Совсем недавно маленький ростом Марк Цукерберг давал показания Конгрессу США, сидя на портфеле. Он заверил конгрессменов, что у пользователей крупнейшей социальной сети «полный контроль» над тем, кому передаются персональные данные. Но сейчас выясняется, что дело обстоит не совсем так. И вполне можно прийти к выводу, что Цукерберг лгал Конгрессу.
Такие выводы следуют из результатов расследования, опубликованных вчера в NY Times. В статье описывается работа специальных API, которые примерно десять лет назад были интегрированы в устройства по крайней мере 60 производителей. С этими компаниями Facebook заключил долгосрочные соглашения, многие из которых действуют до сих пор.
По мнению New York Times, компания Facebook действовала некорректно: более 60 производителей устройств имели привилегированный доступ к данным пользователей Facebook «без их явного согласия». Передача данных продолжалась даже после того, как Facebook заявил, что больше не будет делиться такой информацией с посторонними. Некоторые производители устройств могут получить личные не только самих пользователей, но и их друзей, хотя формально такой обмен данными запрещён. «Когда Facebook закрыл возможность доступа к данным о друзьях пользователя в 2015 году, Facebook освободил этих производителей от ограничения», — сказано в статье.
Если составить выжимку из статьи, то из неё понятно следующее: Facebook не считал (и не считает) производителей устройств «третьими сторонами». Таким образом, когда компания заявила, что прекратила передавать данные «третьим сторонам», она не имела в виду производителей мобильных устройств. Честно говоря, такой довод звучит погано. Но это единственное, что сейчас может сказать Facebook, потому что иначе получается, что компания лгала и лично Цукерберг лгал перед Конгрессом.
Facebook опубликовал официальный ответ, в котором выразил несогласие с обвинениями из-за работы этих конкретных API.
«В первые дни мобильно индустрии спрос на Facebook опережал нашу способность создавать версии продукта, которые работали на каждом телефоне или операционной системе. Сейчас трудно вспомнить, но тогда ещё не было магазинов приложений. Таким образом, такие компании, как Facebook, Google, Twitter и YouTube, должны были работать напрямую с производителями операционных систем и устройств, чтобы люди могли получить эти продукты, — объясняется в официальном заявлении Facebook. — Чтобы преодолеть этот пробел, мы создали набор интегрированных с устройствами API, которые позволили компаниям воссоздать Facebook-подобный опыт для своих отдельных устройств или операционных систем. За последнее десятилетие ими воспользовались около 60 компаний — в том числе многие известные компании, такие как Amazon, Apple, Blackberry, HTC, Microsoft и Samsung».
То есть суть работы API объясняется «технической необходимостью». С точки зрения Facebook, это самое простое решение технической проблемы, и ничего предосудительного здесь нет. Более того, Facebook исходил из интересов пользователей.
«Все эти партнёрские отношения строились на общем интересе — желании людей иметь возможность пользоваться Facebook независимо от их устройства или операционной системы, — сказано в заявлении. — Учитывая, что эти API позволили другим компаниям воссоздать опыт Facebook, мы жёстко контролировали их с самого начала. Эти партнёры подписали соглашения, которые не позволяют использовать информацию пользователей Facebook для каких-либо других целей, кроме воссоздания Facebook-подобных событий. Вопреки утверждениям The New York Times, информация друзей, как и фотографии, была доступна только на устройствах, когда люди приняли решение поделиться своей информацией с этими друзьями. Нам не известно о каких-либо злоупотреблениях со стороны этих компаний».
Facebook подчёркивает, что эти привилегированные API «сильно отличаются от публичных API, используемых сторонними разработчиками, такими как Александр Коган».
Здесь речь идёт об авторе приложения, который продал данные печально известной компании Cambridge Analytica, сотрудничавшей с Дональдом Трампом на президентских выборах 2016 года. Как недавно стало известно, эта компания использовала профилирование американских избирателей по подробнейшим данным из профилей Facebook.
«Теперь, когда iOS и Android настолько популярны, всё меньше людей полагаются на эти API для создания индивидуального опыта Facebook, — пишет компания. — Поэтому в апреле мы объявили, что закрываем к ним доступ. Мы уже закончили 22 таких партнёрства. Как всегда, мы работаем в тесном сотрудничестве с нашими партнёрами, чтобы обеспечить альтернативные способы для людей по-прежнему использовать Facebook».
Другими словами, Facebook предлагает не смешивать мух с котлетами и не приплетать ещё 60+ производителей мобильных устройств к скандальной утечке персональных данных.
Такие выводы следуют из результатов расследования, опубликованных вчера в NY Times. В статье описывается работа специальных API, которые примерно десять лет назад были интегрированы в устройства по крайней мере 60 производителей. С этими компаниями Facebook заключил долгосрочные соглашения, многие из которых действуют до сих пор.
По мнению New York Times, компания Facebook действовала некорректно: более 60 производителей устройств имели привилегированный доступ к данным пользователей Facebook «без их явного согласия». Передача данных продолжалась даже после того, как Facebook заявил, что больше не будет делиться такой информацией с посторонними. Некоторые производители устройств могут получить личные не только самих пользователей, но и их друзей, хотя формально такой обмен данными запрещён. «Когда Facebook закрыл возможность доступа к данным о друзьях пользователя в 2015 году, Facebook освободил этих производителей от ограничения», — сказано в статье.
Если составить выжимку из статьи, то из неё понятно следующее: Facebook не считал (и не считает) производителей устройств «третьими сторонами». Таким образом, когда компания заявила, что прекратила передавать данные «третьим сторонам», она не имела в виду производителей мобильных устройств. Честно говоря, такой довод звучит погано. Но это единственное, что сейчас может сказать Facebook, потому что иначе получается, что компания лгала и лично Цукерберг лгал перед Конгрессом.
Facebook опубликовал официальный ответ, в котором выразил несогласие с обвинениями из-за работы этих конкретных API.
«В первые дни мобильно индустрии спрос на Facebook опережал нашу способность создавать версии продукта, которые работали на каждом телефоне или операционной системе. Сейчас трудно вспомнить, но тогда ещё не было магазинов приложений. Таким образом, такие компании, как Facebook, Google, Twitter и YouTube, должны были работать напрямую с производителями операционных систем и устройств, чтобы люди могли получить эти продукты, — объясняется в официальном заявлении Facebook. — Чтобы преодолеть этот пробел, мы создали набор интегрированных с устройствами API, которые позволили компаниям воссоздать Facebook-подобный опыт для своих отдельных устройств или операционных систем. За последнее десятилетие ими воспользовались около 60 компаний — в том числе многие известные компании, такие как Amazon, Apple, Blackberry, HTC, Microsoft и Samsung».
То есть суть работы API объясняется «технической необходимостью». С точки зрения Facebook, это самое простое решение технической проблемы, и ничего предосудительного здесь нет. Более того, Facebook исходил из интересов пользователей.
«Все эти партнёрские отношения строились на общем интересе — желании людей иметь возможность пользоваться Facebook независимо от их устройства или операционной системы, — сказано в заявлении. — Учитывая, что эти API позволили другим компаниям воссоздать опыт Facebook, мы жёстко контролировали их с самого начала. Эти партнёры подписали соглашения, которые не позволяют использовать информацию пользователей Facebook для каких-либо других целей, кроме воссоздания Facebook-подобных событий. Вопреки утверждениям The New York Times, информация друзей, как и фотографии, была доступна только на устройствах, когда люди приняли решение поделиться своей информацией с этими друзьями. Нам не известно о каких-либо злоупотреблениях со стороны этих компаний».
Facebook подчёркивает, что эти привилегированные API «сильно отличаются от публичных API, используемых сторонними разработчиками, такими как Александр Коган».
Здесь речь идёт об авторе приложения, который продал данные печально известной компании Cambridge Analytica, сотрудничавшей с Дональдом Трампом на президентских выборах 2016 года. Как недавно стало известно, эта компания использовала профилирование американских избирателей по подробнейшим данным из профилей Facebook.
«Теперь, когда iOS и Android настолько популярны, всё меньше людей полагаются на эти API для создания индивидуального опыта Facebook, — пишет компания. — Поэтому в апреле мы объявили, что закрываем к ним доступ. Мы уже закончили 22 таких партнёрства. Как всегда, мы работаем в тесном сотрудничестве с нашими партнёрами, чтобы обеспечить альтернативные способы для людей по-прежнему использовать Facebook».
Другими словами, Facebook предлагает не смешивать мух с котлетами и не приплетать ещё 60+ производителей мобильных устройств к скандальной утечке персональных данных.
yurisv3
Так уж и «заверил»? Стенограмма показывает совершенно иную картину:
Заверений как-то не видно, это просто блеяние и мычание несовершеннолетнего школьника, уличенного в тырке мелочи из карманов соучеников.
haldagan
Вполне нормальные ответы, продиктованные необходимостью. А что ему еще отвечать на подобные вопросы?
Тактика «пожалуйста дождитесь ответа наших юристов» — лучше, чем политическое/коммерческое самоубийство с гордо поднятой головой «зато я твердо ответил на все их провокационные вопросы».
Взять тот же «How many improper data transfers to third parties have there been?». Публично ответить цифру больше 0 — п*#да компании. Гордо ответить «ноль» — п*#да и компании и Цукербергу, т.к. достоверно известно как минимум об одной.
будет «да, на тех страничках, где прицеплены официальные виджеты от фейсбука».
Логичным продолжением был бы вопрос «А вы часом не оборзели? Пользователь же не давал явного согласия на это.»
И ответ в духе «Ну все ж мы люди, все так делают — вон на гугл посмотрите» не только уронит акции компании больше, нежели первоначальный уклончивый ответ, но и скорее всего повлечет штраф/проверку/просьбу закрыть ФБ до устранения ненадлежащего функционала.
yurisv3
Вы скромно забыли пояснить — «нормально для шкодника, пойманного с поличным и и теперь юлящего с целью избежать наказания».
«Пьян был, не помню!».
haldagan
… за что?
Вы владелец хранилища. Ваши клиенты Миша, Петя и Вася дают копии ключей от ячеек своим друзьям. Друзья продают копии ключей Андрею.
После этого вас вызывает товарищ майор и начинает задавать вопросы навроде «сколько раз ключи от ваших ячеек были переданы без ведома владельца ячейки?» и «откуда у Андрея так много ключей от чужих ячеек?».
Как владелец хранилища вы вполне можете ответить «понятия не имею» и «сами разбирайтесь, я не при делах». Цукерберг, как владелец многомилионной компании, так ответить не может — вот и отвечает уклончиво «точно не скажу, давайте разберемся вместе».
ArtemVasilyev
Обычно в таких случаях с клиентами заключается NDA. В данном случае запрещающее распространение ключей от ячеек. Во вторых, Вы, как владелец «некого важного хранилища», должны обеспечить контролируемый доступ к ячейкам только собственно клиентов, а не всех у кого ключ имеется. Всем остальным Вы можете не давать доступа к ячейкам, а показывать фотографии ячеек. Т.е. в случае Фейсбука — выдавать только деперсонифицированные данные.
И эти правила необходимо написать в договоре. После этого оправдываться за свои действия не придется.
haldagan
TL;DR: Фейсбук не виноват в «утечке», он виноват только в том, что имел удобную возможность ее реализации. Даже без АПИ и прав на отслеживание друзей вы до сих пор можете заплатить сто долларов Иннокентию, другу Марины и попросить его прислать скрин публично закрытого профиля Марины (телефоны, фио, место работы и т.д.). Ситуация та же — данные утекли без ведома Марины. Виноват опять фейсбук?
Попробую по-другому:
1) Вася в суперзашифрованном чатике говорит Пете о том, что Вася ограбил магазин
2) Петя за пивом рассказывает об этом Андрею
3) Андрей, как ответственный гражданин, идет в полицию и докладывает об этом
4) Вася начинает возмущаться, что владелец суперзашифрованного чатика сливает чувствительную информацию (у Васи в словаре отсутствует понятие «транзитивность»).
Суть моего поста была в том, что «крайние» в этой ситуации — либо «друзья», которые явно и однозначно продали информацию за денежное вознаграждение, либо Коган — это в случае, если он ввел их в заблуждение и в пользовательском соглашении не описал, что приложение будет собирать информацию, которая впоследствии может быть передана третьим лицам.
Так и вижу новый пункт в ToS фейсбука: «Вы ни при каких обстоятельствах не имеете права распространять Информацию, полученную на фейсбуке, кроме случаев, когда Владелец Информации в письменной форме разрешил вам ее распространять».
Дело в том, что с таким же успехом Александр Коган мог обойтись и без АПИ, попросив пользователей просто прислать ему скриншоты страниц друзей. Да, это стоило бы дороже, пожалуй, да и более трудозатратно в целом. Однако даже с отключением АПИ подобная «утечка» все еще возможна.
Насколько деперсонифицированные? Если пользоваться определением, данным в ГК РФ, то фейсбуку для выдачи данных, не являющихся персональными, пришлось бы исключить из вывода почти все.
ArtemVasilyev
Да, Вы правы — такую возможность закрыть невозможно. И, самое главное, это не является проблемой Фейсбука, ибо, в таком случае, необходимо запрещать фотографирование как род деятельности, т.к. на фотографиях часто затрагиваются интересы третьей стороны.
Насколько я понял, речь все-таки ведется о том, что Фейсбук не полностью прописал правила игры для своих партнеров (читай — либо проявил небрежность, либо предпочел свои финансовые интересы интересам пользователей). Тут ближе аналогия с банком (фейсбук). Я как вкладчик пришел и положил в банк свою заначку от жены и надеюсь на приватность этих сведений. Банк же пошел в газету и за вознаграждение опубликовал все сведения о вкладчиках, включая баланс. Мотивировал это тем, что вкладчикам предоставляется новый пользовательский опыт, т.к., видя кто хранит деньги в нашем банке, они будут спать более спокойно.
Если бы банк не преследовал каких-то своих интересов и опубликовал бы не перечень вкладчиков, а, например, совокупный баланс, то эффект был бы не хуже, а пользователи бы не пострадали.
Собственно, Фейсбук мог бы отдать своим партнерам, например, граф связей между анонимными узлами, но он, по каким-то причинам, этого не сделал и теперь пытается сохранить лицо.
haldagan
По данной статье с производителями устройств ситуация выглядит действительно не очень: плохо давать такие привилегии третьей стороне, даже если «они подписали соглашение, что не будут использовать в своих интересах» в том числе если «так было проще для разработки», даже несмотря на «пользователи были уведомлены в лицензионном соглашении, приложенном к ПО».
Минусующим на всякий поясню: эта ветка комментариев родилась из процитированных ответов Цукерберга сенату, то есть изначально обсуждался прошлый скандал, а не описанный в текущей статье.
LeoPoldGR
Объясните, пожалуйста, кто в курсе. Это нормальная практика — вызов в конгресс (законодательный орган) владельца частной компании для дачи показаний?
archimed7592
В штатах — да. Например, директора Volkswagen в своё время вызывали в конгресс по поводу Дизельгейта. Он там, в отличие от Цукерберга, на все неудобные вопросы отвечал что-то вроде «мы заплатим за это много миллиардов штрафов»
LeoPoldGR
Хм, не понимаю. Т.е. конгресс после показаний и какое-то расследование проводит, и вердикт выносит, и наказание определяет? Интересно, почему не суд? Не подскажете, где можно подробнее об этом почитать?
archimed7592
Конгресс принимает законы, нацеленные на предотвращение будущих проблем.
Я не знаю насчет штрафов, накладываемых федеральными службами (в случае с дизельгейтом — это EPA) — скорее всего, они их накладывают без суда.
Если говорить о компенсации гражданам, то это либо через суд, либо по соглашению (их «добрая» воля). Желающие посудиться всегда найдутся, но основная масса, я думаю, согласилась на предложенную Volkswagen компенсацию, т.к. суд нужно ещё выиграть, а это время и деньги… Причём, в штатах не принято возмещать расходы на адвокатов, т.е. можно потратить больше чем выиграть. Те кто любят посудиться объединяются в так называемый class action и подают коллективный иск, чтобы разделить расходы на адвоката.
Где почитать не знаю… познания в основном из американских сериалов, википедии и освещения вот таких вот событий в СМИ.
DenBlack
Денежки не пахнут. «Почему бы не слить чьи то личные данные, если их есть у тебя» — логика любого предпринимателя, который уверен что ему за это ничего не будет.
haldagan
Не защищаю Цукера, но сливал-то не он. Если я правильно понимаю, то ситуация примерно следующая:
1) При проведении каких-то исследований пользователям фейсбук выдавалось по х долларов за установку приложения и выдачу приложению прав на просмотр друзей.
2) Приложение собрало закрытые данные о друзьях пользователей из п.1.
3) После исследования данные были переданы какой-то третьей стороне.
С одной стороны утечка приватных данных «друзей» есть, а с другой стороны все выглядит легитимно: «друзья» дали разрешение показывать свои данные пользователям из пункта 1, пользователи из пункта 1 согласились за вознаграждение поделится информацией с приложением. Как-то так.
haldagan
Игнорируйте мой комментарий выше. Он относился к ситуации с Cambridge Analytica, а не к описанной в статье.
Golem765
Александр Коган не владелец Cambridge Analytica, он просто создал приложение и продал им данные
alizar Автор
Спасибо за уточнение!