В этом выпуске дайджеста AdGuard: Facebook обвинили в незаконном сборе медицинских данных; Telegram сотрудничает с Google и, возможно, полицией; Mozilla борется с трекерами; приложения для дистанционного обучения следят за школьниками; Twitter платит за неправомерное использование данных; в США хотят принять новый закон для защиты конфиденциальности.

Facebook получает медицинские данные с сайтов больниц

Инструмент для отслеживания Meta Pixel, также известный как Facebook Pixel, отправлял конфиденциальные медицинские данные пациентов… в Facebook. Об этом говорится в расследовании издания The Markup, которое обнаружило трекер на нескольких десятках сайтов американских больниц, в том числе на странице крупной сети детских клиник. Как только пациент (или родитель) нажимал кнопку записи на приём, трекер отправлял в Facebook название болезни, имя врача и поисковый запрос. В случае с детской больницей, Facebook в дополнение к IP адресу мог узнать имя и фамилию ребёнка. Трекер также нашли в личных кабинетах пациентов. Через них Facebook мог получить данных о принимаемых ими препаратах и аллергических реакциях.

Meta отрицает, что организовала массовый сбор данных пользователей при помощи Meta Pixel. В компании заявили, что специальные фильтры выявляют конфиденциальную информацию и препятствуют её передаче. Тем не менее, некоторые из упомянутых в расследовании больниц уже удалили трекер со своих сайтов, а в Калифорнии на Facebook подали коллективный иск о нарушении закона о защите медицинских данных. Истцы заявили, что обнаружили трекер на сайтах как минимум 664 больниц и поставщиков медицинских услуг.

Кажется, что жажда Facebook к сбору данных не знает границ. Трудно принимать заявление компании о том, что она не получала доступ к данным пациентов, за чистую монету. Facebook слишком часто ловят с поличным на нарушении конфиденциальности пользователей, чтобы верить ей на слово.

Telegram сотрудничает с Google и, возможно, полицией

По данным Spiegel мессенджер Telegram передал данные о пользователях, подозреваемых в педофилии и терроризме, немецкой полиции. Telegram также якобы согласился создать специальную почту, куда полицейские могли бы отправлять запросы на блокировку контента. В прошлом году сообщалось, что Telegram грозит штраф в 55 миллионов евро, если компания не создаст канал связи c немецкими правоохранителями. Telegram пока не прокомментировал сообщения в СМИ о сотрудничестве с полицией. Если же оно состоялось, то это будет означать, что Telegram изменил своей многолетней политике не делиться данными с третьими лицами.

Это также будет означать, что даже компании со строгими принципами в отношении конфиденциальности могут не выдержать давления властей, особенно, если оно осуществляется во имя защиты детей. В ЕС находится на рассмотрении закон, который обяжет мессенджеры сканировать текстовые сообщения на предмет наличия в них материалов сексуального насилия над детьми — мы писали об этой инициативе Еврокомиссии в прошлом выпуске дайджеста. К сожалению, всё идёт к тому, что под соусом защиты детей онлайн-платформы будут принуждать к раскрытию пользовательских данных.

На своём официальном сайте Telegram утверждает, что по настоящий момент не передал ни байта пользовательских данных третьим лицам.

И если ситуация с предполагаемым сотрудничеством Telegram с полицией неясна, то мессенджер не стал скрывать своё партнёрство с Google. Объявив о запуске платной премиум-подписки, Telegram пояснил, что функция расшифровки аудио сообщений будет осуществляется при помощи технологии Google. Согласно соглашению между Telegram и Google, последняя не имеет права вести логи и не сможет использовать полученные данные ни в каких иных целях, в том числе рекламных. Однако, сам факт того, что Telegram доверила данные пользователей Google (пусть даже с их согласия) вызывает озабоченность.

Mozilla раскладывает куки по банкам назло трекерам

Mozilla решила навести порядок в кухонных шкафчиках интернета, разложив сторонние куки-файлы по так называемым «cookie jars», т.е. изолированным локациям. Куки-файлы будут видны только тому сайту, который их оставил, всем остальным доменам они будут недоступны. Новый механизм заработал по умолчанию у десктопных пользователей браузера Firefox, но пока не действует в мобильной версии. Сторонние куки представляют собой небольшие текстовые файлы, которые рекламодатели оставляют в вашем браузере, чтобы следить за вашими перемещениями между сайтами. Ограничивая доступ трекеров к куки-файлам друг друга, Mozilla хочет избавить пользователя от постоянной слежки:

«Никакие другие веб-сайты не смогут получить доступ к куки-файлам, которые им не принадлежат, и узнать, что кукиз других веб-сайтов знают о вас, что дает вам свободу от агрессивной рекламы и уменьшает объем информации, которую компании собирают о вас»

У Mozilla, в отличие от некоторых других технологических компаний (мы не будем показывать на них пальцем), слова совпадают с делом, когда речь идёт о конфиденциальности пользователей. Недавно Mozilla объявила, что продолжит предоставлять блокировщикам права доступа к веб-запросам после внедрения Manifest 3, тем самым позволяя им функционировать на полную мощность. Ранее мы об этом писали более подробно.

Приложения для дистанционного обучения сливают данные школьников рекламодателям

Около 90% EdTech решений, которые применялись в 49 странах для дистанционного обучения во время пандемии, следили за детьми во время занятий и во внеучебное время, согласно расследованию Human Rights Watch. Многие из этих платформ предоставляли рекламодателям доступ к личным данным школьников.

«146 EdTech продуктов отправляли персональные данные детей или предоставляли к ним доступ 196 сторонним компаниям напрямую, и в подавляющем большинстве это были компании AdTech», говорится в докладе HRW. В основном, данные получали два гиганта рынка онлайн-рекламы, Google и Facebook. Более того, восемь сайтов использовали механизм отслеживания при помощи Canvas, который не требует принятия файлов cookie.

Как дети, так и их родители вряд ли догадывались о сборе данных приложениями. К тому же, в большинстве случаев перед ребёнком стоял невозможный выбор: либо позволить приложениям следить за собой, либо не учиться вовсе.

Мы в AdGuard считаем, что конфиденциальность детей, как и взрослых, должна обеспечиваться по умолчанию. Ребенок не должен жертвовать приватностью ради образования и наоборот, а использовать образовательные продукты для тагетированной рекламы детям, как минимум, неэтично.

Подобные новости вряд ли уже кого-то шокируют: методы сбора данных становятся всё более скрытными и в то же время агрессивными…

Копипастить — нехорошо, но это не то, о чём вы подумали

Примером вышесказанному служит недавний случай с приложениями для Android, которые тайно отправляли GPS-данные пользователей, адреса их электронной почты и телефонные номера вендору SDK. Издание AppСensus ранее сообщало, что SDK Coelib использовался в приложениях для чтения Корана, сканере штрих-кода, беспроводной мыши, а также в приложении для прогноза погоды. Последнее — Simple Weather & Clock Widget — отправляло на серверы вендора всё, что пользователь копировал и вставлял. Всего приложения с упомянутым SDK скачали без малого 45 миллионов раз. Google удалила приложения из Play Store в прошлом году, сейчас они все вновь доступны, но уже без SDK Coelib.

Мы настоятельно рекомендуем пользователям устанавливать приложения только от доверенных разработчиков и предоставлять им только самые необходимые разрешения.

В Индии операторов связи могут обязать раскрывать имя звонящего

Телекоммуникационный регулятор Индии разрабатывает новый механизм, в рамках которого имя звонящего будет автоматически отображаться на экране телефона. Предполагается, что данные об абонентах операторы телефонной связи должны брать из собственной клиентской базы KYC (Know Your Customer). Когда пользователь покупает SIM-карту, оператор подтверждает его личность и заносит данные в эту базу.

По утверждению индийского правительства закон нужен для борьбы со спамерами. Две трети индусов вынуждены отвечать на 3 и более спам-звонков в день, и более 220 миллионов используют приложение для идентификации вызывающих абонентов Truecaller. Последнее собирает данные об абонентах из открытых источников, а это означает, что они могут быть устаревшими. Тогда как использование баз данных операторов телефонной связи повысит точность идентификации, проблема заключается в том, что как и в первом, так и во втором случае никто не спрашивает согласия у самих пользователей на использование их данных таким образом.

Законопроект пока на стадии разработки, но похоже, индийские власти собираются бороться со спамерами в ущерб конфиденциальности пользователей. Плюсы от этого шага не очевидны: непонятно, в чём разница между незнакомым номером, высвечивающемся на экране, и незнакомым именем. Подобная инициатива грозит нанести очередной удар по и без того слабой системе защиты конфиденциальности в стране. Ранее мы писали о недавно принятом индийском законе, в соответствии с которым VPN-провайдеры должны будут хранить логи пользователей как минимум в течение 5 лет.

Twitter: Мы собираем ваши данные исключительно в целях безопасности. Шутка.

Twitter согласилась выплатить штраф в 150 миллионов долларов после того, как американские власти обвинили социальную сеть в введение в заблуждение пользователей относительно цели использования их личных данных. C 2013 по 2019 Twitter утверждала, что телефонные номера и адреса электронной почты пользователей ей нужны для обеспечения безопасности аккаунтов. Однако Министерство юстиции США заявило, что Twitter делился этим данными с рекламодателями. Практика затронула 140 миллионов пользователей. Учитывая, что рекламная выручка — основной источник прибыли компании, можно предположить, что она хорошо на этом заработала.

В Twitter призналали, что данные «могли быть» использованы для рекламы «непреднамеренно».

Новость об очередном проколе Twitter не понравилась потенциальному покупателю компании Илону Маску. Миллиардер написал: «Если Twitter не был правдив в этом, то что ещё неправда?» Ранее Маск поставил сделку о приобретении Twitter на паузу, обвинив техногиганта в нежелании раскрыть долю спам-ботов.

Последние публичные заявления Twitter указывали на то, что компания может начать заботиться о конфиденциальности пользователей. Несколько недель назад Twitter разъяснил свою политику конфиденциальности и даже выпустил игру для того, чтобы помочь пользователям в ней разобраться. Однако сообщение об урегулировании иска возвращает нас в суровую реальность — крупные технологические компании могут изображать из себя сторонников конфиденциальности, но пока реклама остается их основным источником дохода, все это может быть попыткой пустить пыль в глаза.

США подходит ближе к принятию федерального закона о защите данных

Группа из американских законодателей, состоящая из представителей как республиканцев, так и демократов, представила проект федерального Закона о конфиденциальности и защите данных (ADPPA). В течение многих лет представители двух крупнейших партий США не могли договориться между собой о принятии единого закона для всех штатов, однако, сейчас ситуация изменилась. Пока проект закона только лишь вынесен на обсуждение. Если же он будет принят, то в большинстве случаев федеральное законодательство будет иметь приоритет над законами штатов. В число исключений войдут Закон о конфиденциальности биометрической информации штата Иллинойс, некоторые положения Закона Калифорнии о защите прав потребителе (CCPA), а также местное законодательство о распознавании лиц и защите прав потребителей.

Согласно законопроекту, технологические компании должны будут получить согласие от пользователя перед тем, как начать собирать и обрабатывать личные данные, в том числе биометрическую информацию, личную переписку, сведения о точном местонахождении, данные о здоровье и финансовом положении, учетные данные, историю просмотра и сведения о сексуальной ориентации. Компании будут также обязаны публиковать политику конфиденциальности, а пользователи смогут отказаться от передачи своих данных третьим лицам в целях рекламы. Показ таргетированной рекламы детям до 17 лет будет запрещён.

Через 4 года после вступления закона в силу, пользователи смогут подавать на компании иски в федеральном суде о возмещении ущерба за неправомерное использование своих данных.

Законопроект получил неоднозначную оценку в США как среди законодателей, так и среди экспертов по защите данных: пока одни называют его долгожданным шагом, другие отмечают, что проект оставляет многочисленные лазейки для недобросовествных компаний. Если Конгресс примет закон, то в теории США приблизится к европейскому стандарту защиты конфиденциальности: Общему регламенту ЕС по защите персональных данных (GDPR). Однако, дьявол, как всегда, будет крыться в деталях.