользу Cambridge Analytica. История была первоначально описана в изданиях The New York Times и The Guardian около полутора лет назад. Ее растиражировали СМИ по всему миру и еще многие месяцы всплывали новые факты этого дела. В итоге в июне этого года компанию оштрафовали на $5 млрд.

Познакомиться с историей вокруг сбора персональных данных на русском языке можно в интервью на Liga.Tech с CEO Cambridge Analytica Александром Никсом. Никс рассказывает в нем, как компания собирала данные. Facebook дал огромную базу сведений о предпочтениях пользователей. Но кроме этого ей пришлось проделать серьезную работу, чтобы насобирать данные о пользователях. Никс говорит, что они работали с несколькими базами данных, в некоторых из которых по 4000-5000 элементов данных на каждого пользователя, привязанные к его ФИО и контактам. Это, например, хобби, пол, работа, любимый журнал, гольф-клуб, куда ходит пользователь, религиозные предпочтения и вкусы в еде. Дальше можно только фантазировать, что еще входит в эти 4000-5000 элементов!

Базы данных собирались по агрегаторам. В них были и сведения о кредитных картах, картах лояльности, систем продаж билетов, соцсетей и т.д.

На момент интервью в США работал принцип opt out — то есть загруженные данные доступны компаниям по умолчанию, если пользователь не указал обратного. В США, по сути, до сих пор так, кроме Калифорнии. В Украине и во многих странах мира. ЕС защитил своих пользователей с помощью директивы GDPR. Но по сути, законодательство касается только тех, кто готов обращаться с персональной информацией по закону.

Когда Apple запускала сервис Apple News+, где пользователь может читать платные издания за $9.99, компания среди прочего акцентировала внимание на том, что данные о предпочтениях пользователей не передаются третьей стороне, а весь трафик остается внутри приложения. Аналитики предполагают, что это приведет к размытию брендов медиа и усложнения заработка для них. Зато что происходит в iPhone, то остается в iPhone.

Запуск Instant Articles в Facebook также стал головной болью для издателей — соцсеть отдала приоритет в выдаче материалам такого формата, и он тоже замыкал трафик внутри соцсети. Даже в Telegram есть свой формат для публикации статей внутри сервиса, но тут у пользователя хотя бы есть выбор, на какую ссылку кликнуть. И на ранжирование это никак не влияет.

Когда вы платите в магазине с помощью Apple Pay или Google Pay, данные вашей платежной карты скрыты от магазина, таким образом у мошенников меньше шансов похитить их. Они хранятся в частичном или зашифрованном виде в разных местах. Каждый раз, когда вы авторизируетесь с помощью учетной записи Google, Facebook и других сервисов на каком-то маленьком сомнительном ресурсе, вы можете не переживать, что он стянет ваши персональные данные (если сами их где-то не уточните) и использует против вас. В лучшем случае он по вашим «следам» увидит, как вы пользовались сайтом. О безопасности данных пекутся Google, Facebook и т.д. Они же хорошо знают, чем вы занимаетесь в интернете целыми днями. Даже в режиме инкогнито.

Даже OLX. Если вы что-то покупаете на этой площадке с услугой «OLX доставка», то компания, которая отправляет вам товар, не получает ваших персональных финансовых данных. Эти сведения хранятся на платформе. Это удобнее и безопаснее, утверждает OLX.

Когда вокруг так много новостей об утечках баз данных авиакомпаний, туристических сервисов и других крупных и не очень бизнесов, данные так и хочется хранить где-то в теплом и уютном месте, где их никто не достанет. Чем дальше, тем больше этим местом становятся IT-гиганты, ведь у них появляется все больше удобных инструментов для авторизации, платежей, агрегации и т.д. Теперь еще они становятся первыми поборниками приватности.

Медицина на очереди

Скоро к огромным массивам данных о поведении в интернете и в офлайне добавятся массивы медицинских данных. Умная носимая электроника, которая анализирует здоровье пользователя, развивается и становится более массовым продуктом. Медицина оцифровывается — появляется удаленный доступ к специалистам, замеры показателей здоровья уже кое-где происходят удаленно.

Ваш смарт-браслет или часы еще недостаточно высоко пролицензированы, чтобы считаться медицинским устройством. Но это не значит, что они мало знают о вашем здоровье или неточны в замерах. Это значит только то, что регуляторы всего мира (США в особенности) пока не хотят проблем из-за новой категории устройств, а производители — ответственности, ведь медицинская техника имеет другие, более высокие требования к разработке и выпуску. Поэтому пока что это всего лишь смарт-браслет или смарт-часы. Без особых ожиданий от него и без его особой защиты от внешнего мира. Он, кстати, скорее всего передает свои данные в сервисы Google или Apple, ведь вы же хотите иметь доступ к сводке о своем образе жизни?

Кстати, если вы будете стоять перед выбором, кому доверить хранение своих медицинских персональных данных — IT-гиганту вроде Google или Apple или районной поликлинике — кому вы с большей долей вероятности доверитесь? Утечки данных в медицинской сфере были названы уже несколько лет назад. Только в 2015 году было зафиксировано 253 случая в результате которых были потеряны данные более 112 млн записей. Хотя некоторые из них связаны с недобросовестной утилизацией бумажных носителей, в цифровом мире проблем меньше не станет, так как владельцы данных — клиенты поликлиник — показывают, что им не все равно, кто узнает об их болезнях.

В сухом остатке

Спустя всего несколько лет компаниям вроде Cambridge Analytica нужно было бы собрать гораздо меньше баз, чтобы получить доступ к той же информации, что и в 2015 году. Многое мы рассказываем о себе добровольно, но об этом уже много было написано и это отдельная тема. Но штука в том, что сегодня мы передаем все больше данных в руки одной отдельно взятой IT-компании. Google или Apple уже знают где мы бываем, что ищем в интернете, что и где покупаем, какие журналы читаем, насколько активный образ жизни ведем, куда покупаем билеты, кто наши соседи, где мы работаем и т.д. И дело даже не в том, что эти данные могут украсть теперь все вместе из одного места. Хотя и это тоже важно. Дело в том, что IT-гиганты превратились в настоящих ловцов цифровых душ. Если уже пару лет как принято говорить, что смартфон знает о человеке больше, чем его самый близкий партнер, то теперь, по сути, в их руках находится наш цифровой двойник. Полный цифровой двойник в руках нескольких корпораций. Он будет знать все наши желания, сомнения, страхи, помнит нашу историю лучше нас, выучит, как мы держим смартфон, какие эмоджи отправляем близким и что чувствуем в этот момент. Такого в истории человечества еще не было. Как вы думаете, какой из сценариев фантастических фильмов может реализоваться в ближайшее время?

Для тех, кто хочет знать больше