Павел Иевлев

Текст

Давая мобильному приложению согласие на отслеживание нашего местоположения «для улучшения работы сервиса» или соглашаясь на использование WiFi «для повышения точности определения», пользователь редко задумывается, каким образом приложение эти данные использует, а главное – с кем ими делится. Между тем информация о том, где вы сейчас находитесь, стоит совершенно реальных денег

У приложений есть причины запрашивать доступ к расположению пользователя. Это касается погодных информеров, дающих локальный прогноз осадков, навигаторов, строящих кратчайший маршрут, стриминговых сервисов, проверяющих региональную лицензию, и так далее. Но зачем запрашивает геопозицию кулинарный справочник или простенькая бесплатная игра? Потому что эти данные можно отлично продать!

Кто нас продает?

На этом рынке толкаются плечами такие IT-монстры, как Pitney Bowes, Apple, Qualcomm Technologies, HERE Technologies, Bosch Software Innovations GmbH, Trimble и так далее. Однако сам метод сбора данных доступен практически любому создателю мобильных предложений благодаря открытым программным пакетам. Самый известный из них – бесплатный комплект для разработки программного обеспечения (SDK) от Foursquare. Многие помнят этот сервис, породивший мемный термин «зачекиниться», как социальную сеть, построенную на геопозиции пользователя. Мода на нее давно прошла, но сбор данных и их продажа оказался куда более прибыльным бизнесом, чем рекламные контракты от общепита. Foursquare Pilgrim SDK используется в таких приложениях, как GasBuddy (сервис, который сравнивает цены на близлежащих заправках), Flipp и Checkout 51 (приложения для покупок по купонам) и многих других. Еще один SDK-пакет, Placer.ai, установлен в более чем 500 приложениях и содержит информацию о более чем 20 миллионах устройств. В общем, если кто-то хочет отслеживать ваши перемещения, он может это сделать путем внедрения пакета в совершенно невинные приложения. Это почти не контролируется магазинами, хотя примеры «выпиливания» совсем уже оборзевших сборщиков тоже есть – Google и Apple недавно запретили брокеру данных X-Mode Social Inc.использовать SDK для отчетов о местоположении от нескольких компаний.

В любопытном исследовании «Брокеры данных и конфиденциальные данные о физических лицах США – Шерман, 2021» утверждается, что в  США открыто продаются пакеты информации десятков тысяч атрибутированных персон, куда входят самые разные данные, включая частную деятельность, жизненные предпочтения и основные локации пребывания. Oracle, Epsilon, Amazon AWS Data Exchange и другие брокеры данных открыто и явно рекламируют платформы для обмена данными, на которых разные компании предоставляют данные о физических лицах. Oracle хвастается позицией «крупнейшего в мире брокера данных». Компания Complementics, которая может похвалиться данными о «более чем миллиарде идентификаторов мобильных устройств», предоставляет данные о местоположении в сочетании с другими данными для таргетинга мобильной рекламы – и тому подобное.

А вот глобальные ИT-гиганты, вроде Google, Facebook, «Яндекс», Mail.Ru Group, а также сотовые операторы, банки, ретейлеры, вопреки распространенным заблуждениям пользователей, свои данные не продают. Они их используют внутри собственных экосистем или предлагают заказчикам результат обработки как сервис.

Кто нас покупает?

Когда речь заходит о слежке, все первым делом вспоминают спецслужбы и другие государственные системы. Они, безусловно, на этом рынке присутствуют. У Oracle есть партнер по сбору данных, который открыто и явно рекламирует данные об интересе граждан США к политическим организациям и отдельным деятелям, включая тех, кто поддерживает Национальную ассоциацию по улучшению положения цветных людей (NAACP), Американский союз гражданских свобод (ACLU) и так далее.

Впрочем, сами политические активисты тоже не брезгуют покупкой данных – геопозиции, полученные от компании по анализу местоположения Thasos Group, были использованы для измерения числа работников, работающих в дополнительные смены на заводах Tesla. Это использовалось в интересах забастовочного движения. Причем данные о местоположении людей, которые были на митингах, использовали политические силы по обе стороны конфликта – для таргетирования политической рекламы.

Американские федеральные агентства, включая Службу внутренних доходов, таможенную и пограничную охрану, а также вооруженные силы США открыто покупают данные о местоположении у компаний, отслеживающих телефоны. Широкий резонанс получил скандал с отслеживанием мусульманских активистов через молитвенное приложение Qibla Compass, у которого более 5 миллионов загрузок. Оно сливало данные брокеру X-Mode. Силовики этого вовсе не стесняются – Тим Хокинс, представитель Командования специальных операций США, открыто заявил: «Наш доступ к программному обеспечению используется для поддержки задач Сил специальных операций за рубежом». Кроме этого, федеральные агентства США используют данные о местоположении мобильных телефонов для иммиграционного контроля и других фискальный функций.

Однако спецслужбы – далеко не самые активные покупатели. Рынок делают коммерсанты самого разного толка.

Например, Advan Research использует историю геолокации пользователя, чтобы сообщить предприятиям розничной торговли, откуда пришли их посетители, а также сделать предположения об их доходах и интересах, основываясь на том, где они были раньше.

Рестораны быстрого питания тоже покупают данные о местоположении. Например, Burger King проводил агрессивную маркетинговую акцию – если телефон клиента находился в пределах 600 футов от его конкурента McDonalds, то приложение Burger King предлагало ему супербургер за один цент, переманивая в свою сеть.

Но основные покупатели, разумеется, – сервисы по таргетированию рекламы. По тому, где пользователь живет (преобладающее лоцирование ночью), где работает (преобладающее лоцирование днем), где отдыхает (преобладающее лоцирование вечером и в выходные), как передвигается (лоцирование в метро или на автодорогах) можно получить релевантный потребительский профиль, включая предположительный доход и интересы.

И даже уличная реклама теперь это учитывает:

Почем нас продают?

Как только данные о местоположении человека были собраны из приложения и поступили на рынок данных, их можно продавать снова и снова, от поставщиков данных агрегатору, который перепродает данные из нескольких источников. Чаще всего они в результате оказываются в распоряжении компаний «location intelligence», которые используют «сырые» данные для анализа таких параметров, как пешеходное движения в торговых зонах розничной торговли, или демографических данных, связанных с посетителями кафе, продают ее хедж-фонду, которому нужна информация о том, сколько людей ходит в определенный магазин… Да мало ли для чего еще!

Стоимость обработанных данных о геопозиции довольно высокая. Так, например, Outlogic предлагает лицензию на набор данных о местоположении на Datarade за 240 000 долларов в год. В предложении сообщается: «Точные и детализированные данные о местоположении Outlogic собираются непосредственно с GPS мобильного устройства».

Вообще же объем глобального рынка торговли геопозицией оценен в 10,6 миллиарда долларов США и, как ожидается, будет расти на 15,2% в год. Этому весьма способствует рост числа портативных навигационных устройств, веб-картографических сервисов и приложений для смартфонов. По данным GSMA, число пользователей таких сервисов в Северной Америке составило 282 миллиона и, как ожидается, достигнет 326 миллионов к 2027 году.

Продают именно нас?

Все компании, работающие на рынке торговли геоданными, всегда указывают, что они продаются в «обезличенном» и «безопасном» виде. Однако в Роскомнадзоре не признают термина «обезличенные персональные данные» по отношению к информации о перемещениях гражданина на основе геолокации, и это не случайно.

Хотя анонимизированный набор данных не содержит имени, домашнего адреса, номера телефона или другого очевидного идентификатора, деанонимизация пользователя в эпоху нейросетей по этим данным не представляет особой сложности. Индивидуальные шаблоны перемещении уникальны, как отпечатки пальцев. Не так давно в США в одном исследовании «обезличенная» база данных была успешно объединена со списком избирателей для агитации на выборах губернатора Массачусетса.

Как заявили исследователи: «Следы мобильности человека в высшей степени уникальны. Фактически, в наборе данных, где местоположение человека указывается ежечасно и с пространственным разрешением, равным разрешению, заданному антеннами несущей, четырех пространственно-временных точек достаточно, чтобы однозначно идентифицировать 95% людей».

(А) Отслеживание анонимного пользователя мобильного телефона в течение дня. Точки обозначают время и места, в которых пользователь совершил или принял вызов. Каждый раз, когда пользователь осуществляет такое взаимодействие, записывается ближайшая антенна, которая направляет вызов. (B) Та же трассировка пользователя, что и в базе данных мобильности. Сетка, представленная серыми линиями, представляет собой приближение зон приема антенн, наиболее точную информацию о местоположении, доступную нам. Время взаимодействия пользователя здесь записывается с точностью до одного часа.

Источник - Sci Rep ISSN 2045-2322

Это позволяет использовать геоданные персонально, в том числе в ущерб пользователю. Так, главный администратор Конференции католических епископов США подал в отставку после того, как журналисты деанонимизировали его мобильник, и выяснилось, что он часто посещал гей-бары.

А нас спросили?

Современные смартфоны реализуют модели на основе разрешений для защиты доступа к конфиденциальным данным и системным ресурсам. Однако приложения могут обойти это и получить доступ к защищенным данным без согласия пользователя. Например, через связь между двумя приложениями – одно приложение, получившее разрешение, отдает данные другому, у которого этих разрешений нет.

Но чаще всего мы отдаем все сами.

Например, этом году в России было популярно приложение GetContact — сервис для проверки незнакомых телефонных номеров. Чтобы получить доступ к услуге, нужно разрешить доступ к своим контактам. Интерес придавала возможность узнать, как ты записан в контактах у другого пользователя. Так турецкая компания Teknasyon, создатель GetContact и партнер сотового оператора Turkcell, собрала по всему миру более 3,5 млрд номеров с именами владельцев. Согласно пользовательскому соглашению, эти данные можно было передавать третьим лицам, но кто читает эти соглашения?

Общие правила защиты данных Европейского Союза устанавливают строгие требования к уведомлению пользователей о том, когда их данные обрабатываются или передаются. Но Ашкан Солтани, эксперт по вопросам конфиденциальности, не зря заявил: «На практике мы знаем, что потребители не предпринимают никаких действий».

Помните – все, что касается вашего личного пространства, является для кого-то товаром. Оставлять свои данные без контроля – все равно, что оставлять без присмотра кошелек.