Федеральная торговая комиссия США (Federal Trade Commission, FTC) запретила брокеру данных продавать конфиденциальную информацию о местоположении без явного согласия пользователя.

«Добившись первого в истории запрета на использование и продажу конфиденциальных данных о местоположении, FTC продолжает свою важнейшую работу по защите американцев от навязчивых брокеров данных и бесконтрольной корпоративной слежки», заявил представитель FTC.

Сомнительное право стать первым брокером, столкнувшимся с таким наказанием со стороны американского регулятора, заслужила компания X-Mode Social и её преемница Outlogic.

Пресловутый X-Mode Social

Тем, кто следит за новостями конфиденциальности хотя бы пару лет, имя этого брокера может показаться знакомым. Компания X-Mode Social впервые получила печальную известность в ноябре 2020 года, когда она, наряду с американскими военными, «засветилась» в докладе VICE Motherboard. В докладе говорилось о том, что приложение для чтения Корана с почти 100 миллионами загрузок отправляло подробные данные о местоположении пользователей в X-Mode. Брокер, в свою очередь, делился этими данными с правительственными подрядчиками США, включая американских военных. В то время эта новость вызвала огромный резонанс, после чего мусульманское приложение удалило встроенный в него код X-Mode, который отвечал за отправку данных брокеру. Реакция была настолько сильной, что даже Apple и Google в редком едином порыве предложили всем разработчикам удалить код X-Mode из своих приложений.

Когда дела идут наперекосяк, а репутации нанесён непоправимый ущерб, многие компании в качестве антикризисной стратегии выбирают ребрендинг. Так, например, поступила Meta (бывший Facebook) в августе 2021 года. После того как компания X-Mode была куплена Digital Envoy, она провела ребрендинг и на свет появилась Outlogic.

Негативных статей в прессе и де-факто отмены со стороны двух крупнейший платформ приложений, очевидно, было недостаточно для Outlogic, чтобы что-то изменить в своём отношении к данным пользователей. Согласно жалобе FTC, которая охватывает предполагаемые проступки брокера до 2021 года, у X-Mode/Outlogic «не было никакой политики, которая бы регулировала удаление конфиденциальной информации из необработанных данных о местоположении, которые она продавала», вплоть до мая 2023 года(!).

Так чем же конкретно X-Mode/Outlogic заслужила беспрецедентное наказание от правительства США?

Больше данных богу данных

В своей жалобе FTC обвиняет компанию X-Mode Social и её преемницу в целом ряде эпизодов нарушения конфиденциальности, некоторые из которых выделяются на общем фоне своей серёьзностью. Большинство предполагаемых нарушений со стороны X-Mode Social связано с тем, что компания собирала конфиденциальные данные о местоположении более чем из 300 приложений через свой SDK (готовый набор инструментов для разработки программного обеспечения).

Регулятор утверждает, что X-Mode стимулировала разработчиков внедрять её SDK в свои приложения, «обещая пассивный доход за каждое пользовательское мобильное устройство, с которого SDK будет собирать данные о местоположении».

SDK — это части кода, которые позволяют приложению выполнять важные задачи, например, отслеживать локацию устройства. Используя SDK, разработчики экономят деньги и время, ведь им не надо проделывать эту работу с нуля. Добавьте к этому возможность получать пассивный доход, и перед вами окажется предложение, от которого трудно отказаться. Вот и разработчики вышеупомянутых 300 приложений, среди которых фитнес-трекеры, игровые и религиозные приложения, не стали этого делать.

Кроме того, брокер собирал данные из своих собственных приложений, Drunk Mode и Walk Against Humanity. Он также покупал данные у других брокеров и агрегаторов данных. Если сложить всё это вместе, то получится, X-Mode собирал довольно большой урожай данных. Согласно заявлению FTC, брокер «собрал более 10 миллиардов точек данных о местоположении со всего мира» и при этом хвастался тем, что его точность составляет «70% в пределах 20 метров или меньше».

Что собрали и кому продали?

У SDK X-Mode был беспрепятственный доступ к данным о местоположении от ОС пользовательских устройств. А именно, SDK получал «точную широту и долготу, а также временную метку». Затем он передавал эту информацию, а также уникальный идентификатор мобильного устройства, называемый Mobile Advertiser ID (или MAID), на серверы X-Mode.

Этот набор данных потенциально может раскрыть конфиденциальную информацию о пользователях, например, о посещении больниц, аптек, религиозных мест и центров лечения наркомании. Согласно заявлению FTC, компания X-Mode совершенно не заботилась о том, насколько большой урон может нанести потенциальная утечка или неправильное использование этой информации. Ведь у X-Mode «не было ни политики, ни процедур для удаления конфиденциальной информации из необработанных наборов данных о местоположении».

Помимо того, что X-Mode предлагала купить «сырые» данные о местоположении любому желающему, она также обрабатывала эти данные для создания «сегментов аудитории» на основе ряда характеристик, в том числе крайне чувствительных. В одном случае она предложила частной компании, занимающейся клиническими исследованиями, пользовательские сегменты аудитории на основе посещений людьми различных врачей в Коламбусе, штат Огайо. В списке были пациенты кардиологов, эндокринологов и гастроэнтерологов.

Тот факт, что частная компания, занимающаяся клиническими исследованиями, получила медицинскую информацию, которую вы, вероятно, предпочли бы сохранить в тайне — уже достаточно плохо само по себе. Но в отчёте FTC содержатся ещё более ужасающие откровения. Некоторые данные попадали к «государственным подрядчикам», которые использовали их «в целях сохранения национальной безопасности». Нигде, ни в уведомлениях о конфиденциальности сторонних приложений с его SDK, ни в уведомлениях о конфиденциальности собственных приложений X-Mode не упоминала об этом любопытном факте.

Среди покупателей данных о местоположении X-Mode было как минимум две компании, которые затем перепродали их, нарушив условия контрактов. В подобных случаях практически невозможно отследить компании, которым в итоге попадут эти данные — цепочка перепродаж может продолжаться бесконечно. Ещё одна проблема заключается в том, что все эти «третичные» компании не связаны теми немногими ограничениями, которые X-Mode могла наложить на использование данных.

Как эти данные могут помочь идентифицировать вас?

Поскольку X-Mode предоставляла данные своим покупателям в сыром, неанонимизированном виде, идентифицировать большинство пользователей было проще простого. Зная постоянный идентификатор устройства каждого пользователя (MAID) в сочетании с несколькими сигналами с временными метками, не нужно быть Шерлоком Холмсом, чтобы определить место жительства пользователя по тому, где обычно находится его телефон в ночное время.

И не стоит забывать о возможности дополнить эти данные информацией из автономных источников, таких как государственные архивы, телефонные справочники и социальные сети — услуга перекрёстного сопоставления, предлагаемая многими брокерами данных.

Использование и риски: от национальной безопасности до целевой рекламы

Как мы уже говорили, некоторые из потенциальных вариантов использования данных о местоположении могут быть связаны с национальной безопасностью. Это может означать что угодно от слежки с целью предотвращения потенциальных атак до иммиграционного контроля.

Но гораздо более популярным является использование подобных данных в рекламных целях. Рекламодатели собирают их для создания подробных профилей потребителей, чтобы направлять им высокорелевантные объявления. Такие объявления, как правило, наиболее эффективны, если вы хотите убедить людей расстаться со своими деньгами.

В любом случае, продажа этих данных, по мнению FTC, «представляет собой необоснованное вторжение в частную жизнь потребителей и наносит или может нанести им существенный ущерб». С этим трудно поспорить.

Мы приветствуем решение FTC пресечь деятельность индустрии продажи данных о местоположении, но сожалеем, что для этого потребовалось так много времени. На наш взгляд, этот шаг давно назревал, и бесконтрольную продажу конфиденциальных данных пользователей вообще не следовало допускать.

С другой стороны, FTC не запретила продажу таких данных полностью, а сделала её зависимой от согласия пользователя. И хотя на первый взгляд это может показаться логичным — в конце концов, если пользователь вдруг хочет предоставить брокеру данных или приложению свои конфиденциальные данные, то он имеет на это полное право, — всё может оказаться не так просто.

Мы вполне ожидаем, что компании, подобные X-Mode или другому печально известному брокеру данных SafeGraph, продолжат запутывать пользователей, обманывая их и заставляя предоставлять свои конфиденциальные данные с помощью тёмных схем и вводящих в заблуждение уведомлений. И мы должны быть начеку.