Доброго времени суток. Хотел предложить вашему вниманию перевод интересной статьи о расследовании, связанном с персональными данными компаниями Maldita.es, Tactical Tech и SocialTIC на территории ЕС. Расследование затронуло приложения связанные с финансами, так называемый финтех. И выводы, к которым они пришли, довольно неутешительны. Думаю, что их расследование, это как общая тенденция, которая затрагивает не только ту небольшую часть существующих приложений, а ситуацию по всему миру в целом, включая страны СНГ.

Оригинал статьи

Забота о личных данных требует не меньше усилий, чем управление финансами, а может быть, даже больше. В совместном исследовании, проведенном Maldita.es, Tactical Tech и SocialTIC, было проанализировано, как приложения финансовых технологий (fintech), ориентированные на составление личного бюджета, обеспечивают конфиденциальность данных своих пользователей, а также как сами пользователи управляют своей личной информацией в этих приложениях.

Исследования и отчеты Maldita.es, Tactical Tech и SocialTIC

• Мы воспользовались механизмами GDPR (General Data Protection Regulation) ЕС, чтобы запросить у пяти финтех-компаний информацию, которую они хранят о некоторых своих пользователях.

• Мы сотрудничали с добровольными "донорами данных" для сбора такой информации.

• Полученные нами данные свидетельствуют о том, что деньги, потраченные на наркотики, алкоголь, путешествия или противозачаточные таблетки, хранились в их приложениях.

• Эта информация используется алгоритмами, которые пытаются создать кредитный профиль пользователя, профиль личных данных или используется в рекламных целях, а также отправляется в другие страны, на которые не распространяется действие GDPR, например в США.

• Мы обсудили с экспертами проблемы и риски, которые доступ компаний к таким данным может означать для пользователей в краткосрочной и долгосрочной перспективе.

Забота о личных данных требует не меньше усилий, чем управление финансами, а может быть, даже больше. В совместном исследовании, проведенном Maldita.es, Tactical Tech и SocialTIC, анализировалось, как приложения финансовых технологий (fintech), ориентированные на составление личного бюджета, соблюдают конфиденциальность данных своих пользователей, а также как сами пользователи управляют своей личной информацией в этих приложениях. Нашей целью было понять, как выполняются обязательства по обеспечению конфиденциальности и передаются ли персональные данные, которые европейские пользователи вводят в такие приложения - потому что их просят об этом при регистрации или потому что они сами этого хотят - за пределы приложения, за пределы Европы и в каком объеме.

То, что мы обнаружили, было весьма интригующим:

• компания передала нам данные не о том пользователе;

• приложение изначально отказалось отправлять нам данные, как того требует закон;

• свидетельства того, что агрессивные трекеры получают доступ к личным данным пользователей, а также использование автоматизированных механизмов профилирования пользователей.

Ведение личного бюджета открывает новый сценарий, в котором люди не только управляют своими финансами, но и готовы рассказать о своих привычках, пристрастиях, тайных удовольствиях и образе жизни, как если бы они использовали платформу социальных сетей, не осознавая при этом последствий. Пользователи могут открыто делиться с цифровыми сервисами такими интимными подробностями, как деньги, которые они тратят на алкоголь или наркотики, или наличие у них медицинских показаний, например, контрацептивов.

Эти данные о личном поведении, отраженные в индивидуальных расходах, затем передаются сторонним платформам и компаниям - зачастую таким технологическим гигантам, как Facebook (запрещенная в РФ организация), Google и Amazon, а также множеству разнообразных трекеров, призванных собирать данные, создавать пользовательские профили и подавать вкусную рекламу с учетом предпочтений, о которых мы даже не подозревали. Да, это означает, что наша мама не знает, сколько денег мы тратим на вечеринки, но случайный рекламодатель из другой страны или платформы социальных сетей может знать, и может использовать эту информацию для создания нашего точного профиля (если вы читаете по-испански, ознакомьтесь также со статьей Maldita.es "Por qué la publicidad online sabe lo que te quieres comprar" / "Почему реклама в Интернете знает, что вы хотите купить").

Из приложений для управления личными финансами, доступных пользователям в странах Европейского союза, мы рассмотрели пять сервисов: четыре приложения для контроля бюджета - Fintonic, You Need a Budget (YNAB), Splitwise и Tricount - и Revolut, мобильное банковское приложение, которое также используется в качестве приложения для управления расходами в таких странах, как Румыния. Выбор этих приложений не был произвольным. Они были в числе наиболее загружаемых приложений для ведения личного бюджета и контроля финансов на конец 2021 года в Испании, Франции, Германии и Румынии - странах, которые мы рассматривали при проведении исследования. Все они предлагают услуги по ведению личных финансов и бюджетированию с различными функциями: от обмена расходами с коллегами, друзьями или незнакомыми людьми до составления подробного бюджета, чтобы накопить деньги на путешествие, получение степени магистра или даже выход на пенсию.

Нет четких гарантий того, что финансовые и другие персональные данные, которые приложения и компании, создающие их, собирают у пользователей, обрабатываются достаточно бережно. В ходе нашего исследования политики конфиденциальности и обработки персональных данных приложениями для составления бюджета, доступными в Европе, мы обнаружили, что компании не полностью прозрачны в отношении того, как они обрабатывают данные пользователей. Более того, они часто не соблюдают свои собственные правила и иногда хранят личную информацию дольше, чем требуется. Например, мы столкнулись со случаем, когда личные данные случайного пользователя были переданы нам без его ведома и хранились дольше положенного срока, несмотря на то что он перестал пользоваться приложением много лет назад.

С помощью запросов субъектов персональных данных в соответствии с правом на доступ к цифровым запросам субъектов (DSAR), предусмотренным Общим регламентом ЕС по защите данных (GDPR), технического анализа выбранных приложений и тщательного изучения их политики конфиденциальности мы выявили проблемы, которые проливают свет на степень уязвимости граждан в условиях, когда они ожидают, что их конфиденциальные данные и их цифровые права будут учитываться и соблюдаться.

В соответствии с правом доступа (DSAR) 15 человек с различными социально-демографическими характеристиками, которые пользовались хотя бы одним из пяти приложений, разрешили нам запросить копию всех их персональных данных, собранных и сохраненных компаниями, управляющими этими приложениями.

В этом отчете обобщены наши основные выводы, а также соображения, высказанные экспертами в области защиты данных.

Короче говоря

Проанализированные нами приложения - и многие другие подобные им - являются частью процветающей индустрии fintech (сокращение от "финансовые технологии"). В этой отрасли работают стартапы, объединившие финансовую сферу и цифровые технологии, чтобы облегчить и ускорить работу учреждений и людей с любыми финансовыми операциями. С одной стороны, эта относительно новая сфера позволила людям - "конечным пользователям" - самостоятельно распоряжаться своими финансами; с другой стороны, она произвела революцию в традиционных корпоративных финансах и денежных потоках.

Инвесторы проявляют большой интерес к поддержке финтеха и его стартапов, стремясь диверсифицировать финансовые услуги, охватить больше стран и привлечь больше пользователей. Например, банковское приложение Revolut и стоящая за ним группа компаний привлекут 800 миллионов долларов США в 2021 году, приложение для распределения расходов Splitwise получит 20 миллионов долларов США инвестиций в 2021 году, а приложение для ведения банковского дела и управления бюджетом Fintonic получит 21,4 миллиона долларов США инвестиций в 2019 году.

Сводная таблица: основные данные по анализируемым приложениям. Количество установок в Google Play на глобальном уровне (где приложения доступны) в соответствии с профилями приложений в Google Play, проверенными 4 марта 2022 года. Более подробные данные об установках приложений из App Store и других источников можно найти в обновленной статистике аналитических сервисов Sensor Tower, App Figures и др.

Что касается доступа к финансовым данным в режиме реального времени, то [Fintonic и YNAB дают пользователям возможность связать свои банковские счета с сервисом приложения, чтобы доходы и расходы автоматически привязывались к бюджетному плану.

Британский стартап Revolut сам по себе является цифровым банковским приложением, поэтому его службы контроля бюджета имеют постоянный доступ к банковским реквизитам пользователя, а также подключают его к ряду других компаний Revolut, предоставляющих услуги страхования, маркетинга, планирования путешествий, инвестиционные услуги (криптовалюта, торговля акциями и т. д.) и многое другое. Кроме того, в силу своих требований к должной осмотрительности Revolut собирает большое количество личной информации и записей - о пользователе, его супруге и семье - у третьих лиц, таких как агентства кредитных справок, финансовые или кредитные учреждения, официальные реестры, а также агентства по предотвращению мошенничества и т. д. Кроме того, компания информирует пользователей о том, что в свою очередь может передавать их данные социальным сетям и маркетинговым компаниям в рекламных целях, кредитно-рейтинговым агентствам, чтобы убедиться, что вы подходите для получения кредита, или правоохранительным органам, чтобы проверить, не подозревают ли вас в каком-либо мошенничестве. Поэтому пользователям, планирующим открыть счет только для минимального планирования личного бюджета, стоит подумать об этих условиях и о том, соответствуют ли они их потребностям.

Устройства, изучающие ваши данные

Fintonic считается главным испанским приложением для управления деньгами, а также работает как цифровой банк с 2019 года, когда он получил лицензию Банка Испании. С момента своего запуска в 2012 году оно добавило множество функций, например, дало пользователям возможность заключить договор страхования или подать заявку на кредит в другую компанию. Кроме того, он предоставляет заинтересованным пользователям собственную карту расходов. Все эти процедуры можно выполнить прямо из мобильного приложения, которое выступает в роли органайзера для денег.

Сервис позволяет пользователям перенести все финансовые записи в приложение и составить "умный" бюджетный план для достижения своих целей. Расходы можно распределить по разным категориям: отдых, транспорт, жилье, энергия, банковские услуги, поездки, красота, отели, инвестиции, здоровье и т. д. Это означает, что приложение имеет доступ ко всем финансовым операциям и приемникам платежей, от терапевта, которого мы посещаем, до детского сада, в который ходят наши дети.

На основе этих данных компания рассчитывает, правильно ли пользователи управляют своими расходами, с помощью алгоритма машинного обучения под названием FinScore. Fintonic рекламирует FinScore как "беспристрастный" и "независимый" индекс, который оценивает, насколько "хорошо" мы распоряжаемся своими деньгами. Когда мы связались с компанией Fintonic по электронной почте и спросили, как работает эта автоматизированная система оценки, она ответила нам, что решения являются "результатом процесса анализа информации, которую Fintonic знает о пользователях на основе их личного профиля и истории транзакций" (источник: обмен сообщениями между представителем Fintonic и исследовательской группой).

Компания не предоставила дополнительной информации об этом. На своей веб-странице они упоминают "160 переменных", которые учитывает алгоритм, включая уровень и частоту доходов, чистый баланс, возвращенные чеки или кредитную историю (обращался ли человек за кредитом, выплатил ли его и т. д.). Если пользователь захочет обратиться в банк, сотрудничающий с Fintonic, его оценка будет передана финансовой организации, которая примет решение об одобрении кредита или другого кредитного продукта.

Предполагается, что финансовый скоринг обновляется в начале каждого месяца. В какой-то момент пользователи заявили, что автоматическая оценка остается неизменной, несмотря на то что баланс на их счету изменился в сторону увеличения доходов и уменьшения расходов: "Я пользуюсь сервисом уже несколько месяцев, и показатель FinScore не изменился, хотя должен был (...), поскольку мои расходы менялись (...) и я почти не тратил деньги в последние месяцы".

Согласно заявлению Fintonic, полученному в ходе нашего общения с компанией по электронной почте, информация о пользователях, которую генерирует их алгоритм, передается другим компаниям только с согласия пользователя, что означает, что они якобы спрашивают у пользователей, когда она передается третьим лицам.

Оценить, как Fintonic информирует пользователей о том, как обрабатываются их персональные данные, непросто: политика конфиденциальности приложения представляет собой тупую веб-страницу, на которой указано мало подробностей о защите данных и которая в самом конце текста ведет на другую страницу, озаглавленную "Правовой режим и защита данных". Там смешиваются обязательства, которые есть у пользователей, и типы персональных данных, которые собирает приложение. Такой формат не удобен для пользователя и не может помочь людям четко понять, как их личная информация может быть зарегистрирована и обработана.

Компания Revolut также может принимать автоматизированные решения о своих пользователях в зависимости от используемых ими продуктов или услуг приложения. Согласно их политике конфиденциальности, они могут принимать "автоматизированные решения о вас": "Это означает, что мы можем использовать технологии, которые могут оценить ваши личные обстоятельства и другие факторы, чтобы предсказать риски или результаты. Мы делаем это для эффективной работы наших служб и для того, чтобы решения были справедливыми, последовательными и основанными на правильной информации". Этот автоматизированный процесс принятия решений уже несколько раз давал обратный эффект. Пользователи приложения Revolut в Румынии и других странах указывали на эту проблему после того, как их счета были заморожены из-за автоматического управления выбором.

У вас был прокол прошлой ночью? Расскажите своему приложению о противозачаточных таблетках

Знать, использует ли цифровой сервис алгоритмические системы для каких-либо целей, очень важно, потому что они не "видят" того, что видит человек.

Давайте разберемся в этом на примере. Анализируя данные, которые присылали нам компании, мы столкнулись с очень специфическим случаем, который заставил нас насторожиться. В списке расходов одного из пользователей мы обнаружили заметку с именем "Pranzo". Если бы кто-то заглянул в этот конкретный набор расходов, он бы быстро заметил, что пользователь, скорее всего, говорил о "ланче", потому что именно так переводится с английского итальянское слово "pranzo". Проблема в том, что в Испании "пранцо" известно как название лекарства, используемого для лечения расстройств пищевого поведения, например анорексии. Проанализировав остальные расходы, мы можем сделать вывод, что пользователь отправился в путешествие в Италию. Но если мы выделим это слово из контекста, зная, что пользователь испанец, а не итальянец, и в зависимости от типа используемого алгоритма, машина сможет интерпретировать, что пользователь потратил деньги на это лекарство.

Важно также подчеркнуть, что мы превращаем эти приложения в маленькие дневники, которые, как мы предполагаем, может прочитать только наш партнер или наши друзья. Это доходит до того, что мы чувствуем себя достаточно уверенно, чтобы записать день, когда мы потратили деньги на противозачаточные таблетки, не зная, кто имеет доступ к такой информации и как они работают с этими данными (считающимися конфиденциальными в соответствии с GDPR, поскольку они касаются вопросов здоровья).

Иногда мы описываем расходы слишком просто или записываем их в качестве собственной шутки, зная, что в таком приложении, как Splitwise, где мы делимся расходами с друзьями, они поймут их и, возможно, посмеются. Тем не менее, нужно помнить, что если мы скажем Splitwise (или любому другому из упомянутых приложений), что тратим 50 евро на "грибы", "кокаин" или "марихуану", это останется в приложении (это реальные примеры, которые мы получили в ответах на наш DSAR). Зарегистрировано, сохранено и, возможно, обработано.

Правительство США ближе к вашим данным, чем ваша мама

Иногда эти персональные данные попадают от пользователей приложений из Европы в Соединенные Штаты. Согласно Общему регламенту по защите данных (GDPR), отправка данных пользователей приложений в США или на другие континенты запрещена без крайней необходимости или без разрешения, поскольку компании должны охранять наши данные в стране, которая соответствует законам о защите данных в Европе.

You Need a Budget (YNAB) - это приложение для контроля расходов, которое позволяет пользователям классифицировать свои траты по различным категориям и строить бюджет на их основе. Привязка банковского счета и соответствующих транзакций - это возможность для пользователей, которые предпочитают автоматическую синхронизацию, а не добавление каждой транзакции вручную. В приложении есть такие специфические функции, как добавление крайних сроков к ежемесячным счетам, например, чтобы оплатить электроэнергию или интернет дома до истечения установленного срока, и даже возможность привязать кредитную карту и отслеживать ее операции.

YNAB доступен для пользователей в европейских странах, включая Испанию, Францию, Великобританию, Германию, Румынию или Литву, но компания базируется в США (штат Юта). Давайте начнем с того, почему это важно.

В соответствии с Политикой конфиденциальности YNAB хранит электронную почту, полученную в процессе регистрации, данные для входа в систему (имя пользователя и пароль), названия счетов, остатки, транзакции и хранилища для счетов, связанных с другими финансовыми услугами. Они также обрабатывают данные об использовании, расходах, местоположении (если пользователи активируют эту функцию) и информацию с устройств пользователей. Эта информация - контактные данные, адрес, финансовые операции, банковские данные и т. д. - автоматически отправляется на серверы, расположенные в США. Это YNAB подтвердила нам в начале февраля по электронной почте: "YNAB - американская компания, и наши серверы расположены в США".

Почему важно указывать, что личные данные хранятся и обрабатываются в США, а не под европейской юрисдикцией?

"Существует большая проблема с передачей данных в США - это Закон о надзоре за иностранной разведкой (FISA), который неоднократно признавался ограничивающим права жителей ЕС на защиту данных. FISA позволяет получать непропорционально большой доступ к персональным данным через программы слежки и не дает возможности эффективного судебного восстановления прав отдельных лиц", - объясняет нам юрист по защите данных Рахул Уттамчандани.

Это означает, что существует больше возможностей для доступа к нашим данным и их обработки третьими лицами, о которых мы не знаем, что влечет за собой потерю контроля над личной информацией граждан. Данные, считающиеся конфиденциальными в соответствии с Общим европейским регламентом по защите данных (GDPR) (например, данные о состоянии здоровья), не могут обрабатываться в Европе в тривиальных целях, таких как реклама, и теоретически не могут быть переданы третьим лицам без согласия пользователя или строгого обоснования, описанного в регламенте.

Например, если правительство США запросит у такой компании, как YNAB, данные пользователя, оно сможет получить доступ к определенной личной информации, если пользователь привяжет свой банковский счет к приложению. Таким образом, будут раскрыты личные данные, введенные в приложение, такие как электронная почта, номер телефона, банковский счет, данные об устройстве (включая местоположение, IP-адрес), возраст или пол пользователя, если они могут быть выведены или непосредственно получены из данных банковского счета.

Для некоторых компаний, расположенных в США, обработка персональных данных является необходимой для осуществления их деятельности. В качестве примера можно привести компанию Meta (Facebook (запрещенная в РФ организация)), которая в последние годы получала 99 % своей прибыли от рекламы и которая неоднократно заявляла, что ее бизнес-модель зависит от передачи данных в США. В своем годовом отчете за 2021 год они прямо заявляют, что "скорее всего, не смогут" продолжать работу своих сервисов для европейских пользователей, если новая нормативная база запретит им отправлять данные в США, что "повлияет" на их бизнес и финансовое состояние (см. Meta Platforms Inc. Ежегодный отчет перед Комиссией по ценным бумагам и биржам США, 31 декабря 2021 года, стр. 9).

В случае с YNAB все данные пользователей обрабатываются в США, несмотря на то, что мы можем использовать сервис в европейской стране.

Мы запросили доступ к информации донора данных (по доверенности) и напрямую спросили YNAB, каким получателям они передают эту информацию. На этот второй вопрос они ответили следующим образом:

"Мы раскрываем личные данные следующим получателям: аналитическим службам, службе электронной почты, облачным службам, службам агрегации финансовых данных, службам регистрации, облачным службам безопасности, маркетинговым службам, платежным системам и службам поддержки клиентов".

В ответе на наш запрос компания также заявила, что, хотя она раскрывает личные данные "получателям, находящимся за пределами страны проживания субъекта данных", которые используют "соответствующие гарантии для защиты личных данных", она не предоставила дополнительной информации о том, что это за гарантии и где находятся получатели.

Нечто подобное происходит с Splitwise - приложением, позволяющим пользователям разделять счета, отслеживать долги и контролировать расходы с другими людьми, такими как друзья, члены семьи, соседи по дому и т. д., у которых у самих есть аккаунт в приложении. Splitwise служит индивидуальным пользователям, которым необходимо отслеживать движение денежных средств по нескольким общим расходам, и группам пользователей, которым необходимо координировать совместные траты/распределение расходов. В отличие от других приложений, которые мы исследовали для данного отчета, этот сервис не может подключаться к банковскому счету пользователя.

Приложение принадлежит американской компании Splitwise Inc. (зарегистрированной в штате Делавэр и базирующейся в Род-Айленде) и также доступно для пользователей в Европе, которые подпадают под защиту GDPR в ЕС. Тем не менее, принимая политику конфиденциальности и условия использования, пользователи Splitwise, находящиеся в ЕС, автоматически соглашаются на передачу своих данных в США и другие страны, где правила защиты данных могут не соответствовать GDPR.

В условиях предоставления услуг Splitwise указано, что пользователи соглашаются с тем, что политика конфиденциальности будет интерпретироваться в соответствии с законами штата Массачусетс в США. Обработка данных между ЕС и США соответствует рамочным соглашениям о защите конфиденциальности ЕС-США и Швейцарии-США, которые предлагают компаниям, работающим на этих территориях, механизмы соблюдения требований по защите данных при передаче персональных данных "в поддержку трансатлантической торговли".

С помощью приложения Splitwise пользователи могут создавать частные группы для совместных расходов на определенные мероприятия, такие как вечеринки, поездки, ужины и многое другое. Приложение также позволяет людям взаимодействовать, комментировать и планировать совместные расходы в каждой группе, добавляя к финансам эффект социальной сети. Пользователи могут отмечать и находить свои расходы в разных группах, поэтому чем больше подробностей они добавляют, тем проще приложению создать более подробный профиль для отдельных людей и их контактов в разных группах. Например, из наших DSAR-запросов к донорам данных, использующим приложение, мы можем подтвердить, что Splitwise индексирует очень подробную информацию об отношениях пользователей, их местоположении, состоянии здоровья и повседневной деятельности, а также об очень специфических привычках, некоторые из которых могут существенно повлиять на страховой или кредитный профиль человека. Разумеется, пользователи предоставляют приложению всю эту информацию добровольно, и от того, в какой степени они это делают, зависят различные возможные риски для их частной жизни в долгосрочной перспективе.

Если говорить подробно о том, сколько мы туда вложили, то полученный нами список данных показывает, что по списку расходов кто-то может узнать, получил ли пользователь вакцину COVID или нет. Соотнесение "праздничного ужина" или "праздничных вин" с понятием "вакцина" делает свое дело.

Кроме того, в США пользователи Splitwise могут подключаться и обмениваться платежами через социальное платежное приложение Venmo, принадлежащее PayPal. В рамках проекта Tactical Tech "Раскрывая невидимое" в этой статье было проведено расследование проблем Venmo с конфиденциальностью и раскрытием личных данных пользователей.

Что на самом деле означает фраза "я согласен"?

Как было сказано в самом начале, есть несколько вопросов, которые можно поставить под сомнение с юридической точки зрения: тот факт, что финансовые данные собираются и передаются финансовым агрегаторам и маркетинговым партнерам; что эти данные могут быть отправлены в такие страны, как США, где не действуют европейские законы о защите данных; и что то, что происходит с такими данными, не объясняется людям прозрачно.

Например, YNAB обрабатывает данные европейских пользователей в США, а это значит, что она выходит за рамки требований GDPR, поэтому эти данные уже не защищены так, как это было бы в европейской юрисдикции. Национальные органы по защите данных, такие как французский регулятор персональных данных (Национальная комиссия по информатике и свободе / CNIL), классифицируют США как страну, которая "не обеспечивает адекватный уровень защиты данных, признанный ЕС".

Компании не так-то просто обрабатывать и передавать наши данные без нашего согласия, но, как утверждает Рахул Уттамчандани в нашем интервью, они прикрываются мнимым согласием пользователей, когда те принимают Политику конфиденциальности в начале использования сервиса. "Политики и/или условия, в которых пользователь подтверждает свое согласие нажатием на флажок, называются "соглашениями с кликом". Возможность ознакомиться с условиями и нажать на флажок действительна и имеет законную силу в большинстве юрисдикций как договорное согласие, - поясняет юрист. Именно с таким случаем мы столкнулись в случае с YNAB и тем фактом, что вся ее инфраструктура находится в США".

В телефонном интервью с нашей командой Елена Адамович, юрист по вопросам конфиденциальности данных и исследователь фонда SHARE, также подчеркивает проблемы, связанные с получением согласия пользователей: "Такая практика, когда прочтение политики конфиденциальности означает, что вы дали согласие на что-либо, прямо противоречит логике и положениям GDPR..... Более того... если вы хотите использовать согласие в качестве правовой основы для обработки данных, то существуют очень высокие стандарты для согласия, которые означают, что оно должно быть свободно предоставлено, однозначно и так далее". (См. условия GPDR для согласия, статья 7)

Тем не менее, для некоторых видов обработки данных компании используют правовую основу, которую гарантирует согласие пользователя: "Согласие является надлежащей правовой основой, если людям предлагается реальный выбор и контроль над тем, как используются данные. Если согласие является обязательным условием для использования услуги, оно, скорее всего, не является надлежащим законным основанием для обработки данных", - добавляет Уттамчандни. В большинстве случаев пользователям не дают возможности принять только некоторые из условий, а заставляют согласиться со всеми сразу".

Рассмотрим цифровое банковское приложение Revolut. При регистрации счета пользователь должен согласиться с политикой конфиденциальности, содержащей длинный список данных, которые будут собираться у него, о нем и даже о его семье сторонними сервисами. Все это является частью процесса должной осмотрительности, который компания приложения должна провести для своих пользователей, поскольку Revolut также действует как цифровой банковский сервис, осуществляя транзакции и предоставляя платежные карты.

Пользователи в некоторых европейских странах не до конца осознают, что именно они отдают, когда пользуются теми или иными цифровыми сервисами. Качественное исследование, проведенное Maldita.es, показало, что граждане Испании выявляют проблему с тем, как обрабатываются их данные, и признают, что их частная жизнь в цифровой сфере нарушена, но не предпринимают шагов, чтобы изменить ситуацию. Опрошенные признались, что не читают документы о конфиденциальности цифровых сервисов, и не смогли указать на последствия утечки или неправильного использования их данных. Они рассматривают возможные пагубные последствия как то, что, скорее всего, затронет других людей, но не их самих.

Недавний Евробарометр, посвященный осведомленности о цифровых правах, также подтверждает это явление: более трети (39 %) жителей ЕС знают, что их права должны быть защищены и в цифровой сфере, например, не подвергаться дискриминации и обеспечивать неприкосновенность частной жизни. Почти половина (46 %) граждан ЕС признают, что их беспокоит то, как фирмы и учреждения обрабатывают и используют их личные данные.

Когда речь идет о финансовых данных, пользователи напрямую страдают, если их личная информация, связанная с экономическими операциями, подвергается неправомерному обращению:

Худшие сценарии, которые я могу представить, - это скоринг, который может легко привести к дискриминации (решения на основе индивидуального скоринга о выдаче кредитов, страховании и т. д.), а также выдача себя за другого человека и/или мошенничество в случае утечки данных", - говорит Уттамчандани, отвечая на вопрос о потенциальном риске.

Ваш "контракт" заключен не только с приложением... посмотрите еще раз на свои условия

Как и в случае с любой другой цифровой услугой, мы должны принять некоторые условия, изложенные в политике конфиденциальности и юридических терминах. Так, например, YNAB предупреждает пользователей, что если они решат связать финансовый счет с приложением, они признают и соглашаются "с условиями соответствующих политик конфиденциальности тех партнеров", которые будут способствовать этому процессу. Кроме того, пользователи "однозначно предоставляют партнерам-агрегаторам право, власть и полномочия на доступ к информации и ее передачу в разумных пределах" для предоставления услуг. Кто эти финансовые агрегаторы?

Plaid, MX и TruePlayer. Именно эти компании отвечают за передачу истории банковских операций в приложение. Они выступают в качестве связующего звена между самим приложением и банком, и именно им мы передаем свои банковские реквизиты. "По указанию пользователя YNAB получает доступ к данным о транзакциях (таким как дата, получатель платежа, сумма и т. д.), а также к деталям счета (таким как название счета, баланс, процентная ставка и т. д.)", - объясняет YNAB.

Plaid, например, соединяет наши финансовые счета с финтех-сервисами вроде YNAB. Отдельно они получают доступ к большому количеству данных: наше имя, адрес электронной почты, номер телефона, дата рождения, адрес, номер банковского счета, иногда информация о работодателе, о кредитах - включая срок погашения, процентные ставки, план платежей - баланс счета и список транзакций.

В политике конфиденциальности Plaid говорится, что собранная информация может быть использована "для получения заключений": "Например, мы можем определить ваше местоположение или ваш годовой доход на основе информации, которую мы собрали о вас от вас или из других источников". Это означает, что на основе собранных данных они составляют финансовый профиль своих пользователей, который затем может быть использован такими сервисами, как YNAB, чтобы предложить им определенный тип услуг. Splitwise, приложение для распределения расходов, также использует Plaid Technologies, Inc. для некоторых своих услуг, чтобы "собирать данные конечного пользователя в финансовых учреждениях". Пользователи предоставляют Plaid точно такое же "право, власть и полномочия" "действовать от вашего имени для доступа и передачи вашей личной и финансовой информации". Именно эти сторонние субъекты говорят таким приложениям, как YNAB или Splitwise, "кто мы такие".

Эти сторонние службы, в свою очередь, сотрудничают с другими компаниями. В своих документах о конфиденциальности они также указывают, что могут делиться идентификаторами, финансовой и коммерческой информацией, профессиональной информацией и данными о местоположении пользователей с "финансовыми учреждениями", "профессиональными консультантами" и "поставщиками аналитических услуг", которые позволяют им предоставлять услуги таким клиентам, как YNAB. Как и YNAB и Splitwise, они работают в США, поэтому обработка данных осуществляется в этой стране.

Другой финансовый агрегатор, MX, работает аналогичным образом: "Мы также обрабатываем персональные данные клиентов в агрегированном виде, чтобы помочь нашим клиентам, предлагая значимые акции, такие как персональные займы, кредитные карты и ипотечные кредиты, на основе проанализированной информации". Кроме того, такая информация, как привычки пользователей приложений в отношении расходов, в сочетании с другими личными данными и предпочтениями позволяет составлять все более точные профили пользователей, которые необходимы онлайн-рекламодателям для проведения более точных и целенаправленных маркетинговых кампаний, призванных привлечь дополнительные расходы.

Будьте анонимны... чтобы мы могли деанонимизировать вас за секунду

Как правило, эти приложения знают, сколько вы тратите на интернет, электроэнергию и воду в своем доме. Они также знают, сколько налогов вы платите ежемесячно и есть ли у вас дети. И, как мы уже видели, сервисы передают некоторые данные, чтобы найти имя и личность, скрывающиеся за этой информацией. Такие сервисы называются трекерами.

Приложения используют трекеры для разных целей. Некоторые из них позволяют убедиться, что все работает правильно. Например, Google Crashlytics, который записывает, что делал пользователь в момент сбоя приложения, или Google Analytics для Firebase, который записывает различные данные о том, как мы используем приложение. Подумайте об этом как о дневнике, где эти сервисы автоматически записывают каждую кнопку, которую мы нажимаем, или каждый раз, когда мы открываем приложение. Вся эта информация затем привязывается к своего рода виртуальной "идентификационной карте" (нашему идентификатору пользователя), которая позволяет различным службам открывать дневник и видеть, как мы ведем себя как пользователи.

Может случиться так, что компании, стоящие за этими службами слежения, собирают огромное количество данных о пользователях или что их методы обеспечения конфиденциальности на самом деле не так уж и удобны. Вот один из таких случаев.

В ходе технического анализа приложений, проведенного нашими партнерами по исследованию SocialTIC, мы обнаружили, что YNAB использует сторонние трекеры, такие как mParticle, Braze или Bugsnag. Некоторые из них довольно агрессивно относятся к тому, как они получают доступ и собирают данные пользователей. Это означает, что даже если приложение для контроля бюджета, на которое мы подписались, применяет особые меры защиты данных пользователей, эти сторонние сервисы могут обрабатывать полученную информацию с другими целями (даже если они должны придерживаться договорных условий с соответствующими приложениями для контроля бюджета).

Например, mParticle - это сервис, который стоит за push-уведомлениями, маркетинговыми письмами или онлайн-рекламой, связанной с конкретным продуктом, который мы используем или когда-то использовали. Их цель - заставить пользователей постоянно взаимодействовать с сервисом, особенно когда они обнаруживают, что пользователи перестали пользоваться приложением на некоторое время.

У mParticle есть особенность, которая должна обеспокоить пользователей: одна из услуг, которую они предлагают приложениям, - IDSyinc. Этот сервис позволяет разработчикам присваивать пользователям уникальный идентификационный номер (ID), который можно отследить, даже если они только загрузили приложение, но еще не вошли в него. Этот идентификатор остается привязанным к соответствующему пользователю с момента создания им учетной записи. mParticle, по сути, говорит о том, что они могут связать анонимизированные или агрегированные данные, полученные от пользователя, у которого нет учетной записи, с момента, когда он решил ее создать. И как им удается сопоставить профили? С помощью агрегированных данных, которые они отслеживают и которые не должны нас идентифицировать.

Таким образом они связывают случайных пользователей, о которых фирма не знает, с возможными будущими клиентами, которые в итоге создадут аккаунт. Но делается это за счет неидентифицирующей информации, такой как данные об устройстве, IP-адреса (которые не идентифицируют нас напрямую) или наша активность в конкретном приложении. Этот процесс известен как отмена анонимизированных или псевдономизированных данных и противоречит подходу к сохранению конфиденциальности данных.

Компания признает, что существуют "убедительные деловые и юридические аргументы" против такого подхода, но преуменьшает его важность, упоминая о "возможности" для клиентов "сохранить полную историю опыта пользователя с вашим приложением".

Он также позволяет клиентам искать конкретную информацию в профиле пользователя: "Поиск IDSync позволяет маркетологам запрашивать профили пользователей по любому известному идентификатору, такому как электронная почта, мобильный телефон или идентификатор устройства, и возвращать все совпавшие значения идентификатора пользователя, включая идентификатор mParticle", - объясняет компания в руководствах, которые она предоставляет разработчикам. Таким образом, даже если пользователь решит создать новый адрес электронной почты, который он не предоставлял сервису, mParticle свяжет уже имеющуюся у него электронную почту с новым адресом, что позволит отследить его.

Кроме того, приложения могут не делиться данными напрямую с Facebook (запрещенная в РФ организация), но если они используют mParticle, то передача информации все равно будет иметь место, поскольку есть возможность интегрировать данные Facebook (запрещенная в РФ организация) с mParticle (подробнее здесь), и у него есть специальные функции для охвата аудитории на этой платформе.

Тот факт, что данные можно объединить, чтобы идентифицировать нас и узнать о нас больше, очень актуален. Например, из данных, полученных нами в ходе исследования с помощью DSAR-запросов пользователей Tricount, можно составить подробную информацию о человеке, включая весь маршрут его поездок: куда он ездил, где останавливался, где ел, какие достопримечательности посещал, сколько платил за еду и такси, когда пользовался собственным автомобилем и даже когда заходил в общественный туалет посреди улицы. К этому добавляются имена людей, с которыми они были вместе (на основе данных о расходах и комментариев в приложении), а позже и некоторые обновления об интимных подробностях их семейной жизни.

Все исследованные нами приложения используют трекеры и сторонние сервисы, которые позволяют им получать определенную информацию о своих пользователях помимо тех декларативных данных, которые мы передаем компаниям при использовании их услуг (имя, электронная почта, номер телефона, банковский счет и т. д.). Но запись наших расходов на цифровом сервисе подразумевает раскрытие незнакомым людям интимных подробностей нашей жизни. Затем эти компании могут поделиться ими с другими фирмами, которые, в свою очередь, поделятся ими с другими фирмами. Все в соответствии с договорными условиями, на которые пользователи соглашаются одним кликом, но все же...

Они знают, что вы курили на прошлой неделе, даже если вы не выкладывали это в социальные сети

Tricount, как и Splitwise, позволяет людям разделить расходы, например, от поездки, и рассчитать, как разделить их между разными участниками. Затем он предоставляет быстрые способы оплаты долгов через PayPal или IBAN (банковский счет).

При регистрации приложение запрашивает определенные персональные данные: имя, электронную почту, номер телефона, фотографию профиля, если необходимо, и IBAN, если пользователь хочет добавить банковский счет в сервис. Эту регистрацию можно пропустить, если вместо создания нового профиля в Tricount выбрать социальный вход через Facebook (запрещенная в РФ организация) или Google, или через Apple ID, если используется устройство на базе iOS.

Социальный логин позволяет пользователям не создавать учетную запись в новом сервисе за счет привязки профиля социальной сети - в данном случае Facebook (запрещенная в РФ организация). При этом Tricount получает мгновенный доступ к некоторой части данных, которые пользователь хранит в Facebook (запрещенная в РФ организация). Объем этих данных зависит от предпочтений компании, а также от настроек конфиденциальности пользователя и может варьироваться от электронной почты и фотографии профиля до списка друзей, постов, понравившихся страниц, возраста, пола, дня рождения, местоположения, родного города или загруженных фотографий.

Эта функция работает благодаря пакету инструментов, который Meta (запрещенная в РФ организация) (Facebook (запрещенная в РФ организация)) предоставляет разработчикам и третьим лицам, - Facebook Software Development Kit (SDK). Он включает в себя ряд плагинов и трекеров, которые издатели, коммерческие партнеры или рекламодатели могут использовать для интеграции своего приложения с Facebook (запрещенная в РФ организация) и получения данных о том, как пользователи взаимодействуют с платформой и сервисом, а также для совершенствования своих рекламных стратегий.

Эти партнеры предоставляют информацию о ваших действиях за пределами наших продуктов, включая информацию о вашем устройстве, посещаемых вами веб-сайтах, покупках, просматриваемой вами рекламе и о том, как вы пользуетесь их услугами, независимо от того, есть ли у вас учетная запись или вы вошли в наши продукты", - говорится в Политике конфиденциальности Facebook (запрещенная в РФ организация) (раздел "Информация от партнеров").

С помощью этой функции разработчик финтех-приложения может сообщить Facebook (запрещенная в РФ организация) о том, что пользователи делают внутри приложения. Если приложение, в данном случае Tricount, заинтересовано в том, чтобы мы использовали определенную характеристику сервиса, требующую оплаты (у Tricount также есть премиум-сервис), в социальной сети может быть показана реклама, связанная с ней. (О том, как работает таргетинг рекламы на разных платформах и что с этим можно сделать, читайте в статье "Как обновить свой профиль в социальных сетях").

Отвечая на вопрос об этой функции, Facebook (запрещенная в РФ организация) объяснил, что в настоящее время они еще больше ограничивают доступ разработчиков к данным, чтобы предотвратить злоупотребления. Среди мер, которые они принимают, - удаление доступа разработчиков к данным Facebook (запрещенная в РФ организация) и Instagram (запрещенная в РФ организация), если пользователь не пользовался приложением в течение трех месяцев, а также ограничение начальных данных, к которым получает доступ разработчик. Facebook (запрещенная в РФ организация), как поставщик идентификационных данных пользователей для Tricount, может получить много информации о поведении каждого пользователя в приложении. Она знает, к чему они обращаются в каждый конкретный момент, с какого устройства и т. д. Это позволяет лучше узнать пользователей, включая вкусы, привычки, интересы, расписание.

На вопрос о том, какую именно информацию она может получить от финтех-приложения, Meta (запрещенная в РФ организация) направила нас на веб-страницу своей службы поддержки, где объяснила, что "запрещает" поставщикам данных делиться с ними финансовыми данными. Среди этих данных они указывают номера банковских счетов или кредитных карт, доходы, кредитный рейтинг или банковский баланс. Они не упоминают категории расходов или привычки тратить деньги.

Наряду с Google, Facebook (запрещенная в РФ организация) и Amazon, Tricount имеет четко выраженное партнерство с трекером Branch, основная функция которого - связывать данные между различными платформами и устройствами, что называется "глубоким связыванием". Цель Branch - помочь сервисам максимально повысить вовлеченность пользователей и производительность. На основании публичной документации можно сделать вывод, что он отслеживает пользователя, устанавливая его идентификатор и привязывая его к определенным событиям/действиям, наиболее значимым в нашем случае: когда пользователь что-то покупает; когда пользователь взаимодействует с любой функцией приложения; когда пользователь продвигается в использовании приложения (создает профиль, привязывает электронную почту и т. д.); и другие пользовательские события и действия, определенные разработчиком приложения. Branch имеет возможность записывать события, регистрируемые Google Tag Manager и Google Firebase, которые также используются сервисами Tricount. Таким образом, можно с уверенностью предположить, что он может получить доступ к большей части информации, которую собирают трекеры Google у пользователя. На практике это означает более точный таргетинг пользователей с помощью рекламы и другой информации, которая может быть направлена на конкретные предпочтения, потребности и, в конечном счете, увеличение расходов.

Помните, что мы говорили ранее о том, как мы раскрываем свои расходы? Представьте, что вы ведете дневник, в котором записываете все спиртное, купленное за последнюю неделю, и предыдущую, и предыдущую. Если кто-то увидит это, подумает ли он, что вы, например, слишком много пьете? Существуют сервисы, основная задача которых - сделать такой вывод из того, что они о вас знают.

Удаление учетной записи не означает удаление ваших данных

Это не банальный вопрос, когда мы говорим, что, будучи пользователями, мы почти не знаем, как обрабатываются наши данные. Это становится еще более важным, когда мы говорим о финансовых данных, а значит, влезаем в личную сферу людей и в то, как они тратят свои деньги. Нас особенно задело это признание, когда мы узнали, что одна из компаний, в которую мы отправили запрос на предоставление данных, предоставила нам копию личных данных, которые они хранят... о другом пользователе.

В этом конкретном случае мы запросили данные (через DSAR) из одного из приложений пользователя, который покинул сервис несколько месяцев назад. Компания сообщила нам, что, поскольку этот человек удалил аккаунт, она больше не хранит финансовые данные. Тем не менее, они сохранили файл с некоторыми личными данными, такими как адрес электронной почты, IP-адрес, местоположение, время использования, данные устройства, а также функции бюджетирования, которые были активированы пользователем. Например, если пользователь планировал бюджет для отпуска или выхода на пенсию.

Вся эта информация - но от другого пользователя - была предоставлена нам в ответ на наш запрос DSAR. Фирма заметила ошибку только тогда, когда мы запутались и указали на несоответствия с ситуацией нашего фактического донора данных. Оказалось, что, как и человек, добровольно предоставивший нам свою информацию для этого расследования, жертва утечки также удалила свой аккаунт. Но не в 2021 году, как наш донор данных, а в 2019-м, когда он закрыл свой аккаунт после месяца бесплатного пробного использования.

Как указано в политике конфиденциальности соответствующего приложения, если пользователь не воспользуется полной подпиской, данные не будут храниться дольше пары месяцев. Согласно данным о "неправильном пользователе", к которым мы получили доступ, эта информация должна была быть удалена не позднее 2020 года. Два года спустя эти данные все еще доступны приложению и его компании, и даже могут попасть в чужие руки.

Это необходимо учитывать с точки зрения безопасности: в случае утечки данных злоумышленникам могут попасться данные человека, который не пользовался сервисом целых три года. Имея такой список личных данных, киберпреступники могут выдать себя за другого человека, совершить мошенничество с использованием этой информации или продать ее брокерам данных и т. д.

В нашем случае компания сразу же после обнаружения ошибки сообщила нам, что пострадавший пользователь был предупрежден о том, что "ограниченные личные данные" были раскрыты третьим лицам.

"Это была первая ошибка, которая произошла из-за ручной обработки запроса, и мы уведомили конкретного пользователя, который пострадал. Финансовые данные пользователя были удалены в соответствии с нашей политикой конфиденциальности и поэтому не были раскрыты. Конфиденциальность наших пользователей всегда была и остается нашим приоритетом номер один", - ответила нам компания в письменном заявлении.

Примечание: название компании не раскрывается, поскольку мы не смогли проверить, произошло ли нарушение из-за процедурной, технической или человеческой ошибки.

Политика конфиденциальности настолько закрыта, что скрывает самые важные детали.

Отсутствие прозрачности - главная проблема финансовых сервисов, которые не совсем четко определяют порядок работы с персональными данными. Иногда, даже если пользователь прикладывает усилия, чтобы прочитать политику конфиденциальности, информация изложена нечетко. Например, компания Fintonic утверждает в своей основной политике обработки данных (на испанском языке), что "персональные данные не передаются третьим лицам". Тем не менее, наш технический анализ показывает, что информация о пользователе, по крайней мере, используется с помощью трекеров, которые подходят для маркетинговых целей, таких как инструменты Google, Appsflyer или Leanplum.

Юрист по защите данных Рахул Уттамчандани отмечает как минимум два нарушения GDPR: "Непредоставление необходимой информации (обязательство прозрачности) и несоблюдение принципов обработки (обработка без законных оснований)".

Давайте рассмотрим американскую компанию Splitwise. При регистрации аккаунта Splitwise приложение собирает ряд персональных данных, включая имя, адрес электронной почты, номер телефона, тип устройства, IP-адрес, а также возможность регистрации с помощью учетных данных аккаунта Google, что позволяет связать профиль Google (и контакты Google, с согласия пользователя) с приложением и наоборот. Согласно политике конфиденциальности, Splitwise использует эти данные для предоставления услуг пользователям, а также для проведения таких мероприятий, как анализ поведения пользователей, маркетинг и рекламные акции, а также для "предварительного заполнения полей форм или сохранения предпочтений для вашего удобства".

Сторонние агенты, поставщики услуг, филиалы и дочерние компании приложения, выполняющие различные функции, такие как "техническое обслуживание, управление базами данных, облачный хостинг, веб- и мобильная аналитика, услуги сканирования чеков и OCR", получают доступ к личной информации пользователей для определенных целей и "по договору обязаны соблюдать" правила конфиденциальности приложения.

В некоторых случаях, когда это разрешено законом, Splitwise позволяет третьим сторонам использовать данные для улучшения своих собственных услуг, например, проводить оптическое распознавание символов (OCR) на квитанциях пользователей для обучения алгоритмов... "например, сторонняя служба сканирования квитанций может улучшить качество OCR своей службы, обучив алгоритм на квитанциях, которые вы предоставляете Splitwise." (Политика конфиденциальности Splitwise.)

На вопрос, использует ли компания какие-либо автоматизированные системы принятия решений в отношении данных пользователей, Splitwise ответил нам по электронной почте: "Splitwise не использует никаких автоматизированных решений, которые создают юридические последствия или аналогичные значительные последствия для наших клиентов, включая профилирование".

Помимо личных данных, собранных в приложении, Splitwise стремится дополнить профиль пользователя, получая дополнительные данные от сторонних сервисов или сканируя интернет (так называемый веб-скреппинг) в поисках другой общедоступной информации, добавляя ее в свой собственный пул данных. Например, согласно политике конфиденциальности, если у пользователя есть публичный аватар, сохраненный на таком сервисе, как Gravatar, связанный с его электронной почтой, приложение "может автоматически заполнить ваш пользовательский аватар на Splitwise".

Те пользователи, которые предпочитают использовать "Не отслеживать" (Do Not Track, DNT) - настройку браузера, которая просит веб-приложение/сайт отключить слежку за отдельным пользователем, - знают, что Splitwise будет игнорировать такие запросы по умолчанию: "Практика Splitwise по сбору и раскрытию информации, а также выбор, который мы предоставляем клиентам, будет продолжать действовать, как описано в этой Политике конфиденциальности, независимо от того, получен ли сигнал Do Not Track." Это не относится только к Splitwise, это скорее часть общего отсутствия консенсуса и применения запроса DNT на многих онлайн-сервисах и сайтах, как пишет Крис Хоффман в статье "RIP 'Do Not Track', the Privacy Standard Everyone Ignored".

Наконец, если пользователь решит удалить свой аккаунт и стереть данные из Splitwise, в политике конфиденциальности приложения говорится, что на удаление информации с серверов компании может уйти до 90 дней, "пока у нас нет законных оснований или обязательств сохранять запись" (Политика конфиденциальности Splitwise).

В целом можно сказать, что политика конфиденциальности и условия предоставления услуг Splitwise предлагают сложный и довольно четкий обзор широкого спектра взаимодействий между сервисом, третьими лицами и пользователем. Мы можем сказать, что нас профилируют. Существует прозрачность в отношении того, как данные пользователей агрегируются со сторонними сервисами, а также как они могут быть переданы, что оставляет достаточно места для того, чтобы человек (читающий политику) мог осознанно решить, подходит ли ему это приложение. Неопределенность и риски конфиденциальности, связанные с передачей данных в США, которые находятся вне юрисдикции GDPR (территория, на которой действует GDPR), стоит подчеркнуть для пользователей из ЕС, обеспокоенных тем, как могут обрабатываться их персональные данные.

Это была определенно "ухабистая поездка"...

Путь к получению всей этой информации был нелегким. Чтобы узнать у компаний, какие данные о пользователях они хранят и как с ними обращаются, мы использовали Data Subject Access Requests (DSAR) - правовой инструмент/процедуру, предусмотренную GDPR и распространяющуюся на всех граждан ЕС, то есть любой человек может с ее помощью запросить доступ к своим данным, собранным и сохраненным различными учреждениями (например, компаниями, службами, государственными учреждениями и т. д.). На практике это не так просто. Иногда компании не в полной мере соблюдают правила, когда речь заходит о том, как можно подать такой запрос, и, как правило, отвечают не на все запросы.

DSAR позволяет нам узнать множество вещей. Воспользовавшись правом доступа, мы имеем право получить копию своих персональных данных от учреждения (также называемого "контролером данных"), а также ряд сведений, которые касаются нас как пользователей. Например, мы имеем право узнать, с какими компаниями и службами контроллер данных делится нашими данными и с какой целью; получила ли компания данные о нас от третьих лиц; было ли принято какое-либо автоматизированное решение в отношении нас, которое может повлиять на нас в любой сфере нашей жизни.

Этот конкретный случай очень интересен в экосистеме финтеха, о чем мы уже писали в этой статье. Профиль, основанный на наших расходах, ежедневных привычках и количестве денег, которые мы храним на банковских счетах, является привлекательным продуктом для финансовых агрегаторов, чья работа заключается в анализе того, соответствует ли наш экономический профиль необходимым требованиям для получения кредита или может ли быть одобрен наш страховой план.

"Худшие сценарии, которые я могу представить, - это скоринг, который может легко привести к дискриминации (решения на основе индивидуального скоринга о выдаче кредитов, страховании и т. д.), а также выдача себя за другого человека и/или мошенничество в случае утечки данных", - Рахул Уттамчандани, специалист по защите данных.

При реализации права доступа часто случается так, что компании предоставляют копию данных, связанных с пользователем, но оставляют остальные запросы без внимания. Это означает, что закон предоставляет нам возможность напрямую потребовать ответа на эти вопросы, но компании просто не соблюдают его, игнорируя некоторые части запросов. Случаи с приложениями, которые мы проанализировали, не так уж сильно отличаются друг от друга, и некоторые из них не спешат выполнять запросы.

Во-первых, вы должны знать, что, будучи гражданином ЕС, вы можете попросить другое лицо или организацию отправить DSAR от вашего имени. Для этого вы выдаете им доверенность (в виде письменной документации и соглашения) на представление, подачу и получение вашего запроса. Это означает, что вы можете попросить Maldita.es или Tactical Tech запросить у компании данные, которые у них есть о вас. Именно так поступили пользователи, предоставившие нам свои данные для проведения этого расследования.

Тем не менее, по крайней мере одна из компаний, создающих приложения, оказалась не в состоянии соблюсти право на представительство, которое предоставляется в соответствии с GDPR. Компания Fintonic не хотела отправлять нам данные, полученные от наших доноров, если только они сами не направят прямой запрос в компанию. В итоге мы попросили наших доноров отправить эти запросы, в результате чего мы получили данные от Fintonic гораздо позже, чем должны были, исходя из нашего первоначального запроса с использованием права на представительство. Об этом можно легко сообщить в орган по защите данных в одной из европейских стран, поскольку это не соответствует правилам GDPR.

Иногда фирмы знают об этом и используют в своих интересах, как вспоминает Анхела Альварес, сотрудник испанской фирмы, специализирующейся на DSAR MyDataMood:

"Компании плохо соблюдают право на доступ. Большинство из них затягивают с ответами и сообщают некоторые данные о клиентах, но в большинстве случаев они не предоставляют всю информацию о них, а передают только те данные, которые подтверждают сами пользователи, например, их имя или адрес электронной почты... В редких случаях они также передают частные данные об использовании, которые компания использует для предоставления услуг". Альварес отмечает. "Другие вопросы, такие как логика, которой следуют алгоритмы профилирования, практически никогда не отображаются компанией".

Fintonic все же предоставила нам файл с небольшим количеством персональных данных о наших донорах, как только мы напомнили о своем праве отправлять DSAR от имени человека, который дал на это разрешение. Настаивая на том, что в файле отсутствует большое количество пользовательских данных, они снова отклонили запрос, сославшись на "соображения безопасности" и упомянув о "конфиденциальности пользователей". Нам удалось получить доступ к данным только после того, как доноры попросили самих Fintonic связаться с ними и разрешить передачу данных нам. Тем не менее, они не предоставили дальнейших объяснений на важный запрос о том, как автоматизированные решения принимаются в отношении профилей пользователей с помощью FinScore, их алгоритма оценки.

Очевидно, что существует противоречие между причинами, которыми фирма аргументировала отказ в удовлетворении нашего запроса, и требованиями закона. Очевидно, что личные данные, такие как имена, номера телефонов или IP-адреса, могут быть переданы, но не пользовательские данные, связанные с сервисом. В данном случае речь идет о финансовой информации, которая собирается, о том, с кем они ею делятся, или о критериях, которые они используют для присвоения кредитного балла пользователям. Повторимся, это информация, которую согласно положениям GDPR пользователь может узнать, а отказ в ее предоставлении может быть обжалован в Испанском агентстве по защите данных (AEPD).

Что касается остальных заявок, то ни одна из них, кроме YNAB, не предоставила дополнительную информацию, указанную в запросе, до того, как мы повторно обратились к ним с этим вопросом.

Что нам делать дальше?

Препятствия, с которыми мы столкнулись, и полученные результаты показали нам, насколько сложным, запутанным и порой недоступным может быть право на доступ к информации для пользователей, не обладающих знаниями в области цифровых прав или временем для проведения глубоких исследований о том, как его реализовать. Есть несколько важных аспектов, которые следует иметь в виду, принимая решение о том, стоит ли доверять и передавать свои данные финтех-приложениям, подобным тем, которые мы анализировали в этом отчете. Разумеется, эти положения в целом справедливы и для любых других приложений, и мы не можем не повторить этого.

Это не означает, что пользоваться такими приложениями неправильно. Напротив, они могут быть очень полезны для лучшего контроля за личными финансами, но важно понимать, что существуют компромиссы. Мы многое получаем и многое отдаем (или даже больше).

Прежде чем воспользоваться той или иной услугой, мы должны знать, что поставлено на карту. Например, данные пользователей попадают не только в конкретную компанию, предоставляющую сервис приложения, но и в длинный список сторонних сервисов и компаний, которые могут получать доступ и использовать личные данные и статистику пользователей в различных целях. Однако на этом уровне осведомленность пользователей может быть достигнута только в том случае, если мы знаем, как работают эти сервисы, а это непростая задача.

Чтение политик конфиденциальности, например, и сомнение в том, что мы не понимаем, - это самый первый шаг. Например, что это за сервис или компания, о которой я никогда не слышал, которая может получать доступ и обрабатывать данные из моего бюджетного приложения? Что это за трекер, который использует мое приложение, чтобы анализировать мои привычки и размещать рекламу в моем приложении? Зачем это нужно и как это работает на самом деле?

Когда мы начинаем пользоваться каким-либо приложением - финансовым или любым другим, - мы должны помнить, что сразу же после открытия и первой попытки использования приложения мы принимаем на себя ряд обязательств и условий. Мы часто "соглашаемся" с условиями предоставления услуг и политикой конфиденциальности, как только нам предлагают это сделать, и редко копаемся дальше. Более того, в некоторых случаях мы даже не можем воспользоваться приложением или ключевыми функциями, на которые подписались, пока не "согласимся". Иногда мы даже не осознаем, как соглашаемся, потому что просто хотим пользоваться приложением, но нам все равно нужно знать, как это работает.

Одним из методов достижения этой цели является обучение отправке DSAR - процесса запроса пользовательских данных, который мы описали в этой статье. Но, как мы видели, для этого нужно пройти долгий путь.

Дополнительные документы и публикации

• Investigation report and methodology in Spanish (pdf.): "Tu cartera ya no está en tu bolsillo, sino en tu móvil: ¿qué saben de ti las aplicaciones de control de gastos?", Maldita.es, March 2022.

• Spanish-language reporting on the investigation by Maldita.es, in three parts: part 1; part 2; part 3.

• Technical Report on Tricount, Splitwise and YNAB (pdf.), by Paul Aguilar and Diego Morábito, SocialTIC, February 2022.

Сертификаты и лицензии

Исследования и отчеты:

• Naiara Bellio López- Molina and the team from Maldita Tecnología

• Laura Ranca and the Exposing the Invisible team from Tactical Tech

• Paul Aguilar and Diego Morábito from SocialTIC

Editorial supervision from Tactical Tech: Marek Tuszynski

English editing: Christy Lange

Graphic design: Yiorgos Bagakis

Advice and input on GDPR matters: Jelena Adamović and Danilo Krivokapic from SHARE Foundation; Rahul Uttamchandani.

The report is licensed under a Creative Commons Attribution-ShareAlike 4.0 International license / CC BY-SA 4.0