Скандал с использованием данных клиентов Facebook без их разрешения заставил его пересмотреть правила работы с партнерами. Но Facebook — не основной владелец этой информации. Те, у кого она реально есть, не спешат с изменениями.
В середине марта всего за сутки основатель Facebook Марк Цукерберг потерял почти $4,9 млрд на падении акций компании. Такую реакцию инвесторов спровоцировала информация, что данные профайлов нескольких миллионов пользователей Facebook, в первую очередь из США, оказались в распоряжении британской Strategic Communication Laboratories, а также принадлежащей ей и занимающейся политической аналитикой фирмы Cambridge Analytica. Последняя использовала полученные сведения для создания программы, позволяющей делать прогноз о политических предпочтениях избирателей в ходе президентской кампании Дональда Трампа в 2016 году, а также оказывать потенциальное влияние на их выбор.
Расчеты строились на информации о городе проживания юзера, его лайках, списке друзей и других открытых данных из профайла. Собрать весь этот массив позволило приложение Thisisyourdigitallife: оно предлагало участникам Facebook пройти опрос для составления психологического портрета. Хотя приложением фактически воспользовались всего 270 тыс. человек, скомпрометированными оказались данные 87 млн профилей, как впоследствии признался Facebook — программа анализировала не только профиль проходившего тест, но и данные его друзей. Автор программы — сотрудник Кембриджского университета Александр Коган, как утверждал Facebook, обещал использовать эти данные в академических целях, но продал их Cambridge Analytica.
В разбирательство сразу же вмешались власти США и Великобритании, инициировав свои расследования.
Марк Цукерберг был вынужден выступить на слушаниях в конгрессе США с объяснениями. Он признал, что Коган продал информа- цию не только Cambridge Analytica, но и другим компаниям. Окончательный масштаб произошедшего компания рассчитывает выяснить в ходе аудита Cambridge Analytica и других разработчиков приложений.
Не сеть, а решето
До начала скандала информация о том, каким образом сторонние приложения используют личные данные пользователей Facebook, содержалась в политике конфиденциальности компании в довольно сложной для восприятия форме. Даже сам Цукерберг заявил в конгрессе, что большинство аудитории не читает этот документ либо не вникает в то, что в нем написано. Сразу после начала расследования компания начала объяснять, что получают сторонние компании, и пообещала ужесточить для последних правила доступа к информации. Из одно- го из таких пояснений Facebook следует:
— До сих пор любой пользователь мог найти нужного ему человека, внеся его номер телефона или электронную почту в строку поиска. Этой функцией могли пользоваться в том числе злоумышленники.
— Facebook хранил историю звонков и переписки владельцев смартфонов на платформе Android, у которых были установлены приложения Facebook Messenger и Facebook Lite. Компания пообещала проанализировать эту функцию, чтобы удостовериться, что сами сообщения пользователей не хранились. Цукерберг опроверг один из популярных мифов о возможности подслушивать разговор пользователей и после этого показывать таргетированную рекламу (клиенты делали такой вывод, поскольку при установке приложения на смартфон соцсеть запрашивает доступ к микрофону): доступ к микрофону нужен исключительно для корректного проигрывания видео.
— Администраторы и члены закрытых групп могли давать доступ сторонним приложениям к списку участников групп и их персональным данным (именам; фотографиям, прикрепленным к постам, комментариям к ним).
— Сторонние приложения могли через API (программный интерфейс) страниц читать любые посты и комментарии к ним.
— До 2014 года сторонние приложения могли запрашивать у Facebook информацию не только о самом пользователе, но и его друзьях. После внесения изменений приложения могут получать информацию только о тех друзьях, которые дали согласие на ее передачу. В марте 2018 года Facebook также заявил, что будет отзывать разрешения пользователей на сбор информации, если приложение не использовалось более трех месяцев.
Сейчас Facebook собирает данные двух типов. Первый — это информация, которую люди сами выкладывают в социальной сети: фотографии, посты и т.д. Второй — те, что необходимы для таргетированной рекламы. Для повышения ее эффективности Facebook также покупает услуги информационных брокеров (data-brokers). Последние собирают информацию из многих источников — платформ типа Google, Amazon и Facebook, а также компаний, работающих в индустриях, которые имеют отношение к использованию данных о людях (медиа, ретейл, телекоммуникации и финансы), — и оказывают другим компаниям услуги, связанные с таргетированной рекламой и скорингом — проверкой заемщиков банков и клиентов страховых компаний. Из отчета исследовательского института Cracked Labs следует, что в 2017 году у Facebook было шесть подобных партнеров: Acxiom, Epsilon, Experian, Oracle, CCC Marketing и Quantium. Они помогали платформе лучше сортировать и классифицировать своих пользователей.
Facebook не продает и не передает рекламодателям данные пользователей. Как объяснял представитель соцсети, они анализируют их, а затем разделяют их на категории по предпочтениям. Если рекламодатель хочет, чтобы его объявление увидели «женщины-велосипедистки из Атланты», Facebook показывает рекламу этой категории пользователей, не передавая данные о них сторонним лицам. В отчетах для рекламодателей содержится только обобщенная информация о том, насколько успешной была реклама — сколько человек и какого пола кликнули на баннер и др. статистика.
Сторонние сайты и приложения могут использовать несколько инструментов Facebook: возможность авторизации через профайл в соцсети; кнопки «Лайки» и «Поделиться»; аналитику Facebook и рекламу от рекламодателей соцсети. Когда пользователь заходит на подобный сайт или в приложение, Facebook может получать информацию о его действиях, если даже тот вышел из своего аккаунта или вообще никогда не регистрировался в соцсети. Через cookie (данные, которые отправляет сайт, когда пользователь обращается к нему через web-браузер, и которые могут храниться на устройстве пользователя) Facebook получает информацию о том, какие другие сайты или приложения использует юзер.
Что делают сторонние сайты и приложения с открытой информацией пользователей Facebook, доподлинно неизвестно. Ясно лишь, что эту информацию собирает множество компаний.
Шпионы на смартфонах
Сайты в интернете, оснащенные трекерами посещения, и мобильные приложения — это настоящие «черные дыры»: никто не может по-настоящему оценить, с кем они делятся данными, отмечалось в исследовании Cracked Labs. В 2015 году исследование популярных приложений в Австралии, Бразилии, Германии и США исследовательского центра NICTA и Университета Нового Южного Уэльса выявило, что 85–95% бесплатных и до 60% платных приложений собирали информацию пользователей в интересах третьих лиц. Журналисты РБК проанализировали приложения, которые собирали информацию из их аккаунтов в Facebook. Среди них оказались программы нескольких известных разработчиков.
«Доступ к общей информации профиля и адресу электронной почты предоставляется всем аккредитованным приложениям автоматически. Разрешение на запрос этих данных входит в минимальный базовый набор Facebook для разработчиков приложений, и более узкого запроса у соцсети нет», — пояснил РБК основатель и CEO сервиса нетворкинга MeYou Степан Данилов. Базовые разрешения не требуют проверки разработчика, но все остальные, претендующие на получение большего количества информации, требуют, говорится в «справке по разрешениям» Facebook для разработчиков.
Приложения разработчика Rambler Group, например LiveJournal и Afisha-eda, запрашивали также информацию о городе проживания и родном городе пользователя, доступ к публикациям в хронике. Представитель прессслужбы Rambler Group пояснил, что клиенты их медиаресурсов могут авторизоваться в том числе через Facebook. Такой способ авторизации позволяет полноценно использовать возможности приложений, например участвовать в голосованиях, оставлять комментарии и т.д. «Мы со своей стороны получаем потенциальную возможность работы с BigData и в перспективе настраивать «умный таргетинг», повышая эффективность взаимодействия с рекламными носителями как пользователей, так и рекламодателей. В идеале люди готовы взаимодействовать исключительно с той рекламой, которая может быть им потенциально интересна. С другой стороны, рекламодатель получает контакт с потенциально высокомотивированным пользователем», — добавил он.
Приложение для просмотра сериалов Amediateka, помимо прочего, получает доступ к списку друзей клиента. «Список друзей на данный момент не используется, однако предусмотрен для обновления рекомендательной системы на основе интересов друзей пользователя»,— отметила представитель Amedia TV Милана Богатырева.
Некоторые приложения запрашивали доступ к обновлениям статуса пользователей Facebook, их фото и видео. Например, TripAdvisor. Приложение Nokia среди прочего имело доступ к данным о семейном положении, местах работы, предпочтениях, образовании, религиозных и политических убеждениях и другой информации. Представители TripAdvisor и HMD Global (владеет правами на бренд Nokia) не ответили на вопросы РБК.
Коллекционеры пользовательских душ
Facebook — не основной источник данных о пользователях. В исследовании Cracked Labs основными источниками названы информационные брокеры. Крупнейшими подобными компаниями эксперты Cracked Labs назвали Acxiom и Oracle. Например, Acxiom десятилетиями собирала данные о потребителях из публичных источников: телефонных справочников, судебных записей, криминальных сводок, различных реестров, анкет, опросов и др. Позже к этому добавились цифровые источники, например, крупные ИТ-компании, чей софт позволяет анализировать телефонные разговоры, финансовые транзакции, активность в интернете и пр., чтобы выявить криминальную и террористическую активность.
Кроме того, Acxiom сотрудничает с Ibotta (собирает данные о покупках с помощью информации с карт лояльности или чеков), Samba TV (собирает данные о ТВ-смотрении через программы, установленные на ТВ-приставках, или платформы «видео по запросу»), Crossix (собирает медицинскую информацию, включая историю болезни, назначения врача, рецепты и т.д.), FreckleIOT (данные о местонахождении человека в реальном времени: в различных магазинах, аэропортах, барах и пр. могут быть установлены специальные сенсоры, с которыми может связываться смартфон пользователя и отправлять информацию) и другими компаниями, которые в основном работают в США. Эту информацию Acxiom хранит в виде уникального анонимного ID — не- кого кода, который связан с почтовым адресом, номером телефона, электронной почтой, IP-адресом, геолокацией, cookie, ID устройств. К каждому уникальному ID Acxiom приписаны несколько категорий, которым соответствует человек. Клиент может дать Acxiom электронную почту некого потребителя и запросить информацию, к каким категориям его относит информационный брокер.
Сейчас пользовательские данные применяются для продажи таргетированной рекламы и скоринга, но в будущем им могут найти другие, менее безопасные применения. Например, данные могут использоваться для динамического изменения цен на товары на сайте интернет-магазина в зависимости от того, кто его посещает. С помощью персонализации компании могут пытаться влиять на поведение потребителя, показывать ему рекламу в определенный момент, чтобы тот совершил покупку.
При участии Ирины Ли