Это русский перевод английской версии текста, оригинал можно прочитать по ссылке. 

На моем телефоне 160 приложений. Я не знаю, что они на самом деле делают. Но я решил выяснить.

У меня было такое чувство, что эти приложения шпионят за мной. Ну, не прослушивают, но постоянно отслеживают, где я нахожусь. Что им известно о каждом моем шаге. Когда я иду в магазин за продуктами, выпиваю или встречаюсь с друзьями.

Я знаю, что есть те, кто покупает и продает такую информацию. Как они отслеживают нас и что хотят узнать из наших данных?

Чтобы детально разобраться в этом, в феврале я начал эксперимент. Я установил много приложений на запасной телефон и стал везде носить его с собой.

Ну почти везде. Я оставил его дома, когда ходил сдавать тест на коронавирус в апреле.

Легко злоупотребить

Есть веская причина, почему мое ощущение того, что за мной следят, с годами усилилось. Этой весной я был частью команды NRK (норвежское СМИ), которая задокументировала случай с отслеживанием 8 300 мобильных телефонов, пока их владельцы или владелицы находились на территории больниц или женских приютов.

Всего за 35 000 норвежских крон (3 300 евро / 4 000 долларов США) мы получили доступ к данным, показывающим, где десятки тысяч норвежцев путешествовали в 2019 году.

Одним из них был, например, 31-летний Карл Бьярне Бернхардсен из Ставангера. Информация позволила нам легко идентифицировать его в полученной базе данных, которые, по словам поставщика этих самых данных, были якобы анонимными.

Когда мы позвонили ему, мы смогли рассказать, где он был почти каждый день в течение 2019 года. Зоопарк. Собеседование на работу. Больница, где он провел несколько дней в качестве молодого отца, у которого родился первенец.

— Попав в чужие руки, эта информация может быть использована кем и как угодно, — сказал нам тогда Карл.

Предательство

Часто говорят, что в коммерческой слежке нет ничего страшного: «Она используется только для рекламы». Но сейчас есть много тех, кто заинтересован в выкачивании цифровых данных наших телефонов в свою пользу.

Недавно издание Vice Motherboard опубликовало материал о том, что армия США покупает данные о местоположении людей и что мусульманское приложение для молитв отправляет данные о местоположении своих пользователей военным подрядчикам.

«По ощущениям — это настоящее предательство», так отреагировал на новость местный лидер Совета по американо-исламским отношениям. 

В 2018 году владелец, как оказалось, заброшенного ресторана Kentucky Fried Chicken был арестован в приграничном городке в штате Аризона. Он предположительно был причастен к контрабанде наркотиков из Мексики через туннель под границей США. 

По данным Wall Street Journal (WSJ), операция была частично раскрыта благодаря Иммиграционной и таможенной службе США (ICE), которая использовала коммерчески доступные данные о местоположении людей.

В конечном счете коммерческие данные якобы были переданы подразделению Иммиграционной и таможенной службы, отвечающему за депортацию, а по данным все того же  Wall Street Journal, Погранично-таможенная служба США (CBP) также купила доступ к «глобальным» данным о местоположении.

Не зря журналистов в NRK просят дважды подумать, прежде чем брать с собой телефон на встречу с конфиденциальными источниками информации. Власти могут получить доступ к информации о нашем местонахождении даже без санкции суда на это.

Если данные о моем местоположении попадут в неправильные руки, это может иметь последствия в большей степени для других, чем для меня. Это постоянно присутствующий страх, что кто-то, кто сказал мне что-то конфиденциально, и может быть после этого разоблачен.

Я запрашиваю доступ к своим данным 

Компания, которая предоставила Иммиграционной и таможенной службе США информацию о заброшенном ресторане быстрого питания в Аризоне, называется Venntel. Согласно отчетам этой компании, они расположены в промышленном кластере в штате Вирджиния.

В этом же районе вы найдете знакомые имена организаций из оборонного сектора, такие как Lockheed Martin — компания, создавшая истребитель F-35, и Booz Allen Hamilton — бывший работодатель Эдварда Сноудена. Проехав 20 минут на восток, вы окажетесь в Лэнгли, штат Вирджиния, где находится штаб-квартира ЦРУ. 

20 августа я запросил у компании Venntel копию всей имеющейся обо мне информации. Все европейцы имеют на это право в соответствии с принятым в 2018 году Общим регламентом по защите данных (GDPR).

На следующий день юридический отдел компании Venntel попросил меня подтвердить некоторые адреса, где я недавно был. 

«Как только мы получим эту информацию, мы сначала проверим, есть ли предоставленный вами “идентификатор рекламодателя” в нашей базе данных», — говорилось в электронном письме.

«Идентификатор рекламодателя» — это функция, встроенная во все смартфоны. Он и является ключом к отслеживанию пользователей телефонов во времени и через приложения. Владельцы телефонов могут сделать более сложным доступ к этому идентификатору, хотя на самом деле это делают немногие.

Я предоставил компании Venntel адрес своего офиса в штаб-квартире NRK в Осло и адрес моей квартиры в квартале Маёрстуэн  в Осло.

Данные на продажу

Почти месяц спустя я получил интересный мэйл с вложением от Venntel. Там была информация о местах, которые я посетил 75 406 раз с 15 февраля. Внезапно я смог восстановить каждый свой шаг — был в походе, выпивал вечером в баре, был в гостях у бабушки в южной части Норвегии. 

В данных не было ни номеров телефонов, ни имени. Тем не менее, почти любому было бы легко узнать, что это именно мои данные. Простой поиск в Google — и сразу же найдется информация о том, что есть такой Мартин Гундерсен, который живет в Соргенфригате в Осло и работает в СМИ — NRK в районе Мариенлист в Осло.

Venntel также сообщили мне, что они делились этой моей информацией со своими клиентами. Их клиенты могут использовать эту информацию в целях федеральных правоохранительных действий и национальной безопасности. 

Venntel отказался раскрыть информацию о том, кто является этими самыми клиентами.

Хорошо сохраненный секрет

Как данные о моем местоположении могли попасть в компанию Venntel, которая находится в США? Ни в одном из установленных мной приложений эта компания никак не упоминалась. Нигде. Даже в непонятной политике конфиденциальности, которую вряд ли кто-то утруждает себя прочитать, прежде чем нажать «ОК».

Venntel могли сообщить мне, что они получили мою информацию от своей материнской компании, Gravy Analytics, и что сами они лишь в некоторых случаях знали чуть больше о том, какие приложения были задействованы при сборе данных.

Gravy Analytics — это брокер данных в сфере маркетинга. Они собирают огромные массивы данных о потребителях для улучшения таргетинга рекламы. Gravy Analytics также утверждает, что им неизвестно об источнике происхождения большей части данных. Но в ответе на мой запрос о доступе к моей информации были упомянуты названия двух новых компаний: Predicio, которая базируется во Франции, и Complementics из США.

Следующий раунд запросов на доступ к информации показал, что некоторые данные о моем местоположении, попавшие в Venntel, были получены от словацкого разработчика приложений Sygic. В их портфолио было 70 различных приложений.

По информации с их сайта, у самого популярного разработанного ими приложения предположительно более 200 миллионов пользователей. 

15 февраля я установил два навигационных приложения от Sygic. Оба при установке запросили мое согласие с некоторыми условиями для персонализации рекламного опыта.

Если вы один/одна из тех, кто почти не читает то, на что вы соглашаетесь в приложениях, вы не одиноки. Немногие на самом деле читают условия пользования приложениями и сервисами, которые они устанавливают. 

Я нажал кнопку «Согласен». Теперь мы заключили обязывающее соглашение, соглашение между приложением и мной.

Нарушенные законы о приватности

Получается, что наше соглашение с Sygic было нарушено в тот момент, когда Gravy Analytics получила мои данные. Gravy Analytics заявляет в своей политике конфиденциальности, что моя личная информация может быть использована в качестве оказания услуг для ряда партнеров и клиентов. Согласно их собственной политике конфиденциальности, это используется для обнаружения случаев мошенничества, при нарушении правопорядка и в случае угрозы национальной безопасности.

Другими словами: Gravy Analytics предоставила данные о моем местоположении своей дочерней компании, которая и предлагает именно такие услуги.

Это возвращает нас к моему соглашению, заключенному с Sygic 15 февраля.

Я проконсультировался с тремя юристами, Малгожатой Агнешкой Циндецкой (Malgorzata Agnieszka Cyndecka), Ли Бигрейвом (Lee Bygrave) и Арве Фёйеном (Arve Føyen), которые являются защитниками приватности данных. Они посчитали, что тот факт, что моя личная информация могла и может быть использована для целей иных, чем те, с которыми я согласился, является очевидным нарушением GDPR. Потому что GDPR устанавливает строгие ограничения и требования к тому, что действительно можно и нельзя делать с нашей личной информацией. 

— Такая лазейка в функционировании регламента недопустима. Эта практика не только подрывает принцип ограничения целей, для которых персональная информация собирается, но и принципы прозрачности и справедливости самого регламента, — говорит доцент юридического факультета Бергенского университета Малгожата Агнешка Циндецка.

Веселая погода с «уловом»

Согласно данным, которые прислали Gravy Analytics и Venntel, меня также отслеживало приложение прогноза погоды Fu *** Weather. Приложение рассказывает о погоде в саркастической и грубоватой манере. Разве многие бы устояли перед тем, чтобы вместо обычного ежедневного прогноза погоды они получали веселый прогноз, который сопровождается ненормативной лексикой в большом количестве? 

Устанавливая приложение этой осенью, я согласился, что мои данные могут быть использованы для аналитики и «монетизации», т.е. финансирования приложения.

Те же три юриста, с которыми я консультировался, считают, что это соглашение не соответствует Общему регламенту по защите данных, так как неясно, что на самом деле подразумевается под «монетизацией». «Аналитика» также не охватывает всей коммерческой деятельности компании Venntel. 

У Лавиуса Фраса (Lawiusz Fras), разработчика этого самого приложения с прогнозом погоды, нет какой-либо крупной компании, которая бы стояла за ним. Он говорит, что не знаком с Venntel, но заявляет, что бизнес-модель приложения не является секретом.

«Не секрет, что для того, чтобы зарабатывать деньги, я сотрудничаю с компаниями, которые используют некоторые данные, доступные приложению», — пишет мне в электронном письме разработчик приложения Лавиус Фрас.

Фрас признает, что приложение могло бы более четко объяснить, что подразумевается под «монетизацией». Он намеревается изменить что-то в связи с этим в политике конфиденциальности, но утверждает, что пользователи и так были должным образом проинформированы заранее.

Невозможно отследить

Как именно данные из приложения с прогнозом погоды попали в компанию Venntel, остается загадкой, но вполне вероятно, что данные прошли через французскую компанию Predicio, поскольку этот посредник указан в качестве партнера в политике конфиденциальности приложения. 

От каких еще приложений компания Venntel может получать данные, остается за семью замками. Даже люди, непосредственно связанные с мобильными приложениями, не знали о причастности к ним Venntel.

— Мы не знаем компанию Venntel, — отвечает Зузана Качанова (Zuzana Kacanova) на мой запрос о том, как мои данные оказались у них. 

Зузана утверждает, что мое согласие было получено на законных основаниях в соответствии с Общим регламентом о защите данных, и что их партнеры по контракту были обязаны использовать мои данные только в маркетинговых целях.

— На основании предоставленной вами информации неясно, является ли приложение Sygic GPS Navigation источником данных о вас для компании Venntel. Если это будет доказано, то это будет поводом для расторжения наших контрактов с соответствующими партнерами.

Технический анализ моих данных, проведенный NRK, показывает несколько деталей, указывающих на то, что данные от приложения Sygic действительно были переданы Venntel. Например, идентификатор, который использовался американской компанией Complementics для данных от Sygic, также присутствует и в данных, имеющихся у Venntel.

Зузана не ответила на мои вопросы о том, какие последствия это будет иметь для их партнерства с Predicio или Complementics.

Построенный на нелегальщине 

С появлением Общего регламента по защите данных в 2018 году защитники в сфере приватности данных одержали важную победу. Общее европейское законодательство должно было позволить более внимательно следить за компаниями, торгующими пользовательскими данными. Тем не менее, отдельные моменты в сфере цифровой рекламы практически не изменились.

— Они придерживаются старых практик, при этом пытаясь замаскировать их под что-то другое, но суть остается все та же, — рассказывает мне Дэвид Мартин (David Martin) из своей гостиной в Брюсселе.

Дэвид возглавляет группу по цифровым правам в Европейской организации потребителей (BEUC), это вышестоящая группа над всеми другими европейскими организациями потребителей. По словам Мартина, некоторые части системы цифровой рекламы «построены на практически систематических нарушениях» регламента по защите данных.

Он разделяет точку зрения большинства специалистов в сфере приватности: в теории регламент по защите данных — это здорово, но на практике у него есть серьезные недостатки. 

Австрийский исследователь и активист по вопросам приватности Вольфи Кристл (Wolfie Christl) уже несколько лет изучает, как компании используют наши данные. Недавно он помог Норвежскому совету потребителей подготовить отчет с названием «Вышло из-под контроля». Там задокументированы несколько потенциальных нарушений приватности в экосистеме приложений.

— В большинстве случаев сложно или вообще невозможно отследить, как личные данные передаются между приложениями, брокерами данных и их клиентами, — говорит Вольфи. 

Кристл считает, что органы по защите данных в ЕС либо не могут, либо не хотят пресекать многие нарушения регламента по защите данных. 

— Мы не увидим никаких изменений без крупных штрафов и запретов на обработку данных. Вольфи убежден, что страны-члены ЕС и Еврокомиссия должны начать действовать.

Вопрос только в том, готов ли будет кто-нибудь прислушаться. И насколько просто будет привлечь к ответственности за предполагаемые нарушения. Арве Фёйен, партнер в юридической фирме Føyen Torkildsen, считает, что такие компании, как Venntel, сложно наказать, поскольку у них нет офисов в Европе.

— Боюсь, что это создает иллюзорное впечатление, будто правила применяются и к ним, но на практике начать какие-то юридические действия против них просто невозможно, — объясняет Фёйен.

Цифровой фотоальбом

Прошло несколько месяцев с тех пор, как я был со своим запасным телефоном в спортивном домике Ullevålseter — это популярное место в лесу Нордмарка, где можно выпить кофе и поесть вафель.

На своём экране я сейчас вижу, как точки, обозначающие меня, петляют по лесным тропинкам. Несколько точек нагромождены в одном месте там, где я останавливался передохнуть; а там, где я шёл быстро, они отмечены реже. 

Это был жаркое воскресенье конца лета. Роились слепни, особенно много их было над болотистыми местами.

Обычно мы забываем большинство мест, в которых были, и то, чем там занимались. Однако достаточно пары намёков, чтобы воспоминания вернулись. Повторное воспроизведение моей прогулки в то летнее воскресенье напоминало перелистывание старого альбома, каждая страница которого хранит собственную историю.

Но забавно то, что эти данные хранятся еще и у кого-то другого. Данные о моих перемещениях.

Мне и самому не очень неприятно следить за собственными шагами, пусть даже они не связаны ни с какими романтическими историями, тайными встречами или неловкими проблемами со здоровьем.

У большинства из нас есть такие моменты в жизни, которыми мы бы не хотели делиться. Даже со своими самыми близкими людьми, тем более с начальниками или государством.

Мне удалось восстановить поток данных из моих мобильных приложений в компанию Venntel, но всё равно осталось множество неотвеченных вопросов. Кто именно из клиентов Venntel получил информацию обо мне? Были ли это компании из министерства обороны, разведка или ФБР?

Ответы, которые сложно получить

Gravy Analytics не ответила на наши многократные запросы. Её дочерняя компания Venntel отказалась от интервью по телефону или по электронной почте.

В своем кратком объяснении компания Venntel утверждает, что перемещения моего телефона не передавались ни Иммиграционной службе США, ни Погранично-таможенной службе США. Также они написали, что никак не связаны с поставщиками приложений Sygic или Лавиушем Фрасом. (NRK никогда не заявляла, что у них есть прямая связь, но задокументировала, что компания получает информацию из этих приложений через посредников.)

«Мы не будем дальше комментировать наши бизнес-связи или интерпретации законодательства», — написали из Venntel.

В переданном NRK заявлении от Погранично-таможенной службы США (CBP) сообщается, что у них есть ограниченный доступ к коммерчески доступным данным, и что они используются согласно соответствующим правилам и нормам. (Полный текст заявления можно найти в конце статьи).

Офицер по связи с прессой из Погранично-таможенной службы США Джейсон Гивенс не ответил на последующие вопросы о том, какие ограничения накладываются на их службу при получении данных о европейских гражданах или телефонах, расположенных не на территории США.

ФБР и Иммиграционная служба США также имеют договоры с Venntel, однако они не ответили на вопросы о предоставляемых компанией возможностях слежки за европейцами на территории Европы и за ее пределами.

Когда компания Predicio 11 августа ответила на запрос о доступе к моей информации, они ничего не сказали о передаче моих данных компании Venntel с февраля по июль. (Приложение Funny Weather было установлено 10 августа.) Predicio не ответила на мои многократные просьбы об интервью.

Сооснователь компании Complementics Уолтер Харрисон (Walter Harrison) утверждает, что мои данные использовались только для маркетинговой аналитики. Харрисон не согласился на интервью и не ответил на вопросы о связи его компании с Gravy Analytics. Когда издание Vice Motherboard спросило Харрисона о Gravy Analytics, он сказал, что партнёр компании «по договору не имеет права ни прямо, ни косвенно делиться какими-либо данными, полученными от компании Complementics, с какими-либо органами США, занимающимися разведкой, иммиграционными вопросами или правоохранительной деятельностью».

Методика: эта статья основана на серии запросов о доступе физического лица к информации, переданных компаниям, которые работают в сфере сбора данных о местоположении. Запросы составлялись на основе шаблона, предоставленного Майклом Вилом. В приложении — часть ответов от Venntel (объяснение, метаданные, описание полей данных, данные), Gravy Analytics (объяснение, описание полей данных, метаданные, данные), Sygic (объяснение, данные), Predicio (объяснение, данные), og Complementics (объяснение, описание полей данных, данные). Представлена только небольшая часть полученных мной необработанных данных о местоположении.

Заявления правительственных органов США

ФБР

«Миссия ФБР — защита американских граждан и соблюдение Конституции. Эта миссия двойственна и одновременна, но при этом не противоречива. Это означает, что одна часть не может, и не должна быть в ущерб другой. Все действия ФБР выполняются в соответствии со всеми законными требованиями, в том числе Конституции, Закона „О неприкосновенности частной жизни“ 1974 года, нашего Руководства по проведению расследований внутри страны, Руководства для федеральных прокуроров США, а также стандартов, в соответствии с которыми ФБР должно защищать народ США. Кроме того, все действия ФБР подлежат строгим механизмам соблюдения законодательства и надзору со стороны трёх ветвей власти».

Иммиграционная и таможенная служба контроля США (ICE)

«Иммиграционная и таможенная служба контроля США (U.S. Immigration and Customs Enforcement, ICE) действует согласно со всеми действующими актами, руководствами и политиками о конфиденциальности. Относящуюся к Venntel договорную документацию можно изучить здесь: FPDS. В отношении соблюдения GDPR Иммиграционная и таможенная служба контроля США полагается на Venntel».

Погранично-таможенная служба США 

«Погранично-таможенная служба США (U.S. Customs and Border Protection, CBP) может получать доступ к коммерчески доступной информации, которая относится к её миссии по охране границы. При согласии органов власти, обеспечивающих охрану границ и защиту правопорядка, Погранично-таможенная служба США приобрела ограниченный доступ к коммерческим данным телеметрии посредством приобретения ограниченного количества лицензий к предоставляемому поставщиком интерфейсу.

При том, что Погранично-таможенной службе США  предоставляется доступ к информации о местоположении людей, важно заметить, что такая информация не включает в себя данные о вышках сотовой связи, не используется полностью и не содержит идентификации отдельного пользователя. Наоборот, офицеры, агенты и аналитики службы получают доступ к интерфейсу поставщика только для конкретных случаев и способны просматривать только ограниченную выборку анонимизированных данных в соответствии с проводящимися операциями по защите границы и обеспечению правопорядка. Все действия со стороны Погранично-таможенной службы, в которых могут быть задействованы коммерчески доступные данные телеметрии, проводятся исключительно в целях содействия работе службы по обеспечению соблюдения законодательства США и соответствуют требованиям закона и политики конфиденциальности».