Сила конфиденциальности. Почему необходимо обладать контролем над своими персональными данными и как его установить

Отравленное общество

Существует четыре основных способа, как неправильное использование персональных данных может отравить общество. Персональные данные могут поставить под угрозу национальную безопасность, они могут быть использованы для подрыва демократии, а также могут угрожать либеральным устоям общества, продвигая культуру разоблачения и подозрительности и поставить под угрозу безопасность людей.

Угроза национальной безопасности

Equifax – один из крупнейших брокеров данных и агентств по предоставлению информации о потребительских кредитах. В сентябре 2017 года компания объявила о взломе системы кибербезопасности, в результате которого преступники получили доступ к личным данным около 147 миллионов американских граждан. Украденные данные включали фамилии, номера социального страхования, даты рождения, адреса и номера водительских прав. Это одна из крупнейших утечек данных в истории – пока что. В феврале 2020 года история приняла еще более мрачный оборот, когда Министерство юстиции США предъявило четырем китайским военным обвинения по девяти эпизодам, связанным с этим громким делом (что Китай отрицал).

Зачем китайским военным нужны все эти персональные данные? Возможно, они хотели идентифицировать потенциальные возможности для вербовки этих людей в качестве шпионов. Чем больше у вас информации о людях, тем больше у вас шансов получить от них то, что вы хотите. Если вы понимаете, что у них есть долги, вы можете предложить деньги. Если вы узнаете их тайну, вы можете их шантажировать. Если вы изучите их психологию, вы сможете предугадать их поведение. Китай, например, известен тем, что использует социальные сети, такие как LinkedIn, для вербовки шпионов. У LinkedIn 645 миллионов пользователей, ищущих возможности трудоустройства, данные которых открыты для незнакомых людей. Люди, работавшие на правительство, иногда объявляют о своем отношении к секретным службам, чтобы повысить шансы получить работу. Вся эта информация и доступ ценны для китайских разведчиков. Общаться с людьми в интернете гораздо менее рискованно и более экономически выгодно, чем лично. Считается, что китайские разведчики пытались установить контакт с тысячами граждан Германии и Франции в социальных сетях[218].

Вторая причина, по которой зарубежные страны могут нуждаться в личных данных, – это отработка своих алгоритмов. У Китая есть множество данных о своих гражданах, но недостаточно данных о других людях по всему миру. Алгоритмы, отработанные на персональной информации китайцев, могут не работать на западных людях. Третья причина – можно использовать эти данные для разработки целевых кампаний по дезинформации, как это сделала Cambridge Analytica. Наконец, данные – это просто еще один товар, который можно продавать другим государствам[219]. Возможно, Россия или Северная Корея так же, как и Китай, заинтересованы в получении дополнительной информации об американцах.

Атаку на Equifax провели профессионалы. Хакеры крали информацию небольшими партиями, чтобы избежать обнаружения, и перенаправили интернет-трафик через тридцать четыре сервера в более чем дюжине стран, чтобы скрыть свои следы. Но в этой ситуации и Equifax вела себя слишком опрометчиво. Конфиденциальная информация хранилась у них в виде простого текста (в незашифрованном виде), была легко доступна, и по крайней мере в одном случае компания использовала слишком простой пароль («admin») для защиты портала. Что еще более важно, они вовремя не обновили свое программное обеспечение Apache Struts. Apache обнаружила уязвимость в своем программном обеспечении и предложила своим пользователям обновления, но Equifax их не установила[220].

В случае с Equifax данные были украдены. Но учитывая рост числа брокеров данных, информацию можно законно покупать и использовать в столь же гнусных целях. Когда в New York Times получили данные о местоположении, хранящиеся у брокера данных, из источников, которые «обеспокоились тем, как они могут быть использованы», они исследовали, насколько опасными могут быть такие данные[221]. Эти данные включали информацию о 12 миллионах номеров телефонов жителей США. Удалось отследить места, которые посещали некоторые из исследуемых людей, включая психологические центры, наркологические клиники, места встреч представителей сексуальных меньшинств, церкви, мечети и клиники, где делали аборты.

Репортеры смогли идентифицировать и организовать слежку, среди прочего, за военными, имеющими допуск к секретной информации, а также за сотрудниками правоохранительных органов. Если кому-то из этих людей есть что скрывать (а это относится ко всем людям), такой легкий доступ к их данным может сделать их объектами шантажа. Если людей, отвечающих за безопасность в наших странах, так легко найти, выследить и потенциально шантажировать, то мы все в опасности, а зарубежные страны слишком хорошо осведомлены о том, как персональные данные делают государство уязвимым.

Обеспокоенность национальной безопасностью послужила причиной того, что США оказали давление на китайского игрового гиганта Beijing Kunlun, чтобы тот продал свою долю в американской компании Grindr. Grindr – это приложение для знакомств, ориентированное на геев, бисексуалов и трансгендеров. Оно хранит невероятно чувствительные данные, включая разговоры на сексуальную тематику, фото и видео в обнаженном виде, местоположение в реальном времени, адреса электронной почты и ВИЧ-статус. Если бы мы жили в мире, в котором к конфиденциальности относились серьезно, такое приложение должно было бы иметь самый надежный уровень кибербезопасности и конфиденциальности. Вы, наверное, уже не удивитесь, если я скажу вам, что это не так. В 2018 году норвежская исследовательская организация обнаружила, что Grindr отправляла личные данные, в том числе о ВИЧ-статусе, третьим сторонам, которые помогают улучшать приложения. Согласно отчету, бóльшая часть этих личных данных, таких как информация о местоположении, была отправлена в незашифрованном виде ряду рекламных компаний[222].

США не раскрывают подробностей своих опасений по поводу Grindr, поскольку, как сообщает источник в ведомстве, «это потенциально может раскрыть секретные заключения американских агентств», но, учитывая контекст, их можно себе представить. И наконец, Kunlun предоставила находящимся в Пекине инженерам доступ к личной информации миллионов американцев, в том числе к их личной переписке[223]. Вполне вероятно, что некоторые военные и спецслужбы США пользуются этим приложением, и Китай может использовать их данные, чтобы шантажировать их или делать выводы о передвижениях американских войск[224]. Это не первый случай, когда приложение выявляет перемещения воинских частей.

Как и большинство других людей, те, кто вовлечен в государственные проекты повышенной секретности, занимаются оздоровительным бегом недалеко от тех мест, где живут и работают. Когда военнослужащие в США поделились своими маршрутами бега с фитнес-компанией Strava, им и в голову не пришло, что они транслируют местонахождение секретных военных баз. Strava опубликовала на своем веб-сайте текущие маршруты всех пользователей в виде тепловой карты, на которой можно, увеличив масштаб, изучить наиболее и наименее распространенные маршруты. Аналитики отметили, что можно не только обнаружить секретные военные базы, используя то, что их обрамляют беговые маршруты в районах с низкой плотностью иной активности, но можно также идентифицировать пользователей Strava по фамилии, используя другие открытые базы данных. Таким образом, благодаря тепловой карте можно было идентифицировать военных, представляющих интерес, и следить за ними[225]. В этом случае данные, которые создавали угрозу национальной безопасности, даже не были украдены или куплены – они были открытыми и легкодоступными.

После этого инцидента Strava сделала демонстративный жест по отмене тепловых карт, заменив их на более наглядные и простые[226]. Слишком мало и слишком поздно.

Люди должны давать согласие на сбор данных. Неуважение к конфиденциальности в целом означает, что конфиденциальность военнослужащих и чиновников также находится под угрозой. Через них иностранные державы могут поставить под угрозу безопасность целой страны. Угрозы национальной безопасности – не единственный способ отравления обществ нашими персональными данными. Они могут поставить под угрозу и нашу демократию.

Угроза демократии

Скандал с Cambridge Analytica показывает, как утрата конфиденциальности может способствовать махинациям при проведении демократических процедур. Нарушение конфиденциальности позволило создать профили, которые использовались для пропаганды и манипулирования людьми в соответствии с их психологическими особенностями. Кристофер Уайли, разоблачитель Cambridge Analytica, считает, что инициатива по выходу Великобритании из Европейского союза не прошла бы на референдуме без вмешательства фирмы по обработке данных[227]. В некотором смысле компания причинила вред всем гражданам стран, в которых она осуществляла вмешательство, а также гражданам других стран, учитывая, что на всех нас влияет глобальная политика. Вот каким масштабным может быть разрушительный эффект от утечки данных.

Крис Самнер, директор по исследованиям и соучредитель некоммерческой организации Online Privacy Foundation, руководил исследовательским проектом по теневой рекламе. Так называемые теневые объявления видны только тому, кто их публикует, и предполагаемой целевой аудитории. Целевые группы могут быть определены на основании данных о местоположении, поведенческих данных и психографической информации (психографическое профилирование классифицирует людей по типам личности на основе персональных данных). Самнер решил проверить, насколько эффективной может быть такое таргетирование. Он и его партнер по исследованию Мэтью Ширинг оценили склонность к авторитаризму 2 412 человек в Facebook и разделили их на две группы: с высокими и низкими авторитарными тенденциями. Авторитарные личности характеризуются тенденцией подчиняться и уважать людей, наделенных властью, они больше ценят традиции и нормы и менее терпимы к представителям других групп. Затем Самнер и Ширинг создали рекламу, которая либо поддерживала, либо выступала против государственной массовой слежки.

Команда разработала четыре разные рекламные кампании. Реклама в поддержку слежки, предназначенная для людей с высоким уровнем склонности к авторитаризму, показывала фотографии взорванных зданий и гласила: «Террористы не дремлют – не позволяй им прятаться в интернете. Скажи “да” массовой слежке». Версия, созданная для людей с низкими авторитарными наклонностями, гласила: «Преступность не заканчивается там, где начинается интернет. Скажи “да” наблюдению». Реклама против слежки, предназначенная для людей с высоким уровнем склонности к авторитаризму, несла изображение высадки союзных войск в Европе и гласила: «Они боролись за твою свободу. Не отдавай ее! Скажи “нет” массовой слежке». Версия, предназначенная для людей с низким уровнем склонности к авторитаризму, содержала фотографию Анны Франк и гласила: «Тебе действительно нечего бояться, если нечего скрывать? Скажи “нет” государственному надзору».