Интернет принёс в нашу жизнь много положительных вещей, сделав доступ к информации и её распространение простым, недорогим и уже вполне обыденным делом. Тем не менее, вместе с этим нам приходится часто идти на компромисс по поводу приватности, по сути, обменивая её на бесплатность сервисов. Сегодня большинство крупных интернет-компаний собирают данные о пользователях, чтобы, во-первых, строить продукты на основе предпочтений своей аудитории, а, во-вторых, показывать ей релевантную рекламу. Это привело к ситуации, когда люди начали ощущать, что полностью теряют контроль над своей информацией. Следствием стало внимание регулирующих органов, в частности в Европе, в итоге Европейским Союзом был принят Генеральный регламент о защите персональных данных, также известный как GDPR. Он оставляет за пользователем право распоряжаться своей информацией, осуществлять её обнаружение, получать к ней доступ, уточнять, ограничивать распространение, экспортировать и удалять. Не дожидаясь того, что подобные законы начнут приниматься на общемировом уровне, в Google решили сделать свои сервисы более прозрачными для пользователей. Для этого в 2019 году компания запустила в Мюнхене Центр технической безопасности Google (Google Safety Engineering Centre, GSEC), новое подразделение, которое объединяет все её наработки в области приватности и безопасности. На специальном мероприятии для журналистов в Праге, представители Google рассказали о том, как компания пытается повысить приватность и безопасность своих пользователей.
Содержание
Принципы приватности и безопасности Google
Но для начала стоит озвучить принципы приватности и безопасности, сформулированные компанией Google, которых она обещает придерживаться:
- Уважать интересы каждого пользователя и обеспечивать конфиденциальность его данных;
- Чётко объяснять, какие данные и в каких целях собираются;
- Никогда не продавать персональные данные пользователей;
- Предоставлять пользователям удобные средства управления конфиденциальностью своих данных;
- Обеспечивать пользователям возможность проверять, переносить и удалять свои данные;
- Реализовывать в своих продуктах самые надежные технологии защиты;
- Служить примером, делая интернет безопасным для всех.
Как видно, целом они соответствуют общей идее GDPR, и разобравшись с теорией, давайте теперь посмотрим, как в Google следуют им на практике. Но для начала стоит выяснить, какую информацию Google собирает о своих пользователях и для чего это нужно.
Какие данные собирает Google?
В компании разделяют собираемые данные на два типа, к первому относится информация, необходимая Google для персонализации и развития сервисов, а ко второму – предоставляемые пользователями данные, которые необходимо сохранять в приватности и защищать.
Первый тип – это ваши поисковые запросы, просмотренные видео на YouTube, рекламные объявления, на которые вы кликнули, ваше местоположение, просмотренные веб-сайты, а также приложения, браузеры и устройства, подключаемые вами к сервисам Google.
Второй тип – это ваше имя, дата рождения и пол, пароль и номер телефона, отправленные и полученные письма в Gmail, сохранённые фото и видео, документы, таблицы и презентации, созданные в Google Drive, комментарии на YouTube, добавленные контакты, а также события календаря.
Как видно, в Google декларируют использование не всей информации, которую пользователь предоставляет компании, и здесь ей приходится соблюдать тонкий баланс между возможностью получить больше данных и доверием потребителей.
Для чего Google собирает данные?
«Нашей целью являлось и является создавать в Google продукты, которые будут полезны для всех пользователей. Это ответ на вопрос, зачем компания собирает данные» — отмечает в своём выступлении Стефан Миклиц, директор GSEC. В целом в Google выделяют три главные причины, по которым компания собирает информацию о своих пользователях:
- Данные делают продукты и сервисы более полезными для пользователей. «Это, например, то, как Google напоминает вам, что пора выезжать в аэропорт, учитывая трафик на дорогах» — объясняет Стефан Миклиц.
- Целостность данных позволяет создавать более продвинутые продукты для всех. Здесь Стефан приводит в пример Google Translate, который годами обучался пользователями и теперь поддерживает больше 100 языков.
- Данные собираются для того, чтобы показывать релевантную рекламу. В Googleотмечают, что демонстрация рекламных объявлений в сервисах и продуктах компании позволяет делать их бесплатными и доступными для всех пользователей интернета, не зависимо от их социального статуса и стоимости устройств, которыми они пользуются.
Если упростить, то эти причины сводятся к желанию Google, во-первых, развивать свои сервисы и делать их более конкурентоспособными, а во-вторых, получать прибыль и не брать с пользователей денег за свои продукты. Последнее может прозвучать как какой-нибудь акт альтруизма, но на практике бизнес-модель компании строится на рекламе и для неё критично важно, чтобы её сервисами пользовалось как можно больше людей. И на самом деле очень хорошо, что каждый пользователь теперь может более детально разобраться, какие данные он оставляет Google и при необходимости изменить настройки конфиденциальности, либо же совсем удалить данные. Как это сделать, я расскажу ниже.
Изменение настроек приватности в Google
Центр технической безопасности Google начал работать в Мюнхене в мае этого года, но уже больше 10 лет в этом же городе команда разработчиков создаёт Google Account – единую учётную запись для всех сервисов компании.
«Больше 20 млн пользователей посещают Google Account ежедневно, в нём они могут видеть свою активность во всех сервисах Google, менять настройки приватности, отключать персонализированную рекламу и в случае необходимости загружать или удалять данные» — рассказывает Стефан Миклиц.
В Google Account действительно находится вся основная информация, которая касается данных пользователей в сервисах Google. И если перейти в раздел «Данные и персонализация», то здесь можно пройти проверку конфиденциальности, в рамках которой можно отключить сбор информации по ряду пунктов, таких как «История приложений и поиска», «История местоположений», «Записи голоса и аудио», а также «История YouTube».
Здесь же система предложит вариант с отключением персонализации рекламы, но это вовсе не значит, что вы перестанете её видеть, просто она больше не будет привязана к вашим данным и станет менее релевантной.
К слову, Google позволяет вручную отредактировать интересы, которые система составляет на основе поисковых запросов и персональных данных. Например, если у вас нет детей, но вы когда-нибудь искали что-то связанное с детскими товарами, то она может посчитать, что они у вас есть, и будет показывать связанную рекламу. Это можно изменить вручную, удалив или заблокировав соответствующую тему.
В Google Account можно полностью удалить все данные и вообще удалиться из Google, но к этому стоит подходить взвешенно, особенно если вы активно используете сервисы компании. Но в любом случае, лучше предварительно скачать свою информацию.
«Для большинства пользователей опция удаления собственных данных не несёт какой-либо ценности без возможности их предварительно загрузить. Поэтому в Google мы довольно долго работали над проектом, который назвали Data Liberation Front (Фронт освобождения данных). Его идея заключалась в том, что если кто-то сможет предложить более качественный сервис, чем Google, то пользователь должен иметь возможно скачать свои данные и загрузить его в этот сервис, вместо того, чтобы быть замкнутым в нашей экосистеме. В 2011 году на основе этой идеи мы создали GoogleTakeout, который позволял экспортировать свои данные в архив и позже стал частью Google Account. И как мы знаем, этот подход в дальнейшем был включён в GDPR» — объясняет Стефан Миклиц.
Проверка пароля
Кроме улучшения прозрачности использования данных, а также опций управления приватностью в этом году компания Google запустила для своих пользователей возможность проверить пароль на надёжность, а также определить, не был ли он скомпрометирован. Для этого в менеджер паролей Chrome и Google Account была добавлена опция, которая определяет, насколько «сильным» является пароль, мог ли он попасть в руки злоумышленников, а также используется ли он на других сайтах.
По данным Google, пользователи довольно части используют простые пароли в виде Abc123, Password1111, P@ssw0rd, да ещё и в 50% случаев регистрируются с их помощью в разных сервисах. А это упрощает для злоумышленников взлом аккаунтов. Поэтому в компании решили начать принимать более активные меры, чтобы бороться с этой ситуацией. На сегодняшний день Google удалось найти уже 4 млрд логинов и паролей, которые были украдены из-за проблем с безопасностью в сторонних сервисах.
В итоге, если вы не используете парольную фразу и ваши пароли не зашифрованы, то менеджер паролей Google теперь может подсказать, какой из них стоит удалить и больше не использовать, для этого достаточно зайти на passwords.google.com.
Но в любом случае, советую использовать двухфакторную авторизацию, привязав к своему аккаунту Google номер телефона или ключ безопасности. Это сильно усложнит возможность взлома. А пока в Google намекают на то, что пароли нам в скором времени вообще не понадобятся, и компания уже работает в этом направлении.
Автоматическое удаление истории
В дополнение к возможности полностью удалять свои данные из Google, компания в этом году представила новую опцию, которая с одной стороны позволяет повысить приватность, а с другой, не отказываться от умных подсказок и другой персонализации. Это реализуется всё ещё через удаление истории приложений и поиска Google, но теперь можно стирать только те данные, которые старше 3 или 18 месяцев. Соответственно, более свежая информация будет сохраняться, а всё, что старше периода хранения, будет удалено.
Реализовано это так же через Google Account, где появилась соответствующая настройка. При этом пользователю не нужно каждый раз вручную очищать данные, это будет происходить автоматически.
Режим «инкогнито» в Google Maps и YouTube
Сегодня сложно представить современный браузер без «режима инкогнито», при использовании которого он не сохраняет историю посещённых страниц и после закрытия приватной вкладки очищает временные файлы. В Chrome этот режим появился ещё в 2008 году, но только сейчас в Google решили расширить его на YouTube и Google Maps. Теперь если в этих приложениях кликнуть на иконку своей учётной записи, то в появившемся меню отображается пункт с активацией «режима инкогнито».
Если его включить, приложения не будут запоминать и хранить данные, а они, в свою очередь, не будут передаваться в Google Account и влиять на персонализацию информации.
Анонимизация данных в Google
В 2006 году Netflix опубликовал 10 млн оценок к фильмам от 500 тыс пользователей в рамках конкурса по созданию новой системы рекомендаций. Компания предварительно удалила персональную информацию пользователей и заменили их имена случайным набором чисел. Тем не менее исследователи из Университета Техаса смогли частично деанонимизировать эти данные Netflix, сопоставив оценки и время, когда они были оставлены, с публичной информацией в сервисе IMDB. Для того, чтобы не повторять ошибку Netflix в Google для анонимизации данных используют сразу несколько методов. Более детально разобраться с этой темой мне помогла Янина Фойгт, программист Google по анонимизации.
«Мы используем данные пользователей для персонализации и улучшения наших сервисов, но это влечёт за собой большую ответственность. Мы должны быть уверены в том, что их информация защищена, а также конфиденциальна. И анонимизация – это отличный способ для нас добиться этого. Например, в картах Google есть популярная функция отображение загруженности ресторана или туристического места в определённый момент времени, которая использует дифференциальную приватность. Ведь если задуматься, откуда берутся эти данные, то получается, что они довольно чувствительные, так как основаны на определении местоположения пользователя. А это то, что мы абсолютно должны защищать. Поэтому предоставляя эту функцию, мы должны быть уверены, что не раскрываем данных, которые могут привести к идентификации наших пользователей. И возможность публиковать полезную информацию без раскрытия персональных данных – это основная проблема анонимизации» — объясняет Янина Фойгт.
Для анонимизации в Google используют два метода: обобщение данных и добавление к ним математического шума (дифференциальная приватность).
Первый метод позволяет компании обеспечить так называемую k-анонимность, под которой подразумевается возможность скрыть персональную информацию в наборе данных, если она идентичная. И в данном случае буква k определяет число пользователей в группе. Считается, что набор данных обладает k-анонимностью, если для каждого пользователя в группе есть по меньшей мере k-1 лицо, у которого такие же свойства. Предположим, в наборе данных представлены почтовые индексы, а k равно 50. Соответственно выбрав наугад любого пользователя, можно будет найти ещё 49 человек с тем же почтовым индексом. Это значит, что найти в этой группе конкретное лицо только по почтовому индексу невозможно.
Второй метод, дифференциальная приватность, — это добавления к данным математического шума, благодаря которому нельзя точно определить, есть ли информация о конкретном человеке в наборе данных. При этом результат работы алгоритма практически не изменится от того, включен пользователь в датасет или нет. Например, если Google хочет показать общую тенденцию поисковых запросов, связанных с Новы годом в определенной стране, то чтобы придерживаться принципа дифференциальной приватности, в набор данных добавляется математический шум. Он позволяет добавить или наоборот удалить определенное число пользователей, которые ищут информацию о Новом годе в определённом районе, но это не скажется на общей тенденции по всей стране. И хотя в таком случае эффективность набора данных может снизиться, дифференциальная приватность позволяет защитить анонимность пользователей.