ВКонтакте и принципы защиты сомнительного сбора информации*
Кратко: представители компании в лице поддержки не знают или не хотят рассказывать, откуда получили данные о моей точной геопозиции (координаты с точностью до подъезда). И нет, не по GPS моего смартфона.
Для представителей ВКонтакте:
1) https://vk.cc/covDph — первое обращение.
2) https://vk.cc/covDxC — второе обращение.
С чего всё началось
25 декабря 2022 я из интереса решил заказать архив данных о себе, чтобы посмотреть, как меня видит ВКонтакте. Мелочиться не стал: запросил абсолютно все доступные к выгрузке данные, несмотря на двухдневное ожидание обработки данных.
Через два дня меня ждал архив на 300 МБ данных, на выходе я получил папку с данными на полтора ГБ.
Было скучновато: дешифрованные сообщения, лайки к постам, интересы, блокировки и прочее. Что действительно меня заинтересовало, так это вкладка «Часто посещаемые места» — я был уверен в том, что у ВКонтакте подобных данных нет, ведь у меня всегда был запрет к определению местоположения для всех приложений по умолчанию.
If only he’d known…
Там оказалось две очень интересных геопозиции (одна из которых позднее, в будущих архивах, была переименована в «Дом») — координаты одного из мест моего частого обитания (дом), с точностью до подъезда, а также точка на ЖД путях Калуга → Москва, точка интересная, действительно «часто посещаемая».
Первое обращение: бесконечное ожидание
В конце этого блока изображения с итерациями — можете ознакомиться.
Первая ветка обращений началась 27 декабря 2022, изначально мне стандартно сообщили о том, что данные ребята получили от провайдера и это невозможно изменить. С этим утверждением я полностью согласен, но получить данные о геопозиции с точностью до подъезда (далее в переписке мы условились, что данные передаются с точностью до дома) по GeoIP невозможно, да и город, впрочем, не всегда возможно узнать.
В тот же день обращение, видимо, было передано в какое-то другое подразделение, где мне в пэссив-агрессив стиле ответили, что я обманываю саппорт, ведь я не приложил официальный ответ от провайдера, к которому они порекомендовали обратиться, чтобы узнать, какие данные он передаёт.
Тогда же я задал вопрос: «С вашего позволения, не против, если я буду отписываться в тикет каждые 10-15 дней, чтобы он не был закрыт?». Забавно, но мне даже на этот вопрос ответили шаблоном об ожидании. Формально я жду ответ на второй вопрос тоже уже шестой месяц.
7 марта была достигнута точка кипения — я был удивлён, что на такой вопрос ребята из ВКонтакте отвечают дольше госструктур.
Больше я в это обращение писать не мог, оно было закрыто, 3 мая зачем-то написали из второго обращения о том, что ответят там же.
Второе обращение: опыт с РКН и предупреждение о судебном порядке решения вопроса
В конце этого блока изображения с итерациями — можете ознакомиться.
25 марта я повторно обратился в поддержку с просьбой прояснить свои действия, тогда же я оставил обращение в Роскомнадзор, отдел защиты прав субъектов персональных данных. К слову, ответ от РКН уже получен, он меня удовлетворил, по результатам переписки с Поддержкой ВКонтакте будет решено: идти в суд в июле или нет.
Произошло чудо, 5 мая ко мне обратился некий № 9590, наверное, единственный, кто хотел разобраться в ситуации, но отправил по сути тот же ответ, что и в начале, меня охватило культурное негодование, на сей раз спокойное. Что интересно, Агент написал:
Настройки смартфонов позволяют запретить доступ к данным со стороны устройства, но мы также можем попробовать сделать предположение о местах, где пользователь часто бывает, на основе косвенных признаков, а также с помощью других источников или устройств — например, компьютера или планшета в случае разрешения доступа к геопозиции на этих устройствах, или благодаря альтернативным методам, таким как GeoIP
Однако в принципах защиты информации ни слова про такие косвенные признаки.
Кстати, помните про вторую метку? Почитайте мой ответ из приложенных изображений — теоретически, она вообще никак не могла быть получена.
В тот же день с меня запросили некоторые данные, показалось, что Агент действительно очень хотел помочь, но что-то пошло не так, видимо, его коллеги, у которых он брал информацию, заблокировали его: )
На 30 мая, статус обращения «Рассмотрен», ответов никаких не последовало, спрашивается, какой смысл был запрашивать информацию. Напрашивается вывод о том, что ребята утаивают что-то.
Времени на всё это у меня пока нет, но, представители ВКонтакте, у меня его будет предостаточно в июле.
А зачем это всё?
Вопрос о защите приватности и сборе личных данных становится всё более актуальным — с недавних пор Правительство наконец-то начало задумываться об этом. Пока надеемся на то, что за подобные инциденты введут уголовную ответственность и санкции. Важно понимать, как обрабатываются данные, ведь ФЗ-152 существует не просто так. В случае с ВКонтакте, ситуация выглядит неутешительно.
Моё обращение и недовольство не преследуют цель просто выяснить, откуда ребята из ВКонтакте получили мою точную геопозицию. Я стремлюсь к получению обещанного — прозрачности и ответственности.
Социальная платформа, являющаяся «домом» для миллионов пользователей, не может или не хочет объяснить, какие источники данных использовались для получения такой информации и не предусмотрела возможность удалить такие данные — это вызывает серьёзные опасения.
Мы должны требовать от компаний, включая ВКонтакте, соблюдения принципов защиты личной жизни и приватности, а также ФЗ-152.
* Которые компания неохотно соблюдает.