Если китайцы захотят, они узнают о вас всё. Мнение эксперта по персональным данным Александра Барышникова

Что такое персональные данные? Как и кому сливают информацию TikTok, Instagram, Facebook и WhatsApp? Как обезопасить себя от постоянной слежки?

Эти и другие вопросы я задал во время интервью Александру Барышникову, специалисту компании «Информзащита». Полную версию интервью с Александром Барышниковым слушайте в подкасте «Ценная инфа».

TikTok не случайно попал под критику. Приложение собирает большой массив данных. Если посмотреть, что передаёт TikTok в сторону азиатских серверов, то там будет и конфигурация смартфона, и список установленных у вас приложений, и сетевые данные, включая IP-адрес, MAC-адрес, название точки доступа Wi-FI, через которую вы в данный момент подключены к интернету.

Также TikTok собирает информацию о геолокации, логи смс-сообщений, список контактов, историю звонков. Микрофон смартфона регулярно включается даже тогда, когда пользователь смартфона не пользуется приложением TikTok.

Недавно газета Wall Street Journal написала о слежке за пользователями с помощью MAC-адресов. Сам по себе MAC-адрес — неинтересная информация, на ней не сделаешь никаких выводов из аналитики. Но если связать MAC-адрес с тем массивом данных, которые передаются в китайскую Big Data, то можно получить дополнительную информацию о пользователе, исключительно благодаря сверке MAC-адресов по этой базе.

Павел Дуров не зря говорит о том, что WhatsApp не защищает ваши данные. Весной 2019 года стало известно о том, что спецслужбы Израиля взломали WhatsApp и удалённо установили на контролируемые устройства специальное ПО для чтения сообщений, прослушивания аудиосообщений и так далее. WhatsApp достаточно быстро отреагировал на это и устранил уязвимость, оповестив пользователей об обязательной переустановке приложения.

Можно ли взломать Telegram? Такие случаи мне неизвестны, но теоретически, конечно же, можно. Любое программное обеспечение имеет уязвимости, о которых мы уже знаем, либо пока ещё не знаем. Специальные группировки занимаются изучением этих приложений и выявляют уязвимости, чтобы в дальнейшем эксплуатировать их.

Скандал вокруг телефонов Huawei возник давно, и первоначально речь шла об уязвимости в оборудовании компании, телефоны добавили уже позже. На самом деле, в большинстве решений, которые мы используем в повседневной жизни, есть какие-то бэкдоры, уязвимости, которые можно использовать для тех или иных компьютерных атак. Специалисты постоянно находят уязвимости в продуктах Microsoft, Oracle, SAP, Intel, Cisco.

В 2016-ом году знаменитая группа хакеров Shadow Brokers раскрыла огромный пакет инструментов АНБ, которые использовали уязвимости тех или иных продуктов для слежки за пользователями.

Поэтому нельзя говорить, что только Huawei является недобросовестной компанией. Акцент на Huawei используют исключительно для разжигания политического конфликта между США и Китаем.

Яндекс.Алиса собирает обезличенные данные. Это очень интересная категория данных, ведь с 2012 в законодательстве России нет такой категории! Сейчас обезличивание персональных данных допустимо только для государственных и муниципальных органов, когда это прямо прописано федеральным законом или внутренним актом.

По мнению Роскомнадзора, все остальные организации не имеют права заниматься обезличиванием персональных данных, либо такие персональные данные в случае проверки Роскомнадзора признаются им как иные категории персональных данных.

Можно ли сделать вывод, что Яндекс обязан идентифицировать пользователей Яндекс.Алисы? Это сложный вопрос. Ни в российских законах, ни в регламенте GDPR, ни в европейской конвенции нигде нет слова «идентифицировать». Персональные данные — это информация, относящаяся прямо или косвенно к определяемому, но никто не говорит, что к точно идентифицируемому субъекту персональных данных.

Налицо пробел в законодательстве, поэтому сейчас Роскомнадзор по центральному федеральному округу ведёт работу над внесением изменений в законодательство, как раз с точки зрения обезличенных персональных данных. Идёт проработка методик обезличивания и определения случаев, когда такое обезличивание будет допустимо.

• Изучите закон о персональных данных, чтобы точно представлять, о чём идёт речь. Защита ваших прав начинается именно с этого.
• Всегда читайте текст согласия на обработку персональных данных, которые вам показывают при посещении сайтов, при заполнении карт лояльности, при покупке сотовых тарифов, то есть везде, где хотят получить ваши данные для обработки. Обязательно задавайте вопросы — зачем вы хотите получить те или иные данные?
• Не стесняйтесь писать заявления в Роскомнадзор в случае выявления незаконной и неправомерной обработки ваших персональных данных. Это можно сделать онлайн.
• Используйте специальный плагин для браузеров, которые покажет, какую информацию собирает о вас посещаемый сайт, и плагин, который блокирует сбор такой информации. Пример таких плагинов – Ghostery.
• Заведите привычку работать в браузере в режиме «инкогнито».

Полную версию интервью с Александром Барышниковым слушайте в подкасте «Ценная инфа».