Война за данные: почему нельзя просто взять и «стереть» свой цифровой след
Павел Дуров прикрутил в телеграм возможность удалить все сообщения у себя и своего собеседника. Это решение поставило его в ряд с европейскими законодателями, которые борются за права пользователей свободно распоряжаться данными о себе. В то же время эта возможность никак не поможет вам «стереть» ваш цифровой след или избавиться от слежки. Сейчас за наши данные воюют правительства разных стран и технологические корпорации — один человек просто не в счет в этой борьбе.
Цифровой след — это тропа, или совокупность данных, которые пользователь генерирует во время пребывания в цифровом пространстве. Пассивный цифровой след — это данные, которые мы оставляем непредумышленно, вроде ip-адреса нашего устройства и истории посещений в интернете. Активный цифровой след — это совокупность всего, что мы делаем осознанно — посты в блог, комментарии, письма и так далее. Более широко, цифровой след — это ваша виртуальная личность.
Интернет переполнен инструкциями о том, как правильно выпилиться из Facebook (не так просто, как может показаться) или как пользоваться интернетом, избегая сервисов Google и не позволяя ему собирать о вас данные (практически никак). В попытках избавиться от своей цифровой тени люди даже переезжают на новые места, переходят на новые работы, заводят по несколько разных телефонов и ноутбуков. Эта увлекательная игра в кошки и мышки с корпорациями завлекает множество энтузиастов по всему миру, вслед за Эдвардом Сноуденом выкручивающих из своих смартфонов камеры и микрофоны.
Однако современные масштабы сбора информации о пользователях и приближение эпохи интернета вещей, когда к сети будут подключены даже шнурки на ваших ботинках, полностью удалить себя из поля зрения «Ока Саурона» не получится вовсе: не оставлять цифровой след смогут разве что покойники или отшельники.
Сейчас всё зависит от того, как государства и корпорации смогут договориться между собой по вопросу обращения с нашими данными.
Почему опасно оставлять следы в интернете
Лидер запрещенной в РФ организации ИГ Абу Бакр аль-Багдади, за чью голову назначена награда в 25 млн долларов, не оставляет цифрового следа: он не ведет аккаунты в соцсетях, не пользуется компьютерами и телефонами. Он живет, предположительно, в пустыне, а с внешним миром информацией обменивается через гонцов. Их к нему привозят на машинах, которые останавливаются посреди пустыни, за два часа пути до его жилища, после чего их пересаживают на мотоциклы, на которых они приезжают непосредственно к аль-Багдади. Если кто-то из окружения лидера террористов, не говоря о нем самом, оставит малейший цифровой след, на него тут же шмякнется боеголовка.
Диссиденты, шпионы, преступники и журналисты — также заинтересованы в чистоте своих цифровых отпечатков, анонимности своих действий в интернете, в первую очередь из-за мыслей о собственной шкурной безопасности. Для большинства обычных пользователей цифровой отпечаток не несет такое очевидной опасности, как в случае с аль-Багдади или шпионами, и тем не менее сотни тысячи людей по всему миру озабочены упорядочиванием, а иногда и стиранием своей «цифровой тени».
Во-первых, бездумно оставленный цифровой след компрометирует безопасность даже законопослушных пользователей. Благодаря цифровому следу злоумышленники могут взломать личные аккаунты пользователей, получить доступ к банковским счетам, личной переписке и рабочим данным. Интернет травля, доксинг, сталкинг — все эти опасные практики в значительной мере возможны благодаря интернет-следу жертвы.
Во-вторых, цифровой след формирует вокруг пользователя тоннель реальности, который может ограничивать, отуплять и радикализировать пользователей (об этом у нас есть отдельная статья).
И в-третьих, цифровой след — это основной источник информации для корпораций вроде Facebook и Google, который позволяет им превращать пользователей в дорогостоящий товар и с невероятной точностью управлять вниманием миллионов людей в интересах третьих лиц.
Капитализм слежки: как можно продать цифровые следы
Социолог Шошана Зубофф в 2014 году ввела и популяризировала термин surveillance capitalism — капитализм слежки. Компании собирают цифровые отпечатки людей, но только часть этой информации используется для заявленных компаниями целей — для улучшения качества обслуживания. Оставшуюся часть данных «скармливают» машинному интеллекту, который производит из нее довольно точные предсказания о том, что вы делаете, будете делать завтра и в дальнейшем.
Капитализмом этот процесс слежки и сбора информации делают своеобразные рынки, на которых торгуют и обмениваются «предсказательной продукцией». Безусловными лидерами, олигархами в системе капитализма слежки стали такие компании, как Google и Facebook, к услугам которых обращаются и торговцы, и политические партии, и спецслужбы.
Очень многие готовы платить, чтобы с большей уверенностью делать ставки на наше будущее поведение.
Предсказательные продукты могут использоваться и во благо, и во вред: к примеру, на основе информации о пользователе В. Amazon предсказывает, какой товар он может захотеть купить в ближайшем будущем — и заранее доставит его на ближайший к В. склад, чтобы в случае чего быстрее его доставить. Это удобно всем.
При этом Amazon меняет цены на свои продукты 2,5 млн раз в день на основе миллиарда гигабайтов данных о своих продуктах и покупателях.
Пользователю Б. Amazon продаст кепку дороже, чем покупателю Д., потому что он знает: Б. готов заплатить больше. Или же наоборот: повезет Д., и Amazon решит продать ему кепку дешевле, — но только для того, чтобы обойти своих местных конкурентов, продающих эту же кепку за углом, но дороже. Это, в свою очередь, ведет к неминуемому банкротству конкурентов компании. А также к тому, что покупатель Б. из-за своего цифрового следа и из-за монополии Amazon будет всегда платить дороже, чем мог бы.
Кроме упомянутых выше голиафов сбором и торговлей предсказательной продукции занимаются десятки тысяч гораздо более мелких компаний вроде Spokeo, Whitepages, PeopleFinder, которых принято называть информационными брокерами. Они, в отличие от того же Google и Facebook, часто не предоставляют людям, о которых они собирают информацию, никаких услуг. Более того, если пользователь вдруг захочет удалить информацию о себе с этих ресурсов, это не получится сделать за пару кликов: процесс удаления может включать в себя отсылку факсов, затяжные телефонные звонки и заполнение бумажных документов.
На фоне процветания таких информационных брокеров появились целые сервисы вроде DeleteMe и Abine, которые всего за 129 долларов в год будут следить за тем, чтобы информация о пользователе не появлялась в списках этих информационных стервятников. Такие сервисы достаточно активно рекламируются в цифровых изданиях, но тот факт, что для их работы пользователям часто нужно предоставлять им свою электронную почту, пароли и т. д., наводит на мысли, что это очередная разводка эпохи дикого surveillance capitalism, в котором законы всё еще неопределенны.
Виртуальный след влияет на реальную жизнь
Воздействие цифрового следа на жизни пользователей возрастает с каждым годом: к примеру, опросы показывают, что если в 2006 году только 11 % работодателей проверяли социальные сети соискателя на работу, то в 2017-м это делали уже 70 % компаний. На рынке появились компании вроде Fama Technologies, которые помогают работодателям или любым другим интересантам собрать всю доступную о цифровом следе человека информацию.
Вместе с тем появились и компании, которые помогают людям и другим фирмам держать свой цифровой след в порядке. Такие компании сканируют поисковые результаты и социальные сети клиентов и на основе своего анализа выставляют его цифровому следу оценку. Вредоносным комментариям, компрометирующим фотографиям на страницах у друзей и другой вредоносной для репутации информации выставляются красные флажки, чтобы их можно было удалить или исправить. И вместе с тем компании вроде BrandYourself следят и за тем, чтобы в сети было достаточно «позитивной информации» о клиенте, без которой цифровой след тоже может стать проблемой.
Опросы показывают, что 7 из 10 молодых людей проверяют интернет-профили человека перед тем, как отправиться с ним на свидание, и 40 % из них с подозрением относятся к людям, о которых сложно найти информацию в интернете.
То, что о вас пишут в интернете другие, — пассивный интернет-след. Допустим, у вас произошло тяжелое расставание с партнером, и он стал писать о вас гадости у себя на страничке или в комментариях у друзей. Если у вас не будет достаточно мощного сетевого присутствия, чтобы конкурировать с такой негативной информацией, то на вершину вашего цифрового следа всплывут гадости и негатив, оставленные покинутым партнером, что с ходу подмочит вашу репутацию в глазах будущих партнеров или работодателя.
В случае с цифровыми следами в бизнесе дела обстоят еще серьезнее. Если вы бизнесмен, 85 % ваших клиентов будут доверять онлайн-отзывам о вас так же, как и личным рекомендациям.
Четверть опрошенных не будет советовать вас знакомым, если прочитают онлайн что-то плохое о вас (а если вы медик — то вас не будут советовать в 90 % случаев), и столько же умолчат о вас, если ваше цифровое присутствие покажется им низкокачественным.
Стали появляться законы, защищающие виртуальный след людей
Последние 20 лет, пока манипуляции с данными из интернета не регулировались законами, компании-гиганты успели монополизировать информационный рынок, получив не только сотни миллиардов долларов капитала, но и политическое влияние, возможность влиять на выборы, устраивать революции и перевороты.
Правительства разных стран не сразу осознали, какую власть и влияние эти корпорации обрели, питаясь цифровыми следами их граждан. Но сегодня многие разрабатывают законодательные нормы, по которым в будущем будет происходить взаимодействие между правительством, информационной корпорацией и пользователем.
Лидером и хедлайнером юридического осмысления цифровой информации и манипуляций с ней стал Европейский союз, разработавший Генеральный регламент о защите персональных данных (GDPR), вступивший в силу 25 мая 2018 года. Этот регламент может варьироваться от страны к стране, однако общие черты остаются неизменными.
GDPR имеет дело с двумя видами (или уровнями) цифровых следов: личными данными и чувствительными (sensitive) личными данными. Личными данными может считаться любая информация, с помощью которой можно прямо или непрямо идентифицировать человека: имя, обычный и ip-адрес, а также большая часть «пассивного цифрового следа». К чувствительным данным относятся более личные и даже интимные данные вроде религиозных взглядов, политических мнений, сексуальной ориентации и т. д.
Компании, имеющие дело с личными данными людей, в GDPR называют «контроллерами» или «обработчиками» и обязуют выполнять предписанные требования: четко обозначать в специальной документации, зачем и как они используют данные пользователей, использовать и хранить минимальное количество данных и обеспечивать конфиденциальность и безопасность. В случае утечки данных компании должны сообщить о ней властям и затронутым ею людям в течение 72 часов.
Но главные нововведения GDPR касаются непосредственно пользователей, за которыми законодательно закрепляется право распоряжаться информацией о себе.
Теперь европейцы имеют право потребовать у любой компании предоставить все данные о них, которые она собирает и хранит (раньше такая «выписка» стоила пользователям 10 евро и не все компании их предоставляли), а также потребовать, чтобы им объяснили, как и с какой целью эти данные используются.
Вместе с принятием свода правил GDPR европейские суды и технологические компании вступили на долгий путь судебных разбирательств, в которых они будут бороться за непосредственную трактовку указанных в регламенте правил. Например, в начале 2019 года французский суд наложил на Google самый пока что большой штраф по GDPR — 57 млн долларов — за то, что компания должным образом не проинформировала пользователей о том, как собирают их данные и как эти данные используются для таргетированной рекламы. Google не предоставил информацию о целях обработки данных и сроках их хранения в одном месте, так что пользователям нужно было совершить 5–6 кликов, чтобы докопаться до правды.
Культура согласия: что такое «иметь выбор»?
В 2019 году активисты группы NOYB (None of Your Business) потребовали у 8 крупнейших стриминговых сервисов, в том числе у Netflix, Apple и Amazon, предоставить данные о потребителях.
По словам ведущего активиста Макса Шремса, такие сервисы, как Netflix, владеют информацией, с помощью которой легко можно «узнать многое о поведении человека, или, например, о его политических убеждениях — в зависимости от того, что он смотрит, с кем он это смотрит и в какое время суток». Шремс говорит, что «в большинстве случаев пользователям предоставили только сырые данные — но никакой информации о том, кто имеет доступ к этим данным».
Также компании не предоставили достаточно информации, чтобы пользователи могли разобраться, как и зачем используются их данные, хотя этого и требует закон.
Культура согласия распространяется далеко за сферу сексуального: компании теперь должны получить четкий и вразумительный consent от пользователя на то, чтобы о нем вообще начали собирать данные.
Исполнительный директор Джорджтаунского юридического центра по вопросам конфиденциальности и технологии Лара Мой замечает:
«Выбор пользователя должен быть реальным выбором, и GDPR с этим хорошо справляется. Исходя из Регламента, согласие должно даваться пользователем без давления. Когда компания говорит „принимайте всё, что мы делаем с вашими данными, или не пользуйтесь нашими услугами“ — это не свободный выбор».
Защита данных впервые на стороне пользователей
Недавно высокопоставленные юристы Европейского союза пришли к заключению, что если для отказа от сбора данных о себе пользователь должен снять где-то в договоре уже стоящую галочку и не делает этого — то это еще не означает, что он дал «свободное согласие» или что «он достаточно проинформирован». Галочка не дает компании права собирать о нем данные.
Так называемое право на забвение дает пользователям возможность потребовать у компаний удалить данные о них, чтобы очистить свой цифровой след.
Это право узаконили еще в 2014 году, когда испанец Марио Костеха через суд заставил Google удалить устаревшую информацию о его банкротстве. Суд постановил, что «неточная, неадекватная, нерелевантная и избыточная информация» должна удаляться по требованию пользователей.
Европейский GDPR расширяет это право: теперь пользователи могут потребовать удалить информацию о себе, если они больше не согласны, чтобы она хранилась у компании, если она больше не нужна для указанных компанией целей или если она изначально обрабатывается нерегламентированными способами.
Более того, благодаря GDPR юристы собираются расширить право требовать удаления информацию о себе на все страны мира.
Хедлайнером борьбы с этим законом — и с правами пользователей — стал Google. Компания считает, что право требовать удалить информацию о себе может использоваться во вред простых граждан и легко может превратиться в инструмент цензуры в руках авторитарных режимов. Поэтому Google пытается сохранить за собой право не удалять некоторые данные о пользователях, например «информацию о финансовых махинациях, профессиональной преступной деятельности, криминальных осуждениях или публичных действиях государственных чиновников».
Эти соображения, впрочем, не мешают Google разрабатывать специальную версию поисковой системы для Китая, в которую, предположительно, будет включена возможность цензурирования поисковых результатов, например, удаление информации о политических диссидентах, свободе слова, протестах и т. д.
В январе 2019 года хакеры выложили в свободный доступ резюме более 200 млн китайцев, с их адресами, телефонными номерами и сведениями о политических убеждениях. Эта показательная утечка, а также ряд других проблем с кибербезопасностью подтолкнули китайское правительство принять собственный свод законов по защите информации пользователей, который вступит в силу 1 мая 2019 года. Эти законы называют «китайским GDPR», во многих нюансах еще более радикальным.
Европейский GDPR обязует компании собирать, хранить и обрабатывать личные данные в рамках закона, подчеркивая, что они принадлежат пользователям. Законы Китая четко дают понять, что информация граждан принадлежит правительству. Обычные китайские пользователи, как и европейцы, имеют право знать, кто и как собирает и обрабатывает их цифровой след, — однако они не могут распоряжаться им свободно. А китайские компании обязаны не только сообщать партии, когда, как и какие данные они собирают, но и держать их наготове для проверки и изъятия правительством.
Борьба за права человека распоряжаться информацией о себе в США
Американские технологические гиганты, сделавшие свои состояния на сборе и обработке информации пользователей, уже вовсю сталкиваются с законодательными ограничениями в Европе. Однако в их родных США нет законов, гарантирующих конфиденциальность личной информации пользователей, и нет почти никаких правил, регулирующих прозрачность того, как компании собирают, хранят и обрабатывают цифровые следы пользователей.
Facebook, Google, Amazon, Uber и ряд других гигантов потратили миллионы долларов и всю мощь своего лоббистского аппарата, чтобы американский аналог GDPR — California Consumer Privacy Act — вовсе не был принят, а в случае принятия оказался бы максимально лояльным именно к ним, а не к пользователям, чьими данными они торгуют.
К примеру, компания Microsoft, которая «верит, что конфиденциальность — фундаментальное право человека» и всячески поддерживает GDPR в Европе, почему-то крайне недовольна перспективой столкнуться с аналогичными законами в США. Представители компании утверждают, что калифорнийские законы могут иметь «непреднамеренные» негативные последствия и для компаний, и для пользователей. А Amazon жалуется, что эти «неисполнимые требования» помешают им «внедрять инновации по поручению их пользователей» — что бы это ни значило.
Но калифорнийские законы всё же вступят в силу 1 января 2020 года! Правительство хочет, чтобы они стали минимумом, на основе которого каждый отдельный штат смог бы ужесточить регуляцию компаний и сделать законы более лояльными к пользователям.
Теперь основной спор между компаниями и законодателями будет разворачиваться вокруг трактовки нюансов и того, как новые законы скажутся на законодательстве других штатов.
Технологические компании хотели бы, чтобы калифорнийские законы были «потолком» и ограничивали права других штатов регулировать сбор и обработку информации. Такая реакция американских гигантов не вызывает никакого удивления, если учесть, насколько свободно они себя пока что чувствуют при сборе, хранении и обработке информации о пользователях.
К примеру, недавно выяснилось, что Facebook, который раз за разом был виновен в утечке данных пользователей и неоднократно обвинялся в беспринципной торговле личными данными, хранил пароли пользователей в незашифрованном виде. Это грубейшее нарушение — хоть по европейским, хоть по китайским меркам.
Не говоря уже о том, что компания Цукерберга собирает данные не только о своих пользователях, но и о людях, не зарегистрированных на Facebook!
Как увидеть свой цифровой след
В августе 2018 года немецкий пользователь Amazon воспользовался правами, обеспечиваемыми GDPR, и потребовал у компании предоставить ему данные о нем. Через несколько месяцев ему прислали ссылку для скачивания архива в 100 мб, в котором он обнаружил более 1700 аудиофайлов с записями голосов незнакомых ему людей. Как выяснилось позже, в компании по ошибке выслали ему голосовые команды другого пользователя амазоновского виртуального помощника Алексы.
Этот случай вскрыл не только то, что Amazon хранит эти записи, не предупреждая об этом пользователей, но и достаточно небрежно с ними обращается, раз может позволить себе такую ошибку.
Другой показательный скандал разгорелся вокруг микрофона, спрятанного в одном из устройств производства Google. Компания назвала недоразумением факт продажи устройства для умного дома Nest Guard без предупрждения покупателей о встроенном в него микрофоне. «Ошибка» вскрылась несколько месяцев спустя, когда Google объявил о том, что Nest после обновления сможет работать как голосовой помощник — для чего, ясное дело, в нем должен быть микрофон.
Ситуации с умными помощниками от Amazon и Google указывают на проблемы, с которыми мы столкнемся в эпоху интернета вещей, когда вопрос цифрового отпечатка, сбора, обработки и хранения данных о пользователях встанет с новой силой. В этом смысле показательна недавняя история с секс-игрушками, которые незаконно собирали информацию о своих пользователях.
Если камеры, датчики и микрофоны будут повсюду, в том числе внутри людей, кто и как будет защищать их от злоупотреблений со стороны предоставляющих услуги компаний, или от недобрых хакеров?
Как бы там ни было на законодательном уровне, эпоха прозрачности и тотальности нашего цифрового следа может и должна призывать нас к осознанному потреблению и действиям. Нет нужды полностью стирать свой цифровой след, как это делает спрятавшийся в пустыне глава запрещенной в РФ организации. Однако помнить, что даже в одиночестве вы не совсем наедине с собой и что ваши действия теперь останутся в истории — стоит.