Я не параноик и не сторонник теории заговора.
Но я внимательно читаю пользовательские соглашения и если они меня чем-то не устраивают, то такими сервисами я просто не пользуюсь.
На моем смартфоне почти нет приложений, и операционная система не обновлялась годами .
Что может быть проще, чем «Принять условия» и получить доступ к современному мобильному банкингу, онлайн-покупкам, государственным услугам, каршерингу и многому другому.
Но я решил провести небольшой эксперимент. В результате выяснилось несколько довольно интересных подробностей.
(Суть эксперимента и его результаты будут описаны ниже, в разделе 6) Ни для кого не секрет, что многие государственные и частные учреждения уже имеют доступ к персональным данным граждан и они необходимы для осуществления комфортной жизнедеятельности в сети – покупок, заказа такси, финансовых переводов или оформления транзакций.
Некоторые государственные услуги требуют только адреса и имени, тогда как другие требуют раскрытия паспортных данных пользователя, фотографии и т. д. Технически в момент получения услуги эта информация передается с мобильного устройства на серверы оператора связи и третьих лиц, а также хранится там некоторое время.
Возможная цепочка передачи персональных данных С этого момента начинается самое интересное, давайте посмотрим на моменты:
1. Что содержится в пользовательском соглашении (кратко и простыми словами)
Прежде всего оператор должен получить согласие на обработку и передачу данных.Все дело в объеме этих данных и контуре их распределения.
Даже для предоставления повседневных услуг, таких как мобильный банкинг или совместное использование автомобилей, данные необходимо передавать третьим лицам.
Оператор каршеринга должен передать ваши данные страховой компании, а при оформлении кредита банки могут передать информацию коллекторским агентствам или другим учреждениям.
Но, как правило, операторы сервиса не заинтересованы ограничивать свои полномочия узким кругом минимально необходимой информации и узким периметром использования.
Активное развитие экосистем (например, банк+маркетплейс+доставка) способствует включению в пользовательское соглашение максимально разрешительных мер и зачастую содержит все или некоторые из следующих пунктов:
- Согласие на обработку и передачу данных непосредственному оператору услуги
- Согласие на передачу данных дочерним и партнерским организациям, третьим лицам (список может быть открытым и изменяться без уведомления пользователя)
- Согласие на предоставление дополнительных информационных и рекламных услуг, т.н.
«улучшение (черт!) качества обслуживания»
- Срок хранения и порядок удаления данных (как правило, для удаления данных необходимо письменное заявление)
Имя оператора скрыто во избежание антирекламы Изучить все условия договора в полном объеме достаточно сложно, учитывая расплывчатость некоторых формулировок, многочисленные переносы на зависимые документы, «матрешки» и прочие юридические хитрости.
Но понимание его условий имеет решающее значение.
, поскольку соглашаясь со всеми условиями, пользователи добровольно и законно передают права на свои персональные данные.
плохо определённый круг людей .
Давайте теперь поговорим о последствиях (прямых и косвенных) такого решения.
2. Где будут физически храниться данные?
В соответствии с Федеральным законом-242 от 1 сентября 2015 года все данные должны храниться на серверах в Российской Федерации и для соблюдения этого требования большинство крупных компаний используют собственные дата-центры.Более мелкие компании вынуждены арендовать вычислительные серверы у поставщиков и облачных провайдеров в РФ.
Несмотря на развитие таких провайдеров в России, их масштаб, надежность и ценовая политика пока не позволяют им конкурировать с крупными гигантами, такими как AWS, Google Cloud или DigitalOcean. Поэтому небольшим ИТ-компаниям становится экономически выгоднее использовать зарубежные облачные сервисы из соображений надежности и экономической выгодности.
Конечно, это не означает, что персональные данные сразу становятся доступными иностранным компаниям, но это увеличивает технологическую зависимость от иностранных игроков.
3. Как обеспечивается безопасность данных
Для обеспечения сохранности и защищенности данных в цифровом пространстве существует целый комплекс мер, подходов и алгоритмов.К ним относятся криптография, антивирусы, межсетевые экраны, системы резервного копирования данных и многое другое.
Грамотное применение всего комплекса мероприятий требует от компании наличия высококвалифицированного персонала.
ЯВЛЯЕТСЯ -специалисты, регулярные проверки, мониторинг и предотвращение возникающих и будущих угроз.
Естественно, не каждая ИТ-компания способна обеспечить весь спектр существующих мер защиты данных, и в целях оптимизации затрат можно применять только самые обязательные меры.
Учитывая длинную цепочку передачи персональных данных между операторами, партнерами и третьими лицами, вероятность сохранения максимального уровня защиты на всех узлах цепочки снижается в геометрической прогрессии с увеличением длины такой цепочки.
Помимо прочего, некоторые участники процесса обработки могут подвергнуться реорганизации, поглощению, банкротству и для пользователя становится практически невозможным контролировать своевременное удаление данных в случае прекращения оказания услуг.
4. Какова ценность данных для третьих лиц и злоумышленников?
Почему так много людей хотят обрабатывать персональные данные и что с этим можно сделать? Попробуем рассмотреть наиболее популярные варианты использования персональных данных в глобальном масштабе и их влияние на каждого отдельного пользователя.
| Сценарий | Содержание данных | Пример использования | Влияние на субъект персональных данных |
| Изучение потребительских тенденций | Демографические данные (пол, возраст и т. д.) | Отображение контекстной рекламы товаров и услуг с учетом тенденций пола и возрастной группы пользователя.
| Минимум |
| Персонализация сервисов и сервисов | История онлайн-активности (поисковые запросы, покупки и т. д.) | Индивидуальное предложение скидок и акций, соответствующих интересам конкретного пользователя | Средний |
| Навязчивая реклама | История оффлайн деятельности (оформление страховки, ОСАГО, получение государственных услуг и т.д.) | - После покупки ОСАГО вам звонят сотни компаний-партнеров с предложением продлить страховку у них.
- После регистрации ИП вам звонят банки с предложениями финансовых услуг ( Комментарий пользователя ) | Высокий |
| Мошенничество | ФИО, контактные данные, место жительства | После утечки данных через коллекторское агентство у клиентов банка под прикрытием налоговой инспекции выманиваются крупные суммы денег. | Экстремально высокий |
Современные технологии обработки больших данных и машинного обучения открывают практически безграничные возможности для анализа моделей поведения пользователей, формирования вкусовых предпочтений, а в некоторых случаях даже деанонимизации субъектов персональных данных по косвенным признакам (например, идентифицировать пользователей уже сейчас можно).
с некоторой точностью, основанной лишь на косвенных признаках, содержащихся в закономерностях онлайн-активности).
Таким образом, не только информация, непосредственно идентифицирующая пользователя, но и элементы цифрового следа становятся частью персональных данных, что значительно усложняет разработку подходов к их защите не только для самого пользователя, но и для организаций, располагающих такими данными.
5. Грязные трюки
Допустим, какой-то человек не хочет принимать обновленные условия использования, на что идут операторы сервиса, чтобы заставить пользователей принять новые правила игры? Для этого существуют различные уловки и приемы, побуждающие пользователей безоговорочно принять разрешительные условия обновленных пользовательских соглашений.Вот пара простых примеров: Ограничение доступа к некоторым функциям только через мобильное приложение Иными словами, пользователь вынужден скачать мобильное приложение и принять дополнительные пользовательские соглашения, поскольку удобная функция просто не реализована в веб-интерфейсе и требует посещения офлайн-офиса компании.
Например, подключение к системе быстрых платежей или регистрация для самозанятости в одном из крупных банков доступно только в мобильном приложении и не реализовано в веб-интерфейсе.
На первый взгляд это похоже на заботу о пользователях, ведь установка мобильного приложения открывает доступ к новому уровню сервиса и комфорта.
Но с другой стороны, пользователи становятся заложниками оператора сервиса и вынуждены соглашаться на дополнительные разрешительные условия, даже не осознавая этого до конца.
Инструкция по регистрации для самозанятости через мобильное приложение 
Имя оператора услуги скрыто во избежание антирекламы Принудительные обновления, повышающие разрешительный характер пользовательского соглашения, без которых дальнейшее использование сервисов невозможно.
Например, вы получили новую версию приложения, веб-сайта или операционной системы, которая полностью заменяет старую версию, которая больше не доступна, и вы вынуждены принять новые условия, чтобы продолжить ее использование.
Пример пользовательского соглашения на веб-портале мобильного оператора 
Изменено имя оператора и цветовая схема во избежание антирекламы.
Подобные приемы значительно увеличивают получение персональных данных пользователей, поскольку после первоначальной адаптации к определенным сервисам пользователи послушно устанавливают любые обновления и дополнения, требующие дополнительных разрешений.
К тому же, по закону подлости, обновления приходят в самый неподходящий момент (когда вы вызываете такси на морозе или стоите в очереди в магазине), что делает осознанное и внимательное изучение дополнительных условий практически невозможным.
6. Суть эксперимента
Теперь вернемся к эксперименту, о котором я упомянул в самом начале.Суть ее достаточно проста – проверить, можно ли на законных основаниях отказаться от передачи своих персональных данных третьим лицам и при этом продолжать пользоваться всеми современными цифровыми услугами (покупки, сотовая связь, финансы, государственные услуги, транспорт, и т. д.) на равных условиях.
Я старался изо всех сил, но результат эксперимента оказался весьма плачевным, так как пришлось сдаться:
- Мобильный банкинг (вместо этого только веб-версия)
- Онлайн-аккаунт сотового оператора (сначала нужно было позвонить в службу поддержки, чтобы отключить те или иные услуги, а потом сменить оператора)
- Регистрация самозанятости онлайн (необходимость идти в налоговую пешком)
- Каршеринг (все условия предусматривали возможность передачи данных третьим лицам с целью предоставления информации и/или других услуг)
- Список продолжает расти
В рамках настоящей статьи варианты несанкционированного извлечения данных через бэкдоры не рассматриваются.
, вирусы, телефонное мошенничество и другие каналы.
Я не исключаю, что мои персональные данные все равно попадут (или уже попали) в руки третьих лиц менее законными способами, но, по крайней мере, в этом случае они рискуют рано или поздно понести за них некоторую ответственность (хотелось бы верить так).
7. Последствия и меры
Итог: мы У нас происходит полная девальвация термина персональные данные.Постоянные сообщения об утечках и отсутствие каких-либо санкций к виновным операторам (за исключением скромных сообщений о внутренних расследованиях) заставляют нас привыкать и равнодушно относиться к таким новостям.
А ежедневные спам-звонки с рекламой уже давно стали нормой.
Частично во всем этом виноваты сами пользователи, слепо раздающие свои данные направо и налево и не задумывающиеся о возможных последствиях.
Но с другой стороны, ответственность операторов за бесконтрольное распространение такого критического информационного актива, как персональные данные граждан, может потребовать существенного пересмотра.
Я не сторонник запретительных мер и жестких ограничений.
Во всем нужна разумная и системная работа по созданию благоприятного онлайн-пространства, исключающего злоупотребление низкой информационной и правовой грамотностью населения со стороны технологических гигантов.
Но пока мы сами не осознаем личную ответственность и важность такой работы, никто за нас этого делать не будет.
8. Что мне делать?
Очевидно, что полностью отказаться от цифровых услуг в современном мире невозможно.Но, по крайней мере, оно того стоит обозначить границы цифрового равенства .
Иными словами, законно ли ущемлять цифровые права граждан, отказывающихся передавать свои персональные данные «в целях получения информационных и рекламных услуг третьим лицамЭ» Если это так, то представляется необходимым обеспечить дублирование таких сервисов в оффлайне, чтобы сохранить одинаковые права как для прогрессивных цифровых, так и для консервативных традиционных групп граждан.
Но если оставить в стороне глобальные проблемы, хотелось бы обратиться к неравнодушным гражданам цифрового пространства с одной небольшой просьбой.
Поскольку изучение пользовательских соглашений – долгая и трудоемкая работа, не под силу одному человеку, если вы не против принести пользу интернет-сообществу и внести свой вклад в формирование цифрового равенства, пожалуйста, внимательно прочитайте пользовательское соглашение любимого приложения или сервиса и отправьте небольшой отрывок в аналогичном формате https://tosdr.org/ (что разрешено и что ограничено условиями пользовательского соглашения) автору статьи любым доступным способом.
А если у вас нет времени читать все соглашение, просто присылайте скриншоты самых смешных и бессовестных условий в комментариях или личных сообщениях.
Вместе мы сможем оценить уровень информационного аппетита операторов различных ИТ-сервисов и, возможно, помочь им пересмотреть свою политику работы с персональными данными в лучшую сторону.
Всем удачной рабочей недели и безоблачного цифрового пространства! Теги: #информационная безопасность #ИТ-законодательство #персональные данные #Цифровое равенство #Информационная независимость
-
10 Главных Проблем На Пути Внедрения Devops
19 Oct, 24 -
Важное Сообщение О Приглашениях В Профиль
19 Oct, 24 -
Закрытие Автоматических Интерфейсов Webmoney
19 Oct, 24 -
Особенности Национальной Смс Авторизации
19 Oct, 24 -
Последний Кубок Яндекса
19 Oct, 24 -
Анонс Трёх Новых Телефонов От Sony Ericsson
19 Oct, 24 -
Проксирование И Автошардинг В Tarantool/Box
19 Oct, 24
