В январе сервис WhatsApp (принадлежит Facebook) изменил условия использования и политику приватности. Новации, главная из которых состояла в обязательной передаче данных пользователей WhatsApp в Facebook, компания обещала ввести с 8 февраля.
Это возмутило пользователей, многие из которых стали покидать WhatsApp. Турецкое правительство даже начало расследование в отношении Facebook и принадлежащего ей WhatsApp, а пресс-служба президента Турции заявила, что отказывается от использования мессенджера.
Facebbok перенёс изменение пользовательской политики WhatsApp на 15 мая. Резко увеличились загрузки конкурирующих приложений, прежде всего Telegram.
В WhatsApp отрицают, что пользовательские данные только теперь будут передаваться в Facebook: «…Принимая новые Условия предоставления услуг, вы не даёте WhatsApp дополнительные разрешения на предоставление пользовательских данных материнской компании Facebook».
Если сопоставить политику приватности от 4 января 2021 с предшествующей редакцией, выяснится, что WhatsApp передаёт Facebook значительный объём пользовательских данных начиная с 2014 года, и в 2021 году в этом отношении, действительно, практически ничего не меняется.
I. Информация, предоставляемая пользователем
1. Информация аккаунта:
- номер мобильного телефона и выбранное имя профиля;
- фото профиля и дополнительные сведения, а также статус (по согласию пользователя);
2. Сообщения:
- недоставленные сообщения – в течение 30 дней;
- медиафайлы («временно»);
3. Контакты из адресной книги.
4. Данные о транзакциях и платежах – в случае использования платёжных услуг и сервисов Facebook.
5. Обмен информацией со службой поддержки и другими службами (копии сообщений, способы связи (например, адрес электронной почты) и другая информация, предоставленная пользователем при направлении запроса).
II. Информация, собираемая автоматически
1. Данные об использовании и отладочная информация:
- информация о действиях пользователя (настройки, а также время, частота и продолжительность ваших действий и взаимодействий);
- отладочная информация и отчёты и записи о диагностике, сбоях и характеристиках работы приложения и веб-сайта;
- информация о времени регистрации пользователя;
- информация о том, какие функции используются (сообщения, звонки, платежи, время нахождения онлайн и др.;
2. Информация об устройстве и подключении к Интернету (модель устройства, операционная система, уровень заряда аккумулятора, сила сигнала, версия приложения, браузер, мобильная сеть, информация о подключении, в том числе номер телефона, язык и часовой пояс, IP-адрес, информация о работе устройства и идентификаторы и др.).
3. Информация о местоположении.
4. Файлы cookie.
III. Информация, поступающая от третьих лиц
1. Информация от других пользователей:
- номер телефона, имя и другая информация (например, хранящаяся в адресной книге их мобильных телефонов).
2. Жалобы пользователей:
- кто подал жалобу, на кого подали жалобу.
3. Компании в WhatsApp:
- компании, с которыми общается пользователь.
4. Сторонние поставщики услуг.
5. Услуги третьих лиц.
Фактически WhatsApp передавал и продолжает передавать компаниям Facebook все пользовательские данные, за исключением содержания сообщений, которое, как утверждается, защищено сквозным шифрованием.
Теоретически WhatsApp имеет возможность собирать ещё больше данных, нежели декларирует. Например, если пользовательское устройство разрешает доступ к файлам, приложение получает к ним доступ. Если разрешён доступ к камере и микрофону, приложение может вести запись без ведома пользователя в любой момент времени. После Сноудена эти предположения не просто не лишены оснований – они обязательны.
Основной риск для пользователя заключается в том, что для Facebook появляется возможность «склеить» аккаунты пользователя в WhatsApp с аккаунтами в Facebook и Instagram (также принадлежит Facebook), получив новое качество пользовательских данных. Это даёт теоретическую возможность развить ИИ-систему, которая способна просчитывать поведение пользователя и, более того, программировать его.
Даже без доступа к WhatsApp-сообщениям Facebook может «узнать» о человеке больше, чем он сам о себе знает. Это полностью в духе бизнес-модели Facebook, исповедуемой Марком Цукербергом.
Согласно таксономии форм нарушений приватности, разработанной американским ученым Даниэлем Соловом (Daniel J. Solove), в данном случае можно говорить о таких нарушениях, как:
- агрегация или профилирование (собирание различных частей информации о личности – «склеивание» аккаунтов и совмещение их с метаданными);
- вторичное использование (использование данных для целей, не связанных с целями, для которых эти данные были изначально собраны, без согласия субъекта данных);
- идентификация (связывание данных с конкретным лицом);
- а также, потенциально, посягательство на самостоятельность пользователя в принятии решений.
Ещё один существенный риск связан с тем, что WhatsApp, Facebook и Instagram являются американскими компаниями. В США спецслужбы имеют произвольный доступ к коммуникациям – компании обязаны предоставлять им доступ и ключи шифрования. Американские спецслужбы могут осуществлять (и осуществляют) тотальный государственный шпионаж в отношении миллионов пользователей, включая граждан США. Европейский суд (Court of Justice of the European Union) на этом основании, напомним, в 2020 году признал незаконным действующий порядок передачи данных из Европы в США.
Поскольку закон ЕС устанавливает наиболее высокие стандарты защиты персональных данных, WhatsApp имеет различные версии политик приватности и пользовательских оглашений для ЕС и остальных стран.
В ЕС юридическим лицом WhatsApp является WhatsApp Ireland Limited. За пределами ЕС сервис предоставляет WhatsApp LLC.
Разница в пользовательских соглашениях WhatsApp в ЕС и вне ЕС не так уж велика, однако создание WhatsApp Ireland Limited привлекло внимание общественности к агрессивному сбору WhatsApp пользовательских данных, который раньше оставался незамеченным.
WhatsApp, вероятно, нарушает следующие положения GDPR:
- принцип законности, справедливости и прозрачности – обрабатываются данные, не являющиеся необходимыми для исполнения договора, согласие субъекта является вынужденным;
- ограничение целью – данные обрабатываются не для той цели, для которой они собирались;
- минимизация данных – собирается больше данных, чем необходимо для достижения декларируемой цели;
- ограничение хранения – вероятно, данные хранятся и обрабатываются дольше, чем необходимо для достижения законной цели в соответствии с заявленным правовым основанием;
- конфиденциальность – данные передаются третьим лицам.
В ноябре 2020 года ирландский надзорный орган (Irish Data Protection Commission) начал расследование в отношении WhatsApp в связи с нарушением принципа прозрачности обработки данных. В январе сообщалось, что WhatsApp оштрафуют в ЕС на 50 миллионов евро. Для Facebook и его дочерних компаний эти расходы приемлемы, они закладываются в бюджет как бизнес-риски.
Число пользователей WhatsApp в мире в 2020 году достигло двух миллиардов. В России WhatsApp по итогам 2020 года – самый популярный онлайн-мессенджер.
По материалам НТЦ ГРЧЦ.
