Как государство и компании используют ваши персональные данные (иногда против вас)

Alexa вас слушает, Google за вами следит, даже если вы отключили GPS; история посещения сайтов считывается даже в режиме “инкогнито”. Данные о вас собирают люди и девайсы. В интернете, в соцсетях, в офлайне. В супермаркете, магазине одежды, на заправке, в американском консульстве, на границе США, у доктора, в офисе DMV. И большая часть этих данных оказывается в распоряжении государственных служб и частных компаний.

Невозможно полностью узнать о том, какая информация о вас доступна и в каком виде. Например, в некоторых штатах при покупке сигарет продавцы просят ваше удостоверение личности (чаще всего водительские права) и сканируют его, обязательно. По задумке регуляторов, это должно предотвращать доступ к сигаретам несовершеннолетних, которые часто пользуются поддельными правами. Но куда потом идет это информация? Не окажется ли она в руках вашей страховой компании, которая посчитает, что вы более “проблемный” клиент и вас пора переводить в категорию “высокого риска” и, соответственно, поменять ваш страховой план? Не будут ли вам теперь посылать рекламу таблеток от курения? Мы не можем быть уверены на 100%. 

“Я просил продавца не сканировать мои права, просто посмотреть на них и удостовериться, что мне 48 лет, а не 16. Это же просто смешно! Она настаивала. После 20 минут пререканий я развернулся и уехал в магазин “индейцев” [речь о табачных магазинах, которые принадлежат коренному американскому племени и имеют льготы, освобождение от госпошлин и поэтому предлагают клиентами более низкие цены]. Теперь всегда покупаю сигареты там и никто не просит мои права”, – рассказывает Эрик, врач из Флориды. 

Такая же ситуация с возвратом товаров в магазинах – в некоторых сканируют ваши документы в целях предотвращения мошенничества. Но что они потом делают с этими данными – вопрос.

И все эти – и многие другие данные – могут оказаться перед глазами у офицера иммиграционной службы. Алла из группы “Рубика” делится тем, как это бывает: “На интервью спросили гражданина США, почему он выплатил ипотеку за дом и купил лодку после заключения брака, а также почему бывший муж и сын его жены получили права на его адрес”. 

Будет к ним доступ и у правоохранителей. “Сотрудник одной из правоохранительных служб, который расследовал деятельность моего работодателя, добавил в дело на меня информацию из моего фейсбука. И в личном разговоре сообщил, что в курсе моей социальной жизни”,  – рассказывает Татьяна Кузьмина из Алабамы. 

А потом эти данные могут увидеть еще и недоброжелатели. “Адвокат противоположной стороны через суд получил доступ к моими персональным данным, а потом их опубликовал в интернете. Вместе с SSN. И после этого все мои банковские аккаунты взломали”, – рассказывает Сергей, который проходил через тяжелый развод в Калифорнии. 

Что говорят американские законы

В США нет одного всеобъемлющего закона для защиты персональных данных. Эту сферу регулирует ряд “точечных” правил на уровне штатов и несколько федеральных актов. 

Самый большой закон о персональных данных – Federal Trade Commission Act, который, среди прочего, обязывает Федеральную торговую комиссию и частные компании защищать информацию пользователей. 

На федеральном уровне ваши данные защищают такие законы:

1. В офисе у доктора – HIPAA (Health Insurance Portability and Accountability Act): запрещает медработникам и сотрудникам страховых фирм разглашать информацию о состоянии здоровья пациента, предоставлении медицинской помощи и оплате медицинских услуг.

2. В банке – GLBA (Gramm-Leach-Bliley Act): защищает вашу финансовую информацию. Банки и другие финансовые учреждения должны сообщать вам, какими конфиденциальными данными делятся с третьими сторонами и информировать о праве отказаться от этого.

3. Ваших детей – COPPA (Children’s Online Privacy Protection Act): запрещает собирать данные о детях до 13 лет онлайн без согласия родителей. Разрешение родителей получить непросто, поэтому многие ресурсы запрещают пользование детям до 13 лет. Так делает, например, Facebook. Для детей компания создала отдельный мессенджер, которым можно пользоваться только с официального разрешения взрослых.

4. Вашу кредитную историю – FCRA (Fair Credit Reporting Act): позволяет кредитным бюро собирать историю оплаты счетов, прошлых займов и текущих долгов. Эту информацию могут просматривать кредиторы и страховые компании. Работодатели также имеют право запросить ее, но только с разрешения соискателя.

5. Информацию, которую вы даете DMV – DPPA (Driver’s Privacy Protection Act): он гласит, что человек должен дать разрешение на передачу или использование своей информации, необходимой для выдачи водительского удостоверения. 

6. Информацию, которую дают школе или колледжу – FERPA (Family Educational Rights and Privacy Act): запрещает государственным учебным заведениям разглашать информацию о студенте или ученике без его согласия или согласия родителей (если ученик несовершеннолетний).

7. То, что знает о вас Verizon или Сomcast – CCPA (Cable Communications Policy Act): обязывает кабельные компании письменно уведомлять, какую информацию о вас будут собирать и как ее будут использовать. Дополнительно, VPPA (Video Privacy Protection Act) запрещает разглашать, какие аудиовизуальные материалы покупает или берет в прокат человек.

В реальности эти законы особо нас не защищают

После скандала с Cambridge Analytica (эта компания собирала данные о пользователях Facebook и продавала их политикам в США и Великобритании, чтобы показывать “неопределившимся” избирателям специфически заточенную под их психотип рекламу; благодаря Cambridge Analytica, скорее всего, случился Brexit и выбрали Дональда Трампа) американцы все больше озаботились вопросом, какие данные о себе они добровольно предоставляют.  

В Евросоюзе законы после этих событий ужесточили – так, в 2018 приняли Общий регламент по защите данных (General Data Protection Regulation), и теперь американские Facebook и Apple должны ему подчиняться в Европе. 

Благодаря этому закону каждый пользователь может попросить предоставить все хранящиеся о себе данные, исправить их, удалить или запретить использовать. Очень похожий закон под названием California Consumer Privacy Act вступит в силу в 2020 году в Калифорнии. 

Но при желании правительство может “вытащить” любые данные – нужно только подать запрос. Это можно сделать в интересах национальной безопасности или защиты граждан, объясняет Александр Смычников, директор по бизнес-консалтингу компании 10Guards, эксперт по кибербезопасности и приватности данных. 

“Если запрос аргументирован, фирма обязана подчиниться и раскрыть информацию. Отказать можно только в том случае, если запрос не имеет под собой достаточного основания, но такое случается крайне редко”, – объясняет он. 

Однако по закону компании могут делиться данными о вас – если их анонимизируют, например, уберут ваше имя или номер телефона. Если же конкретного человека по ним определить нельзя, то они могут быть в свободном доступе – даже медицинские истории. 

Впрочем, сейчас деанонимизировать данные нетрудно, говорит Смычников. Британские и бельгийские ученые разработали компьютерный алгоритм, который может идентифицировать 99,98% американцев по практически любому доступному набору данных, если у них есть 15 пунктов информации (например, пол, семейное положение).  

То есть, кто-то может опубликовать информацию из вашего профиля на сайте знакомств, убрав юзернейм, ссылку на профиль и фотографии. Но по этому набору данных алгоритмы могут точно вас идентифицировать, вплоть до имени и домашнего адреса.  

Информацию на иммигрантов собирают все время

С апреля 2018 года при подаче на визы в США нужно указывать свои аккаунты в соцсетях, и любая информация в них (в том числе личные сообщения, фото, видео, комментарии) может быть использована против вас. 

Когда вы пересекаете границу США, офицеры пограничной службы могут попросить досмотреть ваш смартфон. Откажетесь – вас просто не пустят в страну. Согласитесь – и они пройдутся по вашим личным фото и сообщениям, и на основании какой-то неосторожной фразы тоже могут вас не пустить, как это случилось с 24-летним британцем, который ехал к своей девушке.  Или как с канадским геем, которого посчитали секс-работником из-за обнаженных фото на телефоне. 

И чтобы не было сомнений – технологические компании помогают государству, чем только могут. Компания Palantir Technologies сооснователя PayPal Питера Тиля помогла найти террориста Усаму Бин Ладена. А теперь помогает ловить иммигрантов без документов. У них есть огромная база на жителей США. Palantir знает вашу почтовую переписку, данные о скачиваниях и даже то, что вы распечатывали на принтере. Сначала к этим данным имела доступ лишь разведка, но теперь он есть у ФБР, полиции  и даже частных фирм – например, банка JP Morgan Chase. 

И несмотря на то что информация заявителя при получении водительских прав в офисе DMV конфиденциальна, ее активно используют другие государственные службы – например, иммиграционная полиция. В июле 2019 года из-за этого разразился скандал: стало известно, что  для поиска иммигрантов – без статуса (“нелегалов”) иммиграционная полиция использует технологию распознавания лиц с фото на водительских удостоверениях. Они могут получать права в 12 штатах и округе Колумбия и, по задумке, таких людей без документов не должны наказывать за то, что они пришли за правами. Однако на деле иммиграционная полиция именно это и делает – и кроме имени, может получить адрес и номер автомобиля иммигранта без документов. 

Государственные базы данных связаны между собой. Например, если вас арестовала полиция, то отпечатки пальцев автоматически проверяются по базам данных ФБР и Департамента нацбезопасности.

Несомненно, государственные органы, через которые проходят иммигранты, тоже взаимодействуют между собой. У них есть агрегированная база Person Centric Query Service, к которой имеют доступ службы, подконтрольные Департаменту нацбезопасности, а также “избранные федеральные агентства” – например, Госдепартамент (в аппарат которого входят консульства, которые выдают американские  визы за границей).

Здесь можно узнать имя, регистрационный номер иностранца (Alien Registration Number), номер социального страхования, дату рождения, место жительства, номер телефона, имейл, номер свидетельства о гражданстве, номер свидетельства о натурализации и номер визового контроля (Visa Control Number). Власти получают ваши фотографии, биометрические данные, результаты проверки биографических данных и данные от пограничников. 

Как защититься? 

1. Не давать о себе лишней информации, советует Смычников. Например, в анкетах у врачей просят номер социального страхования – но давать его нет необходимости и не стоит. Аналогично в описанном выше случае со сканированием прав при покупке сигарет. Всегда полезно спросить: “Я могу вам не давать этой информации? Почему вы ее спрашиваете?”.

2. Не скачивать подозрительные приложения вроде нашумевшего FaceApp. Они обычно собирают данные с вашего телефона – фото, видео, контакты. И даже если у вас нет не ничего криминального, подумайте: вдруг вы фотографировали паспорт, SSN или кредитку? Такие “игрушки” (особенно бесплатные) часто сохраняют информацию с вашего телефона даже после удаления.

3. Аккуратно отвечать на все вопросы госслужб. Чем меньше информации, тем меньше почвы для подозрений. Не говорите лишнего, даже если вас остановили за превышение скорости, ведь ваши слова могут передать другим учреждениям. Помните: все, что вы скажете, могут использовать против вас.

4. Перед прохождением границы США принять меры безопасности – выйти из аккаунтов в соцсетях, почты, удалить приложения (потом можно их опять установить), перебросить фотографии на облако и стереть локально на телефоне. Подробнее об этом в инструкции “Рубика”.

5. Не доверять никому – даже знакомым имейлам. Электронные письма якобы с официального домена или имейла друга несложно подделать. Так, Вадим Беляев, специалист по сетевой безопасности, объясняет:  “От имени вашего домена может посылать почту в общем-то любой человек”. Для отправки фейковых писем даже есть специальные сервисы в интернете. Обычно это делают ради фишинга, финансового мошенничества и кражи документов. “Электронная почта не создавалась как что-то защищенное и приватное”, – объясняет Вадим.

В доказательство он отправил основательнице “Рубика” Катерине Пановой письмо с ее же имейла – конечно, поддельное. Отличить его от настоящего несложно, если знать, куда смотреть. В большинстве популярных почтовых сервисов есть указание, что письмо пришло с сомнительного сервера. Для Gmail это красный знак восклицания, для “Яндекса” – желтый. А вот в Yahoo его нет. 

6. Не пользоваться кредиткой. Это вариант для отчаянных. Однако кредитка – лучший источник информации о нас. Она показывает, что мы покупаем, где и в какое время бываем. По ней можно определить даже сексуальные предпочтения – например, если вы несколько раз расплатились за коктейль в гей-клубе, с вами сразу “все ясно”.

7. Не использовать скидочные и подарочные карты в магазинах. Они собирают вашу информацию – в основном, для маркетинга. “Купила в Sephora товар по подарочной карте. Спустя пару недель вижу конкретную фирму и товар у себя в рекламе Instagram. Не гуглила”, – рассказывает читательница “Рубика” Виктория.

8. Думать перед тем, как что-то публиковать что-то в соцсетях. Например, если вы в США по туристической визе – не стоить ставить фото с подписью “на работе” (работать по турвизе нельзя).

9. Не заходить в гугл-аккаунт без надобности. Google соотносит с аккаунтом все данные о вашей деятельности в браузере, даже если вы находитесь в режиме инкогнито.

10. Отключать голосовые ассистенты (Siri, Alexa) и геолокацию на телефоне, когда вы ими не пользуетесь (а в идеале – не пользоваться ими никогда). Google следит за вами, даже если геолокация отключена, однако в таком случае данные о вас будет труднее получить третьим сторонам.