Мужчина смог выяснить, как его данные из Европы попали к американской компании, но у него осталось много вопросов.
Норвежский журналист Мартин Гундерсен (Martin Gundersen) из издания NRK задался вопросом, что на самом деле делают 160 из установленных на его смартфоне приложений. Автор решил разобраться, куда уходит информация и попытался отследить тех, кто следит за пользователями приложений. TJ приводит пересказ расследования.
Как данные журналиста попали к компании, соседствующей с подрядчиками ЦРУ и Минобороны
У Гундерсена были основания чувствовать слежку за собой. До этого журналист уже работал над историей о том, как 8,3 тысячи смартфонов позволяют отслеживать людей в больницах и женских приютах. Тогда команда NRK за 4 тысячи долларов получила доступ к данным о перемещениях тысяч норвежцев — и эти сведения позволяли деанонимизировать пользователей.
Гундерсен также напомнил о случае в 2018 году, когда владельца заброшенного KFC в Аризоне задержали за контрабанду наркотиков через тоннель под границей США и Мексики. WSJ тогда сообщала, что отчасти операция прошла успешно, потому что пограничная служба США использовала коммерчески доступные данные о геолокации людей.
Компанией, которая предоставила властям информацию, оказалась Venntel, находящаяся в Вирджинии — рядом с военными подрядчиками и бывшим работодателем Эдварда Сноудена. С неё норвежский журналист начал расследование и в августе 2020 года запросил копию всех данных о самом себе по закону GDPR, который распространяется на жителей Евросоюза.
Гундерсену ответили почти сразу и попросили рассказать о нескольких местах, где он недавно побывал.Он предоставил Venntel адреса офиса в штаб-квартире NRK в Осло и своего жилья. После этого в компании пообещали проверить, есть ли в системе рекламный идентификатор журналиста.
По словам Гундерсена, хотя во вложении не было никаких телефонных номеров или имён, любой желающий легко мог бы определить конкретного человека. Достаточно провести поиск по адресам, в которых он был чаще всего — в квартире и офисе NRK. В письме Venntel также говорилось, что компания поделилась данными с клиентами, которые могут использовать её в целях национальной безопасности, но о каких именно организациях речь, не уточнялось.
Больше всего журналиста заинтересовало то, как именно данные о его перемещениях попали к американской компании. Он изучал соглашения о конфиденциальности во всех приложениях, которые устанавливал и нигде не находил упоминаний Venntel.
В компании на это ответили, что получали информацию от материнской компании Gravy Analytics, лишь в некоторых случаях зная, из каких именно приложений были данные. Как выяснил Гундерсен, Gravy Analytics — брокер данных, работающий с маркетингом: компания собирает сведения о клиентах, чтобы улучшить таргетинг рекламы, и якобы не знакома с большей частью источников.
Однако в ответе на запрос журналиста также содержались названия двух других компаний — Predicio во Франции и Complementics в США. После очередного раунда запросов Гундерсен выяснил, что часть данных попала в Venntel от словацких разработчиков из компании Sygic. Она выпустила 70 приложений, одно из которых имеет более 200 миллионов загрузок.
Компании получают данные в обход европейских законов, а разработчики об этом не знают
15 февраля Гундерсен установил два навигационных приложения от Sygic. Оба запросили согласие на «персонализацию рекламного опыта». Как журналист выяснил позже, компания даже при его согласии нарушила европейские законы, когда передала данные Gravy Analytics.
Как говорится в политике приватности американской компании, она может использовать данные для борьбы с преступностью, защиты национальной безопасности и обнаружения мошенничества. Но Гундерсен давал согласие только на использование данных для рекламных целей, а это противоречит европейскому GDPR, узнал журналист после консультации с юристами.
Другим приложением, которое, вероятно, также нарушило законы при передаче данных, оказалось Fu*** Weather. При установке матерных прогнозов погоды говорилось, что данные пользователей собирают для аналитики и «монетизации». Однако это не соответствует GDPR, потому что под определение монетизации может подпадать что угодно.
Журналисту так и не удалось понять, как именно данные из всех трёх приложений попали к Venntel, но, возможно, в этом помогла фирма-прослойка Predicio, базирующаяся во Франции. При этом сами разработчики заявили, что не знали о передаче данных американской компании, а в Venntel не раскрыли конкретный список источников информации.
К чему пришёл журналист и какие вопросы остались без ответа
Хотя в 2018 году GDPR оказался большой победой в ракурсе приватности, отдельные части рекламной индустрии с тех пор так и не изменились. Компании продолжили использовать старые практики, но теперь маскируют их под что-то новое.
Несмотря на то, что у Гундерсена в какой-то степени получилось отследить путь данных от Норвегии до США, у него осталось много вопросов. Например, его интересует, кто из клиентов компании получил его данные и могут ли они быть связаны с оборонным сектором, разведкой или ФБР.
В Gravy Analytics не ответили на запросы, а дочерняя Venntel отказалась от интервью. В коротком заявлении Venntel лишь заявила, что не делилась данными о перемещениях журналиста с пограничной и миграционной службами США. Помимо этого, компания начала отрицать какие-либо отношения с Sygic, хотя Гундерсен и не утверждал, что у них есть прямая связь.
В заявлении для NRK служба пограничного контроля США заявила, что имеет лишь ограниченный доступ к коммерчески доступным данным о геолокации пользователей. Информацию якобы используют с «соответствующими правилами и регуляцией», но представители ведомства не ответили журналистам, есть ли исключения для граждан за пределами США.
В ФБР и ICE подтвердили, что заключили контракты с Venntel, но не ответили на вопросы о том, как отслеживают жителей Евросоюза. В Predicio не упоминали партнёрство с американской компанией, а в Complementics заявили, что данные использовали только для маркетинговой аналитики.