К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего броузера.

Лишние данные без анонимности: как российские компании соблюдают права пользователей

Фото Andrey Rudakov / Bloomberg via Getty Images
Фото Andrey Rudakov / Bloomberg via Getty Images
Популярные сервисы Рунета не дают возможности россиянам пользоваться ими абсолютно анонимно, а маркетплейсы собирают избыточные персональные данные о своих клиентах. Об этом говорится в исследовании юристов Digital Rights Center и общественной организации «Роскомсвобода», посвященном соблюдению интернет-прав российскими IT- компаниями. При этом только три компании — «Яндекс», Pikabu и «Хабр» — раскрывают число запросов правоохранительных органов о данных их пользователей

Ни один из крупнейших сервисов Рунета не дает возможность пользоваться им полностью анонимно. Об этом говорится в ежегодном исследовании (есть у Forbes) юристов Digital Rights Center и общественной организации «Роскомсвобода», которые изучили 14 популярных сервисов Рунета, чтобы определить, соблюдают ли они цифровые права россиян. 

Компания также составила рейтинг прозрачности сервисов: приемлемым уровнем прозрачности и соблюдения стандартов по защите цифровых прав россиян считается результат свыше 50%, отмечают авторы исследования. Этот порог преодолели только четыре компании — «Хабр», «Яндекс», «Яндекс.Маркет» и «Яндекс.Дзен». На последних строчках рейтинга оказались VK и «Сбер», а также соцсети «Одноклассники» и «Мой мир». Годом ранее порог в 50% преодолел только «Хабр», при этом «Яндекс» занимал в этом рейтинге второе место. 

Какие компании соблюдают интернет-права россиян и что происходит с их персональными данными?

 

Анонимные покупки

Среди компаний, которые не позволяют пользоваться своими сервисами анонимно, — IT-компании «Сбер», VK (ранее — Mail.ru Group), «Яндекс», а также маркетплейсы, рассказала  эксперт проекта Digital Rating Анна Карнаухова. При этом маркетплейсы собирают о россиянах избыточные данные — учитывая, что в основном они используются для покупки и доставки товаров бытового и повседневного спроса, полагают в «Роскомсвободе». Большинство компаний полностью или частично раскрывают информацию о том, какие данные и как именно они собирают о пользователях.

Маркетплейс может не заставлять покупателей заводить личный кабинет на сайте, поскольку они в любом случае укажут свое имя, адрес доставки и телефон для связи и последующей доставки, считает Карнаухова. «Зато в этом случае у пользователя есть возможность забыть о существовании маркетплейса до новой покупки. Так снижается количество собранных данных, но это не входит в интересы маркетплейсов», — говорит она.

 

Wildberries при регистрации (согласно правилам использования сайта) требует предоставить регистрационные данные покупателей, среди которых фамилия, имя, отчество, пол и дата рождения, номер телефона, электронная почта, адрес, размер одежды, реквизиты банковской карты для онлайн-платежа, говорится в исследовании. Представитель Wildberries заявил, что авторизация необходима для оказания покупателям полного объема сервисных услуг (например, рассрочки), а также сокращения возможных мошеннических действий со стороны пользователей. Компания обрабатывает персональные данные в строгом соответствии с законодательством, заверил он.

В Ozon невозможно совершить покупку без верификации по номеру телефона, а в личном кабинете есть раздел для сохранения паспортных данных (они нужны для оформления финансовых продуктов), говорит Карнаухова. В «Яндекс.Маркете» покупатель по правилам использования сервиса обязан указать достоверные данные о себе и получателе заказа, в частности, фамилию, имя, отчество, номер телефона и электронную почту. Если пользователь указал недостоверные данные, «Яндекс» имеет право отменить заказ, а при покупке цифрового товара (например, подписки) может не вернуть деньги. 

Представитель «Яндекс.Маркета» отказался от комментариев. Представитель Ozon пояснил, что анонимные пользователи могут свободно просматривать товары и даже добавлять их в корзину для будущих покупок. Для заказа пользователь должен указать номер телефона, имя и адрес доставки или пункта выдачи, отметил он. Дополнительные данные компания собирает, если они необходимы для использования дополнительными сервисами (например, для оформления билетов на Ozon Travel).

 

Avito как платформа, с помощью которой совершаются миллионы сделок, должна знать, с кем имеет дело, и предотвращать любые попытки мошенничества, сказал Forbes представитель компании. Он добавил, что компания гарантирует защиту данных «многоступенчатыми алгоритмами безопасности». 

Согласно правилам сайта, Avito может запросить у пользователей документы или информацию, в том числе паспорт, водительское удостоверение, видео с лицом пользователя с нескольких ракурсов без звука — в противном случае компания может ограничить доступ к аккаунту, указали в «Роскомсвободе». Кроме того, Avito вправе записывать и анализировать сообщения и звонки, совершенные через мобильное приложение и на защищенные номера, поскольку «сообщения и звонки в приложении не являются личными».

Соцсети законодательно обязаны следить за публикациями пользователей на сайте, однако они могут предусмотреть больше возможностей для анонимности и использования псевдонимов внутри платформы, считает Карнаухова. Пользователи могли бы использовать такие функции при общении в группах и на чувствительные темы, чтобы избежать доксинга (раскрытия информации о человеке против желания) и ненужного общения. Особенно это касается аккаунтов детей и подростков, подчеркнула она.

Представитель VK отказался от комментариев.

Массовые утечки

Из-за того, что март 2022 года был богат на утечки, аналитики «Роскомсвободы» впервые включили этот критерий в методологию оценки сервисов. Так, 1 марта сервис «Яндекс.Еда» уведомил пользователей об утечке персональных данных. А в конце марта утекшая база пользователей сервиса была опубликована в удобном для поиска интерфейсе, позволяющем легко найти имена, телефоны и адреса (включая коды домофонов), а также косвенно оценить уровень доходов тысяч людей. Также в начале марта Pikabu подтвердил факт утечки номеров телефона и электронных адресов своих пользователей. Подобные утечки являются самым крупным нарушением права на приватность пользователей сервиса и имеют серьезные последствия в долгосрочной перспективе, которые могут привести к совершению противоправных действий против граждан, говорится в исследовании.

 

«Яндекс» утверждает, что в случае утечки рассказывает о ней и проводит внутреннее расследование, однако после инцидента с «Яндекс.Едой» компания оперативно не уведомила пользователей о произошедшем, отметили в «Роскомсвободе». В открытом доступе база данных пользователей появилась еще 27 февраля, однако официально компания подтвердила утечку только 1 марта, говорится в исследовании. В «Яндексе» не ответили «Роскомсвободе» на вопросы о внутреннем расследовании.

Поскольку причиной утечки, по заявлениям компании, стали недобросовестные действия одного из сотрудников, то компания, очевидно, «не предприняла всех возможных организационных и технических мер для обеспечения конфиденциальности персональных данных пользователей», считают в «Роскомсвободе». 24 марта руководитель «Яндекс.Еды» Роман Маресов написал в корпоративном блоге, что пользователи получат возможность удалять свои данные из приложения.

Руководство ресурса «Пикабу» узнало об утечке только благодаря пользователям сайта. Они выяснили, что она произошла еще в декабре 2021 года, при этом злоумышленники не имели доступа к базам данных компании. «Пикабу» утверждал, что информации в утечке недостаточно для входа в аккаунт — там не было сведений об утере паролей, контактов социальных сетей и других персональных данных, а также попыток взлома аккаунтов.

Ранее Group-IB обнаружила около 400 000 общедоступных баз данных, хранящихся в открытом доступе, из них около 7500 — на российских серверах в период с I квартала 2021 года по март 2022-го. По оценкам экспертов, в среднем с момента обнаружения базы до ее удаления из публичного доступа в России проходит 250 дней, а в мире — около 170 дней.

 

По оценкам компании Infowatch, в 2021 году специалисты зафиксировали 1729 случаев утечки конфиденциальных данных, что на 28,1% меньше, чем в 2020 году. Злоумышленники смогли похитить 8,42 млрд записей персональных и платежных данных. Тенденция к снижению числа утечек может объясняться тем, что в связи с коронавирусом и массовым переходом на удаленную работу корпоративные системы стали более уязвимыми и значительное число утечек могло остаться незамеченным.

Сбор данных

Несмотря на то что правоохранительные органы часто запрашивают у компаний данные о пользователях, информацию о количестве таких запросов раскрывают только три компании — Pikabu, «Хабр» и «Яндекс», говорится в исследовании.

Они публикуют отчеты о прозрачности (transparency report), однако в них нет разбивки по категориям запрашиваемых данных о пользователях. В отчете «Яндекса» указана информация о запросах не по всем сервисам (например, нет отдельной информации по «Яндекс.Маркету» и «Яндекс.Дзену», она включена в общую категорию «Остальное»). На официальном сайте «Яндекса» указано, что компания раскрывает данные по тем сервисам и направлениям компании, которые получают наибольшее количество запросов.

Представители соцсети «ВКонтакте» неоднократно заявляли в СМИ о намерении сделать отчет о прозрачности еще с 2018 года, однако до сих пор этого так и не произошло, указывает «Роскомсвобода». При этом «ВКонтакте» и «Яндекс» не уведомляют пользователей о поступивших по ним запросам в рамках уголовного дела, поскольку это запрещено законом.

 

Согласно последнему отчету «Яндекса», с января по июнь 2021 года в компанию поступило 19 650 запросов от правоохранителей, из которых на 4153 компания ответила отказом. Чаще всего запросы приходят из-за данных сервисов «Такси» (8583 запроса), «Почты» (6445), «Еды» (1744) и «Драйва» (1589). К июню 2021 года компания получила 54 885 запросов от пользователей на удаление своих данных из приложений «Яндекса».

Методология исследования

«Роскомсвобода» оценивала транспарентность компании (публичные заявления об отношении к персональным данным пользователей, размещение соответствующих документов), соблюдение прав потребителя (насколько легко найти правила оказания услуг и насколько понятно они описаны) и приватность пользователей (анализировались документы об объеме собираемых о них данных). Также авторы рейтинга оценили корпоративно-социальную ответственность компаний (по добровольному участию в мероприятиях) и открытость компаний в публикации данных о причинах ограничения доступа к сайтам или страницам, о количестве запросов об ограничении доступа и т. д. Кроме того, на позиции в рейтинге повлияли утечки данных.

Поскольку сервисы зарабатывают на своих пользователях, они должны делать отношения с ними более обоюдными и прозрачными, держать их в курсе, какие данные собирают, как используют, как удаляют данные, как меняют правила использования сервиса и почему, отметила Карнаухова.

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

иконка маруси

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+