Вредоносное ПО (malware) - это назойливые или опасные программы,...
Персональные данные - это целая индустрия, и на ней зарабатывают все. Кроме вас.
Сколько стоят ваши личные данные? Стоимость персональной информации среднестатистического интернет-пользователя колеблется в диапазоне от $0,2 до $0,4. При этом некоторые факторы способны ее увеличить:
- Вы женаты или собираетесь пожениться? Прибавьте к начальному значению 30%.
- Вы недавно развелись? Увеличьте цифру на 10−20%.
- Ждете ребенка? Смело добавляйте 30%.
- Владеете недвижимостью? Накидывайте еще 30%.
Очевидно, что стоимость личной информации пользователей из разных стран, а также разных демографических и социально-экономических слоев сильно различается. Чтобы сохранить объективность, давайте возьмем десятку стран с крупнейшей долей пользователей за тот же период 2018-го (их совокупное количество приближается к миллиарду). (Для сравнения, число пользователей Facebook в России составляет примерно 25 млн человек.)
Можно ли заработать на собственных данных?
Высока вероятность, что ваши персональные данные уже имеются у Facebook, LinkedIn или Twitter (а, возможно, у всех трех сайтов сразу). Что, если бы вы смогли извлечь выгоду из этой информации? В конце концов это ваши личные сведения. Увы, в лучшем случае заработать на них получится лишь пару долларов.
Крупные суммы связаны с огромными объемами данных, именно поэтому 9 дата-брокеров за последний год заработали более 400 млн долларов. Имейте в виду, что это всего лишь посредники. Они собирают и перераспределяют данные между Facebook, Amazon, Google, LinkedIn и Twitter.
Другими словами, если вам не принадлежит компания по обработке информации или у вас нет пары тысяч друзей, велика вероятность, что вы никогда не сможете продать свои личные данные за их реальную стоимость. Однако их вполне можно скачать и тем самым поддержать децентрализованный мир. Знания - это сила, и понимание того, какой след вы оставляете и как он используется, помогает принимать правильные решения о поддержании конфиденциальности.
Почему нельзя просто перейти на децентрализованную сеть, в которой мы будем полностью контролировать личные данные и извлекать из этого выгоду?
Увы, сделать это очень непросто. Дело в том, что у каждого человека есть друзья и коллеги. Централизованные платформы создают и растут благодаря ему. Формально вы «бесплатно» связываетесь и общаетесь с друзьями в таких соцсетях - платой служат ваши личные данные. Ни для кого не секрет, что основным источником дохода современных централизованных платформ является именно персональная информация.
Пользователи перейдут с Facebook или Twitter на лучшее решение, если их заинтересовать в этом. Регуляторы пытаются сократить число злоупотреблений в данной сфере, однако это только мешает инновациям. Некоторые проекты (такие как PDS - магазины персональных данных) призваны поменять правила игры, однако пользователи пока не спешат отказываться от Facebook и LinkedIn. Сначала PDS должны стать чем-то большим, чем простая концепция. Для этого следует понять, как эта альтернатива может заинтересовать людей, а затем предоставить им соответствующие стимулы.
Как построить децентрализованную социальную сеть, которую целиком контролируют пользователи?
Бонус: Как скачать личные данные из крупнейших социальных сетей
Чтобы понять, сколько стоят данные, сначала необходимо получить к ним доступ. Вот пошаговое руководство по скачиванию и просмотру личных данных в трех социальных сетях - Twitter, Facebook и LinkedIn.
Когда вы первый раз включили свой iPhone, iPad, iPod touch или Mac, что вам предложила система?
Среди вещей, с которыми народ обычно соглашается, была одна любопытная. Скорее всего, вы позволили Apple следить за всем , что делаете на устройстве. А вашу бдительность усыпили обещания, что полученные данные будут обезличены и никому больше не достанутся.
Дескать, ваши данные надёжно защищены с помощью случайного шума, честное слово.
На практике всё оказалось несколько иначе. Рассказываем, как на самом деле работает технология дифференциальной безопасности , применяющаяся во всех продуктах Apple. И почему она дырявая в исполнении ребят из Купертино.
Я пропустил, когда появилась дифференциальная безопасность?
Дифференциальная безопасность была добавлена в iOS 10. В обзоре технологии Apple утверждает , что собирает данные пользователей – но только те, которыми они сами хотят поделится. Информацию использует встроенная система аналитики и другие сервисы, чтобы оптимизировать использование гаджета и софта на нём.
Дифференциальная безопасность применяется для:
- Разработки улучшений для Emoji и QuickType;
- Создания подсказок по поиску;
- Поиска элементов автоматического воспроизведения на сайтах для Safari, чрезмерного расхода энергии этим браузером и ресурсов, которые могут привести к проблемам в его работе (для iOS 11);
- Анализа использования приложения Health (также в iOS 11).
Все собранные данные хранятся до 18 месяцев. Apple заявила, что не собирает IP-адреса или идентификаторы устройств.
В чём заключается дифференциальная безопасность?
Чтобы отследить шаблоны поведения, информацию от множества пользователей сливают в единую базу данных. Но чтобы защитить конкретного пользователя, к его данным примешивается случайный математический шум. Он позволяет разорвать связь между устройством и конкретным набором данных.
Только эти зашумленные данные отправляются на сервера Apple.
В итоге система аналитики исследует обезличенную информацию . Она понимает, как именно владельцы пользуются устройствами, но не знает, к примеру, любите ли конкретно вы много скроллить или нажимать на кнопки, какой у вас любимый эмодзи. Или как вы себя чувствуете после чтения новостей (привет, фейсбук!).
Какие данные получает Apple от меня? Где посмотреть?
Данные, которые отправляются из iOS , можно посмотреть в меню «Настройки» -«Конфиденциальность» – «Аназиз» – «Данные аналитики» – «Дифференциальная приватность».
В macOS можно запустить приложение «Консоль» и увидеть данные в меню «Системные отчёты» – «Дифференциальная приватность» или в пункте «Данные анализа Mac».
Теперь к проблеме. Эпсилон? Что это такое?
До отправки на сервер данные шифруются с использованием хэш-кода SHA-256 и преобразуются в вектор. Каждую координату вектора могут затем изменить на неверное значением (шум) с вероятностью 1/(1+е Ɛ), где е – экспонента, основание натурального логарифма, приближенно 2,71828, а Ɛ – тот самый эпсилон.
Эпсилон – это параметр, который определяет уровень зашумления ваших данных.
Именно он определяет, как полученная Apple информация смешивается с цифровым шумом. Чем выше переменная эпсилон, тем больше верных персональных данных остаётся.
Какой эпсилон использует Apple и почему это важно?
Компания Apple раскрыла значения переменной Ɛ и частоты отправки данных с выходом iOS 11:
- Для подсказок в поиске и QuickType применяется добавление шума с эпсилон, равным четырём. Данные отправляются дважды в день.
- Для эмодзи эпсилон также равен четырём, но отправка данных выполняется один раз в сутки.
- Информация о приложении Health также отправляется ежедневно, но с эпсилон, равным двум. Причём это скорее не сами данные о здоровье, а то, как пользователи их меняют и насколько часто.
- Наконец, данные о работе Safari отправляются дважды в день с эпсилон, равным четырём.
Но исходные коды функции зашумления Apple, конечно же, не показала. И кто знает, что там на самом деле происходит.
Что говорят исследования на тему безопасности?
Учёные из университетов Южной Калифорнии, Индианы и Цинхуа покопались в коде macOS и iOS и выяснили , что дифференциальная приватность на практике применяется не так, как описано компанией.
Они отследили, как в личные данные добавляется случайный шум. И нашли расхождения с официальной позицией Apple.
Аналитики хотели проверить реальное значение эпсилон. И пришли к выводу: на сервера Apple уходит гораздо больше незашумленных данных , чем ожидалось.
Код операционных систем специалисты разобрали на части программой Hopper. Оказалось, что в реальности у macOS значение эпсилон равно шести , а у iOS 10 – четырнадцати !
Чем больше эпсилон, тем выше вероятность выследить вас по вашему набору данных. Скажем больше: все значения эпсилон больше единицы рассматриваются как серьёзная угроза безопасности.
К тому же с каждой загрузкой данных вероятность отслеживания повышается. А загрузка 1-2 раза в день – это много.
Конечно, исследователи тестировали macOS 10.12 и iOS 10. Теоретически возможно, что с выходом новых версий Apple уменьшила значения эпсилон.
Но в бета-версии iOS 11 значение эпсилон составляло 43. СОРОК ТРИ! Верите ли вы, что в финальной версии его уменьшили до 2 или 4?…
Почему методы Apple опасны?
Фрэнк МакШерри, один из основателей дифференциальной приватности и бывший сотрудник Microsoft, отметил: Apple будто надела на себя наручники при взаимодействии с вашими данными. Правда, оказывается, что они сделаны из бумаги.
Исследователь привёл следующие расчёты. Если с вашего iPhone ежедневно отправляются данные из приложения Health с эпсилон, равным 14, то компания может вас идентифицировать с вероятностью 50% уже после первой отправки. А через два дня степень уверенности вырастет почти до 100%.
Apple, конечно же, всё отрицает. Дескать, исследователи ошиблись, все типы информации свалили в кучу и т.п. Корреляции между данными для идентификации пользователей разработчики также отвергли.
Но выглядит это неубедительно. Хотя бы потому, что если бы Apple этим не занималась, то однажды кто-то другой провёл бы параллели между данными и опознал конкретных пользователей. Хотя дифференциальная приватность, вообще говоря, не должна такого допускать.
К слову, в Google Chrome также есть система дифференциальной приватности и инструмент для сбора данных RAPPOR. Внутреннее исследование показало, что для одного пакета данных эпсилон не превышает двух. А на длинной дистанции (отправка нескольких наборов данных) значение может расти до 8-9.
Что ж, зато исходный код RAPPOR лежит в свободном доступе , и все могут посмотреть, как работает анализ.
Как запретить Apple собирать мои данные?
Система предлагает пользователю выбрать, разрешать или не разрешать собирать данные, при первой загрузке. Но отменить решение и запретить отправку статистики можно в любой момент.
iOS 11 : сделать это можно в приложении «Настройки» – «Конфиденциальность» – «Анализ» (сделать пункты в меню «Делиться Анализом iPhone, Watch» неактивными) и в настройках Safari «Конфиденциальность и безопасность». Варианты для более старых версий описаны .
Выводы неутешительные. Приватность Apple только на словах
Здравствуйте, друзья! Время не стоит на месте, и многие уже давно стали пользоваться приложениями банков, чтобы облегчить себе жизнь.
Я в том числе. Когда-то очень радовалась появлению такого чуда, чтобы не ходить в банк по всякой мелочи, не стоять в очередях.
Скачала приложения на айфон, на андроид. Для андроида, кстати, была неприятно удивлена множеством раскрывающихся данных банку. То есть они получают все твои данные (контакты, фото, данные о прошивке - решительно все). Если согласие не пишешь - услуга недоступна. Или так, или никак. Этот момент мне очень не нравится. Никакой защиты информации.
В айфоне такого не было. Там я согласия такого не давала.
В телефонах пользоваться удобно, я не спорю.
Масса возможностей, платить можно за все.
Виден баланс карт, вкладов, какие есть. К сожалению, я привязана к карте МИР. На работе в переводе зарплаты на карту другого банка мне было отказано. Хоть и обращалась с заявлением. Так что теперь я являюсь "счастливой" обладательницей такой карты.
Она для меня является бестолковой - не могу ей платить в интернете, пополнять телефон, как раньше, с номера 900 и т.д. Она активна, просто "система не доработана, не установилось еще все, подождите полгода-год". Примерно так мне ответил сотрудница банка.
Можно создавать цели, копить на них средства, совершать переводы в несколько касаний и много чего другого.
Оплачивать счета просто и быстро тоже можно, не выходя из дома и даже не вставая с дивана.
И тут еще один момент вдруг возник. Плата за садик. У нас в новом саду всегда спрашивают чек об оплате. Пережиток прошлого, но это так. Бубнят и ругаются на нас всегда, каждый месяц, когда мы не приносим чек, мол, платим онлайн. А платить в банкоматах долго и не всегда успеваем - работаем с 7 до 19, когда банки закрыты. Тут вопрос к сотрудникам садика, а не к приложению, конечно.
У приложения есть встроенный антивирус. Типа, мы ваши данные заберем, но вы не беспокойтесь, они никуда не попадут. Конечно.
В других банках в подобных приложениях ничего подобного нет. Если бы не этот раздражающий меня момент, о наглом вмешательстве в мою конфиденциальную информацию, поставила бы хорошую оценку.
Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах. Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц - мощное и опасное оружие. Статья рассказывает о том, что нужно знать о персональных данных, открывая доступ к ним 3-м лицам.
Персональные данные: что это, нормативная база
Государство регулирует сферу персональных данных посредством целого ряда нормативных актов. Основу составляет Конституция РФ, базис - ФЗ № 152 от 27.01.2006 г. Закон разъясняет, что такое персональные данные, что к ним относится. Этот термин означает сведения, напрямую или косвенно характеризующие субъекта ПД - физическое лицо. Говоря простым языком, по ним можно точно определить, что речь идет о конкретном человеке.
Косвенное упоминание о персональных данных есть в российской Конституции. Статьи 23–24 основного закона дают гражданам право на тайну частной жизни, ее неприкосновенность и защиту. Все, что входит в понятие персональные данные, принадлежит только их носителю и не может контролироваться правительством или 3-ми лицами. Граждане сами вольны распоряжаться этой информацией, препятствовать распространению или, наоборот, передавать ее другим. Государство, со своей стороны, гарантирует и защищает эту возможность.
ФЗ № 152 определяет, кто вправе использовать персональные данные кроме их носителя, на каких условиях, по каким правилам. Получать и обрабатывать личную информацию о субъекте могут только операторы с его разрешения. Гражданин подписывает согласие на проверку ПД при оформлении заявок на кредит, заполнении анкет или поступлении на работу.
Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты - все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за
Нормам ФЗ № 152 должны следовать все юридические и частные лица. Особые правила применяются, когда ПД:
- получают для личных или семейных нужд, если это не ущемляет права 3-х лиц;
- содержатся в архивных документах;
- составляют гостайну;
- собираются по судебному акту.
Другие законодательные акты уточняют положения о ПД применительно к разным ситуациям, вводят систему и классификацию средств защиты. Например, гл.14 ТК РФ раскрывает понятие персональных данных работника. Это сведения, позволяющие охарактеризовать его как сотрудника определенной организации (размер зарплаты, стаж, квалификация, информация из ФНС и ПФР и др.), его деловые качества. Они должны использоваться и храниться для помощи работнику в выполнении его трудовых обязанностей, повышении опыта и знаний, продвижении по службе, для защиты персонала и имущества компании.
Классификация персональных данных
ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами:
- обезличенные;
- общие;
- биометрические;
- специальные.
Общие персональные данные
Общие персональные данные - это основная информация о человеке. К ним относят:
Обработка персональных данных в организации
Цель обработки ПД в организации — оформление трудовых отношений с работником. Без подписанного согласия на обработку ПД работодатель не имеет права заключать трудовой договор. Подробнее читайте в этой
- место прописки и проживания;
- паспортные данные;
- образование;
- контактные данные;
- сведения о работе;
- размер доходов и т. д.
Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными . Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД. Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.
Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д. Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты. Относительная простота доступа часто приносит проблемы субъектам ПД - обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.
Личная жизнь гражданина, которая включает в себя также различные виды тайн (врачебная, налоговая, тайна усыновления и другие) защищена от разглашения статьей 137 УК РФ. Подробнее можно прочитать в этой .
Биометрические ПД
Биометрические данные - это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.
Специальные ПД
Раса и национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д.
Специальные ПД требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.
Зачем нужен закон о персональных данных? Ответ смотрите в видеосюжете:
Обезличенные ПД
Обезличенные ПД доступны для любого заинтересованного лица. Источниками информации могут быть:
- адресные книжки;
- справочники;
- реестры;
Общедоступная информация, которая считается персональными данными, - это, например, доходы политических деятелей, представителей федеральной или муниципальной власти, чиновников на руководящих должностях.
В ноябре 2016 г. состоялось первое собрание рабочей группы администрации Президента РФ по проблеме использования положений ФЗ № 152 к так называемым Big Data . Это данные, которые от пользователя поступают в сеть: IP-адрес, формы авторизации, история браузера, сведения, которые накапливают о владельце гаджеты и умные бытовые приборы.
Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение ПД. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.
Все интересующие вопросы можно задать в комментариях к статье