Google скрывал информацию о сборе геоданных. Штраф в 392 млн долларов что-то изменит?
Компания Google согласилась выплатить рекордную сумму в 392 миллиона долларов, чтобы урегулировать иск о защите частной жизни — один из крупнейших в своём роде. Иск подали генеральные прокуроры 40 штатов США, обвинив Google в использовании тёмных схем, с помощью которых компания вводила людей в заблуждение относительно отслеживания местоположения.
В иске утверждалось, что «по крайней мере с 2014 по 2019 год Google скрывал от пользователей часть информации относительно настроек „История местоположений“ и „История приложений и веб-поиска“». Искажение и опущение фактов заставляло пользователей думать, что если они отключат «Историю местоположений», то Google больше не сможет отслеживать их локацию и использовать собранную информацию для настройки персонализированной рекламы. Но они ошибались.
Иллюзия контроля
Независимо от того, была ли включена настройка «История местоположений», Google мог отслеживать местоположение пользователя через «Историю приложений и веб-поиска», включённую по умолчанию. Google не раскрывал информацию об использовании «Истории приложений и веб-поиска» для сбора данных о местоположении по крайней мере до середины 2018 года.
У техногиганта были и другие хитрости в рукаве: даже если обе настройки отключались, Google всё равно мог отслеживать пользователей, создавая впечатление, что больше не может этого делать. При работе с определёнными продуктами Google, такими как Google Play Store, «Музыка», «Поиск» и «Карты», Google мог собирать, хранить и использовать данные о местоположении.
«Персонализированная реклама» — ещё одна настройка с двойным дном. Может показаться, что она даёт возможность отказаться от персонализированной рекламы и таким образом контролировать использование Google данных о местонахождении человека. В действительности, как показало расследование, отключение «Персонализированной рекламы» не мешает Google использовать информацию о локации пользователя для настраивания рекламы. Даже при отключённой настройке Google продолжал таргетировать рекламу на основе местоположения пользователя, как в продуктах Google, так и вне их. Таким образом, компания давала пользователю всего лишь иллюзию контроля.
Даже выйдя из аккаунта Google пользователь оставался под прицелом Google: по словам адвокатов, «Google собирал и хранил идентичную информацию как о залогиненных пользователях, использующих продукты Google, так и о тех, которые вышли из аккаунта». Единственное различие заключалось в том, что Google присваивал уникальные идентификаторы пользователям, вышедшим из системы. Лишь в мае 2018 года компания сообщила, что может хранить информацию о местоположении незалогиненных пользователей.
Фото: Henry Perks/Unsplash
Несмотря на то, что с тех пор Google изменил политику конфиденциальности, она и сейчас остаётся достаточно запутанной. Адвокаты отмечают, что компания делает это намеренно, чтобы держать пользователей в неведении относительно методов отслеживания геопозиции. «Даже сегодня» Google не объясняет, что он «также хранит и использует информацию о местоположении пользователей, которые используют продукты Google, не входя в аккаунт», — отмечают они.
Урегулирование, которое уже назвали «историческим», не равнозначно признанию вины. Однако оно максимально близко к этому. В рамках сделки Google согласился показывать пользователям больше информации, когда они включают и отключают настройки местоположения, и предоставлять им подробную информацию о типах геоданных, которые он собирает.
Штраф также побил рекорд по самой крупной сумме, которую Google когда-либо выплачивал в рамках урегулирования проблемы конфиденциальности. Предыдущий рекорд был установлен в 2019 году, когда Федеральная комиссия США оштрафовала Google на 170 миллионов долларов за отслеживание детской аудитории YouTube.
Что Google может сказать по этому поводу
Как это часто бывает с крупными технологическими компаниями, уличёнными в нарушении законов о конфиденциальности, Google представил свою недавнюю и текущую практику как пережиток прошлого. И, конечно же, пообещал стать лучше.
В своём блоге компания Google сообщила, что уже внедрила множество инструментов, которые «минимизируют её возможности по сбору данных». С их помощью пользователи могут ограничивать время хранения данных в Google, использовать режим инкогнито в «Google Картах», а также удалять свои данные в «Картах» и в «Поиске», не выходя из приложений.
«Ввиду принятых мер, мы считаем расследование, проводимое генеральными прокурорами 40 штатов, в основе которого лежит устаревшая и давно изменённая политика, урегулированным», — заявила компания.
Google также пообещал упростить удаление данных о местоположении и заявил, что разъяснит методы отслеживания местоположения в настройках аккаунта Google.
Рассказывая о новых функциях, Google постарался представить отслеживание местоположения в положительном ключе. Например, компания пообещала «предоставить пользователям, создающим новые аккаунты, более подробное описание сути настройки «История приложений и веб-поиска», какую информацию она включает и как улучшает их пользовательский опыт». Сложно найти плюсы для пользователя от массы персонализированной рекламы, но выгода Google от отслеживания местоположения очевидна. Более 80% доходов компании поступает от цифровой рекламы. И, как говорится в иске, «способность Google отслеживать физическое местоположение пользователей после того, как они нажимают на цифровую рекламу, — это её уникальное торговое предложение».
На первый взгляд, для Google не имеет смысла добровольно отказываться от своего конкурентного преимущества, то есть прекращать или существенно ограничивать сбор данных о местоположении. Отдавать пользователям полный контроль над этим процессом на блюдечке с голубой каёмочкой тоже бессмысленно. Как говорится, «секрет тирании массового сбора данных в том, чтобы держать людей в невежестве». Тем не менее, Google подчёркивает свое якобы уважительное отношение к частной жизни пользователей и обещает сделать больше в этом отношении.
Урегулирование — это «ещё один шаг на пути к обеспечению более осмысленного выбора и минимизации сбора данных при предоставлении более полезных услуг», — заявляет Google. Формулировка, которую использует компания, довольно банальна и оставляет много пространства для манёвра. Но значит ли это, что мы не должны верить в её добрые намерения? Технологические гиганты всегда выполняли свои обещания... или нет?
Обещать не значит жениться
Когда речь заходит о выполнении обещаний по защите данных пользователей, техногиганты, такие как Google и Meta, возглавляют все антирейтинги. Трудно припомнить все случаи, когда крупные корпорации обвинялись в нарушении какого-либо закона о конфиденциальности и пытались оправдать свои действия с разной степенью убедительности.
Иногда они рассказывали, что именно пошло не так (или, скорее, что кто-то неправильно понял их политику). Иногда они давали дополнительные обещания, которые впоследствии нарушали. Такие случае давно перестали удивлять. Сейчас скорее может удивить, если промахи вдруг прекратятся.
В июне 2016 года компания Google нарушила своё обещание хранить персонально идентифицируемую информацию (ПИИ), которую она собирает в Gmail и других сервисах, отдельно от данных о просмотре сайтов, используемых для отслеживания взаимодействия с рекламой. Компания буквально стёрла строку в своей политике конфиденциальности, которая обещала, что эти два пула данных не будут смешиваться. Старым пользователям предложили отказаться от отслеживания в расплывчатом заголовке «Некоторые новые функции для вашего аккаунта Google». Для новых же пользователей эти самые «новые функции» были включены по умолчанию.
В тот момент Google отмахнулся от любых критических замечаний. Представитель компании заявил, что Google просто адаптируется к революции смартфонов и что изменения были «на 100% необязательными». «Мы предоставили пользователям заметные уведомления об этом изменении на понятном языке, а также простые инструменты, которые позволяют пользователям контролировать или удалять свои данные», — заявили тогда в Google. Перенесёмся в 2022 год: эти «простые инструменты» до сих пор не реализованы.
Что касается удаления данных, известно, что Google не всегда выполнял свои обещания по их удалению. В 2012 году в письме британскому регулирующему органу Google признал, что не удалил все личные данные, собранные в рамках программы Street View, спустя два года после того, как обещал это сделать. Эти данные включали пароли, юридические и медицинские материалы, полученные из незащищённых сетей Wi-Fi, и вообще не должны были быть собраны. Тогда компания Google заявила, что это была «ошибка», и принесла свои извинения.
Что касается более свежих нарушений конфиденциальности, то в январе 2019 года французский регулирующий орган наложил на Google штраф в размере 50 миллионов евро за то, что пользователи не могли узнать, что компания делает с их личной информацией, например, какие данные используются для персонализации рекламы. Регулятор также заявил, что Google не получил от пользователей выраженного согласия на таргетирование рекламы.
Google ответил на это заявлением: «Люди ожидают от нас высоких стандартов прозрачности и контроля. Мы твёрдо намерены соответствовать этим ожиданиям и выполнять требования Общего регламента по защите данных, касающиеся согласия».
В январе 2022 года Google (наряду с Facebook) был оштрафован французским регулятором ещё на 150 миллионов евро, на этот раз за то, что заставлял пользователей пробираться через дебри настроек, чтобы отключить куки — наиболее распространённый метод отслеживания.
Как и в предыдущий раз, ответ Google был лицемерным: «Люди доверяют нам, а мы в свою очередь уважаем их право на частную жизнь и обеспечиваем их безопасность. Мы понимаем свою ответственность за защиту этого доверия и обязуемся внести изменения и активно работать с CNIL (независимой административной французской организацией) в свете этого решения».
Эти заявления похожи на то, что может написать искусственный интеллект, когда его просят создать грамматически правильную, но бессмысленную мешанину из слов в качестве оправдания. Сейчас риторика компании всё больше напоминает заезженную пластинку. И несмотря на якобы уважительное отношение к частной жизни, мало верится, что Google пойдёт на пересмотр отношения к обработке данных пользователей, если только не изменит свою модель доходов. Кажется маловероятным, что кто-то ожидает от Google «высоких стандартов прозрачности» или «уважения к конфиденциальности». Но мы точно не расстроимся, если нам докажут, что мы ошибаемся.
Google далеко не единственный технологический гигант, виновный в неубедительных оправданиях своих проступков в области конфиденциальности и обещаниях, которые по сути являются пустой болтовнёй.
Facebook и Instagram
В 2018 году Facebook признал, что политическая консалтинговая компания Cambridge Analytica собрала данные примерно 87 миллионов пользователей через стороннее приложение для проведения викторин. Скандал нанёс мощный удар по репутации Facebook и побудил компанию ограничить объём данных, которыми она делится со сторонними приложениями. Через несколько дней после скандала генеральный директор Facebook Марк Цукерберг пообещал защищать данные пользователей в будущем.
«Мы несём ответственность за защиту данных людей, и если мы не можем этого сделать, то мы не заслуживаем возможности служить людям», — сказал Цукерберг.
Но Цукерберг, очевидно, руководствуется какой-то своей концепцией защиты данных. После выплаты огромного штрафа в размере 5 миллиардов долларов за «фиаско» с Cambridge Analytica Facebook (теперь Meta) погряз в бесчисленных спорах, связанных с нарушением конфиденциальности пользовательских данных.
Через год после инцидента с Cambridge Analytica телефонные номера примерно 419 миллионов пользователей Facebook оказались в открытой онлайн-базе данных. С её помощью любой мог связать номер телефона с уникальным идентификатором пользователя Facebook, а в некоторых случаях даже узнать имя и страну проживания пользователя. Facebook заявил, что набор данных был «старым» и был собран до того, как компания сделала невозможным поиск человека на Facebook по номеру телефона. Представитель компании также заявил, что половину телефонных номеров составляли дубликаты.
Ранее в этом году Instagram обвинили в незаконном «сборе и хранении миллионов биометрических идентификаторов» с помощью определённых фильтров без согласия пользователей. Meta не согласилась с этим обвинением, но сделала фильтры недоступными в Техасе, где был подан иск. Год назад Facebook объявил о прекращении работы своей программы распознавания лиц и удалении «индивидуальных шаблонов распознавания лиц более миллиарда человек» на фоне растущей обеспокоенности по поводу конфиденциальности.
В сентябре Meta (наряду с Google) была оштрафована на 22 миллиона долларов южнокорейским регулятором. Регулятор обвинил компанию в том, что она без согласия отслеживала пользователей за пределами собственных платформ, то есть Facebook и Instagram. Собранные данные затем использовались для настройки таргетированной рекламы. Meta заявила, что «уверена» в том, что работает «в соответствии с законом», и пригрозила оспорить решение в суде.
Совсем недавно Meta обвинили в обходе правил конфиденциальности Apple, которые позволяют пользователям отказаться от отслеживания третьими лицами на iOS. Meta ответила на эти обвинения: «Эти обвинения безосновательны, и мы будем активно защищаться». По прогнозам, политика Apple, известная как App Tracking Transparency (ATT), обойдется Meta примерно в 10 миллиардов долларов. Эта функция снижает способность Meta собирать персональные данные и продавать персонализированную рекламу на их основе. Как и Google, Meta полностью зависит от рекламных денег, поэтому вполне логично, что компания ищет обходные пути.
Фото: Niv Singer/Unsplash
Meta может утверждать, что ставит людей выше прибыли, но её дела говорят громче слов. В прошлом году стало известно, что Facebook позволяет рекламодателям нацеливать на детей в возрасте 13 лет рекламу, пропагандирующую курение, азартные игры и экстремальное похудение. Компания прекратила эту практику только через несколько месяцев после того, как об этом стало известно.
Этот список далеко не полный, но он показывает, что Meta по-прежнему не справляется с защитой данных и частной жизни людей. По словам самого Цукерберга, если Meta не в состоянии сделать это, то она не заслуживает существования. Однако мы не ожидаем, что генеральный директор Meta сдержит это обещание (или любое другое обещание, если на то пошло).
Когда деньги говорят
Казалось бы, у компаний уже должны были закончиться оправдания нарушениям конфиденциальности данных пользователей. От кротких извинений и клятвенных обещаний «больше никогда» до пылких отрицаний — технологические компании, чей основной источник заработка — пользователь, имитируют заинтересованность в защите личных данных. В рамках современного общества, которое всё больше заботится о конфиденциальности, эти компании не могут позволить себе открыто идти против тенденции. Однако вся их модель построена на извлечении прибыли из пользовательских данных, и нет никаких признаков того, что это когда-либо изменится.
Не имеет значения, сколько искренних или холодных обещаний, извинений и умных заявлений дают их PR-отделы. Реальность такова, что прекращение сбора ваших персональных данных не входит в их реальные интересы. Все меры, которые они принимают для «защиты» конфиденциальности пользователей, реактивные, а не проактивные (хотя они и пытаются создать видимость обратного). Это означает, что компании вынуждены обеспечивать их выполнение под давлением регулирующих органов и судебных исков. И пока регуляторы не начнут всерьёз добиваться соблюдения защиты конфиденциальности, техногиганты даже не почешутся.
Случайному наблюдателю может показаться, что нет альтернативы модели доходов, основанной на цифровой рекламе, и, следовательно, нет альтернативы выкачиванию пользовательских данных для получения прибыли. В 2018 году Шерил Сандберг, которая на тот момент занимала пост операционного директора Facebook, заявила, что на сайте не будет единой кнопки отказа от всего, потому что в этом случае Facebook станет «платным продуктом». Но пока одни платформы не хотят менять свой образ действий, другие переходят на модель freemium. Twitter нацелился на расширение платной подписки Twitter Blue. И хотя попытки внедрить новые функции в Twitter Blue выглядят поспешными и неуклюжими, они могут сослужить Twitter хорошую службу в долгосрочной перспективе (или ускорить его гибель — это нам ещё предстоит выяснить).
Новая соцсеть BeReal, которая поощряет пользователей размещать свои неретушированные «настоящие» фотографии, по сообщениям, также рассматривает возможность введения платных функций. Большой вопрос, захотят ли пользователи поддержать продукт своими собственными деньгами. Но именно здесь начинается настоящая конкуренция, стремление к инновациям и добавленной стоимости.
