Нещодавній звіт Bloomberg викликав хвилю обговорень щодо практики прослуховування голосових записів користувачів Alexa працівниками Amazon. Проте, важливо зазначити, що Amazon не є єдиною компанією, яка має доступ до особистих даних користувачів. Розгляньмо, як технологічні гіганти можуть використовувати, а інколи і зловживати інформацією, яку ми їм довіряємо.
Від перегляду нотаток до переслідування неповнолітніх: реальні випадки
Розглянемо кілька гучних прикладів, що демонструють масштаби проблеми: від доступу працівників Evernote до приватних нотаток користувачів, до випадків переслідування людей з боку співробітників Google та Facebook.
Evernote, колись надав своїм працівникам можливість переглядати особисті нотатки користувачів нібито для “покращення досвіду користування”. Хоча після критики з боку користувачів, компанія відмовилася від цієї практики, це є яскравим прикладом того, як компанії можуть легко отримати доступ до особистих даних і змінити політику конфіденційності на свій розсуд.
В Google, інженер з надійності сайту був звільнений за використання службового доступу для стеження та шпигування за неповнолітніми. Він отримував доступ до їхніх журналів дзвінків у Google Voice, історії чатів та навіть блокував себе у списку їхніх друзів. Цей інцидент 2010 року показав, що навіть особи, яким довіряють доступ до важливих даних, можуть зловживати своїми повноваженнями.
Подібні випадки траплялися і у Facebook, де інженера з безпеки було звільнено за використання доступу для переслідування жінок в Інтернеті. Інші працівники також були звільнені за подібні порушення конфіденційності. Навіть якщо ви не надаєте програмам доступу до своєї електронної пошти, співробітники цих компаній можуть читати ваші листи, оскільки інженери цих компаній переглядали сотні тисяч повідомлень для навчання своїх алгоритмів, як повідомляє The Wall Street Journal.
Це не вичерпний список. Колись у Facebook сталася помилка, що відкрила приватні фотографії розробникам додатків. Також ваші приватні повідомлення у Slack можуть бути прочитані роботодавцем. Навіть в АНБ були звільнені співробітники, які використовували державні системи для стеження за колишніми партнерами. Варто пам’ятати, що будь-яка компанія, яка зберігає ваші дані, зобов’язана передати їх уряду за відповідним ордером, як, наприклад, у випадку з Amazon, де Alexa стала свідком подвійного вбивства.
“Хмара” – це чийсь комп’ютер
Коли ви користуєтесь сервісом, який завантажує ваші дані у “хмару”, ви, по суті, довіряєте ці дані серверам компанії. А це означає, що компанія має потенційний доступ до них.
Хоча це здається очевидним, новини про те, що працівники прослуховують наші голосові записи, часто викликають шок. Можливо, ми сподіваємося, що обсяги даних настільки великі, що їх неможливо перевірити, або вважаємо, що існує законодавство, яке забороняє компаніям подібні дії. На жаль, на сьогодні в США, немає законів, що прямо забороняють компаніям переглядати ці дані, за умови, що вони про це повідомляють, зазвичай, в умовах обслуговування, які мало хто читає.
І це стосується не лише Amazon. Навіть Apple, яка позиціонує себе як компанія, що турбується про приватність, залучає людей до прослуховування записів Siri для навчання алгоритмів, що керують цими голосовими помічниками. За даними Bloomberg, Google також використовує людей для прослуховування записів, зроблених пристроями Google Home.
Правомірні підстави для перегляду ваших даних
Окрім випадків зловживання доступом до даних, є декілька законних причин, чому співробітники компаній можуть перевіряти ваші дані:
- Запити уряду: за наявності ордера, компанії зобов’язані переглядати та передавати дані уряду.
- Навчання алгоритмів: для ефективної роботи, алгоритми машинного навчання потребують людського втручання на етапі навчання. Саме тому люди прослуховують записи Alexa та Siri, а Evernote хотів переглядати нотатки своїх користувачів.
- Забезпечення якості: компанії можуть перевіряти записи чи інші дані для оцінки якості роботи своїх сервісів.
- Підтримка клієнтів: компанії можуть запитувати дозвіл на перегляд даних для надання допомоги користувачам.
- Повідомлення про порушення: у випадку отримання повідомлень про порушення (наприклад, переслідування в соціальних мережах), компанія може перевірити відповідні дані.
Єдиний спосіб захистити дані – наскрізне шифрування
Сучасна інтернет-архітектура часто передбачає шифрування даних лише під час їх передачі між пристроями користувача та серверами компанії. Самі дані на серверах можуть зберігатися у зашифрованому вигляді, але ключі доступу знаходяться у компанії, що робить їх уразливими для перегляду.
Єдиним надійним способом уникнути несанкціонованого доступу є наскрізне шифрування (або шифрування на стороні клієнта). У цьому випадку, дані шифруються на пристрої користувача і зберігаються на серверах у зашифрованому вигляді, недоступному для компанії.
Проте наскрізне шифрування має деякі недоліки. Наприклад, деякі зручні функції, такі як автоматичне оброблення фотографій у Google Photos, стали б неможливими, оскільки компанія не змогла б отримати доступ до даних для їх обробки. Компанії також змушені були б збільшити витрати на зберігання даних через неможливість їх дедуплікації. Для голосових помічників, вся обробка мала б відбуватися локально, що обмежувало б можливості їх навчання.
Крім того, у випадку втрати ключа шифрування, ви можете втратити доступ до своїх даних назавжди. Загалом, якщо компанія матиме можливість відновити доступ до ваших даних, це означатиме, що вона мала доступ до них і раніше.