Случившиеся со мной и моими коллегами истории заставили задуматься - а как вообще обстоят дела с цифровыми правами потребителей? Эти размышления о опыт изысканий в области нарушения этих самых прав породили достаточно длинную статью ниже. Рассуждения не являются истиной, выбитой в граните, можно критиковать и добавлять.

Мы в нашем тексте понимаем «цифровые права»­ понимаем большую совокупность прав широкого круга лиц в цифровой среде. Законодательное определение в России сегодня имеет свои узкоспециализированные нюансы, о которых мы тоже поговорим.

К определению цифровых прав может быть несколько подходов. Например, цифровые права — это права человека, заключающиеся в праве людей на доступ, использование, создание и публикацию цифровых произведений, доступ и использование компьютеров и иных электронных устройств, а также коммуникационных сетей, в частности, к сети интернет. Это довольно узкий подход, потому что согласной ему даже в Китае, Иране и Мьянме, находящихся в анти-топе рейтинга цифровых прав, все не так уж плохо.

Другой подход определяет цифровые права как ряд прав человека, относящихся к Интернету. Эти права наследуют тем, что существовали в эпоху, когда интернета еще не существовало. К ним относятся свобода выражения мнений, неприкосновенность частной жизни и свобода объединений. Также к цифровым правам относятся и права на образование и многоязычие, а ещё, что особенно важно и от чего часто отмахиваются, — права потребителей.

Мы много писали об этом, рассматривали с самых разных сторон. Как правило — получали очень живой отклик в соцмедиа, ведь с фокусами относительно персональных данных от самых разных компаний сталкивается постоянно огромное количество людей. Хотя находились и защитники действий бизнеса, рассказывая нам, впрочем, те же клише, что транслируют и его представители: «это для вашего удобства».­ 

Мы решили просуммировать наш опыт и наработки по цифровым правам потребителей, посмотреть, что происходит, и чего нам очень и очень не хватает.

Первое, на что мы посмотрим, — а как вообще выглядит система защиты цифровых прав в России, т.е. проанализируем законы, которые устанавливают это понятие и нормы обращения с ним.

А а после посмотрим на то, как эти цифровые права соблюдаются.

Цифровая база

Каждое государство под цифровые права своих граждан подводит нормативную базу.

Мы попросили нашего юриста проанализировать, какова она в России. Некоторые моменты нам понравились, но у нас есть пара идей, чего не хватает. 

Основные законы

Основной законодательный акт, регулирующий применение информационных технологий в России, — Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»­ (далее – Закон об информации). Этот закон определяет ключевые термины в области использования сети Интернет и устанавливает основные ограничения на использование Интернета.

Помимо Закона об информации, различные аспекты деятельности, связанные с информационными технологиями, также подпадают под регулирование специальных законов, включая Гражданский Кодекс РФ (далее – ГК РФ), а также ряд законов:

  • «О защите прав потребителей»,

  • «О рекламе», 

  • «О защите конкуренции», 

  • «О персональных данных», 

  • «О связи»,

  •  «О цифровых финансовых активах, цифровой валюте...»­.

и т.д.

Кто контролирует

Государственный контроль и надзор в сфере информационных технологий осуществляется в основном Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзором. Однако в последнее время Федеральная служба безопасности (ФСБ) получает все больше полномочий в данной области.

Цифровые права: что говорят законы

Вообще в 2019 году в российском законодательстве появилось понятие «цифровые права»­, однако в довольно интересном контексте: скажем так, финасово-инвестиционном. Это понятие было внесено и в Гражданский кодекс, ст. 141.1, которая так и называется — «Цифровые права». 

Существуют два вида цифровых прав: 

  • утилитарные цифровые права, 

  • цифровые финансовые активы.

Каждый из которых имеет свои особенности, но в силу новизны явления пока к их дифференцировке и применению есть вопросы.

Утилитарные цифровые права — это, грубо говоря, возможность требовать передать вещь или интеллектуальное право, выполнить услугу или работы.

Цифровые финансовые активы — это цифровая упаковка, в которую можно поместить разные активы: это и денежные требования, и право участия в капитале непубличного акционерного общества, и права требований и осуществления прав по ценным бумагам. Фиксация этих цифровых прав происходит у специальных операторов информационных систем, которые внесены в реестр, за который отвечает Банк России. На момент написания этого материала их 10.

Также выделяются цифровые права, включающие одновременно ЦФА и право требовать передачи вещи (вещей), исключительных прав на результаты интеллектуальной деятельности и (или) прав использования результатов интеллектуальной деятельности, выполнения работ и (или) оказания услуг. Такие цифровые права можно назвать гибридными.

Криптовалюты 

Криптовалюты российское законодательство признает. Однако строго ограничивает их использование, запрещая оплату товаров и услуг. В контексте дел о банкротстве и исполнительного производства цифровая валюта признается имуществом, способным удовлетворить требования кредиторов.

Электронная подпись

Заключение договоров через интернет без использования электронной подписи с изменениями в статьях 160 и 434 ГК РФ, вступившими в силу с 1 октября 2019 года, имеет теперь четкое регулирование. Письменная форма сделки считается соблюденной при ее совершении с использованием электронных средств, если содержание сделки может быть установлено на материальном носителе и требование подписи считается выполненным любым способом, позволяющим достоверно определить лицо, выражающее волю.

Обмен информацией в интернете

В сферу регуляции цифровых прав попадает и оборот информации в интернете. Причём в довольно широком смысле. Для систематизации этого процесса (интернет — большой, информации в нём много), были законодательно обозначены организаторы распространения информации (ОРИ), которыми назначили всех, кто обеспечивает функционирование сервисов для обработки электронных сообщений пользователей. Наряду с мессенджерами под это определение попадают различные сервисы, включая форумы; что привело даже к регистрации в реестре психоневрологического интерната.

Эти организаторы должны быть зарегистрированы в реестре Роскомнадзора, хранить информацию о пользователях и предоставлять данные по запросу компетентных органов, включая передачу ключей для декодирования сообщений.

Социальные сети

Отдельно законодатели проработали вопрос с социальными сетями. С 1 февраля 2021 года вступили в силу изменения в «Закон об информации»­ , нацеленные на регулирование в России социальных сетей с ежедневной аудиторией более 500 000 пользователей.

Такие социальные сети должны быть внесены в специальный реестр, а их владельцам предписан ряд обязанностей, включая:

  • мониторинг размещаемой информации, 

  • ограничение доступа к определенным данным, 

  • установление правил использования сети и рассмотрение обращений пользователей. 

Роскомнадзор самостоятельно определяет информационные ресурсы, подпадающие под определение социальных сетей, и включает их в реестр без необходимости действий со стороны их владельцев.

Свежие нововведения

Следует отметить, что введение изменений в правовое поле IT (либо близкое к IT) — нередкое явление. 

Так, недавно в третьем чтении были приняты законопроекты по регулированию интернета и информационных технологий в России. Изменения включают новые требования к хостинг-провайдерам, ограничения для рекомендательных технологий и т.д. 

Закон о хостинг-провайдерах

«Закон о хостинг-провайдерах»­, точнее — ряд поправок в закон «Об информации...»­ действующий с 1 декабря 2023 г., устанавливает обязанности, включая уведомление Роскомнадзора, защиту информации, соблюдение требований оперативно-разыскных мероприятий и проверку идентификации клиентов.

Хостинг-провайдеры вносятся в реестр Роскомнадзора, и отсутствие в реестре с 1 февраля 2024 г. становится препятствием для работы. Роскомнадзор осуществляет контроль и исключает провайдеров из реестра в случае неустранения выявленных нарушений.

Ограничение рекомендательных технологий

Интересное нововведение, которое нам показалось достаточно передовым и очень симпатичным, в законодательстве произошло совсем недавно. С 1 октября 2023 года вводятся новые ограничения для владельцев вебсайтов, мобильных приложений и других информационных систем, касающиеся использования рекомендательных технологий по сбору и анализу предпочтений российских пользователей (процесс, известный как «профилирование»­). Эти изменения затронут владельцев социальных сетей, видеохостингов, стриминговых платформ, поисковых систем и маркетплейсов.

Владельцы, использующие рекомендательные технологии, должны:

  • избегать использования технологий, нарушающих права граждан и организаций, а также законодательство РФ;

  • информировать пользователей о применении рекомендательных технологий и предоставлять контактный адрес для обращений;

  • публиковать на русском языке открытые правила использования рекомендательных технологий, описывающие виды сведений о предпочтениях пользователей, источники, методы сбора и анализа таких сведений.

Последствия этого нововведения уже видны на российских платформах.

Новые правила авторизации пользователей

Ещё одно нововведение, которое еще до вступления в силу активно внедряется соцсетями и платформами: с 1 декабря 2023 года российские владельцы вебсайтов, мобильных приложений и других информационных систем ограничиваются в вариантах авторизации пользователей на территории России. Допускается использование следующих методов авторизации: 

  • по номеру телефона, 

  • через «Госуслуги»­, 

  • с применением единой биометрической системы,

  • с использованием другой информационной системы, соответствующей стандартам защиты информации. 

Таким образом, запрещается использование иностранных систем авторизации, таких как Apple ID, Google и т.д., на российских вебсайтах или в приложениях. В этом нам видится несколько недобровольный процесс перевода граждан на отечественные сервисы. Но мы продолжаем наблюдение.

Регистрация с помощью Госуслуг уже давно работает на государственных сервисах (что логично), при регистрации пользователю сообщают, доступ к каким именно данным с госуслуг получает сервис (что правильно и те примеры, что мы рассмотрели, хотят некие разумные наборы данных, а не все и сразу), но отказаться от предоставления информации по одному-нескольким пунктам нельзя. То есть можно, но тогда и авторизации не будет. Хотя вполне можно пустить пользователя на платформу и запрашивать у него разрешения по мере необходимости.

Естественно, законодательство в данной сфере, как и в любой другой, имеет свои плюсы и минусы. Но анализ существующего IT-законодательства в России подчеркивает его важную роль в регулировании динамичной и стремительно развивающейся сферы информационных технологий. Законы, такие как «О персональных данных»­, «О связи»,­ и другие, предоставляют основополагающий каркас для защиты прав и интересов как пользователей, так и предприятий в цифровом пространстве.

Однако необходимость постоянного обновления и адаптации к новым технологическим реалиям требует гибкости и оперативности внесения изменений.

К примеру, недавно законодатели Евросоюза приняли два новых закона: о цифровых сервисах (Digital Services Act — DSA) и о цифровых рынках (Digital Markets Act — DMA) — определённый свод правил для онлайн-платформ, от которых мы все зависим в своей жизни (gatekeepers). После принятия данных актов разгорелась дискуссия о необходимости введения аналогичного регулирования в России.

Поддержка инноваций, развитие технологического предпринимательства и защита цифровых прав потребителей — учитывая, сколько сейчас процессов происходит онлайн — должны стать важной целью для законодателей.

Чего не хватает в законах?

Чего, как нам кажется, не хватает принципиально? 

Большего внимания разделу и наследованию цифрового «имущества»­. Ведь если раньше от предков получали в наследство замки, угодья, квартиру в Москве, а то и ржавый автомобиль, то теперь есть вещи и подороже. Как правильно унаследовать биткоины (и не остаться с запароленным кошельком) или прибыльный аккаунт в соцсетях?

Да и отношения между родственниками (текущими и бывшими) в цифровой среде также могут стать проблематичными. Скажем, супруги сделали аккаунт, например, про ремонт. Он возьми да стань популярным и приносить деньги. А потому супруги решили развестись… Или же чадо, которому мама создала аккаунт в соцсети, достигло совершеннолетия/пубертата и хочет этот аккаунт себе.

Права на использование изображений покойного

Сразу начнем с примера. Вот реклама шоколада с Одри Хепберн:

Реклама снята в 2014 году, а актриса умерла 1993 году (и в 63 года). Правами на ее изображение распоряжаются наследники. В России нормы права такие же: согласно ч. 1 ст. 152.1 Гражданского кодекса Российской Федерации: 

«Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия детей и пережившего супруга, а при их отсутствии — с согласия родителей». 

Есть и исключения из этого правила. 

«Такое согласие не требуется в случаях, когда:

  1. использование изображения осуществляется в государственных, общественных или иных публичных интересах;

  2. изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;

  3. гражданин позировал за плату».

То есть после смерти публичного лица, для использования его изображения необходимо получать согласие его близких родственников.

Робин Вильямс, умерший в 2014 году, например, в своем завещании запретил использовать свой образ (внешность, подпись и т.д.) в течение 25 лет после смерти. Неужели реклама шоколада с Одри Хепберн (как раз снятая в 2014 году) могла навести его на мысль о таком запрете?

В мировом и российском кинематографе используются дипфейки. В недавно вышедшем очередном "Индиане Джонсе" присутствует и молодой (дипфейк) и старый (настоящий) Харрисон Форд. У нас выходили фильмы с участием Владимира Высоцкого и Владислава Галкина. Эти актёры умерли до появления в свободном доступе технологий искусственного интеллекта, и не могли оставить распоряжений на этот счет. 

Несмотря на то, что законодательство отчасти регулирует этот рынок, хотелось бы большего отражения современных реалий развития AI. Например, возможности однозначного волеизъявления о нежелании принимать участие в дипфейках, а также однозначной маркировки созданного с помощью ИИ изображения. Нужно предупреждать зрителей о том, что видимое на экране — продукт работы нейросетей. 

Поисковики не могут отличить сгенерированные изображения от настоящих, порождаются казусы, когда, например, вместо фотографии знаменитой афганской девочки Шарбат Гулы мы видим похожее изображение, сгенерированное искусственным интеллектом. 

Итак, сгенерированное изображение, источник: Reddit//juanpa305

Оригинал: автор - Steve McCurry

Нейросети подсовывают нам томную красавицу вместо испуганного ребенка, и отсутствие маркировки смешивает реальность с вымыслом нейросетей.

Права на аккаунт

Многие соцсети предлагают создать из странички покойного своеобразный мемориал, но если онлайн-мемориалы — это не единственная задача наследников, то все становится несколько более сложным. 

А вдруг там в дебрях файловой системы MacBook — незаконченный бестселлер или музыкальный шедевр? (Или записи о том, где именно покойный покупал акции и какие).

Некоторые крупные компании сами стараются принять участие в урегулировании вопросов наследования. В юридическом соглашении корпорация Apple рассказывает про функцию «Цифровое наследство»

«Функции «Цифровое наследство» позволяет добавить один или несколько контактов, которые смогут получить доступ к определенным данным в Вашей учетной записи после Вашей смерти и выгрузить их. Если назначенные Вами контакты предоставят компании Apple подтверждение смерти и будут иметь необходимый ключ, они автоматически получат доступ к определенным данным учетной записи, а блокировка активации будет отключена со всех устройств. При этом Вы сами отвечаете за актуальность данных о своих цифровых наследниках»­. 

То есть если кто-то пишет роман, то в случае его внезапной кончины мир все же будет иметь шанс с ним познакомиться. Как и с другими, более прозаическими, но, возможно, не менее ценными бумагами. 

Но пока что все решается через случаи судебной практики и политики компаний.  Например, Федеральный верховный суд Германии приравнял страницы в соцсетях к личным письмам и дневникам. По закону их переход к наследникам возможен для соблюдения охраняемых интересов семьи. И, несмотря на ограничения со стороны запрещенной соцсети, суд предоставил наследникам права доступа к аккаунту наследодателя и его содержимому как личного, так и материального характера.

Бизнес-аккаунты имеют свою специфику. Договоры коммерческой концессии, лицензионные договоры могут устанавливать условие о предоставлении доступа к аккаунту, как к объекту авторских прав, — к такому выводу пришёл российский Суд по интеллектуальным правам.

Однако Ивантеевский городской суд отказался разделить аккаунт между супругами, мотивировав это тем, что страница в соцсети — это виртуальный ключ, который даёт доступ к сервису. А значит, на него не распространяется правило о совместно нажитом имуществе.

Легальные механизмы определения судьбы аккаунта существуют, но ими нужно озадачиться заранее. Например, можно в завещании указать пароли-доступы к замещаемым аккаунтам. Правда, в течение времени эти данные могут устареть, и завещание придется переписывать.

В общем, тут явно могли бы и сервисы и законодатели как-то улучшить и прояснить ситуацию.

Как отозвать согласие на обработку персональных данных усопшего? 

В Российской Федерации согласно п. 7 ст. 9 Федерального закона РФ «О персональных данных»: в случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Здесь возникает вопрос: а как, собственно, родственники и наследники умершего могут отозвать все его согласия на обработку персональных данных? Согласно закону, наследники могут принять решение как о даче согласия, если оно не было дано при жизни субъекта персональных данных, так и об отзыве согласия, изменении его условий. (Кроме того, наследники также, руководствуясь ч. 7 ст. 9 Закона о ПД, могут реализовать "право на забвение" и согласно ст. 10.3 Федерального закона "Об информации, информационных технологиях и о защите информации" и потребовать от оператора поисковой системы прекратить выдачу ссылок, позволяющих получить доступ к персональным данным умершего субъекта персональных данных). Но иногда может быть проблематичным выявление ресурсов, где было дано согласие на обработку. И это, в том числе в том, что касается живых носителей персональных данных. Сегодня предоставление такого согласия на обработку выдается бессрочно, несмотря на инициативу РКН. Но сесть и вспомнить — кому, когда и как ты выдал это согласие (а оно вообще может быть выдано в другом регионе), а уже потом вдумчиво их отозвать — это непосильная задача для многих. Равно как и отслеживать: что меняется в политиках обработки персональных тех организаций, которым вы выдали свое согласие на обработку.    

Номер телефона и привязанные сервисы

Как удалось нам выяснить в расследовании «Тайная жизнь SIM-карты», номер телефона абонента принадлежит государству и является частью международной системы номеров, а мобильные операторы уже эти номера передают абонентам. На номер телефона сегодня многое завязано, доступы к банковским сервисам, к госуслугам и много другое. К сожалению, случаются ситуации, когда мошенники получают доступ к телефону, а в вместе с ним и ко всем этим сервисам. 

Кроме того, операторы, как нам кажется, часто ведут себя так, как будто они и не подозревают о том, как много на номер телефона завязано. Например, номера телефонов снова поступают в пул доступных номеров через достаточно непродолжительное время неиспользования, несмотря на то, что к ним могут быть привязаны банковские сервисы и аккаунт в Госуслугах. 

Какие улучшения нужны?

  • Первое и самое нужное: обдумать возможность внедрения механизма проверки оператором привязки номера телефона к аккаунту на госуслугах (ЕСИА — Единой системе идентификации и аутентификации). И если номер привязан к аккаунту, не возвращать его в пул свободных номеров во избежание мошенничества. Или разработать процедуру отвязки аккаунтов при возвращении номера оператору.

  • Деньги за обслуживание взимаются и при «простаивании» телефонного номера: таким образом сначала с баланса «съедаются» все деньги, а потом этот номер отключается. Призываем пересмотреть условия блокировки, особенно, опять же, для номеров с привязанными аккаунтами на государственных сервисах.

  • Дать возможность пользователю проинформировать оператора о неиспользовании телефонного номера определенный период времени: например, на время длительных командировок. Чтобы не оказаться в другой стране без доступа к государственным сервисам и банкам. Да, мы в курсе о возможности кратковременных уведомлений, но речь идёт о длительных промежутках.

  • Если уж оператор в суде сообщает, что он не знал, что абонент использует для доступа к разным сервисам этот номер телефона, необходимо создать процедуру, позволяющую это узнать, проконтролировать и более внимательно подходить к операциям с подобными номерами.

Цифровые права в полях. Или диких пампсах?

Как мы подчеркивали выше, буквально ежедневное соприкосновения с цифровыми правами у  основной массы населения случается в поле потребительского рынка. Мы совершаем покупки на электронных площадках, расплачиваемся банковскими карточками, становимся клиентами сотен компаний.

Цифровое законодательство всегда несколько отстает от цифровых реалий, поэтому одного только его исполнения недостаточно для того, чтобы считаться компанией, бережно относящейся к цифровым правам пользователей.

И по нашему мнению, бизнес, особенно крупный интернет-бизнес, должен не «для галочки» исполнять написанное, а то еще хуже, как иные маркетплейсы, искать любые возможные лазейки, чтобы вытянуть с пользователя лишнюю копейку. Бизнес должен идти впереди существующего ИТ-законодательства и понимать «заботу о пользователе» не только в смысле окраски кнопки «купить» в клиентоориентированно-розовый цвет, но и разрабатывать политики, ориентируясь на нужды и интересы пользователей, а не только на прямолинейное соответствие законам.

Между тем, как нам кажется, ситуация не просто далека от этого идеала, но и находится на другом полюсе: бизнес предпринимает массу усилий, чтобы, скажем так, расширить понятие цифровых прав в свою пользу до абсолюта.

Хищные политики

«Здрасте, зайдя на этот сайт вы уже согласились на все и пожертвовали нам свою почку» или там «чтобы узнать о изменениях в оферте надо зайти на сайт и почитать» или там «вы посмотрели сториз в приложении и подписались на рассрочку». 

Иные веб-сайты спокойно трактуют заход пользователя на сайт согласием на все и примеров такого рода, как нам кажется, злоупотреблений — масса.

И мы сами, и многие другие сталкивались, например, с тем, что клиенты одного довольно популярного банка, просто открыв приложение, увидели следующее «продолжая вы соглашаетесь на использование биометрических данных»­. Да, попасть в приложение можно, только согласившись. Можно потом отозвать, хотя дружелюбный робот Олег выкручивает вам ручки и говорит — неее, ну зачееем? Ну также же удобненько: ррраз — и мы вас отличили от злоумышленника. А то что у нас штрафы за утечку персональных данных были копеечные*, (* справедливости ради отметим, пока мы готовили текст, в декабре 2023 года начался законодательные пересмотр размеров штрафов за утечки персональных данных — вплоть до оборотных, так что посмотрим, как будет развиваться ситуация) а в интернете можно ой-ой-ой чего купить, даже не заходя в дарквеб — это бизнес не волнует. Зато удобно. Кому?!

К этому же относятся неискоренимые условия мелким шрифтом и серым по серому и просмотр сториз в знак согласия. Первым грешат так называемые «скрытые»­ мобильные подписки, которым мы посвятили не одно свое расследование. Абонент оказывается подписанным на какие-то сомнительные с нашей (и не только с нашей) точки зрения сервисы просто потому, что зашел на сайт. Да, условия этой подписки на нем были, правда написаны они серым по серому и где-то в подвале сайта. Операторам мобильной связи, судя по всему, все кажется отличным и правильным. Абонентам — почему-то нет.

Еще один случай, когда согласие было получено, сомнительным, как нам кажется, способом, произошел с нашим коллегой. С удивлением для себя он обнаружил, что без его ведома ему была подключена рассрочка на покупку — потому что он ПОСМОТРЕЛ что-то в приложении.

Или вот еще прекрасная история, когда клиента банка подписали на многочисленные «подписки», а потом не смогли ни толком отписать, ни объяснить, откуда берутся данные, согласие на использование которых клиент банка не давал.

В целом обсуждаемый популярный банк вообще очень вольно относится к законодательству о персональных данных, мы подробнее писали об этом в нашем расследовании «Гоп-стратегии цифровой эпохи»: все договоры всех продуктов банка предполагают свободную передачу персональных данных клиентам третьим лицам — там прямо так и написано. Не хотите — не будьте клиентом. А банк таким образом полностью от и до игнорирует ­все требования закона о защите персональных данных. Такая хитрость.

Знак согласия

Согласие — это не когда клиент посмотрел на разделы в приложении, а когда он активно согласен. Дорогие наши компании, записывайте. Согласие: дееспособный человек старше 18 лет ознакомился с условиями, изложенными нормальным языком и черным по белому, а не серым по серому, и нажал на галочку, что он прочитал условия, и только потом —на  кнопочку «Да, согласен продолжать», и лишь после этого вы ему посылаете письмо на электронный адрес с подробным описанием того, на что он только что согласился и со ссылкой, кликнув которую он подтверждает, что согласен. Долго, скучно, надежно.

Потому что в приложении и дети могут покупок и рассрочек натыкать или там купить хлама на сто тысяч. 

На заборе тоже написано…

Подвид пассивного согласия, которое неизменно вызывает у нас раздражение, — это когда юридические документы, описывающие отношения покупателя и продавца/поставщика и клиента, меняются без основательного уведомления покупателя. Про банк мы упомянули. Свежий пример крупного маркетплейса:

1.5. Общество периодически актуализирует настоящую Политику и вправе в одностороннем порядке в любой момент изменять ее условия. Общество рекомендует регулярно проверять содержание настоящей Политики на предмет ее возможных изменений.

Зашли вы молочка на завтрак накликать, и сначала сверились — не изменилось ли чего? Стоит только вспомнить количество медийных скандалов с участием другого известного маркетплейса, когда политики меняются с такой скоростью, что пользователям, вероятно, может показаться, что за штурвалом сидит сумасшедший маркетолог, который дергает рычаги туда-сюда [1], [2], [3].

Изменения происходят чуть ли не ежедневно, у покупателя голова едет кругом: внезапное требование подтверждение личности покупателя через Госуслуги или банк (???), неожиданные резкие изменения условий покупки и доставки: то строгая предоплата, то платные возвраты товаров, а уж с бонусными программами, от которых зависят условия доставки и скидки, просто бесконечная история. Глаз да глаз при каждой покупке. Бди, потребитель, и не расслабляйся.

Любые изменения, происходящие в отношениях покупателя и продавца, должны происходить с уведомлением покупателя. Причем человеческим языком. «Мы изменили такой-то пункт для приведения его в соответствие с новым законом таким-то. Что для вас изменится…» 

Сама необходимость проделывать такую операцию на каждое изменение политик должна, по идее, несколько дисциплинировать платформу. 

А нам — неудобно. Избыточный сбор данных

Еще одна крайне масштабная проблема — какое-то маниакальное, на наш взгляд, желание бизнеса собирать на каждого клиента дотошное досье. Буквально любые данные, до которых може и не может дотянуться, но попробует.

Обработка данных и их использование часто объясняют нам неким «удобством» пользователей. Мы об этом написали отдельную статью “Утечки, избыточный сбор персональных данных и «цифровое насилие»­”. 

Маркетплейсы пытаются получить доступ к данным на Госуслугах, службы доставки зачем-то требуют данных клиентов так много, как будто они режимный объект. Банки собирают данные о коммунальных счетах и штрафах клиентов. А попыткам любыми способами заполучить и привязать к себе платёжные данные клиента навсегда без права выбора мы посвятили целое отдельное расследование.

Закон «О правах потребителей» с 1 сентября 2022 года ограничивает сбор избыточных данных продавцом о покупателе, а покупателя даже наделяет правом запросить у продавца — а для чего ж ему нужны определенные данные? Но на практике по нашим ощущениям масштаб сбора пользовательских данных — часто «пакетом» или с различными трюками — только нарастает. Более того, ведётся все более агрессивно: например, Яндекс теперь не дает отвязать привязанный к аккаунту номер телефона — только заменить на другой. Почему? 

Вот описана попытка подключить клиенту — совершенно бесплатно — «защиту от мошенников»­. Но в условиях услуги бдительный пользователь­ нашел согласисие — тадамм! — на обработку и анализ своих входящих звонков для последующей передачи их в банк.

Вот банк зачем-то лазит в кредитную историю клиента настолько интенсивно, что ЦБ составляет протоколы о правонарушении (полагаем, с прицелом на то, чтоб дать делу ход).

Таких историй — несть число, стоит только открыть соцмедиа.

Всеобщий бич — увязывание данных клиентов: свой ID не завел ещё только ленивый, и к оному ID пытается привязать все активности клиента, за которыми тщательно следит: копирует контакты, мониторит подписки и другие предложения, отслеживает платежные средства и операции, и пр., и пр. 

Сбор максимального массива данных по клиентам ведется не битьем, так катаньем: различные маркетинговые плюшки компании раздают только тем клиентам, которые согласны передавать им данные о своей жизнедеятельности. Скидки — только тем кто поставил приложение. В котором ведется детальный учёт — что, где, когда и почём купил клиент. Маркетплейсы дают преференции (и существенные) только тем, кто предъявит ID одного там родственного банка.

Более того, никто не стесняются врываться в вашу реальность без спроса, пользуясь вашим же данными: ну кто не получал уведомления от служб доставок в Viber или VKontakte? Да, для корректной работы доставки нужно указать номер телефона. Но кто вот даёт разрешение мониторить этим службам доставки подключенные к этому номеру мессенджеры и соцсети, да еще и писать туда? Ах, там галочка в приложении? (См. раздел про активное согласие)

Вопрос решения, что человеку удобно, а что нет, не должен находится на стороне деятельных маркетологов, которым в принципе обычно удобно иметь про человека много данных и пользоваться ими для «повышения лояльности», а то и вовсе, как нам кажется, втюхивания им ненужного барахла. Кому-то, может, и правда, удобно рассрочку получать, посмотрев в приложение. Но мы бы хотели чтобы вопрос этот был прямолинейно задан. А согласие однозначно получено.

Упс. Утечки данных

После всего вышеописанного логично обсудить утечки данных. Те самых, которые собрали «чтобы вам было удобно». Насколько нам удобно, чтобы теперь все это вместе с кличкой питомца (не, яндекс, правда, зачем ты спрашиваешь про кота? Создать ему кошачий аккаунт?) болталось где-то в чатах телеграма и на сомнительных ресурсах? Вообще неудобно, если честно.

Если раньше приснопамятная «служба безопасности одного банка» имела только самое общее представление о том, кого она собирается спасать от лишних денег, то теперь «товарищ следователь» уже вооружен паспортными данными, сведениями о перенесенных заболеваниях и даже кодом от вашей парадной.  

Мы много писали о них, и фактически утечки нарушают сразу большое количество прав пользователей и делают их (в зависимости от характера этой утечки) очень уязвимыми.

Несохраненное — не утечет. Рекомендуем регулярный аудит собираемых и хранимых данных и регулярное избавление от ненужных/избыточных/не требующихся для осуществления деятельности. 

Есть данные, которые хранить надо по закону, и на то есть понятные причины. А остальные можно просто не хранить.

Цензура интернета

Цензура интернета нам не нравится.

Однако еще меньше нам нравится то, как некоторые провайдеры обставляют эту цензуру.

Абонент имеет право знать, почему он не может попасть на тот или иной сайт. 

Есть реестр, который пополняют ведомства, а ведет РосКомнадзор. Включение в реестр может происходить по решению суда или уполномоченного государственного органа. При блокировке сайта провайдер уведомляет владельца о необходимости удаления запрещенной информации и, в случае невыполнения этого требования, блокирует доступ к сайту.

С 29 марта 2019 года действуют изменения в «Законе об информации...»­, устанавливающие порядок ограничения доступа к информации, выражающей явное неуважение к обществу, государству, официальным государственным символам и другим объектам. Процедура блокировки подобной информации осуществляется Роскомнадзором, инициаторами могут выступать не только владельцы решений суда, но и Генеральный прокурор Российской Федерации или его заместители.

А есть провайдеры, которые за деньги абонентов вместо достоверной информации о том, почему абонент не может попасть на какой-то ресурс, выдают всякое разное. Мы проверили своим собственным сервисом Blockcheck, как отображается одно популярное ныне заблокированное медиа, у разных операторов связи. Получили три разных варианта: «Время ожидания истекло», «Попытка соединения не удалась» и «Ошибка при установлении защищенного соединения».

Тут мы предлагаем операторам быть более откровенными со своими абонентами и информировать их о том, почему именно они не могут попасть на тот или иной ресурс. Абоненты за использование сервисов провайдера ежемесячно платят деньги, поэтому нам бы хотелось видеть прозрачное исполнение требований государства. 

Кстати, «Билайн», например, пытался ввести такую практику, и на заблокированных в незапамятные времена ресурсах типа «Грани.ру» (* внесен в реестр сайтов с запрещенной информацией 13.03.2014), до сих пор можно видеть заглушки (с рекламкой):

Рекламка нам не очень нравится, а вот заглушку мы расцениваем, как проявление уважения к абонентам.

Выводы

При обсуждении цифровых прав именно цифровые права потребителей часто остаются за кадром. Более того, многократно за всю историю проекта нас пытались убедить в том, что: 

  1. Это для вашего же удобства!

  2. Да какая разница, все равно ваши персональные данные уже везде!

  3. В мире есть вещи и поважнее!

На самом деле, «цифровые потребительские права»­  — это то, с чем люди сталкиваются ежедневно, и наши расследования про нарушениях оных всегда вызывали огромную обратную связь.

Что, как нам кажется, поможет в обеспечении и защите «потребительских цифровых прав»­?

  1. Платформы и крупные компании должны перестать эксплуатировать несовершенство законодательства и, наоборот, применять передовые практики и защищать цифровые права своих пользователей. Там где есть пробел в законах - можно проявить инициативу. В конце-концов, есть отраслевые ассоциации - встречайтесь, обсуждайте, формулируйте. Юристы у всех в штате есть. 

  2. Описание сервисов должно давать клиенту ПОЛНОЕ представление о том, как именно этот сервис будет осуществляться, а не только гламурный блестящий фантик возможных бонусов. 

  3. СОГЛАСИЕ! Нельзя, запомните, нельзя получать согласие, выкручивая клиенту ручки. Типа «нажимая на кнопку “оплатить счет в три рубля” вы соглашаетесь на еще какие-то дополнительные условия». Согласие получать нужно, предоставив все условия и запросив дополнительно подтверждение хотя бы по электронной почте.  

  4. Об изменении условий осуществления услуг пользователи должны получать информацию - а не самому следить за апдейтами на сайте, причем не нудный текст серым по серому, а нормально и по-человечески сформулированный текст, который объясняет что для пользователя изменилось и почему.

  5. Использование ИИ невозможно остановить, но сделать его прозрачнее и безопаснее точно можно. Многие сервисы завязаны на использование искусственного интеллекта, однако у пользователей не всегда есть четкое представление - где, кем, как обрабатываются данные, какие именно данные, как долго они хранятся и т.д. Речь идет, например, о популярных голосовых помощниках.

  6. Использование ИИ должно маркироваться. Точка. 

  7. Избыточный сбор данных — зло. Он ведет к накоплению незнамо-где огромных массивов данных, которые потом могут «утечь». 

Комментарии (6)


  1. Vyaza
    23.12.2023 04:46

    Касательно цензуры и заглушки - отобразить красивую заглушку с внятной причиной получится только при установке соединения с сайтом через незащищённый http, что в наше время явление практически исчезнувшее. В противном случае ошибку вам показывает ваш браузер, а не провайдер.


    1. dartraiden
      23.12.2023 04:46

      только при установке соединения с сайтом через незащищённый http

      Кстати, чаще всего до соединения с сайтом дело и не дойдет, уже на этапе "отрезолвить домен" всё закончится для клиентов, использующих классический протокол DNS. Все более-менее крупные провайдеры именно так и поступают (принудительно перехватывая и заворачивая весь трафик по 53 порту на свой резолвер), чтобы снижать нагрузку на DPI.


  1. lolikandr
    23.12.2023 04:46

    А в чем смысл "запросив дополнительно подтверждение хотя бы по электронной почте. " ? Я понимаю ещё прислать уведомление на почту с копией текста, с которым согласились и ссылкой для отказа, но повторно подтверждать - неудобно. Да и уведомление лучше опционально, а не обязательно.


  1. Arhammon
    23.12.2023 04:46

    Очень хочется чтоб отделили котлеты от мух, вот есть номер телефона - его можно и нужно охранять, а есть аккаунт на каком-нибудь форуме, где я хочу просто зарегистрироваться на почту майлфорспам. Право на простой незащищенный аккаунт тоже должно быть!

    Но, увы, это не в интересах бизнеса и государства...


    1. MountainGoat
      23.12.2023 04:46

      Это да. В интересах государства - признать IP адрес и никнейм пользователя охраняемыми персональными данными, чтобы для их хранения в течении даже пары тактов процессора требовалась лицензия и подключение к госуслугам.


  1. MountainGoat
    23.12.2023 04:46

    Избави нас Бог от государственной заботы.