«Дырявый» Facebook: что партнеры соцсети делают с данными пользователей
Тайное стало явным
В середине марта всего за сутки основатель Facebook Марк Цукерберг потерял почти $4,9 млрд на падении акций компании. Такую реакцию инвесторов спровоцировала информация, что данные профайлов нескольких миллионов пользователей Facebook, в первую очередь из США, оказались в распоряжении британской Strategic Communication Laboratories, а также принадлежащей ей и занимающейся политической аналитикой фирмы Cambridge Analytica. Последняя использовала полученные сведения для создания программы, позволяющей делать прогноз о политических предпочтениях избирателей в ходе президентской кампании Дональда Трампа в 2016 году, а также оказывать потенциальное влияние на их выбор.
Расчеты строились на информации о городе проживания юзера, его лайках, списке друзей и других открытых данных из профайла. Собрать весь этот массив позволило приложение Thisisyourdigitallife: оно предлагало участникам Facebook пройти опрос для составления психологического портрета. Хотя приложением фактически воспользовались всего 270 тыс. человек, скомпрометированными оказались данные 87 млн профилей, как впоследствии признался Facebook — программа анализировала не только профиль проходившего тест, но и данные его друзей. Автор программы — сотрудник Кембриджского университета Александр Коган, как утверждал Facebook, обещал использовать эти данные в академических целях, но продал их Cambridge Analytica.
В разбирательство сразу же вмешались власти США и Великобритании, инициировав свои расследования.
Марк Цукерберг был вынужден выступить на слушаниях в конгрессе США с объяснениями. Он признал, что Коган продал информацию не только Cambridge Analytica, но и другим компаниям. Окончательный масштаб произошедшего компания рассчитывает выяснить в ходе аудита Cambridge Analytica и других разработчиков приложений.
Не сеть, а решето
До начала скандала информация о том, каким образом сторонние приложения используют личные данные пользователей Facebook, содержалась в политике конфиденциальности компании в довольно сложной для восприятия форме. Даже сам Цукерберг заявил в конгрессе, что большинство аудитории не читает этот документ либо не вникает в то, что в нем написано. Сразу после начала расследования компания начала объяснять, что получают сторонние компании, и пообещала ужесточить для последних правила доступа к информации. Из одного из таких пояснений Facebook следует:
- До сих пор любой пользователь мог найти нужного ему человека, внеся его номер телефона или электронную почту в строку поиска. Этой функцией могли пользоваться в том числе злоумышленники.
- Facebook хранил историю звонков и переписки владельцев смартфонов на платформе Android, у которых были установлены приложения Facebook Messenger и Facebook Lite. Компания пообещала проанализировать эту функцию, чтобы удостовериться, что сами сообщения пользователей не хранились. Цукерберг опроверг один из популярных мифов о возможности подслушивать разговор пользователей и после этого показывать таргетированную рекламу (клиенты делали такой вывод, поскольку при установке приложения на смартфон соцсеть запрашивает доступ к микрофону): доступ к микрофону нужен исключительно для корректного проигрывания видео.
- Администраторы и члены закрытых групп могли давать доступ сторонним приложениям к списку участников групп и их персональным данным (именам; фотографиям, прикрепленным к постам, комментариям к ним).
- Сторонние приложения могли через API (программный интерфейс) страниц читать любые посты и комментарии к ним.
- До 2014 года сторонние приложения могли запрашивать у Facebook информацию не только о самом пользователе, но и его друзьях. После внесения изменений приложения могут получать информацию только о тех друзьях, которые дали согласие на ее передачу. В марте 2018 года Facebook также заявил, что будет отзывать разрешения пользователей на сбор информации, если приложение не использовалось более трех месяцев.
Сейчас Facebook собирает данные двух типов. Первый — это информация, которую люди сами выкладывают в социальной сети: фотографии, посты и т.д. Второй — те, что необходимы для таргетированной рекламы. Для повышения ее эффективности Facebook также покупает услуги информационных брокеров (data-brokers). Последние собирают информацию из многих источников — платформ типа Google, Amazon и Facebook, а также компаний, работающих в индустриях, которые имеют отношение к использованию данных о людях (медиа, ретейл, телекоммуникации и финансы), — и оказывают другим компаниям услуги, связанные с таргетированной рекламой и скорингом — проверкой заемщиков банков и клиентов страховых компаний. Из отчета исследовательского института Cracked Labs следует, что в 2017 году у Facebook было шесть подобных партнеров: Acxiom, Epsilon, Experian, Oracle, CCC Marketing и Quantium. Они помогали платформе лучше сортировать и классифицировать своих пользователей.
Facebook не продает и не передает рекламодателям данные пользователей. Как объяснял представитель соцсети, они анализируют их, а затем разделяют их на категории по предпочтениям. Если рекламодатель хочет, чтобы его объявление увидели «женщины-велосипедистки из Атланты», Facebook показывает рекламу этой категории пользователей, не передавая данные о них сторонним лицам. В отчетах для рекламодателей содержится только обобщенная информация о том, насколько успешной была реклама — сколько человек и какого пола кликнули на баннер и др. статистика.
Сторонние сайты и приложения могут использовать несколько инструментов Facebook: возможность авторизации через профайл в соцсети; кнопки «Лайки» и «Поделиться»; аналитику Facebook и рекламу от рекламодателей соцсети. Когда пользователь заходит на подобный сайт или в приложение, Facebook может получать информацию о его действиях, если даже тот вышел из своего аккаунта или вообще никогда не регистрировался в соцсети. Через cookie (данные, которые отправляет сайт, когда пользователь обращается к нему через web-браузер, и которые могут храниться на устройстве пользователя) Facebook получает информацию о том, какие другие сайты или приложения использует юзер.
Что делают сторонние сайты и приложения с открытой информацией пользователей Facebook, доподлинно неизвестно. Ясно лишь, что эту информацию собирает множество компаний.
Протестируй это
Не только Александр Коган использовал тесты для сбора информации в Facebook, это делают множество разработчиков. РБК проанализировал политику конфиденциальности некоторых из них.
- Nametests.com
Сайт Nametests.com, принадлежащий компании Socialsweethearts (предлагает тесты «Что для тебя приготовил апрель?», «Как выглядит ваш идеальный партнер» и др.), получает доступ к данным пользователя на Facebook, если регистрация проходит через эту соцсеть. Пользователь соглашается передать информацию о своем публичном профиле, списке друзей, адресе электронной почты и лайках. В политике конфиденциальности компании говорится, что запрошенную информацию она хранит в анонимном виде и использует для составления статистики и совершенствования сайта. Использование данных без анонимизации допускается только в случаях, предусмотренных законом, а также в целях, необходимых для обеспечения функционирования сервиса, безопасности и оптимизации, заявлено в документах Socialsweethearts.
Как утверждает представитель Socialsweethearts, после удаления аккаунта данные пользователя также будут удалены. «Мы не анализируем и не проводим исследования данных в политических и других подобных целях, мы также не сотрудничаем с компаниями или организациями, занимающимися такими исследованиями», — заверил он.
По его словам, сейчас в Socialsweethearts готовятся соответствовать Общему регламенту по защите данных (GDPR), который вступит в силу в Евросоюзе с 25 мая 2018 года. «Мы понимаем, учитывая новости вокруг Facebook, что уверенность пользователей [в сохранности их персональных данных] очень важна и в то же время процессы, связанные с их личными данными, должны быть прозрачными», — утверждает представитель Socialsweethearts.
- Playbuzz
К введению GDPR готовятся и в Playbuzz, которая тоже владеет сайтом с тестами, сообщил представитель этой компании. В текущей версии политики конфиденциальности Playbuzz говорится, что платформа может собирать персональную информацию, которая вводится при регистрации; информацию об устройстве, с которого пользователь заходит на сайт; а также ответы из пройденных тестов. Кроме того, Playbuzz собирает персональную информацию пользователей, полученную от третьих лиц, для маркетинговых целей, а также может передавать анонимизированную информацию о людях в обобщенном виде своим партнерам для рекламных целей.
Представитель Playbuzz отметил, что в связи с тем, что контент платформы монетизируется, некоторые из партнеров компании, а также сторонние поставщики (такие как службы обнаружения мошенничества) могут собирать данные некоторых конечных пользователей (например, IP-адреса). «Эти данные недоступны для Playbuzz и не хранятся на наших серверах», — добавил он.
Даже если пользователь удалит свою страницу на сайте, Playbuzz оставляет за собой право передавать его персональные данные третьим лицам, своим бизнес-партнерам, для немаркетинговых целей (например, для связи с пользователем).
- Brainfall Media
В сервисном соглашении Brainfall Media (занимается онлайн-исследованиями и также собирает личные данные в Facebook) написано, что компания рассматривает информацию о пользователях в качестве бизнес-актива и вправе передавать ее третьим лицам с согласия пользователей. На запрос РБК компания не ответила.
Шпионы на смартфонах
Сайты в интернете, оснащенные трекерами посещения, и мобильные приложения — это настоящие «черные дыры»: никто не может по-настоящему оценить, с кем они делятся данными, отмечалось в исследовании Cracked Labs. В 2015 году исследование популярных приложений в Австралии, Бразилии, Германии и США исследовательского центра NICTA и Университета Нового Южного Уэльса выявило, что 85–95% бесплатных и до 60% платных приложений собирали информацию пользователей в интересах третьих лиц. Журналисты РБК проанализировали приложения, которые собирали информацию из их аккаунтов в Facebook. Среди них оказались программы нескольких известных разработчиков.
«Доступ к общей информации профиля и адресу электронной почты предоставляется всем аккредитованным приложениям автоматически. Разрешение на запрос этих данных входит в минимальный базовый набор Facebook для разработчиков приложений, и более узкого запроса у соцсети нет», — пояснил РБК основатель и CEO сервиса нетворкинга MeYou Степан Данилов. Базовые разрешения не требуют проверки разработчика, но все остальные, претендующие на получение большего количества информации, требуют, говорится в «справке по разрешениям» Facebook для разработчиков.
Приложения разработчика Rambler Group, например LiveJournal и Afisha-eda, запрашивали также информацию о городе проживания и родном городе пользователя, доступ к публикациям в хронике. Представитель пресс-службы Rambler Group пояснил, что клиенты их медиаресурсов могут авторизоваться в том числе через Facebook. Такой способ авторизации позволяет полноценно использовать возможности приложений, например участвовать в голосованиях, оставлять комментарии и т.д. «Мы со своей стороны получаем потенциальную возможность работы с BigData и в перспективе настраивать «умный таргетинг», повышая эффективность взаимодействия с рекламными носителями как пользователей, так и рекламодателей. В идеале люди готовы взаимодействовать исключительно с той рекламой, которая может быть им потенциально интересна. С другой стороны, рекламодатель получает контакт с потенциально высокомотивированным пользователем», — добавил он.
Приложение для просмотра сериалов Amediateka, помимо прочего, получает доступ к списку друзей клиента. «Список друзей на данный момент не используется, однако предусмотрен для обновления рекомендательной системы на основе интересов друзей пользователя», — отметила представитель Amedia TV Милана Богатырева.
Некоторые приложения запрашивали доступ к обновлениям статуса пользователей Facebook, их фото и видео. Например, TripAdvisor. Приложение Nokia среди прочего имело доступ к данным о семейном положении, местах работы, предпочтениях, образовании, религиозных и политических убеждениях и другой информации. Представители TripAdvisor и HMD Global (владеет правами на бренд Nokia) не ответили на вопросы РБК.
Коллекционеры пользовательских душ
Facebook — не основной источник данных о пользователях. В исследовании Cracked Labs основными источниками названы информационные брокеры. Крупнейшими подобными компаниями эксперты Cracked Labs назвали Acxiom и Oracle. Например, Acxiom десятилетиями собирала данные о потребителях из публичных источников: телефонных справочников, судебных записей, криминальных сводок, различных реестров, анкет, опросов и др. Позже к этому добавились цифровые источники, например, крупные ИТ-компании, чей софт позволяет анализировать телефонные разговоры, финансовые транзакции, активность в интернете и пр., чтобы выявить криминальную и террористическую активность.
Кроме того, Acxiom сотрудничает с Ibotta (собирает данные о покупках с помощью информации с карт лояльности или чеков), Samba TV (собирает данные о ТВ-смотрении через программы, установленные на ТВ-приставках, или платформы «видео по запросу»), Crossix (собирает медицинскую информацию, включая историю болезни, назначения врача, рецепты и т.д.), FreckleIOT (данные о местонахождении человека в реальном времени: в различных магазинах, аэропортах, барах и пр. могут быть установлены специальные сенсоры, с которыми может связываться смартфон пользователя и отправлять информацию) и другими компаниями, которые в основном работают в США. Эту информацию Acxiom хранит в виде уникального анонимного ID — некого кода, который связан с почтовым адресом, номером телефона, электронной почтой, IP-адресом, геолокацией, cookie, ID устройств. К каждому уникальному ID Acxiom приписаны несколько категорий, которым соответствует человек. Клиент может дать Acxiom электронную почту некого потребителя и запросить информацию, к каким категориям его относит информационный брокер.
Единой системы оценки объема рынка пользовательских данных нет. Согласно исследованию 451 Research, объем мирового рынка данных только телекоммуникационных компаний в 2015 году составил $24 млрд, а к 2020 году должен увеличиться до $79 млрд. Мобильные операторы как минимум в десяти странах (Россия в их число не входила) были замечены в том, что устанавливали специальный механизм для отслеживания поведения абонентов при интернет-серфинге. Причем серферы не могли заблокировать подобные «супер-cookie».
Сейчас пользовательские данные применяются для продажи таргетированной рекламы и скоринга, но в будущем им могут найти другие, менее безопасные применения. Например, данные могут использоваться для динамического изменения цен на товары на сайте интернет-магазина в зависимости от того, кто его посещает. Речь может идти как о снижении цен, если система посчитает этого пользователя ценным потребителем для компании в долгосрочной перспективе, так и о повышении в зависимости от того, сколько конкретный пользователь готов заплатить за вещь в данный момент. С помощью персонализации компании могут пытаться влиять на поведение потребителя, показывать ему рекламу в определенный момент, чтобы тот совершил покупку.