Посещая сайты, подписываясь на рассылки или публикуя сообщения в социальных сетях, около 5,2 млрд пользователей интернета по всему миру постоянно распространяют информацию о себе, иногда даже не подозревая об этом. В России на начало 2024 года насчитывалось 130,4 млн интернет-пользователей, и каждый из них в той или иной мере оставлял свой след в Сети. Разберемся в том, что такое цифровой след, можно ли его «замести» и как сбор информации о пользователях регламентирован с точки зрения закона.
Виды цифровых следов
Цифровой след — это информация, которая остается в интернете или компьютерных системах в результате действий человека. Существует два типа цифрового следа: активный и пассивный.
Активный состоит из сведений, которые пользователь публикует в Сети по собственной инициативе. Сюда относятся посты в соцсетях, заявки на участие в конкурсах, заполненные формы и анкеты.
Пассивный цифровой след — это сведения, которые собирают сайты, приложения или «умные» устройства. Это могут быть:
- персональные данные (имя, возраст, пол);
- поведенческие данные (история поиска, просмотренные страницы);
- финансовые данные (история покупок, информация о банковских картах);
- геолокационные сведения (местоположение, IP-адрес);
- технические данные (тип устройства, операционная система).
Анализируя действия пользователя в интернете, можно влиять на его поведение, предлагать ему услуги и товары, в которых есть актуальная потребность. Такие данные используются компаниями для лучшего таргетирования (адресации) рекламы, а также для сбора аналитики, необходимой для принятия бизнес-решений.
Например, пользователь посетит сервис по поиску авиабилетов, ничего не купит, но его интерес уже будет зафиксирован различными системами. С большой степенью вероятности этот человек уже в ближайшее время увидит на разных сайтах рекламу рейсов в город, который его интересовал, расположенных там гостиниц или доступных экскурсий. А когда все-таки купит билет, получит от банка ненавязчивое сообщение: «Собираетесь в путешествие? Не забудьте купить страховку».
Методы сбора информации
Самый распространенный способ собрать информацию о пользователях — это куки-файлы (cookies). Так называется инструмент, который позволяет владельцам сайтов отслеживать активность на их страницах. Они фиксируют, какие действия пользователь совершал и какие настройки устанавливал. Скажем, для сервиса поиска авиабилетов из примера выше будут собраны такие данные, как язык браузера, валюта для оплаты, планируемые к посещению города, даты путешествия, а также характеристики заказа, добавленного в корзину.
Куки могут интегрироваться с другими данными. Так, если пользователь входит в учетную запись через аккаунт соцсети, владелец сайта видит не анонимного посетителя, а вполне конкретного человека с набором личной информации. Эти сведения можно использовать для персонализации контента, который видит пользователь.
В теории согласие на обработку куки-файлов — дело добровольное, и пользователь может его не давать. Но в реальности многие сайты перестают работать корректно, если отказаться от использования cookies, ведь благодаря их передаче ускоряется авторизация, сохраняются персональные настройки страниц.
Есть и другие способы отслеживания активности в интернете, и один из них — через разрешения, которые пользователи дают мобильным приложениям. Приложения чаще всего передают информацию о местонахождении пользователя — такие сведения помогают рекламодателям точнее таргетировать объявления. Например, показать рекламу торгового центра в тот момент, когда пользователь находится недалеко от него.
Кроме того, приложения могут получить информацию об истории интернет-заказов и поиска, а также финансовых транзакциях. По данным платформы для проведения рыночных исследований Gitnux, мобильные устройства к началу 2024 года генерировали 53,3% мирового интернет-трафика. Так что с их помощью бизнес также может получить большой объем информации, полезной для использования в маркетинговых целях.
А еще, добавляет Statista, в мире уже работают более 15 млрд устройств IoT (интернета вещей), иными словами — «умных» девайсов, которыми пользователь может управлять через глобальную сеть. И все они агрегируют информацию о своем владельце и его пользовательских привычках. Поэтому-то фитнес-трекер знает все о здоровье и местонахождении человека, а устройства «умного» дома — о режиме дня хозяина жилья: когда и как глубоко он спит, в каком парке бегает, в какие часы уходит на работу и возвращается с нее.
Уникальный след обычного пользователя
Среднестатистический пользователь смартфона может оставлять более 180 цифровых следов каждый день, используя всего девять приложений разных типов: соцсеть, поисковик, аудио- и видеостриминги, агрегатор путешествий, мессенджер, маркетплейс, банковское приложение и сервис доставки. Чаще всего пользователи могут «наследить» в соцсетях, музыкальных и поисковых приложениях, меньше всего — в сервисах доставки.
Некоторые данные генерируются сразу, как только человек открыл приложение, другие — в процессе использования. Среди них могут быть, например, имя, данные банковской карты, адрес, список контактов и многое другое. В среднем каждый из этих типов данных используется семью приложениями.
Евгений Черешнев, основатель и генеральный директор компании Future Crew («Экипаж будущего»), член правления, вице-президент по стратегии и инновациям МТС:
«Нужно исходить из логики бритвы Оккама («все лишнее не должно существовать»), спрашивая себя, зачем сервис просит предоставить ваши данные. Например, если это служба доставки еды, то помимо почты и номера мобильного телефона понадобится адрес проживания. Без знания последнего компания не сможет оказать услугу. А если сетевой ретейлер при оформлении скидочной карты просит помимо номера телефона указать дату рождения, адрес, второй контакт, то это уже просто маркетинговая активность. Лучший способ не допустить утечки данных — попросту их никому не давать».
В одних только США более 500 компаний продают пользовательские данные, доступные через интернет. Крупнейший брокер данных в мире — Acxiom. Он хранит информацию о более чем 2,5 млрд человек из 62 стран, и его данными в маркетинговых целях пользуются, в частности, крупнейшие социальные сети. Его и несколько других крупных брокеров данных, например Experian, Equifax и Epsilon, критикуют за непрозрачность. Одна из главных претензий заключается в том, что такие компании не заинтересованы во взаимодействии с людьми, данные которых они собирают и продают.
Что можно противопоставить такой заинтересованности компаний в ваших данных? Вот несколько простых советов:
- не публикуйте личную информацию в соцсетях;
- не загружайте подозрительные приложения и не регистрируйтесь на сомнительных сайтах;
- удаляйте онлайн-аккаунты, которыми не пользуетесь;
- выходите в интернет через браузеры с инструментами блокировки трекеров и рекламы.
Как не наследить в цифровом мире
Главная проблема, которая может возникнуть при сборе информации о пользователе, — это нарушение конфиденциальности и несанкционированный доступ к личной информации. Если меры безопасности в компании, собирающей информацию, недостаточны, данные могут быть украдены или скомпрометированы. Кроме того, сбор данных можно использовать для создания профилей пользователей и потенциальной дискриминации, манипулирования выбором и поведением людей, например, с помощью навязчивой рекламы. Пользователи могут нести и финансовые потери, если чувствительная информация попадает к мошенникам. Не стоит недооценивать и психологические последствия из-за потери чувства конфиденциальности.
Для компаний, собирающих информацию о пользователях, важно использовать шифрование, многоуровневую аутентификацию для доступа к данным и регулярно проводить аудит безопасности.
Евгений Черешнев:
«Компании мирового уровня, та же Google, за годы своей деятельности изобрели методологии работы с данными, которые систематически показывают свою надежность. Тратится много времени и сил, чтобы каждому новому сотруднику компании привить понимание рисков, связанных с утечками, и объяснить базовые правила цифровой гигиены. Это дает прекрасные результаты в паре с таким инструментом, как «второй ключ»: когда для доступа к данным недостаточно быть топ-менеджером Google, необходимо присутствие в офисе двух и более сотрудников, которые обязаны подтвердить права друг друга для определенных операций».
Заботиться о сохранности чувствительной информации о себе важно и самому пользователю: например, использовать сложные и уникальные пароли, включить двухфакторную аутентификацию, регулярно обновлять программное обеспечение, с осторожностью делиться личной информацией публично, удалять историю браузера и чистить куки-файлы. Старые аккаунты и посты в социальных сетях, которые сегодня могут навредить, лучше тоже удалить.
Следование букве закона
На распространение своего цифрового следа можно влиять. Около ста стран мира приняли законы о защите данных и конфиденциальности. Например, один из самых строгих и всеобъемлющих законов о защите данных — GDPR (Общий регламент по защите данных), который действует в Европейском союзе. Он предоставляет пользователям права на то, чтобы:
- запросить копию своих личных данных;
- потребовать исправления неточных данных;
- потребовать удаления своих данных;
- ограничить обработку своих данных;
- переносить свои данные от одного сервиса к другому;
- возражать против определенных форм обработки данных.
Благодаря GDPR обработка пользовательских данных стала прозрачнее, теперь проще отказаться от нежелательных электронных писем и подписок, которые больше не актуальны, и запретить компаниям использовать личные данные без разрешения. Кроме того, за нарушения требований закона легко подать жалобу — это можно сделать по месту жительства, работы или по месту нарушения.
В июле 2019 года самый крупный штраф в истории GDPR — 183 млн британских фунтов — получила авиакомпания British Airways. Причиной стало нарушение безопасности, в результате которого произошла утечка персональных данных более 500 тыс. клиентов.
В других странах также существуют свои законы и нормативные акты. Например, PIPEDA (Personal Information Protection and Electronic Documents Act) в Канаде устанавливает правила сбора, использования и раскрытия личной информации в ходе коммерческой деятельности. Организациям, собирающим персональные сведения, необходимо выполнить ряд требований, чтобы соответствовать закону. В частности, они должны получить согласие человека на передачу его личной информации. Сам пользователь, если захочет, может запросить доступ к своим персональным данным, которые хранятся в организации, и оспорить их точность.
LGPD (Lei Geral de Proteção de Dados Pessoais) в Бразилии схож с GDPR — благодаря ему граждане страны получают возможность контролировать свои персональные данные, а национальные регулирующие органы получают полномочия жестко штрафовать организации-нарушителей на сумму до 50 млн бразильских реалов (более 900 млн руб.), или 2% от оборота компании.
В России основным законом, регулирующим обработку личных сведений, является федеральный закон «О персональных данных» № 152-ФЗ. Он требует получать согласие у граждан на сбор и обработку их данных, а на компании, собирающие такую информацию, возлагает обязанность хранить ее безопасно. Кроме того, в законе обозначены права граждан на доступ к своим данным, их исправление или удаление. Например, заводя карту в медицинской клинике или заселяясь в отель, россияне подписывают согласие на обработку их данных и по закону могут попросить организацию удалить информацию о своем посещении.
Чистка истории для безопасного будущего
Статистики фиксируют прогресс в обеспечении глобальной безопасности данных. Если, по сведениям Statista, к 2023 году 65% населения мира могли защищать свои личные данные современными правилами конфиденциальности, то к концу 2024 года эта доля, по прогнозам Gartner, вырастет до 75%.
Что делать со своим цифровым следом обычному пользователю, чтобы не допустить утечек чувствительной информации и ее несанкционированного использования?
Прежде всего использовать инструменты для сохранения конфиденциальности. Так, в браузерах, как уже говорилось выше, можно настроить регулярное удаление своих следов — в частности, проводить чистку куки-файлов и историю посещения сайтов. Расширения для браузеров, например uBlock Origin и Privacy Badger, помогают блокировать трекеры и рекламу, которые собирают данные о пользователях.
Кроме того, существуют сервисы, такие как DeleteMe, которые помогают удалять информацию о пользователе из различных онлайн-источников. Также для передачи важных сведений лучше использовать мессенджеры с высоким уровнем шифрования, такие как Telegram и Signal.
К сожалению, полностью стереть свой цифровой след практически невозможно, но можно значительно уменьшить его размер и влияние на личную жизнь.