Как приложения для смартфонов собирают данные пользователей
Почти 90% приложений для Android делятся информацией с GoogleВ этом году сбору и обработке данных пользователей веб-сайтов уделяется беспрецедентное внимание, но активность приложений для смартфонов пока остается в тени. Специалисты из Оксфордского университета изучили работу почти 1 млн приложений для операционной системы Android. Как показало их исследование, почти 90% приложений отсылают информацию о пользователях компании Google, которой принадлежит Android и магазин приложений Google Play.
Всего специалисты изучили примерно треть приложений, доступных в Google Play в 2017 г. Выяснилось, что половина из них могут передавать данные 10 третьим сторонам, а 20% приложений — более чем 20 сторонам. Руководивший исследованием Рубен Биннс объясняет это бизнес-моделью разработчиков приложений — они зарабатывают скорее на рекламе, а не продаже своих приложений, поэтому сбор данных вышел из-под контроля.
Пользователи, регуляторы, а порой даже сами разработчики приложений и рекламодатели не в курсе, как много данных попадает к специалистам, занимающимся цифровой рекламой, утверждает Биннс. «Это отрасль росла еще в обычном интернете, а появление смартфонов открыло новые возможности, – говорит он. – Похоже, что эта законная бизнес-модель полностью вышла из-под контроля, приведя к появлению хаотичной отрасли, непонятной для людей, которых она больше всего затрагивает».
Большие братья
Рынок приложений быстро вырос с тех пор, как Google Play появился около 10 лет назад. За это время было создано почти 10 млн приложений, по данным App Annie. В августе в магазине приложений Google было доступно 2,8 млн программ.
Третьи стороны собирают через приложения самую разнообразную информацию о пользователях смартфонов – от их возраста, пола и местонахождения до данных о находящихся неподалеку вышках сотовой связи и WiFi-роутерах, а также о том, какие еще приложения установлены на смартфоне.
Специалисты из Оксфорда изучили исходные коды приложений, и выяснилось, что часто данные попадают в итоге лишь к нескольким крупным компаниям – Alphabet (материнской компании Google), Facebook, Twitter, Verizon, Microsoft и Amazon. Причем такая концентрация данных в руках технологических гигантов замаскирована тем, что собирать их им помогают многочисленные подразделения. Как показало исследование, в начале прошлого года 88% приложений могли передавать данные структурам, которые в конечном счете принадлежали Alphabet, а 43% приложений – структурам, принадлежавшим Facebook.
По словам специалистов, концентрация данных позволяет создавать детальные профили пользователей. «Мобильные телефоны хранят важную информацию, и когда они включены, то постоянно передают ее третьим сторонам, – утверждает Джоэл Рирдон из Университета Калгари. – Даже одного списка установленных на телефоне приложений достаточно, чтобы многое узнать о жизни человека – возрасте, сексуальной ориентации, здоровье – и привязать эту информацию к его гаджету».
Google оспаривает результаты исследования и утверждает, что оно неверно интерпретирует такие «обычные функции», как отправка приложениями сообщений об ошибках: «У Google и Google Play ясная политика и инструкции, касающиеся того, как разработчики приложений могут использовать данные. Мы требуем от них быть прозрачными и просить разрешения пользователей. Если приложение нарушает нашу политику, мы предпринимаем меры».
Как утверждает Эдриан Холл, генеральный менеджер по антикризисному управлению Microsoft, у ее компании «другая бизнес-модель, которая в отличие от других технологических компаний не сильно полагается на выручку от рекламы».
Facebook, Twitter и Amazon отказались от комментариев.
Но Биннс отмечает, что права на передачу данных, встроенные в приложения, зачастую выходят за рамки простых случаев, таких как сообщения об ошибках, поскольку многие приложения просят «чрезмерные разрешения» на передачу данных и оставляют за собой право хранить их для анализа и перепродажи.
Проблемы с регулированием
Новостные, детские приложения и игры обычно передают данные наибольшему числу сторон, выявило исследование. Законы США и ЕС ограничивают обработку информации о детях. Но многие разработчики перекладывают ответственность на пользователей, прописывая в соглашениях о конфиденциальности, что их приложениями не должны пользоваться люди младше 13 лет, обнаружила Financial Times.
По словам юристов, многие пользователи не осознают, как много их данных попадает к третьим сторонам. При этом они не могут контролировать, с кем приложения делятся их данными, отмечает партнер юридической фирмы Bird & Bird Габриэль Вуазен: «Нет легко доступных настроек или виджетов, чтобы остановить это».
Согласно исследованию, 90% приложений могут передавать данные третьим сторонам из США, 5% – из Китая, а 3% – из России. Причем ЕС считает, что в Китае и России нет адекватных стандартов конфиденциальности данных, а в США они есть не у всех компаний. «Мы можем видеть лишь начало этого процесса, саму передачу данных, – говорит Биннс. – Но нам неизвестно, что происходит потом».
«Деанонимизация», или привязка данных к пользователю, запрещена новым законом ЕС о защите данных (General Data Protection Regulation, GDPR). Но Acxiom и другие занимающиеся сбором данных компании пользуются лазейками в законодательстве, предлагая объединять офлайн- и онлайн-данные, отмечает Фредерика Калтхойнер из группы Privacy International. «Мы знаем, что на практике привязать данные очень просто», – говорит она.
Александр Хэйзелл, отвечающий за защиту данных в Acxiom, настаивает, что компания ответственно подходит к сбору данных и требует от партнеров использовать их «законным и честным» образом.
Введение GDPR в мае стало важным моментом в регулировании отрасли, но передача данных пользователей смартфонов пока во многом остается непонятным процессом. «Целая экосистема выросла так сильно и так быстро, что ей очень сложно управлять», – говорит Нарсео Родригес, профессор Исследовательского института Imdea Networks.
Перевел Алексей Невельский