Как Google шпионит за пользователями. КГБ и не снилось
Не зря известный израильский историк и футуролог Юваль Ной Харари в своей книге "21 урок для 21 столетия" сравнивает Google с испанской инквизицией и КГБ.
Время от времени поисковый гигант попадает в скандалы, связанные со сбором информации о пользователях, и личных данных в том числе. "Большие данные" так или иначе следят за людьми и фактически ограничивают их свободу, а пользователи в большинстве случаев этого даже не понимают.
Google собирает огромные массивы личных данных, скрывает от пользователей реальные масштабы такой деятельности, и усложняет им доступ к инструментам, с помощью которых они могут запретить компании использовать личные данные. К таким выводам приходят отраслевые журналисты, эксперты, и отдельные страны ЕС.
В Google же убеждены, что ничего не нарушают и предоставляют пользователям все необходимые инструменты для отключения сбора информации и очистки истории.
Кому верить? Больше года назад ЭП уже писала о том, как телефон может быть персональным шпионом для таких "монстров" как Google, какую информацию о собственнике он может собирать для корпораций, и как от них можно прятаться.
В этот раз мы собрали последние исследования о том, как Google следит за своими клиентами.
Как Google следит за пользователями через Google Chrome
В недавнем расследовании обозреватель технологий The Washington Post Джеффри Фаулер пришел к выводу, что браузер Chrome (на мировом рынке занимает долю более 60%) передает в Google личные данные пользователей в "абсурдных размерах".
В статье под названием "До свидания Chrome: веб-браузер Google стал шпионским программным обеспечением" журналист анализирует работу веб-браузера Chrome с точки зрения обоснованности и масштабов сбора личных данных пользователей.
Фаулер провел эксперимент на конфиденциальность и установил, что за одну неделю использования Chrome собрал более 11 тыс файлов cookie, связанных с ним.
Файл cookie — это фрагменты данных, которые фирмы, работающие с данными, включая сам Google, используют для отслеживания посещаемых веб-сайтов, чтобы в дальнейшем тот же Google мог создавать профили интересов, доходов и личности пользователей.
"В последнее время я изучал секретную жизнь моих данных, проводил эксперименты, чтобы понять, какие технологии в действительности используются под прикрытием политик конфиденциальности, которые никто не читает.
И оказалось, что крупнейшая в мире рекламная компания (Google, ЭП) сделала самый популярный в мире веб-браузер таким "умным", как будто готовилась разрешить "детям управлять кондитерской фабрикой", — подчеркивает Фаулер.
Метафора автора подчеркивает "заточенность" Chrome на сборе личных данных пользователя при том, что в распоряжении самого пользователя браузера остается минимум возможностей запретить такой сбор.
"Мои тесты Chrome и Firefox обнаружили сбор личных данных в абсурдных пропорциях. За неделю веб-серфинга на моем рабочем столе я обнаружил 11189 запросов Chrome на установку на мой компьютер "отслеживающих" cookie, в то время как Firefox все эти cookie заблокировал автоматически.
Chrome приветствовал "отслеживающие" cookie даже на сайтах, которые, как вы думаете, будут частными. Я видел, как Aetna (американская компания, специализирующаяся на медицинском страховании — ЭП) и сайт Federal Student Aid (программа финансовой поддержки студентов США от Министерства образования США — ЭП) устанавливают файлы cookie для Facebook и Google.
Сookie тайно раскрывали гигантам данные каждый раз, когда я проверял страницы входа в страховую и кредитную службы", — рассказывает журналист.
Cookie — это то, как штаны, которые вы выбирали себе на одном сайте следуют за вами в рекламе в других местах. При этом ваша история веб-поиска, как, например, цвет трусов — это только ваше личное дело, а не кого-то еще. Разрешение на сбор этих данных открывает путь для злоупотреблений со стороны хулиганов, шпионов и хакеров.
Фаулер приходит к выводу, что интересы Chrome не всегда совпадают с нашими собственными. И в сравнении с Chrome тот же Firefox не идеален — он по умолчанию выполняет поиск в Google и разрешает некоторые "куки". Но он не делится данными с Mozilla о веб-серфинге пользователей.
В комментарии журналисту менеджеры по продуктам Google сообщили, что Chrome отдает приоритет тому, чтобы пользователь сам выбирал и управлял своей конфиденциальностью, а также то, что они работают над новшествами в файлах cookie.
Пока от корпорации официальных заявлений по этому поводу не поступало.
Смартфоны на Android и iOS
Год назад было опубликовано расследование журналистов международного информационного агентства Associated Press о том, что "Google так хочет знать, куда вы идете, что записывает ваши передвижения, даже если вы явно запрещаете ему это делать".
Расследование в частности доказало, что многие службы Google на устройствах Android и iPhone хранят данные о вашем местоположении, даже если вы использовали настройку конфиденциальности, которая запрещает Google это делать.
Исследователи информатики Принстонского университета подтвердили эти выводы по запросу AP.
По большей части Google искренне просит разрешения использовать информацию о вашем местоположении. Такое приложение как Google Maps будет напоминать вам разрешить ему доступ к местоположению, если вы используете его для навигации.
Если вы согласитесь разрешить ему регистрировать ваше местоположение с течением времени, Google Maps отобразит эту историю для вас во "временной шкале", которая отображает ваши ежедневные движения.
На странице поддержки Google указывается: "Вы можете отключить историю местоположений в любое время. При отключенной истории местоположений места, которые вы посещаете, больше не сохраняются".
"Это не правда, — утверждают авторы расследования. — Даже при приостановленной истории местоположений некоторые приложения Google автоматически сохраняют данные местоположения с отметкой времени без запроса. (Эти данные удалить можно, хотя это довольно трудоемкий процесс".
Исследование показало, что смартфон Android в "спящем" режиме и браузером Chrome, работающим в фоновом режиме (когда пользователь не видит, что программа продолжает работать — ЭП) передаёт информацию о местоположении в Google 340 раз в течение 24-часового периода, то есть производится в среднем 14 передач данных в час.
При этом 35% данных, которые смартфон отправляет в Google, касаются информации о местоположении устройства. Для сравнения, только 1% данных, которые iPhone отправляет в Apple, касаются местоположения устройства. iPhone в "спящем" режиме также отправляет в Apple в целом в 10 раз меньше данных.
Для сравнения, аналогичный эксперимент на устройстве iOS с Safari показал, что в отсутствие Chrome компания Google не может собрать какие-либо заметные данные, если пользователь не взаимодействует с устройством.
Кроме того, неактивный Android-смартфон с установленным браузером Chrome отправляет в Google почти в 50 раз больше запросов данных в час, чем неактивный телефон iOS с Safari.
Неактивное Android-устройство взаимодействует с Google почти в 10 раз чаще, чем устройство Apple взаимодействует с серверами Apple.
Эти результаты подчёркивают, что платформы Android и Chrome критически важны для сбора данных Google.
Опять же, эти эксперименты проводились на стационарных телефонах без взаимодействия с пользователем. Если вы действительно используете телефон, то объём передаваемой информации значительно увеличивается.
Комментируя для CNN информацию, изложенную в отчете, спикер Google заявил:
"Отчёт подготовлен профессиональной группой лоббистов и написан по заказу компании Oracle в рамках текущего судебного разбирательства с Google по вопросам интеллектуальной собственности. Неудивительно, что документ содержит сильно вводящую в заблуждение информацию".
Что обнаружило расследование Франции против Google
21 января 2019 года Национальная комиссия по делам информационных технологий и правам человека (CNIL) Франции оштрафовала Google на 50 млн евро.
Штраф стал результатом расследования, начатого в мае 2018, когда в CNIL поступили коллективные жалобы от правозащитных ассоциаций None Of Your Business (NOYB) и La Quadrature du Net (LQDN), представляющих интересы более 10 000 человек.
В этих двух жалобах ассоциации обвиняли Google в отсутствии надлежащей правовой базы для обработки персональных данных пользователей, в том числе для персонализации рекламы.
В ходе расследования Нацкомиссия Франции установила два нарушения европейского Регламента о защите данных (GDPR).
Во-первых, Google не соблюдает обязательства по обеспечению прозрачности и отчётности. Компания не объяснила пользователям цели, для которых обрабатываются данные и срок хранения данных.
Нацкомиссия обнаружила, что Google "разбросала" по нескольким документам ссылки и отдельные кнопки, нажав на которые можно получить подробную информацию о целях обработки данных пользователя и сроках хранения. Чтобы получить доступ к тем или иным правилам, по которым Google обрабатывает и хранит личные данные, пользователю нужно совершить 5-6 действий.
Максимальным образом от людей спрятаны сведения о сборе информации для персонализации рекламы или для определения местоположения. Более того, такие сведения не всегда понятны.
Из-за этого пользователи не в состоянии понять масштабы слежки, установленной Google, хотя методы этой слежки "особенно массовые и глубоко проникающие из-за количества предлагаемых услуг (около 20), количества и характера обработанных и объединённых данных", признало французское агентство.
Google неясно формулирует для пользователей, что для сбора данных обязательно нужно явное согласие человека. Создаётся впечатление, что корпорация имеет полное право собирать персональные данные, а согласие пользователя не требуется.
Во-вторых, Google не соблюдает требования о наличии правовой основы для обработки персонализации рекламы. Комиссия признала неудовлетворительным информирование и отсутствие действительного согласия пользователей на обработку данных для таргетирования рекламы.
Информация о процедурах "не позволяет пользователю осознать масштабы". Например, в разделе "Персонализация объявлений" не говорится о множестве услуг, сайтов, приложений, участвующих в обработке данных (поиск Google, Youtube, Google Maps, Play Store, Google Photo и так далее) и, следовательно, об объёме обрабатываемых и скомбинированных данных.
Расследование также показало, что полученное согласие не является "конкретным" и "однозначным".
2 миллиарда пользователей Android "под колпаком"
Google собирает личные данные, когда пользователи дают очевидное согласие (авторизуются в любом из сервисов компании — YouTube, Gmail) и когда пользователи не дают очевидное согласие и чаще всего даже не подозревают, что компания в тот или иной момент собирает личные данные.
Так называемые пассивные методы сбора данных (без явного согласия пользователя, ЭП) действуют, например, на платформах Android и Chrome, в приложениях Поиск, YouTube, Карты), инструментах издателя Google Analytics, AdSense и инструментах рекламодателя AdMob, AdWords.
Платформа Android является для Google ключевым инструментом сбора личных данных пользователей, поскольку она насчитывает более 2 млрд активных пользователей в месяц.
Android помогает Google собирать такую личную информацию пользователя, как имя, номер мобильного телефона, дату рождения, почтовый индекс, номера банковских карт, всю активность на мобильном телефоне, в частности, используемые приложения, посещенные веб-сайты, всю историю перемещений.
Причем ОС, созданная в Google, собирает информацию о местоположении даже когда пользователь целенаправленно отключил эту возможность.
При этом руководство Google всячески усложняет доступ пользователей к информации о том, какие личные данные пользователя, в каких целях и в течении какого времени компания может использовать в своей деятельности.
В следующем материале ЭП расскажет о том, какие риски для пользователя и страны в целом несет слежка Google и какие действия надо предпринять, чтобы от нее избавиться.