Комиссия по защите данных (DPC) Ирландии оштрафовала компанию Meta✴ за нарушение действующего в Евросоюзе «Общего регламента по защите данных» (GDPR), которое выразилось в утечке информации 3 млн европейских пользователей соцсети Facebook✴.

Источник изображения: Antoine Schibler / unsplash.com

Факт нарушения датируется 2018 годом, однако его причина восходит к 2017 году — тогда в Facebook✴ появился новый механизм загрузки видео, в состав которого входила функция «Посмотреть как» (View as), которая позволяла пользователю просмотреть свою собственную страницу в соцсети, какой её видит другой пользователь. Из-за ошибки в архитектуре этой функции она в сочетании с другой функцией под названием «Happy Birthday Composer» позволяла генерировать токен, открывавший доступ к профилю другого пользователя.

В период с 14 по 28 сентября 2018 года неавторизованные лица при помощи скриптов для эксплуатации этой уязвимости Facebook✴ произвели вход в качестве владельцев аккаунтов в 29 млн учётных записей соцсети — из них 3 млн находились в ЕС или Европейской экономической зоне, то есть в зоне ответственности DPC. Достоянием злоумышленников стали различные категории персональных данных пользователей Facebook✴: полные имена, адреса электронной почты, номера телефонов, сведения о местоположении и месте работы, даты рождения, вероисповедание, пол, публикации в ленте новостей, группы, в которых они состояли, а также персональные данные детей.

В действиях компании DPC усмотрела два нарушения: владелец соцсети не раскрыл регулятору всю информацию об инциденте, не полностью задокументировал факты нарушения и предпринятые для устранения проблемы шаги; кроме того, владелец платформы нарушил принципы GDPR, не обеспечив надлежащих мер для защиты персональных данных европейцев. По первому нарушению размер наложен штраф в размере €11 млн, по второму — €240 млн.

«Это решение связано с инцидентом от 2018 года. Мы предприняли незамедлительные действия для устранения проблемы, как только она была обнаружена, и заранее проинформировали пострадавших людей, а также ирландскую Комиссию по защите данных. Нам доступен широкий спектр ведущих в отрасли мер для защиты людей на наших платформах», — заявила ресурсу TechCrunch представитель Meta✴ Эмили Уэсткотт (Emily Westcott). В сентябре компанию оштрафовали на €91 млн за то, что в 2019 году она хранила на серверах «сотни миллионов» пользовательских паролей в открытом виде.

Решение администрации соцсети X открыть стартапу Илона Маска (Elon Musk) xAI пользовательские публикации для обучения искусственного интеллекта на условиях презумпции согласия пользователей может нарушать европейские нормы по защите конфиденциальности граждан, передаёт Financial Times.

Источник изображения: NoName_13 / pixabay.com

Накануне пользователи X обнаружили, что «дали согласие», чтобы их публикации на сайте и переписка с чат-ботом Grok использовались для «обучения и тонкой настройки» ИИ от xAI. В действительности пользователи предварительного явного согласия на это не давали. Отозвать его можно только в десктопной веб-версии X, а в мобильных приложениях соответствующая опция пока отсутствует.

Ирландская Комиссия по защите данных (DPC) — регулирующий орган, ответственный за соблюдение крупными технологическими компаниями европейских норм конфиденциальности — заявила, что несколько месяцев обсуждала с X планы компании использовать данные пользователей для обучения ИИ. Буквально в четверг ведомство направило компании ряд вопросов, некоторые из которых касались обеспечения «прозрачности для пользователей». «Когда они начали [сбор пользовательских данных для обучения ИИ], для нас это было сюрпризом», — сообщил представитель комиссии. В пятницу она направила X дополнительные вопросы, чтобы «прояснить» ситуацию.

Есть мнение, что администрация X своими действиями нарушила нормы действующего в ЕС «Общего регламента по защите данных» (GDPR). Документ требует, чтобы перед сбором пользовательских данных компании раскрывали причины своих действий и получали согласие от пользователей. Если ирландский регулятор начнёт проверку по факту возможного нарушения GDPR, соцсети может грозить наказание. В июне Meta✴ отказалась от планов обучать собственный ИИ на публикациях европейских пользователей Facebook✴ и Instagram✴ из-за угрозы нарушить GDPR, назвав, однако, эту меру «шагом назад для европейских инноваций, конкуренции в разработке ИИ».

Источник изображения: BoliviaInteligente / unsplash.com

После покупки Twitter (теперь X) в 2022 году Илон Маск столкнулся с пристальным вниманием регуляторов по всему миру, потому что резко сократил штат, включая модераторов, и внёс другие изменения в работу компании. Сейчас в отношении соцсети ведётся проверка по подозрению в нарушении европейского «Закона о цифровых услугах» из-за проблем с модерацией и прозрачностью.

«У всех пользователей X есть возможность контролировать, могут ли их открытые публикации использоваться для обучения Grok — поискового помощника с ИИ. Эта опция является дополнением к вашим существующим средствам управления того, могут ли использоваться все ваши взаимодействия, вводимые данные и результаты, связанные с Grok. Эта настройка доступна на веб-платформе и скоро будет развёрнута на мобильных устройствах», — гласит публикация аккаунта безопасности X.

Маск стремится наверстать упущенное и выпустить ИИ, не уступающий продуктам OpenAI, Anthropic и Google, и ресурс пользовательских данных X даст xAI преимущество, хотя доступ к Grok есть только у премиум-подписчиков соцсети. Компании Маска всё плотнее интегрируются друг с другом — например, сейчас он добивается одобрения совета директоров Tesla на инвестирование $5 млрд в xAI. Некоторые инвесторы стартапа называют его синергию с другими проектами миллиардера важным преимуществом, а другие выражают опасения по поводу потенциальных конфликтов интересов.

Google представила новый пакет доработок для своих сервисов в преддверии вступления в силу «Закона о цифровых рынках» (DMA) в ЕС. Согласно DMA, Google классифицируется как «привратник», к которым относятся компании с более чем 45 миллионами активных пользователей в месяц и рыночной капитализацией более €75 млрд. DMA призван обеспечить справедливую конкуренцию на цифровых рынках, а штрафы за его нарушение могут достигать 10 % мирового годового оборота.

Источник изображения: unsplash.com

В числе изменений, которые появятся уже 6 марта, — дополнительные экраны выбора обозревателя и поисковой системы по умолчанию появятся при первоначальной настройке устройств на операционной системе Android, а также при первом запуске Chrome на ПК и iOS. Google утверждает, что дизайн экранов выбора «построен на основе исследований и испытаний пользователей, а также отзывов представителей отрасли».

Google прекратит связывание по умолчанию личных данных между учётными записями пользователей для некоторых своих продуктов, которые ранее использовались для персонализации контента и рекламы. Это изменение, направленное на обеспечение конфиденциальности, является одним из требований DMA, который запрещает использование персональных данных в рекламных целях без согласия пользователя.

Нужно отметить, что Google делает все возможное, чтобы не прекращать отслеживание и профилирование своих пользователей. Пользователям предлагаются «новые баннеры согласия с вопросом, хотят ли они связать свои сервисы Google». Таким образом, компания, похоже, пытается подтолкнуть пользователей к повторному включению отслеживания — несмотря на то, что DMA запрещает использование «тёмных шаблонов», которые предназначены для манипулирования пользователями в попытке получить их согласие.

В сборе данных для рекламы, Google, судя по всему, полагается на своих рекламодателей. Компания вносит «множественные обновления в рекламные продукты и инструменты, чтобы помочь рекламодателям сообщать о согласии на сбор данных, которые они собирают», что, по мнению Google, согласуется c «давней политикой согласия конечных пользователей ЕС». Регуляторам предстоит тщательно изучить эту передачу согласия на отслеживание третьим лицам на предмет соблюдения «Общего регламента по защите данных» (General Data Protection Regulation, GDPR). В Ирландской комиссии по защите данных уже давно находится жалоба на рекламные технологии Google, нарушающие GDPR.

В соответствии с DMA, Google будет предоставлять клиентам-рекламодателям дополнительные данные об их рекламе, хотя не уточняется, какие именно данные они получат. Компания лишь сообщила, что данные будут «передаваться таким образом, чтобы защитить конфиденциальность пользователей и коммерческую информацию клиентов».

Google вынуждена разрешить разработчикам приложений для Android включать в своё программное обеспечение ссылки на сторонние платёжные системы и магазины приложений. Это изменение поможет разработчикам избежать комиссий Google и увеличить прибыль.

Google также объявила о запуске на этой неделе API для переноса данных, который дополнит существующую службу Google Takeout, позволяющую пользователям загружать или копировать свои данные из продуктов компании. Аналогичный API вчера представила TikTok, на которую также распространяется действие DMA. В ближайшие дни это придётся сделать всем «привратникам».

Законодатели ЕС считают, что требования по переносимости данных усилят конкуренцию, облегчив переключение услуг. Это должно облегчить пользователям перенос своих данных в стороннее приложение или сервис, а предприятиям упростить доступ к данным для обслуживания клиентов.

В 2022 году Google был признана «привратником» в соответствии с DMA. Цель DMA — ограничить полномочия «привратников» и лишить их конкурентных преимуществ. В число «привратников» также вошли Amazon, Apple, Meta✴, Microsoft и владелец TikTok ByteDance. Сейчас все эти компании вносят изменения в свои сервисы, готовясь к вступлению в силу DMA.

DMA вступит в силу 7 марта, после чего будут обнародованы отчёты контролирующих органов, а Еврокомиссия проведёт серию семинаров для получения подробной первоначальной обратной связи. Еврокомиссия является единственным исполнителем DMA. Она имеет право инициировать расследования и получила полномочия и инструменты для быстрого решения насущных проблем. ЕС окажется под значительным давлением, в том числе с репутационной точки зрения, из-за необходимости обеспечить строгое соблюдение этой флагманской цифровой реформы, поэтому Еврокомиссия будет вынуждена действовать быстро и решительно.

На сегодняшний день далеко не все участники цифрового рынка ЕС удовлетворены действиями «привратников». Ещё в середине января ряд компаний, в том числе Ecosia, Qwant и Schibsted, подписали открытое письмо, в котором обвинили «привратников» в неспособности привести свой бизнес в соответствие с новыми правилами цифровой конкуренции ЕС. В письме компании призвали Еврокомиссию и Европарламент добиться соблюдения нормативных требований DMA, всеми крупными игроками IT-рынка, попадающими под действие нового закона.

Европейская организация потребителей (BEUC), объединяющая 45 региональных учреждений, сообщила, что восемь из них подали жалобы на компанию Meta✴ в национальные органы по защите данных.

Источник изображения: NoName_13 / pixabay.com

Meta✴, по версии правозащитников, собирает излишне большие массивы данных о своих пользователях, включая информацию о сексуальной ориентации, эмоциональном состоянии и даже предрасположенности к зависимостям — и потребители не могут дать согласие на сбор таких данных. Своими действиями компания, возможно, нарушает действующий в Европе Общий регламент по защите данных (GDPR) — основной документ, регламентирующий механизмы сбора и обработки личной информации граждан в регионе.

В самой Meta✴ обвинения решительно отвергают. «Мы очень серьёзно относимся к своим нормативным обязательствам и уверены, что наш подход отвечает GDPR. С 2019 года мы пересмотрели политику конфиденциальности в Meta✴. Мы отвечаем за конфиденциальность людей перед регулирующими органами, должностными лицами и экспертами. Мы сотрудничаем с ними, чтобы гарантировать, что наш сервис соответствует передовым практикам и отвечает высоким стандартам защиты данных», — заявил представитель компании.

В мае прошлого года европейские власти оштрафовали Meta✴ на €1,2 млрд за нарушение GDPR, выраженное в передаче персональных данных пользователей Facebook✴ на серверы в США — пока это самое крупное наказание за нарушение закона, действующего в регионе с 2018 года. В октябре компании предписали в явном виде запрашивать у пользователей согласие на обработку личной информации для показа им целевой рекламы. Несколько дней спустя компания ввела для европейских пользователей подписку по цене от €9,99 в месяц за использование Facebook✴ и Instagram✴ без рекламы. С завтрашнего дня подписка станет дороже в зависимости от числа учётных записей.

Meta✴ утверждает, что так она обеспечивает соблюдение GDPR. Но в BEUC считают, что это предложение — «несправедливый и вводящий в заблуждение выбор», поскольку применяемые компанией механизмы обработки данных непрозрачны. Более того, доминирование Meta✴ на рынке соцсетей означает, что пользователи не могут свободно отказаться от использования её платформ, не отрезав себя от семьи и друзей.

После выдвинутых ещё в январе антимонопольным органом Германии возражений по поводу условий обработки персональных данных, Google согласилась предоставить пользователям расширенный выбор того, как разрешать компании использовать их личную информацию, сообщило Федеральное антикартельное управление (FCO) Германии. Теперь Google должна получить разрешение пользователя на объединение персональных данных из разных источников и на их перекрёстное использование.

Источник изображений: Pixabay

Заявление FCO подтверждает, что Google будет вынуждена отказаться от нарушающего конфиденциальность пользователей решения от января 2012 года, консолидирующего более 60 отдельных уведомлений о конфиденциальности для своих продуктов в единую всеобъемлющую политику. Тогда Google утверждала, что принудительное преобразование нескольких политик конфиденциальности и объединение информации о пользователях приведёт к «более простому и интуитивно понятному интерфейсу Google». На самом деле, этот шаг позволил компании собрать гораздо больше личных данных, расширив возможности по профилированию пользователей и улучшив качество таргетинга рекламы.

«В будущем Google придётся предоставить своим пользователям возможность давать бесплатное, конкретное, информированное и недвусмысленное согласие на обработку их данных всеми сервисами. Для этой цели Google должна предложить соответствующие варианты выбора для комбинации данных», — заявили в FCO, добавив, что дизайн новых «диалогов выбора» не должен быть направлен на манипулирование пользователями.

FCO изучала практики использования персональных данных компанией Google с мая 2021 года. Расследование активизировалось в 2022 году после того, как ведомство подтвердило, что к Google могут быть применены обновлённые правила внутренней конкуренции, направленные против технологических гигантов. Регулятор заявил, что Google «имеет первостепенное значение для конкуренции на разных рынках», в соответствии с немецким законом о борьбе с ограничением конкуренции.

Предварительный вердикт FCO по условиям использования данных Google заключался в том, что пользователям «не было предоставлено достаточного выбора относительно того, согласны ли они и в какой степени на эту далеко идущую обработку своих данных в разных сервисах» — при этом варианты, предоставленные Google, были найдены недостаточно прозрачными и «слишком общими».

По мнению регулятора, Google может «ставить использование сервисов в зависимость от согласия пользователей на обработку своих данных, не предоставляя им достаточного выбора». FCO также опасается, что Google может получить стратегическое преимущество перед конкурентами, которые не обладают столь же широкими возможностями объединения персональных данных.

Недавно вступил в силу «Закон ЕС о цифровых рынках» (DMA), который на общеевропейском уровне предусматривает эквивалентные немецкому законодательству ограничения на объединение пользовательских данных без согласия пользователя. В соответствии с новым законом, Google, наряду с другими технологическими гигантами, была признана посредником (привратником), после включения Google Maps, Google Play, Google Shopping, Google Ads Services, Google Chrome, Google Android, Google Search и YouTube в список так называемых «основных сервисов платформы». Для компаний-привратников установлен шестимесячный срок для приведения их деятельности в соответствие с DMA, что означает, что серьёзные операционные изменения со стороны таких компаний, как Google, скорее всего, не начнутся до марта 2024 года.

Немецкий регулятор сообщил, что, в связи с вступлением в силу европейского DMA, обязательства Google перед FCO будут применяться только к продуктам, на которые не распространяется действие DMA, то есть они охватят более 25 других сервисов Google, включая Gmail, Новости Google, Assistant, Контакты и Google TV.

На вопрос журналистов, как будет выглядеть «свободное, конкретное, информированное и недвусмысленное согласие» представитель FCO сообщил, что «следующим шагом со стороны Google будет представление плана реализации [новых требований] в течение следующих трёх месяцев».

Некоторые предположения можно сделать уже сейчас, опираясь на ход судебного процесса, возбуждённого FCO против Meta✴ — в июне ведомство объявило, что Meta✴ запустит новый центр учётных записей, который предоставит пользователям большую степень выбора в отношении объединения их персональных данных. Нужно заметить, что не все пользователи рады таким жёстким ограничениям со стороны регулирующих органов, так как перекрёстное профилирование давало им возможность «бесшовной» публикации в других сервисах Meta✴ и их устраивало, что Meta✴ объединяла их данные для таргетинга рекламы.

В рамках общего регламента по защите данных (GDPR), Meta✴ на сегодняшний день не имеет правовой основы для обработки данных своих пользователей для таргетирования рекламы. Сначала компания собиралась получать согласие пользователей из ЕС на обработку рекламы, однако последние сообщения в прессе говорят о том, что Meta✴ решила выпустить свои продукты в ЕС по подписке, что выводит их из-под действия GDPR.

Компания X, до недавного времени называемая Twitter, столкнулась с коллективным иском в Нидерландах из-за действий своей бывшей дочерней компании MoPub, обвиняемой в «незаконном обороте» личных данных миллионов пользователей. Иск, поданный Нидерландским некоммерческим фондом защиты данных (SDBN), может привести к многомиллиардным штрафам для компании Илона Маска (Elon Musk).

Источник изображения: TRESOR69 / Pixabay

В период с октября 2013-го по декабрь 2021 года рекламная платформа MoPub, принадлежавшая компании, тогда ещё называвшейся Twitter, занималась незаконным сбором и обменом пользовательскими данными из более чем 30 000 бесплатных мобильных приложений. Данные собирались без согласия пользователей, что является грубым нарушением Общего регламента защиты данных (GDPR) Европейского Союза (ЕС).

Среди подобных приложений оказались популярные сервисы, такие как Wordfeud, Buienradar, Vinted, Shazam и Duolingo. Кроме того, в список попали фитнес-приложения, включая MyFitnessPal, программы для знакомств Grindr и Happn, детские игры вроде My Talking Tom и прочие продукты.

Инициатором судебного процесса выступает фонд SDBN, представляющий в Нидерландах интересы около 11 млн взрослых и 1 млн детей, данными которых оперировала компания. Судебный процесс финансируется лондонской частной инвестиционной группой Orchard Global Capital Group.

SDBN требует, чтобы компания X выплатила компенсации пострадавшим и удалила все незаконно собранные данные. Целью иска является не только компенсация ущерба, но и изменение подхода к работе с данными на уровне всей IT-индустрии, чтобы предотвратить подобные нарушения в будущем.

Судебный процесс был инициирован подачей искового заявления в суд Роттердама. Ожидается, что первое судебное решение по данному делу может быть принято не ранее 2026 года. Однако этот срок может сократиться, если X пойдёт на урегулирование спора. В противном случае может столкнуться с многомиллиардными штрафами. По мнению экспертов, каждый пострадавший пользователь может рассчитывать на компенсацию в размере от 250 до 500 евро.

Данная ситуация демонстрирует усиление юридического давления на техногигантов в ЕС, где стремятся обеспечить соблюдение норм GDPR. В Нидерландах недавно была введена новая система коллективных исков, что может привести к увеличению числа подобных дел.

Персональные данные европейцев теперь могут свободно и безопасно передаваться из ЕС в США без дополнительных условий или разрешений на основе механизма, который защищает людей и обеспечивает юридическую определённость компаниям. Платформа конфиденциальности данных (DPF) была анонсирована ещё в марте 2022 года, но потребовалось больше года, чтобы доработать её. Прежний механизм экспорта данных был признан судьями ЕС недействительным ещё три года назад.

Источник изображения: Pixabay

Нынешнее решение — уже третье по счёту и пока неясно насколько прочным оно будет. Еврокомиссар Дидье Рейндерс (Didier Reynders) настроен оптимистично, утверждая, что структура — не просто копия более ранних механизмов передачи, а «совершенно другая система и очень надёжное решение». Обе предшествующие договорённости (известные как Safe Harbor и Privacy Shield) были отклонены высшим судом ЕС, когда выяснилось, что экспортируемые в США личные данные не были защищены в соответствии с требуемыми правовыми стандартами.

Участники кампании по защите конфиденциальности предупреждают, что новое соглашение также может оказаться несовершенным. Критики соглашения утверждают, что США не предприняли никаких шагов, чтобы обеспечить защиту информации иностранцев. По их мнению, DPF все ещё содержит тот же фундаментальный юридический конфликт между правами на неприкосновенность частной жизни в ЕС и полномочиями США по наблюдению, описанными в 702 статье Акта о негласном наблюдении в целях внешней разведки (FISA). Статья посвящена сбору персональной информации лиц, находящихся за пределами США.

Источник изображения: pexels.com

Рейндерс признал, что сегодняшний «зелёный свет» — это, по сути, одностороннее решение исполнительной власти ЕС, а впереди месяцы (или даже годы) обсуждения в суде ЕС и окончательный вердикт по DPF может быть вынесен лишь через несколько лет. Для справки: юридические вопросы по Privacy Shield были переданы в суд в мае 2018 года, а решение об отмене этого механизма появилось только в июле 2020 года.

«Говорят, определение безумия — это делать одно и то же снова и снова и ожидать другого результата. Как и в случае с Privacy Shield, последнее соглашение основано не на материальных изменениях, а на политических интересах, — заявил председатель группы по защите конфиденциальности Макс Шремс (Max Schrems). — FISA 702 должна быть продлена США в этом году, но, с объявлением о новом соглашении DPF, ЕС потерял всякую возможность повлиять на реформу FISA 702».

«Мы добились значительных изменений в правовой базе США, — возражает Рейндерс. — Требования необходимости и пропорциональности теперь обеспечиваются гарантиями США. При оценке возможности доступа к данным американских спецслужб будут учитываться те же факторы, что и требования прецедентного права ЕС. Они включают характер данных, серьёзность угрозы и вероятное воздействие на права человека. Каждое разведывательное агентство США пересмотрело свои внутренние правила и процедуры для реализации новых требований на оперативном уровне».

Что касается переработанного механизма возмещения ущерба, Рейндерс описал его как «независимый и беспристрастный трибунал, который уполномочен расследовать жалобы, поданные европейцами, и выносить обязательные решения по исправлению положения», также отметив, что этот орган имеет право потребовать удаления данных, собранных с нарушениями.

Он подчеркнул, что механизм «удобен для пользователя» — граждане ЕС могут подать жалобу бесплатно и на своём родном языке, через местный орган по защите данных. Заявителю не нужно будет доказывать, что к его данным обращались спецслужбы США. Интересы истца бесплатно представит специальный адвокат с допуском службы безопасности. Возмещение ущерба контролируется независимым органом — Советом по надзору за конфиденциальностью и гражданскими свободами.

Критики нового соглашения полагают, что весь этот многолетний процесс — просто способ для законодателей по обе стороны океана выиграть ещё несколько лет отсрочки. Хорошим примером может служить ситуация с компанией Meta✴, которая уже около десяти лет подвергается преследованию за передачу данных из ЕС в США. В мае от компании потребовали в течении шести месяцев приостановить передачу персональных данных. Но после принятия DPF она может просто игнорировать приказ о приостановке. Правда, $1,3 млрд ей выплатить всё же придётся.

Этот процесс, который правозащитники назвали «разочаровывающим юридическим пинг-понгом», показывает, насколько сложно гражданам ЕС осуществлять право на неприкосновенность частной жизни. Технологические гиганты могут попирать права людей, пока получают достаточно прибыли, чтобы списывать любые штрафы на расходы по ведению бизнеса.

Конечно, в соответствии с принятыми законами, компании должны будут продемонстрировать, что они полностью соблюдают GDPR (Общее положение о защите данных). И тут Meta✴ придётся нелегко, поскольку регулирующие органы ЕС поставили под сомнение правовую основу, на которую Meta✴ ссылается при обработке данных для таргетинга рекламы. Даже если гиганту рекламных технологий теперь не придётся отрезать все потоки данных между ЕС и США, некоторые жёсткие реформы в рекламном бизнесе в ЕС теперь выглядят для компании неизбежными.