В США не утихают дискуссии вокруг скандала с Cambridge Analytica, которая собирала информацию о пользователях Facebook и подозревается в манипулировании политическими взглядами граждан. В Европе, чтобы защитить граждан от подобных случаев, ввели новые требования GDPR (General Data Protection Regulation), которые распространяются и на российские компании.
Марку Цукербергу пришлось несколько часов объясняться перед Конгрессом США за утечку данных пользователей Facebook
Фото: Olivier Douliery/ABACAPRESS/Коммерсантъ
В глобальной сети манипулирование мнением перешло на новый уровень. Андрей Гайко, замдиректора Digital Compliance, дочерней структуры Digital Security, говорит, что им охвачена вся планета: "Ни одна политическая акция, выборы не проходят без применения технологий манипулирования. Можно с большой долей вероятности утверждать, что все активные политические силы обращаются к компаниям, подобным Cambridge Analytica. Россия не исключение. Появились более продвинутые технологии для того, чтобы манипулирование стало высокоэффективным. Например, если собрать данные об аудитории и понять, к чему она тяготеет, разные события можно трактовать по-разному и таким образом склонять целевую аудиторию к принятию определенного запрограммированного решения".
Никита Панов, старший тренер лаборатории компьютерной криминалистики Group-IB, объясняет, как это происходит: "Большинство людей ищут в интернете подтверждения своих взглядов на товары и услуги, на политику и окружающую среду — этим пользуются компании, работающие на рынке интернет-рекламы. Здесь можно вспомнить Стива Джобса: "Если мы можем затронуть чью-то душу, то это бесценно". Современные приложения для соцсетей способны анализировать множество данных, которые пользователь сам выкладывает в открытый доступ: фотографии, сделанные в путешествиях, регистрация на различных мероприятиях, добавленные к постам хэштеги — все это изучается и влияет на то, что видит наш "цифровой двойник" в сети. Например, если пользователь часто делает репосты или упоминает политические события, связанные с определенным кандидатом, то вокруг него начинает формироваться так называемый информационный пузырь. Это информационное поле подталкивает к принятию определенных решений".
По словам Андрея Гайко, с каждым годом технологии наблюдения за пользователями дешевеют. Это значит, что использовать такие инструменты могут не только крупные корпорации и политические партии, но даже небольшие стартапы. В среде маркетологов широко распространены системы мониторинга пользовательской активности. "Достаточно встроить небольшой код к себе на веб-страницу или в мобильное приложение — и можно понять, что за человек перед вами, где он живет, сколько ему лет, каков уровень его дохода, пол и прочее. Опасность таких систем для рядовых граждан еще глубоко не изучалась. Систем по сбору данных очень много. Вопрос в том, как полученные данные обрабатывать. Тут вступают в работу нишевые игроки, которые поняли алгоритмы работы с данными под узконаправленные задачи, например навязывание политических взглядов определенным категориям граждан",— рассказывает Андрей Гайко.
Пользователи Facebook часто не подозревают о том, как много информации о них получает огромное количество третьих лиц. Евгений Линник, директор по развитию Центра компетенций больших данных компании "Техносерв", указывает на серьезность этой проблемы: "Риски существуют, и они реальны. Если допустить, что политические предпочтения можно менять с такой же легкостью, как увеличивать средний чек, то этому воздействию подвержены десятки процентов населения. Это проверено такими гигантами, как Walmart и Amazon".
По словам господина Линника, люди недооценивают важность личных данных. Информация, которую собирают сайты, включает места посещения, уникальный идентификатор устройства пользователя и т. д., а не только пол, возраст и ФИО. "Эти данные помогают сформировать вокруг пользователя искаженное информационное поле, в котором, например, будут поливать грязью одного кандидата и превозносить другого,— объясняет он.— Социальная инженерия шагнула достаточно далеко, чтобы предлагать такие решения не только бизнесу, но и политикам".
Методы защиты
Как избежать риска подвергнуться манипуляциям? Таких способов пока не существует. Нет возможности установить на свой компьютер программное обеспечение, что-то вроде антивируса, и решить проблему. Андрей Гайко объясняет: "Если вы перекроете один канал сбора данных о вас, то это не значит, что все остальные заблокировались".
Анастасия Баринова, тренер лаборатории компьютерной криминалистики Group-IB, рекомендует внимательно изучать правила пользования сервисами, где перечислены условия сбора, обработки и хранения персональных данных. "А также помните: все, что вы сообщаете о себе или выкладываете в интернет, останется там навсегда и может быть использовано против вас",— предостерегает госпожа Баринова.
В том случае, когда отдельные люди не могут защититься от угрозы, этим должно заниматься государство. Но, как замечает Андрей Гайко, если учесть, что потребителями таких сервисов являются люди, стоящие у власти, то возникает вопрос: кто это будет делать? Налицо столкновение интересов. "Можно отметить деятельность законодателей в ЕС. С 25 мая 2018 года вступил в силу закон GDPR, который обязывает всех обработчиков персональных данных граждан ЕС четко, понятно и максимально прозрачно указывать в своих офертах, политиках обработки персональных данных информацию о том, в каком объеме, с какой целью они будут собирать и обрабатывать запрашиваемые данные. А также куда именно эти данные будут передаваться, с какой целью. Такие требования закона добавят немного прозрачности в вопросе сбора и использования персональных данных. Но понятно, что останутся сервисы, которые будут "дружить" "с сильными мира сего"",— добавляет он.
Директивы GDPR — пример того, как государство могло бы защитить граждан от вмешательства в их личную жизнь. Антон Фишман, руководитель департамента системных решений Group-IB, объясняет, что регламент GDPR пришел на смену Директиве о защите персональных данных, которой пользуются уже более 20 лет в странах ЕС (DPD). По его словам, у прежнего регламента был недостаток — отсутствие жестких "обязательств" и штрафов, поэтому его игнорировали. Кроме того, требования, которые действовали в 1990-х и начале 2000-х, устарели, их решили пересмотреть. По словам Антона Фишмана, новые правила касаются всех компаний, которые в процессе деятельности обрабатывают данные граждан ЕС. В России это могут быть интернет-магазины, социальные сети, интернет-сервисы, которые собирают персональные данные. В том числе сервисы для продажи билетов, что особенно актуально в связи с чемпионатом мира по футболу, на который приедет много зарубежных гостей.
"Однако, несмотря на предусмотренные законом драконовские штрафы (до €20 млн или от 2% до 4% от годового оборота компании), бояться российским компаниям этого закона не стоит",— уверен господин Фишман. Он считает, что закон создан для защиты прав граждан, а не для наказания неугодных компаний. Огромные штрафы заявлены, чтобы к данным правилам серьезно относились в том числе гиганты-монополисты типа Google, Microsoft, Apple. К тому же практика исполнения решений ЕС в России пока не слишком развита, поэтому не очень понятно, каким образом будет взыскиваться штраф, который выписан комиссией ЕС российской компании.
Другое дело, что компании, которые напрямую работают с европейской аудиторией, по словам Александра Бондаренко, генерального директора R-Vision, должны будут иметь представительство на территории ЕС в виде филиала, дочерней компании или третьей стороны. Этот представитель будет нести все возможные юридические последствия, так как напрямую оштрафовать российскую компанию не представляется возможным.
Антон Фишман уточняет, что компании, чей бизнес заключается в систематическом мониторинге и обработке персональных данных в большом объеме либо которые обрабатывают специальные данные (например, медицинские), должны назначить в Европе лицо, ответственное за защиту данных (Data Protection Officer — DPO). И это лицо может быть привлечено к ответственности за нарушение GDPR.
"Каким образом ЕС будет бороться с компаниями, которые оказывают услуги гражданам ЕС, но не имеют представительства в Европе, непонятно. Законодательство только вступило в силу, и вопросов у многих участников рынка пока больше, чем ответов",— говорит гендиректор R-Vision.
Антон Фишман напоминает о том, что в России действует федеральный закон "О защите персональных данных" (ФЗ-152). Интернет-компании давно привели свои системы в соответствие с ним, и им не придется нести большие расходы на доработку их под требования GDPR.
Важно, что европейские директивы трактуют термин "персональные данные" шире, чем российское законодательство. "Мы можем сколько угодно спорить о том, можно ли считать IP-адрес персональными данными при условии наличия имени и фамилии. В GDPR все конкретно: это любая информация, которая дает возможность прямо или косвенно идентифицировать пользователя (имя, фамилия, адрес и т. д.). Закон выделяет особую категорию персональных данных — Sensitive Personal data, куда входят биометрические данные, указание расовой, религиозной и этнической принадлежности, философские взгляды, членство в профсоюзных и иных некоммерческих ассоциациях, данные о здоровье и сексуальной ориентации. Вот тут вводятся более строгие правила,— говорит господин Фишман.— В целом введение GDPR — положительный шаг. Станет меньше спамеров и компаний, которые полулегально подсовывают подписки на услуги. Будет меньше таких инцидентов, как с Cambridge Analytica, поскольку компаниям типа Facebook придется более серьезно относиться к персональным данным пользователей. Лично я надеюсь на то, что GDPR сделает интернет чище и наше государство в будущем тоже сможет учитывать практику GDPR при принятии законов".