Дискуссии Privacy Day 2021 — ч. III: общедоступны ли пользовательские данные?

Эксперты представили каждый своё видение — как и на каких основаниях медиа-платформы и корпорации собирают данные пользователей, как их используют и куда они потом утекают.  

28 января, в День защиты персональных данных, «РосКомСвобода» совместно с Digital Rights Center и Privacy Accelerator провела ежегодную международную конференцию Privacy Day 2021. Представляем вам обзор панельной дискуссии «Соглашайся или уходи: почему интернет-платформы собирают наши данные и куда они утекают?».

Представители компаний и сами пользователи представили совершенно разные точки зрения на то, что компании имеют право делать с пользовательскими данными. Так, разработчик решений для финансовых организаций Double Data считает, что может анализировать данные из соцсетей, потому что они общедоступны по своей форме. Фармацевтическая компания Novartis, напротив, уверена, что данные не должны продаваться, если в их суть не заложена коммерциализация, поскольку пользователи соцсетей по умолчанию не предполагают, что их данные будут использоваться в подобных целях. Управляющий партнёр LT Consulting рассказал о своём иске к Apple, а представитель «РосКомСвободы» — о том, как можно влиять на отношение компаний к приватности клиентов.

.

.

Заместитель генерального директора по правовым вопросам Double Data Екатерина Калугина представила доклад на тему «Пользовательские данные как инструмент конкурентной борьбы».

Юрист рассказала, что данные пользователей нужны компаниям в областях применения искусственного интеллекта, больших данных, анализа данных — словом, везде, где необходимо обучать нейронные сети.

Пользовательские данные — огромный ресурс, который может использоваться в том числе для устранения потенциальных конкурентов не только с рынка социальных сетей, но и со смежных рынков. Компания с доступом к данных пользователей получает преимущество. Ограничивая доступ к данным своим конкурентам, платформы пользуются двумя инструментами:

– законодательством о персональных данных (кейс Facebook);
– иммунитетом интеллектуальной собственности (Double Data против «ВКонтакте»).

.

В США закон о персональных данных используется, чтобы заставить уйти с рынка или продать компании частным американским инвесторам. Опыт Германии в области законодательства о персональных данных, однако, показал, что цифровые монополии вредят не только конкуренции, но и пользователям, отмечает эксперт.

Российский опыт в области иммунитетов интеллектуальной собственности представлен, хотя и не исчерпывается, спором Double Data и «ВКонтакте». Напомним, социальная сеть в 2017 году подала в суд на компанию ООО «Дабл», которая собирала общедоступные персональные данные пользователей. Поначалу соцсети было отказано в иске, затем апелляционная инстанция отменила это решение, дело дошло до кассационного суда, который отправил его на новое рассмотрение в первую инстанцию — Арбитражный суд Москвы. «Дабл» утверждает, что их программа работает как поисковик и клиентам даёт только ссылки на профили пользователей. «ВКонтакте» же полагает, что «Дабл» именно извлекает данные пользователей из открытых профилей и использует в своих интересах, в то время как база данных — собственность соцсети.

Развитие технологий возможно только в случае, если компании имеют равноправный доступ к открытым данным, уверена спикер. Претензии «ВКонтакте» — способ конкурентной борьбы, считает и гендиректор Double Data Максим Гинжук.

Впрочем, в аналогичном споре Национального бюро кредитных историй, к которому у «ВКонтакте» тоже есть иск, и Роскомнадзора, проверившего НБКИ, Арбитражный суд Москвы признал, что социальные сети не являются источником общедоступных персональных данных применительно к положению ст. 8 закона «Об информации».

Руководитель направления по защите персональных данных Novartis Россия/СНГ Илья Пикулин дополнил фразу Сергея Сидоренко: «Я не строчка в базе данных, а личность». Спикер рассказал о компании, которая является примером ответственного подхода к пользовательским данным.

Транснациональная фармацевтическая компания Novartis заинтересована в данных и является потребителем сервисов, которые предоставляют данные. Но она старается трезво смотреть на то, что предлагают ей поставщики данных, например, рекламирующие программу поддержки клиентов. Как правило, они собирают о людях очень много данных и либо легко отдают их все, вплоть до скана паспорта, результатов медицинского тестирования или сведений о редких заболеваниях, либо просто убирают имена владельцев этих данных, не понимаю, что и без имени вычислить человека легко. А значит, настоящую деперсонализацию они не провели.

.

«Процесс, которым мы можем управлять, — попытка снизить аппетиты поставщиков, убеждая, что людям некомфортно делиться данными и лучше их минимизировать. Ведь чем больше данных, чем выше шанс, что они утекут и попадут в руки к мошенникам. Это нарушает права пользователей, а нам такие данные не нужны», — сказал Пикулин.

.

При этом Novartis не отказывается от продукции сразу, но проверяет, насколько использовании данных законно. Конечно, иногда это приводит к потере коммерческой выгоды, однако компания нацелена на privacy by design.

Важно понимать, что чем больше данных задействовано, тем выше риск нарушений.

.

«Как потребители мы должны менять культуру в отношении поставщиков услуг, чтобы соблюдался баланс между коммерческими интересами и правами субъектов. Когда они делятся в открытом доступе, не думают, что данные будут продаваться.
Данные не должны продаваться, если в их суть не заложена общедоступность», — заключил эксперт.

.

Модератор панели, эксперт по защите персональных данных и соучредитель Russian Privacy Professionals Association Алексей Мунтян добавил, что опасаться надо не только и не столько передачи данных организациям как таковой, но и того, что у компаний всё больше возможностей прогнозировать поведение пользователей в будущем.

Юрист «РосКомсвободы» Анна Карнаухова рассказала про то, как составлялся «Рейтинг соблюдения цифровых прав 2020». В основе исследования лежит методология Ranking Digital Rights, использованная с учётом российских реалий.

Эксперты детально изучили Правила оказания услуг, Политику конфиденциальности, а также иные общедоступные документы указанных сервисов. В процессе они обращали внимание на публичные обязательства компаний, связанные с правом пользователей на поиск, получение и распространение информации и с правом приватность.

Рассматриваемые вопросы были сгруппированы по четырем основным темам:
– транспарентность;
– права потребителя;
– приватность;
– свобода информации.

Подробнее о методологии можно прочитать здесь.

Напомним, в рейтинге 2020 года с 57,14% первое место заняла платформа блогов «Хабр». На втором месте с 44,64% шла соцсеть «ВКонтакте». «Яндекс» с 39, 29% оказался на третьей строчке. Отчёт о прозрачности на тот момент был только у «Хабра», что во многом определило такой расклад. Модератор Алексей Мунтян спрогнозировал, что подобные «знаки отличия» в будущем станут почётными для компаний. Защита приватности не несёт никакой коммерческой выгоды, но лежит в области ценностей.

Рейтинг написан простым языком, чтобы любой желающий мог понять, о чём речь, и, не теряясь в юридических терминах, мог оценить соблюдение компаниями своих прав перед началом использования сервисов, рассказала Карнаухова. Также есть случаи, когда компании обратились за рекомендациями, по которым можно проверить соответствие требованиям.

.

«У нас есть основания полагать, что мы положительно влияем на компании, поскольку в новом отчёте лидеры поменялись. Считаем, реакция есть и изменения в лучшую сторону тоже», — заявила эксперт.

.

К слову, октябре 2020 году «Яндекс» впервые представил отчёт о прозрачности, что, безусловно, повлияет на место компании в рейтинге 2021 года.

.

«Мы верим, что «Яндекс» в том числе прислушался к ним, и рады, что нам удается положительно влиять на отрасль», — заявила тогда Карнаухова.

.

Управляющий партнёр LT Consulting Тигран Оганян рассказал о своём иске к Apple. Модератор Алексей Мунтян заметил, что благодаря таким кейсам репутация компаний становится всё более важной в аспекте приватности.

В Нью-Йорке в своё время он приобрёл iPhone 6s и сим-карту T-Mobile, привязал телефон к своему Apple ID и использовал полученный телефонный номер около года. После этого, как потом выяснилось, гражданин США Реджи Лопес в Нью-Йорке купил iPhone 6 plus, а также новую сим-карту T-Mobile. Как только Лопес активировал сим-карту на новом iPhone, все сервисы Apple сразу привязались к его номеру телефона, в то время как старый телефонный номер Оганяна (он же новый номер Лопеса) оставался привязанным к Apple ID Оганяна.

Лопесу было неизвестно, что ранее этот номер принадлежал Оганяну. И хотя Оганян деактивировал и даже не вставлял сим-карту в свой телефон, он стал получать сообщения и звонки по iMessage и FaceTime, адресованные новому владельцу телефонного номера Лопесу. При этом Apple никогда не предупреждала своих клиентов о необходимости вручную отвязать старые номера, используемые на iPhone, от аккаунтов Apple.

Оганян получил более 100 сообщений и звонков, среди которых были личные фотографии и сообщения, явно адресованные Реджи Лопесу. Многочисленные попытки урегулировать данную проблему, включая обращение лично к Тиму Куку с просьбой провести внутреннее расследование, не увенчались успехом.

В Apple только посоветовали удалить телефонный номер и сим-карту, которая и так давно не использовалась и была заблокирована.

Сейчас Оганян судится с Apple с целью возмещения ущерба от обманных действий корпорации, умолчание которой о такой бреши в защите конфиденциальности нарушило права потребителей.

«Это исключительно привилегия устройств Apple», — отметил Оганян «особенность» смартфонов корпорации.

.

Юристы Оганяна доказали, что Apple в ходе маркетинговых кампаний предоставляла пользователям ложную информацию о защите их данных. Она позиционировала свои устройства как обладающие специальной защитой конфиденциальности. По этой причине компания назначала и премиальные цены. Оператор ItMobile также обманывал пользователей насчёт защищённости переписки и не требовал от прежних владельцев отвязывать номера от устройств, считает спикер.

«Неразглашение Apple и ItMobile привело к тому, что пользователи стали ничего не подозревающими жертвами утечки их корреспонденции», — заявил Оганян.

.

Примечательно, что iOS12 предположительно решала такие проблемы, но Apple так и не проинформировала потребителей о факте обнаружения бреши, которая существовала на протяжении семи лет. И важно, что даже сегодня далеко не все обновили ПО, поэтому указанные нарушения всё ещё могут иметь место.

Пока борьба не обретёт «бизнес-очертания», выйдя за рамки правозащиты, она будет не результативна, убеждён Оганян. На такие корпорации суммы возмещения ущерба серьёзно не влияют. Более того, юристы компаний затягивают судебные разбирательства, что позволяет организации и дальше зарабатывать деньги.

Люди должны объединяться для решения таких задачи и привлекать инвестиции в свои кейсы, поскольку путь разбирательств очень длинный, уверен Оганян.

«Все усилия правозащитного же сообщества должны быть направлены на создание условий быстрого развития кейсов. Тем быстрее будут результаты», — заключил он.

.

.