11 приложений, включая украинское BetterMe, отправляли ваши личные данные Facebook — WSJ. Разбираемся в обвинениях
Любую статью можно сохранить в закладки на сайте, чтобы прочесть ее позже.
Режим чтения увеличивает текст, убирает всё лишнее со страницы и даёт возможность сосредоточиться на материале. Здесь вы можете отключить его в любой момент.
Издание Wall Street Journal протестировало 70 приложений из App Store и Google Play и выяснило, что 11 из них передавали Facebook и другим компаниям чувствительные данные пользователей. В числе оказалось и две украинские разработки: BetterMe и BetterMen.
Как пишет издание, компании передавали информацию даже в том случае, если у пользователя нет страницы в Facebook и он не использовал профиль для входа в систему. Проблема в том, что среди протестированных программ — приложения для фитнеса и трекеры менструальных циклов, они знают о вас довольно личную информацию.
Мы поговорили с представителями BetterMe, чтобы понять, справедливы ли обвинения WSJ.
Откуда журналисты узнали об этом
WSJ протестировала более 70 популярных iOS-приложений в App Store. Они изучали именно те категории приложений, в которых пользователи вводят свою конфиденциальную информацию. Например, данные о менструальных циклах женщин, вес, рост, проблемные зоны тела.
Для анализа издание использовало программу, которая мониторила трафик приложений. Программа отслеживала, какую информацию они отправляли в Facebook и другим соцсетям.
В результате тесты WSJ показали: минимум 11 приложений отправили Facebook конфиденциальную информацию о поведении пользователей или фактических данных, которые они вводили.
По данным журналистов, ни одно из 10 самых популярных финансовых приложений в AppStore не отправляло конфиденциальную информацию в Facebook, и только два отправили какую-либо информацию в принципе. С фитнес-трекерами и приложениями для здоровья ситуация оказалась хуже: 6 из 15 топ-приложений в этой категории отправляли конфиденциальную информацию «третьим сторонам».
Какие приложения отправляли данные Facebook
— Instant Heart Rate: HR Monitor — самое популярное приложение для измерения частоты сердечных сокращений. WSJ протестировало его и выяснило, что сразу после регистрации пользователя приложение отправляло информацию о сердечном ритме в Facebook.
— Flo. Трекер менструального цикла делился с Facebook данными о том, когда в пользовательницы начиналась менструация или когда она пыталась забеременеть. По данным журналистов, после публикации расследования Flo удалила SDK Facebook из приложения и запросила Facebook Analytics удалить данные всех пользователей Flo.
— BetterMen: Fitness Trainer и BetterMe: Weight Loss Workouts. Фитнес-приложения, которые отправляют данные о весе и росте пользователей, тренировках и проблемных зонах тела — например, «жир на животе» или «обвисшая грудь».
— Weight Loss Fitness by Verv. Приложение отправляет информацию о росте, весе, возрасте и плане тренировок.
— Lose It! — приложение, где можно вести учет тренировок и питания. Тесты показали, что приложение отправляло данные о весе, калорийности каждого продукта и количестве сожженных калорий.
Кроме этого, во время тестов WSJ приложение Lose It! отправило в Facebook информацию о «45-минутной сексуальной активности, за которую потрачено 46 калорий». После расследования приложение прекратило отправлять данные.
— GetFit: Home Fitness & Workout. Приложение отправляет индекс массы тела, информацию об ожирении или избыточном весе, курении и выпитом алкоголе.
— Breethe. Приложение для медитации отправляло адрес электронной почты и полное имя пользователя. После публикации WSJ компания прекратила это делать.
— Glucose Buddy отправляло данные об артериальном давлении и питании. После публикации WSJ передачу данных отключили.
— Realtor. Приложение для поиска недвижимости отправляло в Facebook информацию о том, какие объекты посетил пользователь, где они находятся и сколько стоят.
— Trulia. Приложение для поиска и аренды недвижимости. Отправляло адреса, которые просматривал пользователь.
Ни одно из этих приложений не давало пользователям простого способа отключить передачу данных в соцсеть.
Приложение Flo предлагает вносить не только даты менструального цикла, а и записывать дни сексуальной активности и смены настроения
Кто такие «третьи стороны» и зачем им данные о нашем росте и весе
Две стороны — это пользователь, который доверяет свои данные приложению, и приложение, которое их получает. Third patries, то есть «третьи стороны» в этой цепочке — соцсети и аналитические платформы, которые получают от приложений личную информацию о пользователях.
В случае BetterMe третьи стороны, которым передают информацию — соцсеть Facebook, компании Google и Apple, аналитические платформы Appsflyer, Firebase и Crashlytics, маркетинговые платформы Leanplum и MailFire. Эта информация указана в Privacy Policy приложений BetterMe и BetterMen.
По словам Екатерины Павлевич, Media Relations менеджера компании BetterMe, данные, которые собирают приложения, передаются для продуктовой аналитики в Facebook Analytics. Данные пользователей не используются для оптимизации рекламы в Facebook.
«Важно понимать, что информация пользователей передавалась Facebook в форме кода. BetterMe использует Facebook SDK, в котором определенным полям в приложении присваиваются уникальные названия и характеристики. Когда пользователь совершает действие в таком поле, значение, указанное в нём, отправляется с помощью Facebook SDK в наш кабинет в Facebook Analytics», — объясняет Екатерина.
Как это работает с технической точки зрения
Apple и Google, которые управляют основными магазинами приложений, не требуют, чтобы компании рассказывали, кому передают данные. Пользователи могут отказаться предоставлять приложениям доступ к определенной информации, например, местоположению или контактам.
Проблема в данных, который пользователь вводит в приложения добровольно. Все приложения связаны с Facebook через SDK. С помощью набора функций SDK можно, например, регистрироваться в приложении через аккаунт Facebook или делиться в соцсети результатами тренировки. SDK — та функция, которая связывает Facebook и приложение. Разные приложения используют разный набор функций SDK.
В SDK Facebook есть аналитическая служба «События приложений», через которую разработчики могут отслеживать активность пользователей. Разработчики могут дать SDK задание сохранять определённые наборы действий пользователя. Например, записывать, когда пользователь совершает покупку или заходит в приложение.
Собранные данные в виде кода отправляются на сервера Facebook. Там они хранятся в виде «событий в приложении» и выглядят, как пакеты данных, характерные для каждого приложения. В зависимости от профиля каждого приложения, в некоторых из пакетов данных может быть информация о здоровье или финансах человека.
WSJ считает, что с помощью этих данных соцсеть лучше понимает поведение пользователя и как результат — помогает рекламодателям точнее таргетировать свои рекламные посты на нужную аудиторию, а Facebook зарабатывает больше денег за клик. Представители BetterMe отрицают такое предположение. Они утверждают, что передают данные через SDK для продуктовой аналитики в Facebook Analytics.Благодаря Facebook Analytics команда разработки BetterMe имеет возможность анализировать действия и характеристики пользователей, понимать их предпочтения, прогресс и таким образом улучшать продукт.
В чем вопрос к украинским приложениям BetterMe и BetterMen
Украинская компания BetterMe разрабатывает приложения для фитнеса. В расследовании журналисты указали, что BetterMe делится с Facebook персональными данными пользователей двух своих приложений: BetterMe и BetterMen.
Приложение BetterMe
После того, как 16 февраля журналисты американского журнала попытались связаться с компанией, BetterMe обновили свою политику конфиденциальности: компания уточнила, что делится с Facebook информацией о среднем весе и росте пользователей, а также над какими проблемными зонами своего тела они работают.
Но если iOS-пользователей предупреждают о сборе чувствительных данных на первом экране при первом открытии приложения, то Android-юзерам нужно углубляться в документ и самим искать информацию об использовании их данных. В BetterMe обещают, что добавят оповещение, аналогичное появляющемуся в iOS-версии, в остальные приложения BetterMe в ближайших версиях.
Кроме этого, отличий между Android и iOS-версиями приложений нет. В материале WSJ говорится, что программа, которую журналисты использовали для расследования, не смогла расшифровать трафик из Android-приложений BetterMe. Компания Defensive Lab Agency провела отдельный тест, который показал: Android-приложения BetterMe делится весом и ростом пользователей с Facebook так же, как и в iOS-версии.
На запрос Vector в компании ответили, что в Privacy Policy Android-версии указаны все «третьи стороны». В документе описано, какие данные собирает приложение, куда их передает и для каких целей использует. Например, в секции про использование данных для анализа user experience приложений описано, как используется Facebook Analytics. В компании утверждают, что не используют чувствительную информацию для таргетирования рекламы. Данные передают в Facebook только для продуктовой аналитики. В рекламных целях может использоваться другая информация: например, совершение покупки или открытие приложения.
Оповещение, которое появляется на стартовых страницах в iOS-версиях BetterMe и BetterMen
В чем выгода для самих приложений
На вопрос о выгоде в BetterMe ответили, что благодаря Facebook Analytics команда разработки BetterMe может анализировать действия и характеристики пользователей. В компании говорят, что это помогает понять предпочтения аудитории, и, как следствие, улучшать продукт. «Например, через Facebook Analytics можно узнать, какие тренировки наиболее популярны среди пользователей и разработать больше тренировок такого вида. Соответственно, Facebook Analytics позволяет нам улучшать клиентский опыт и принимать продуктовые решения», — утверждает Media Relations менеджер компании.
Насколько это законно
В ЕС
В европейских странах действует General Data Protection Regulation — постановление Европейского Союза, с помощью которого в Европе усилили защиту персональных данных всех жителей ЕС. Кроме этого, документ защищает и экспорт данных из ЕС.
GDPR вступил в силу в мае 2018 года. По его пунктам, в законодательном поле действуют те компании, которые открыто заявляют о типах персональной информации, которую собирают. По требованиям GDPR, пользователь должен иметь возможность прочесть в политике конфиденциальности, какие именно персональные данные приложение собирает и с какой целью.
WSJ опросила экспертов по вопросам конфиденциальности. По их словам, действия приложений могут нарушать законы ЕС. Пресс-секретарь Facebook заявила, что компания полностью соблюдает законодательство Евросоюза.
В BetterMe утверждают, что их приложения соблюдают европейское законодательство: «Статья 13 GDPR устанавливает список информации, которую компания должна раскрыть своим пользователям. Вся необходимая информация указана и расписана доступным языком в нашей Privacy Policy. Пользователь может детально ознакомится с тем, какие данные мы собираем и для каких целей используем».
Политика Приватности BetterMe
В США
Хоть европейский закон и строже, законодательство в США оценивает ситуацию так же, как и GDPR. В большинстве американских штатов сбор данных о состоянии здоровья (если приложение не имеет отношения к здравоохранению) — законно, но только в том случае, если разработчики сообщают об этом в пользовательском соглашении.
Что говорят в Facebook
На запрос журналистов в Facebook ответили так: «Обмен информацией между приложениями на вашем iPhone или Android-устройстве — это способ работы рекламы. Это — стандарт в нашей отрасли. Вопрос в том, как приложения используют информацию для онлайн-рекламы. Мы требуем, чтоб разработчики приложений сообщали своим пользователям об информации, которой они делятся с нами, и мы запрещаем давать нам конфиденциальные данные. Мы предпринимаем шаги, чтобы удалить данные, которые не должны передаваться нам».
Представители соцсети считают: данные, которые передавали приложения, нарушают условия соглашения. По их словах, приложениям запрещено отправлять медицинскую, финансовую и другую конфиденциальную информацию.
Как компании исправят ситуацию
Половина приложений, которые оказались в центре скандала, уже прекратили передавать данные.
В приложениях BetterMe теперь можно удалить данные, которые программа собрала о вас. Кроме этого, вы можете не вводить персональную информацию. В самом приложении появились названия компаний, которым могут передаваться ваши данные.
Со своей стороны Facebook заявил, что разрабатывает новый инструмент, который позволит отслеживать приложения, нарушающие условия соглашения. В прошлом году Цукерберг заявил, что компания создаст функцию «Очистить историю», чтобы пользователи могли видеть, какие данные о них собирал Facebook из приложений и веб-сайтов, и удалять их из Facebook. Компания заявляет, что все еще дорабатывает эту функцию, и обещает, что данные пользователей будут в безопасности.
Что нужно делать пользователям, чтобы защитить свои данные
Первый базовый шаг — в Facebook можно отключить сайты и приложения, где вы использовали свой аккаунт для входа. Для этого пройдите в настройки и среди вкладок найдите «Приложения и сайты». Там вы сможете увидеть, с какими приложениями и сайтами связан ваш аккаунт Facebook.
Во-вторых, некоторые приложения позволяют посмотреть, какие данные они о вас собрали. В том числе такой пункт есть в Privacy Policy приложения BetterMe.
Команда обещает выслать вам ZIP-архив со всеми данными, которые им удалось собрать о вас. Затем вы имеете право попросить компанию удалить информацию о вас. Для этого нужно написать в техподдержку на support@betterme.tips.
