Den ochrany osobních údajů, Minsk, 2019. Organizátor: lidskoprávní organizace Human Constanta.
Vedoucí (dále - B): – Artur Khachuyan se zabývá... Můžeme říci „na temné straně“ v kontextu naší konference?
Artur Khachuyan (dále - AH): Po firemní stránce ano.
In: „Shromažďuje vaše data a prodává je korporacím.
ACH: - Spíš ne…
In: „A přesně vám řekne, jak mohou korporace používat vaše data, co se s daty stane, když se dostanou online. Asi ti neřekne, co s tím máš dělat. Budeme dále přemýšlet...
ACH: - Řeknu ti to, řeknu ti to. Vlastně vám to dlouho neřeknu, ale na předchozí akci jsem se seznámil s člověkem, kterému Facebook dokonce zablokoval psí účet.
Ahoj všichni! Jmenuji se Arthur. Opravdu zpracovávám a sbírám data. Samozřejmě žádné osobní údaje nikomu veřejně neprodávám. Dělat si srandu. Mým oborem činnosti je extrakce znalostí z dat, která jsou v otevřených zdrojích. Když něco není právně osobním údajem, ale lze z toho získat znalosti a učinit to stejně důležité, jako kdyby tyto údaje byly získány z osobních údajů. Neřeknu nic opravdu hrozného. Tady však o Rusku, ale o Bělorusku mám také čísla.
Jaké je skutečné měřítko?
Zrovna předevčírem jsem byl v Moskvě v jedné z předních vládnoucích stran (neřeknu které) a diskutovali jsme o realizaci nějakého projektu. A to znamená, že IT ředitel této strany vstává a říká: „Vy jste říkal, čísla a tak dále, víte, 2. ředitelství FSB mi tady připravilo poznámku, kde je napsáno, že na sociálních sítích je 24 milionů Rusů. A vy říkáte – 120 s něčím. Ve skutečnosti máme více než třicet [milionů] lidí, kteří internet nepoužívají.“ Říkám ano? OK".
Lidé moc nerozumí měřítku. Nejsou to nutně státní úřady, které asi úplně nechápou, jak internet funguje, ale ve skutečnosti třeba moje matka. Teprve teď začíná chápat, že v Perekrestoku dostala kartu z nějakého důvodu, ne kvůli mizerným slevám, které tento Perekrestok nabízí, ale kvůli tomu, že se její data později používají v OFD, nákupech, prediktivních modelech a tak dále.
Obecně je zde tolik obyvatel a o tolika jsou informace v otevřených zdrojích. O někom je známo jen příjmení, o někom se ví všechno, až po porno, které má rád (vždycky o tom žertuji, ale je to pravda); a všemožné informace: jak často lidé cestují, koho potkávají, jaké nakupují, s kým žijí, jak se pohybují - spousta nejrůznějších informací, které mohou zlí, ne tak špatní i dobří lidé využít (teď ani nevím, v jakém měřítku přijít, ale přesto).
Existují sociální sítě, které jsou samozřejmě obřím souborem otevřených dat, hrajících na slabiny lidí, kteří tak trochu křičí o soukromí. Ale ve skutečnosti, když si představíte graf za posledních 5 let, míra hysterie kolem osobních údajů roste, ale zároveň se rok od roku snižuje počet uzavřených účtů na sociálních sítích. Možná není úplně správné z toho vyvozovat závěry, ale: první věc, která zarazí každou společnost, která shromažďuje data, je hloupě uzavřený účet na sociálních sítích, protože názor člověka uvnitř jeho uzavřeného účtu, pokud nemá 100 tisíc odběratelů, ve skutečnosti není pro nějakou analýzu příliš zajímavý; ale jsou i takové případy.
Kde o nás berou informace?
Už se vám někdy stalo, že na vás klepli kamarádi ze staré školy, se kterými jste dlouho nekomunikovali, a pak tento účet zmizel? Mezi padouchy, kteří sbírají telefony, je taková věc: analyzují přátele (a seznam přátel je téměř vždy otevřený, i když někdo zavře svůj profil nebo seznam přátel lze obnovit „v opačném směru“ shromážděním všech ostatních uživatelů), vezmou nějakého vašeho neaktivního přítele, zkopírují jeho stránku, zaklepou na vaše přátele, přidáte ho a po dvou sekundách je účet smazán; ale zároveň zůstala kopie vaší stránky. Takže vlastně kluci nedávno udělali, když někam odletělo 68 milionů profilů z Facebooku - přidali si asi to samé do přátel, zkopírovali tyto informace, dokonce někomu napsali do osobních zpráv, něco udělali ...
Sociální sítě jsou obrovským zdrojem informací, téměř v 80% případů jsou informace o konkrétní osobě přebírány nikoli přímo, ale z bezprostředního okolí - to jsou nejrůznější nepřímé znalosti, znaky (říkáme tomu algoritmus "Evil Ex"), protože jeden z mých přátel mě na tento naprosto geniální nápad dotlačil. Svého přítele nikdy nesledovala – vždy sledovala jeho pět přátel a vždy věděla, kde je. To je vlastně důvod napsat celý vědecký článek.
Existuje obrovské množství robotů, kteří také dělají všemožné dobré i špatné věci. Jsou neškodní, kteří se k vám hloupě přihlásí, aby vám později dělali reklamu na kosmetiku; ale existují vážné sítě, které se snaží prosadit svůj názor, zejména před volbami. Nevím, jak je to v Bělorusku, ale v Moskvě před komunálními volbami jsem z nějakého důvodu měl obrovské množství přátel některých nepochopitelných a každá kampaň pro jiného kandidáta, to znamená, že absolutně neanalyzují obsah, který konzumuji - jen se snaží prosadit nějakou nepochopitelnou reformu, s přihlédnutím k tomu, že nejsem v Moskvě vůbec registrován a nepůjdu volit.
Odpadky – zdroj nebezpečných informací
Navíc je tu Thor, který není zrovna podceňovaný – každý si myslí, že si tam stačí zajít koupit drogy nebo zjistit, jak se vyrábějí zbraně. Ale ve skutečnosti existuje spousta zdrojů dat. Téměř všechny jsou nelegální (takové, téměř legální), protože se někdo mohl nabourat do databáze leteckých dopravců na nějaké hackerské stránce a hodit je tam. Legálně tato data použít nemůžete, ale pokud odtamtud získáte nějaké znalosti (jako například u amerického soudu), nemůžete použít záznam zvukové konverzace pořízený bez příkazu, ale nezapomenete na znalosti, které jste z tohoto zvukového záznamu získali, a zde je to zhruba stejné.
To je ve skutečnosti velmi nebezpečná věc, takže vždycky žertuji, ale je to tak. Jídlo si objednávám vždy až do vedlejšího domu, protože Delivery Club velmi často praská a opravdu má takové problémy. A nedávno jsem byl velmi překvapen: objednal jsem si potraviny a na krabici, kterou jsem odnesl do koše, byla nalepena nálepka s nápisem „Artur Khachuyan“, telefonní číslo, adresa bytu, kód interkomu a e-mail. Ve skutečnosti jsme se dokonce pokusili vyjednat s moskevským magistrátem přístup na smetiště: obecně přijet na skládku a zkusit, čistě pro zajímavost, najít nějakou zmínku o osobních údajích – udělat něco jako minivýzkum. Ale byli jsme odmítnuti, když zjistili, že chceme přijet se zaměstnanci Roskomnadzoru.
Ale ve skutečnosti tomu tak je. Viděli jste úžasný film "Hackeři"? Hádali se v odpadcích, aby našli nějakou část viru. To je taky oblíbená věc – když lidé něco hodili do open source, tak na to zapomněli. Mohlo to být nějaké školní místo, kde napsali svou dizertační práci o bílé nadřazenosti, a pak šli do Státní dumy a zapomněli na to. Takové případy se skutečně staly.
Co se lidem Jednotného Ruska líbí?
Když půjdete na "vrchol" webu Lifenews... Studenti pro mě před dvěma lety udělali studii: vzali všechny účastníky primárek Jednotného Ruska (všichni oficiálně předložili své účty na sociálních sítích Celoruskému ústřednímu výkonnému výboru), podívali se na to, co se jim obecně líbí - dětské porno, odpadky, nesrozumitelné reklamy od podivných dospělých žen... Obecně se zdá, že na to lidé zapomněli.
Pak napsali dopis, že dvaceti lidem ukradli účty. Jenže jejich účty byly ukradeny před dvěma týdny, před 8 měsíci je odevzdali volební komisi a lajky byly před dvěma lety... Obecně, rozumíte, ne? Informací, které lze vždy využít i pro výzkumné účely, je opravdu obrovské množství.
Minioftopchik: včera jsem viděl zprávu, že Roskomnadzor před dvěma lety zablokoval studium studentů "věže". Možná někdo viděl tuto zprávu, ne? Výzkum provedli moji studenti: byli z Toru, z webu Hydra, kde se prodávají drogy (pardon, z Rampy), shromáždili informace o tom, kolik, co, v jakém regionu Ruska to stojí, a provedli výzkum. Říkalo se tomu „Spotřební košík návštěvníka večírků“. To je samozřejmě legrační věc, ale z hlediska analýzy dat je dataset vlastně zajímavý - další dva roky jsem pak chodil na všemožné "hackathony". To je skutečná věc – je tam spousta zajímavých věcí.
Jak Get Contact „koupil duše“ zvědavých uživatelů a proč si musíte přečíst uživatelskou smlouvu
Obvykle, když se člověka zeptáte, jakého úniku dat se bojíte (zejména pokud má člověk nalepenou webkameru), vždy nastaví prioritní strukturu takto: hackeři, stát, korporace.
To je samozřejmě vtip. Ale ve skutečnosti aktivní datoví analytici, všemožní datoví vědci ukradli mnohem víc než, jak se mi zdá, děsiví Rusové, Američané nebo nějací jiní hackeři (nahrazujte kteréhokoli, v závislosti na vašem politickém přesvědčení). Obecně se toho obvykle každý bojí – máte všichni přelepenou webkameru? Nemůžeš ani zvednout ruce.
Ale pokud hackeři dělají něco nezákonného a stát potřebuje soudní příkaz, aby získal data, pak poslední kluci [korporace] nepotřebují vůbec nic, protože mají takovou věc jako uživatelskou smlouvu, kterou nikdo nikdy nečte. A opravdu doufám, že takové události ještě přinutí lidi číst smlouvy. Nevím, jak to bylo v Bělorusku, ale v Moskvě byla v polovině toho roku vlna aplikace GetContact (asi jste věděli), kdy se z ničeho nic objevila aplikace, která říká: dejte aplikaci přístup ke všem svým kontaktům a my vám ukážeme, jak legrační vás někdo nahrál.
V médiích se to neobjevilo, ale spousta vysoce postavených zaměstnanců si mi stěžovala, že jim všichni začali neustále volat. Správci se zřejmě rozhodli najít v této databázi Shoiguův telefon, někoho jiného... Volochkova... Neškodná věc. Ale ti, co si přečtou licenční ujednání GetContact - tam se píše: spam v neomezeném množství po neomezenou dobu, nekontrolovaný prodej vašich dat třetím stranám, bez omezení práv, promlčení a vůbec vše, co je možné. A vlastně to není tak supervzácný příběh. Tady je pro mě Facebook, když jsem tam byl, 15krát denně se mi zobrazila upozornění: „A synchronizuj si kontakty a najdu ti všechny tvé přátele, které máš!“.
Korporacím je to jedno. Federální zákon 152 a GDPR
Priority jsou ale ve skutečnosti opačným směrem, protože korporace jsou chráněny soukromým právem, a proto téměř ve všech případech nelze prokázat, že se mýlí. A vzhledem k tomu, že je velký, děsivý a velmi drahý, je to téměř nemožné. A pokud jste také v Rusku, se zastaralou legislativou, tak je tak nějak všechno úplně smutné.
Víte, jak se liší ruský zákon (a je prakticky běloruský) od např. GDPR? Ruský 152. federální zákon chrání data (to je pozůstatek sovětské minulosti) - dokument, který chrání data před únikem někam. A GDPR chrání práva uživatelů – právo, že přijdou o nějaké svobody, privilegia, nebo něco jiného, protože jejich data někam uniknou (takovýto koncept zavedli přímo do „data-li“). A máme vše, co vám mohou účtovat - pokutu za to, že nemáte certifikované "otevřeno" - "Excel" pro zpracování osobních údajů. Doufám, že se to jednou změní, ale nemyslím si, že v dohledné době.
Jaké jsou dnes skutečné možnosti cílení?
První, pravděpodobně děsivý příběh, na který všichni neustále mysleli, bylo čtení soukromých zpráv. Určitě je mezi vámi člověk, který někdy něco řekl nahlas, a pak dostal cílenou reklamu. Ano, byli tam? Zvedněte ruce.
Opravdu nevěřím příběhu, že podmíněný Yandex Navigator rozpozná přímý zvuk ve streamu pro všechny uživatele, protože ti, kteří se trochu setkali s rozpoznáváním hlasu, chápou, že: za prvé, datové centrum Yandex by mělo být pětkrát větší; ale co je nejdůležitější, náklady na přilákání takového člověka by stály spoustu peněz (aby bylo možné rozpoznat zvuk ve streamu a pochopit, o čem dotyčný mluví). Ale! Ve skutečnosti existují algoritmy, které vás označují pro určitá klíčová slova, aby pak mohly vytvořit nějaký druh reklamní komunikace.
Takových studií bylo hodně a já si 100x udělal čisté účty, někomu něco napsal do zpráv a pak mi najednou přišla reklama, která s tím jakoby neměla nic společného. Jsou zde vlastně dva závěry. Proti takovému příběhu - má se za to, že člověk prostě spadne do nějakého statistického vzorku; řekněme, že jste 25letý muž, který se právě v tuto chvíli měl setkat s kurzy angličtiny právě ve chvíli, kdy jste někomu psali. Alespoň Facebook to u soudu vždy říká: že existuje určitý model chování, který vám neukážeme, který byl postaven na datech, která vám neukážeme, máme interní výzkum, který vám rozhodně neukážeme (protože vše je obchodní tajemství); obecně jste spadali do určitého statistického vzorku, tak jsme vám to ukázali.
Jak Facebook naštval soukromí uživatelů
To se bohužel obecně nedá prokázat, pokud nemáte ve firmě člověka, který tyto úkony nějak potvrdí. Ale v americkém právu je v tomto případě dohoda o mlčenlivosti tohoto zaměstnance vyšší než jeho touha vám pomoci, takže to nikdo neudělá. Je to také zajímavé - bylo to asi před rokem nebo rokem a půl - v Americe se začal rozvíjet trend, kdy si lidé instalovali rozšíření prohlížeče pro šifrování zpráv na Facebooku: když někomu něco napíšete, on to zašifruje klíčem na zařízení a rozešle nesmysly veřejnosti.
Facebook tuto společnost žaluje už rok a půl a není jasné, z jakých důvodů (protože se moc nevyznám v americkém právu) je donutili tuto aplikaci odstranit a pak udělali dodatek k uživatelské smlouvě: když se podíváte, je tam taková klauzule, že nemůžete posílat zprávy v zašifrované podobě - je to nějak tak lstivě popsáno, že takovéto šifrování nelze dobře používat. To znamená, že řekli: buď používáte naši platformu, píšete ve veřejné doméně, nebo nepíšete. A to vyvolává otázku: k čemu vůbec potřebují soukromé zprávy?
Soukromé zprávy jsou zdrojem XNUMX% spolehlivých informací
Zde je velmi jednoduchá věc. Každý, kdo analyzuje digitální stopu, lidskou činnost, se snaží tato data nějak využít k marketingu nebo něčemu jinému – mají takovou metriku, jako je spolehlivost. Tedy určitý obraz člověka – rozumíte naprosto dobře, toto není člověk sám – tento obraz je vždy o něco úspěšnější, o něco lepší. Soukromé zprávy jsou skutečné znalosti, které lze o člověku získat, jsou téměř vždy 100% spolehlivé. No protože málokdy někdo někomu něco napíše do soukromých zpráv, podvede, a to se dá všechno velmi snadno ověřit - respektive podle jiných zpráv (chápete, o čem mluvím). Základem je, že takto extrahované znalosti jsou téměř 100% spolehlivé, takže se je vždy každý snaží dostat do rukou.
Ale přesto je to všechno opět velmi obtížně dokazatelný příběh. A ti, kteří věří, že podmíněný "Vkontakte" má takový přístup od donucovacích orgánů pro osobní zprávy - to není úplně pravda. Pokud se jen podíváte na historii soudních žádostí o zveřejnění informací, jak Vkontakte velmi chytře (v tomto případě Mail.ru) tyto žádosti vyhání.
Vždy mají hlavní argument: podle zákona musí orgány činné v trestním řízení argumentovat, proč je přístup k osobním zprávám potřebný. Zpravidla, jedná-li se o vraždu, vyšetřovatel vždy říká, že s největší pravděpodobností osoba uvedla, kde zbraň ukryla (v soukromých zprávách). Ale vy a já chápeme, že ani jeden příčetný zločinec nikdy nenapíše svým komplicům na VKontakte o tom, kde ukryl střelné zbraně. To je ale jedna z nejčastějších možností, kterou úředníci hlásí.
A tady je další takový hrozný příklad (dnes jsem byl požádán, abych uvedl hrozné příklady) - o Rusku (doufám, že se to nestane v Bělorusku): podle zákona musí mít vyšetřovatel dostatečně pádné důvody, aby operátor tuto informaci zveřejnil. Tyto spolehlivé parametry samozřejmě nejsou nikde popsány (jaké, v jaké formě by měly být), ale v Rusku nyní přibývá precedentů, kdy se takový základ pro soud objeví, pokud existuje určitý model, který předpovídal určité, dobré nebo špatné chování.
Čili u nás nemůže být nikdo uvězněn (a to je dobře) za zařazení do nějakého statistického vzorku čistokrevných vrahů – a to je dobře, protože to porušuje presumpci neviny; existují však precedenty, kdy byly výsledky takových prognóz použity k získání soudního povolení pro data. Mimochodem, nejen v Rusku. V Americe je také něco takového. Tam také Palantir dávno všechny porazil, takové věci se používají. Děsivá pohádka.
Toto je můj výzkum. Udělali jsme toto: prošli jsme se po Petrohradu, na místech zelených teček jsme napsali několik klíčových bodů přátelům z „čistých“ účtů – jako „chci pít kávu“, „kde koupím prací prášek?“ a tak dále. A pak podle toho obdrželi georeferenční reklamu. Nějakým magickým způsobem... Nebo jak se říkalo: „Náhoda? Nemysli!" Toto jsou osobní zprávy na Vkontakte. Odpusťte mi Mail.ru, ale je to pravda. Každý může tento experiment zopakovat.
Mimochodem, když napsali prohlášení na podporu, Mail řekl, že existují wi-fi body, které zachytily vaši makovou adresu. Něco takového také existuje.
Způsoby získávání a běžné možnosti „vyčerpání“ osobních údajů
Dalším příběhem je získávání dalších znalostí, na kus kterých jsem se skutečně dotkl. Vyplněný profil člověka na sociálních sítích totiž skutečně nese 15–20 % reálných znalostí, které o něm provozovatel dat ukládá. Zbytek příběhu pochází z velmi zajímavých věcí. Proč si myslíte, že Google tolik vyvíjí knihovny pro počítačové vidění? Zejména byli mezi prvními, kteří vyvinuli knihovny pro skutečnou analýzu a kategorizaci objektů - na pozadí, v popředí, bez ohledu na to, kde. Protože to je obrovský zdroj dalších informací o tom, jaký má člověk byt, auto, kde bydlí, luxusní zboží ...
Když se sloučily trénované neuronové sítě Google (nevím, čí to byly, ale přesto), došlo k hromadě „hackerských“ náplní. O velikosti hrudníku, obvodu pasu bylo hodně zajímavého - to se jen lidé nesnažili zjistit o jiných lidech na základě rozboru fotografií. Protože když člověk fotí, nemyslí vždy na to, kolik zajímavých věcí se z toho můžete naučit? A kolik pasů pro novorozence je vydáno v Rusku? .. Nebo: „Hurá, moje dítě dostalo vízum“! To je obecně bolest moderní společnosti.
Takový offtopic (dnes se s vámi podělím o fakta): v Moskvě je nejčastějším únikem osobních údajů bydlení a komunální služby, kdy na dveřích visí seznam dlužníků a tito dlužníci pak žalují, protože jejich osobní údaje byly bez jejich svolení veřejně dostupné. Co když se vám tohle stane ... Podstatou je, že když člověk něco dělá, tak neví, co na té fotce bylo, co nebylo. Čísel aut je teď hodně.
Jednou jsme provedli studii - snažili jsme se pochopit, kolik lidí má otevřené obrázky aut (mají, respektive přestupky a tak dále) - to se bohužel dalo udělat pouze pomocí sloučených databází dopravní policie, kde je jen číslo (ne příliš spolehlivé informace), ale bylo to také zajímavé.
Vaše další reklama závisí na tom, jak jste "spotřebovali" předchozí.
Toto je první příběh. Druhým příběhem jsou vzorce chování, obsah, který člověk konzumuje, protože jednou z nejdůležitějších metrik, které se o vás sociální sítě snaží vybudovat, je způsob interakce s reklamami. Bez ohledu na to, jak přesné, „úžasné“ algoritmy jsou, bez ohledu na to, jak úžasné umělé inteligence a vše ostatní funguje, skutečnou prioritou sociální sítě je vždy vydělávat peníze. Pokud tedy přijde podmíněné „Coca-Cola“ a řekne – „Chci, aby všichni obyvatelé Běloruska viděli můj příspěvek“, uvidí ho bez ohledu na to, co si o tomto člověku myslí algoritmy, jak ho tam zacílit. Pravděpodobně jste obdrželi reklamy, navíc super-super-cílené, nesmysly zcela nesouvisející. Protože za tento nesouvisející nesmysl se zaplatilo hodně peněz.
Ale jednou z hlavních metrik je porozumět tomu, s jakým obsahem nejlépe komunikujete, konkrétně jak na něj reagujete, abychom vám ukázali podobný reklamní příběh. A v souladu s tím je to metrika toho, jak interagujete s reklamou: kdo ji zakáže, kdo ne, jak člověk klikne, zda čte pouze titulky, nebo zcela spadá do materiálu; a na základě toho vás dále držet v této, jak se nyní říká, „filtrační bublině“, abyste s tímto obsahem mohli nadále interagovat.
Pokud vás najednou někdy zaujme, zkoušíte dlouho, během týdne, možná měsíce, zakázat všechny reklamy na sociálních sítích za sebou: zobrazí se vám nějaká reklama – zavřete ji. Pokud to analyzujete a dáte to do grafu, vznikne zajímavý příběh: pokud zakážete reklamy na týden, příští týden se vám zobrazí ve vylepšené verzi a obecně z různých kategorií; tedy podmínečně, milujete psy a zobrazují se vám reklamy se psy - zakázali jste všechny psy a pak vám začnou ukazovat všelijaké všestranné nesmysly z různých možností, aby se pokusili pochopit, co potřebujete.
A pak si vás nakonec odplivnou, označí vás jako člověka, který se s reklamou neinteraguje, dají vám podmíněný křížek a v tu chvíli vám začnou ukazovat reklamy výhradně bohatých značek. To znamená, že v tuto chvíli uvidíte reklamy pouze na Coca-Colu, Kit-Kita, Unilever a všechny lidi, kteří vydělávají obrovské peníze, protože potřebujete získat zobrazení. Do měsíce proveďte experiment: zakažte všechny reklamy na jeden nebo dva týdny, pak uvidíte vše v řadě a zakažte to - nakonec uvidíte pouze reklamy, jak se později ukáže (a reklamní agentury říkají), pouze zákazníci, kteří platí za zhlédnutí, protože je nemožné pochopit, jak s touto reklamou interagujete.
Porno častěji sledují ti, kteří mají tendenci se ponořit hluboko do obsahu
V souladu s tím je zde příběh o všech druzích sledování chování. Mám takový zajímavý příklad – návštěvníky vládního webu. Legrační je, že čím větší hloubku lidé sledují, tím více z nich dává přednost sledování porna před tradičními vztahy. „Omlouvám se“, že na toto téma pořád mluvím, ale ve skutečnosti mám s Pornhubem velmi dobrý vztah a jsou to vždy velmi zajímavé studie, protože je to téma, které je tak trochu tabu, ale o člověku hodně vypovídá. A následující body o návratu provozu, které odsud plynou... Budeme také vzpomínat na Pornhub!
Co je považováno za osobní údaje a lze iPhone odemknout pomocí 3D modelu obličeje?
Nejraději mám obcházení zákona o osobních údajích. Pokud si přečtete technickou dokumentaci stejného Facebooku, který poskytl některé interní dokumenty (například soudu), nenajdete žádnou zmínku ani o rozpoznání obličeje, ani o analýze hlasu. Bude to velmi složitý jazyk, který žádný kvalifikovaný právník v legislativě nenajde. V Rusku fungujeme velmi podobně – teď vám takovou věc ukážu.
co tady vidíš? Každý normální člověk by řekl ten obličej. Mimochodem, tohle je Sasha Grey. A legálně se jedná o matici nějakých trojrozměrných bodů, kterých je 300 tisíc kusů. Ať už je to dobré i zlé, není to zákonem považováno za osobní údaj. Ruská RKN obecně nepovažuje jednu fotografii za osobní údaj – za osobní údaj považuje, pokud je v blízkosti něco jiného (například celé jméno nebo telefonní číslo), a tato fotografie sama o sobě není vůbec nic. Jakmile byl zaveden zákon o biometrii a biometrické údaje byly ztotožňovány s osobními údaji (takže velmi sprostě), všichni okamžitě začali říkat: to nejsou biometrické údaje, to je pole bodů! Zvláště pokud vezmete přímou nebo inverzní Fourierovu transformaci z této řady bodů, zdá se, že nemůžete osobu z této transformace deanonymizovat, ale můžete ji identifikovat. Čistě teoreticky tato věc neporušuje zákon.
Udělal jsem také další studii: jedná se o algoritmus, který staví trojrozměrnou rekonstrukci obličeje z otevřených zdrojů – vezmeme si účet na Instagramu a poté můžeme obličej vytisknout na 3D tiskárně. Koho to mimochodem zajímá, mám odkaz ve veřejné doméně; když najednou někdo chce někomu odemknout "iPhone" ... Je to vtip - "iPhone" nejde odemknout, je tam snížená kvalita.
Soukromý profil je výhodou pro zabezpečení
To je první věc a ta druhá ... Už jsem se dotkl toho, že informace se získávají hlavně z uživatelského prostředí. Nakreslil jsem tento obrázek v roce 17: průměrný uživatel ruských sociálních sítí je uvnitř, má průměrně 200-300 přátel, jeho přátelé přátel a jeho přátelé přátel přátel.
Díky sociálním sítím za zavedení inteligentních algoritmů e-feed, integrálních let, údajně proto, aby se zvýšila pravděpodobnost, že narazíte na nějaký zajímavý obsah. Toto je počet lidí, kteří mohou v libovolném náhodném okamžiku vidět obsah, který vytváříte, i když je váš účet omezen pouze vyšší úrovní soukromí (pouze pro přátele přátel a tak dále). Zde jsou přátelé přátel:
Pokud si někdo myslí, že když se rozhodne vidět „přátele přátel“ v „Mojich příspěvcích“ na VK, pak tři podání rukou je asi 800 tisíc lidí, což v zásadě není tak málo, ale závisí na vašem obsahu. Možná děláte nějaké neslušné streamy a všichni tito přátelé přátel mohou s tímto obsahem komunikovat. Jeden z nich může někde něco přeposlat, všichni lidé mají podobný feed, který ve skutečnosti s největší pravděpodobností bude zrušen, protože to není moc osobní věc. Proto se kdykoli může obsah někam dostat.
VK ten rok také spustil superuzavřené profily, ale zatím je používá velmi malý počet lidí (neřeknu který, ale malý!). Možná to někdy lidi napadne - opravdu v to upřímně doufám. Veškerý výzkum je neustále zaměřen na to, aby lidé pochopili rozsah problémů. Protože dokud se někoho konkrétního nedotknou nějaké hrozné věci, nikdy o tom nepřemýšlí. Pokračuj.
Vládní orgány nevědí, co jsou osobní údaje, a nespěchají je definovat
Jakýkoli specialista v oblasti práva osobních údajů vždy říká toto: nikdy nemusíte kombinovat různé zdroje dat, protože zde máte e-maily (toto jsou jen osobní údaje s nějakými anonymizovanými identifikátory), zde - celé jméno ... Pokud se toto vše spojí, zdá se, že se stanou osobními údaji. Obecně by bylo správné se nejprve dotknout tohoto tématu, ale myslím, že jste do něj již ponořeni a možná víte, jak zákon funguje.
Ve skutečnosti nikdo neví, co jsou osobní údaje. Důležitý koncept! Když přijdu do vládních agentur, říkám: „Láhev koňaku někomu, kdo říká, co jsou osobní údaje.“ A nikdo nemůže říct. Proč? Ne proto, že by byli hloupí, ale proto, že nikdo za sebe nechce nést zodpovědnost. Protože pokud Roskomnadzor řekne, že jde o osobní údaje, zítra někdo něco udělá a bude na vině; a jsou to výkonné orgány a obecně by neměly být za nic odpovědné.
Podstatou je, že zákon jasně říká, že osobní údaj je údaj, podle kterého lze osobu identifikovat. A tam je uveden příklad: celé jméno, adresa bydliště, telefonní číslo. Ale vy i já víme, že člověka lze identifikovat jak podle toho, jak mačká tlačítka, tak podle toho, jak interaguje s rozhraním, a podle dalších nepřímých parametrů. Pokud by někoho zajímalo, téměř v každé oblasti je obrovské množství skulin.
Identifikátory, které nás odhalují
Například všichni začali dávat body za zachycení makových adres (určitě jste narazili?) - chytří (nebo já nevím, nenasytní) výrobci mobilních zařízení, jako Apple a Google, rychle zavedli algoritmy, které dávají náhodnou makovou adresu, abyste nebyli identifikovaní, když jdete po městě a posílají svou makovou adresu všem. Ale chytří kluci mysleli na další příběh ještě dál.
Můžete například získat licenci mobilního operátora; po obdržení licence od mobilního operátora získáte přístup k takové věci - nazývá se protokol SS7, podle kterého uvidíte určité vysílání mobilních operátorů; existuje hromada nejrůznějších identifikátorů, které nejsou osobními údaji. Předtím to bylo IMEI a teď - doslova to někdo vzal z jazyka a rozhodl se udržovat v Rusku (taková iniciativa) jedinou databázi těchto "IMEI". Tak nějak je, ale stejně.
Existuje například hromada identifikátorů - například IMCI (mobile equipment identifier), který není ani osobním údajem, ani není vázán na nějaké další věci, a lze jej tedy uložit bez jakéhokoli soudního stíhání a tyto identifikátory si pak s někým vyměnit za účelem pozdější komunikace s osobou.
Kultura práce s osobními údaji je na nízké úrovni
Obecně lze říci, že základ je, že všichni se nyní velmi zabývají slučováním dat z jednoho do druhého a většina společností, které toto slučování provádějí, o tom někdy ani nepřemýšlí. Například přišla banka, uzavřela smlouvu o mlčenlivosti se společností, která provádí bodování, vyhodila 100 tisíc svých zákazníků ...
A ne vždy má tato banka ve smlouvě klauzuli o předávání dat třetím stranám. Tito klienti něco urychlili a není jasné, kam se tato databáze později poděla, nešla - ve většině společností v Rusku neexistuje kultura mazání dat ... - tento „excel“ určitě zůstane někde na počítači sekretářky později.
Naše data lze prodat při každém nákupu v obchodě
Existuje mnoho schémat, která se zdají být téměř legální (tj. legální). Příběh je například následující: z 15 největších ruských bank jsou skutečnou SMS bránou pouze dvě - Tinkoff a Alfa, to znamená, že samy posílají své vlastní SMS. Jiné banky využívají SMS brány k zasílání SMS koncovým zákazníkům. Tyto SMS brány mají téměř vždy právo analyzovat obsah (například z důvodu bezpečnosti a některých jejich závěrů) za účelem prodeje agregovaných statistik. Tyto SMS brány jsou „přátelské“ s fiskálními datovými operátory, kteří provádějí kontroly.
A ukázalo se následující: přišli jste k pokladně, operátorovi fiskálních dat (dali vám, nedali vaše telefonní číslo - je to tam nějak svázáno) ... obdržíte SMS na vaše telefonní číslo, brána těchto SMS vidí poslední 4 číslice karty a telefonní číslo. Víme, v jakém okamžiku jste provedli transakci od operátora fiskálních dat, a v SMS víme (nyní již), na jaké číslo byla přijata informace o odepsání takové a takové částky peněz těmi a těmi posledními čtyřmi číslicemi karty. Poslední čtyři číslice karty nejsou vaše identifikátory, neporušují zákon, protože pomocí nich nemůžete být deanonymizováni, částka transakce také ne.
Pokud jste se ale dohodli s operátorem fiskálních dat, víte, v jakém časovém okně (plus minus 5 minut) vám má tato SMS přijít. Tak jste byli rychle svázáni se svým telefonním číslem v OFD a vaše telefonní číslo je svázáno s reklamními identifikátory, obecně se vším-vše-všechno. Proto vás pak mohou zastihnout: přišli do obchodu a pak vám bez dovolení pošlou další nesmysly. Myslím, že v této místnosti není téměř nikdo, kdo by někdy podal žádost na FAS o spam. Není tu skoro žádný... Myslím, že kromě mě.
Papíry jsou archaickým, ale účinným způsobem, jak bojovat za svá práva
Funguje to velmi cool. Pravda, budete muset čekat rok a půl, ale FAS ve skutečnosti provede audit: kdo, jak, komu data přenesl, proč kam atd.
Otázka z publika (dále - Z): - V Bělorusku není FAS. Tohle je jiná země.
ACH: - Ano, rozumím. Určitě existuje něco podobného...
Námitky přicházejí z podlahy
ACH: - Dobře, špatný příklad, omlouvám se. To je jedno. Mezi svými přáteli neznám nikoho, kdo by obecně věděl o existenci takového příběhu - že můžete jít psát, a pak budou pracovat další rok.
Druhý příběh, který se také velmi rozvíjí v Rusku, ale myslím, že ve své zemi najdete obdobu. Velmi rád to dělám, když s vámi, nějakou bankou nebo něčím jiným špatně komunikuje vládní agentura - řeknete: "Dej mi kus papíru." A na papír napíšete: „Podle paragrafu 14 152. federálního zákona vás žádám, abyste zpracovávali osobní údaje v listinné podobě.“ Nevím přesně, jak se to dělá v Bělorusku, ale určitě se to dělá. Podle ruských zákonů nemají právo vám na základě toho odmítnout službu.
Dokonce znám mnoho lidí, kteří poslali podobné zprávy na Mail.ru a požádali o uchování záznamů o svých osobních údajích v papírové podobě. Mail.ru se tomu bránil velmi dlouho. Dokonce znám jednoho vývojáře Yandex, který dostal vtip: smazali jeho účet VK a poslali mu spoustu vytištěných snímků obrazovky a řekli, že mu pošlou snímky obrazovky pokaždé, když bude chtít aktualizovat svou stránku.
Je to legrační, ale přesto je to skutečná alternativa, pokud někomu na datech skutečně záleží, na jedné straně ... A na druhé straně mi stejná RKN řekla, že tato dohoda o zpracování osobních údajů je formální a zákon poskytuje několik dalších možností, jak tento souhlas udělit. A že jsem sem byl například pozván na akci, a pokud se mnou například Human Constanta nesmí uzavřít smlouvu o zpracování osobních údajů v rámci ruských zákonů (protože už samotný fakt, že jsem přišel a souhlasil s vystoupením, je souhlas se zpracováním osobních údajů), tak si tato papírová povolení stejně berou. Ale RKN mi řekl podobnou věc, že vůbec není fakt, že s největší pravděpodobností jednoho dne zmizí.
Doufám, že v Rusku nikdy nevytvoří jediného provozovatele, pánbůh mi odpusť, osobních údajů, protože horší než dát všechny osobní údaje do jednoho košíku je vložit jedině do košíku státu. Protože kdo ví, co se s tím vším stane.
Firmy sdílejí osobní údaje a zákony to neupravují dobře
Většina společností si mezi sebou vyměňuje nějaké údaje, identifikátory. Může to být obchod s bankou, pak banka se sociální sítí, sociální síť s něčím jiným... A nakonec tito lidé mají určitou kritickou masu znalostí, které se dají nějakým způsobem využít, a teď se však všechny tyto znalosti snaží udržet na své straně. Ale přesto se pak stejně dostane do nějakého reklamního provozu nebo někam jinam.
Předávání údajů třetím stranám je to nejzábavnější, co může být, protože zákony nepopisují, o jaké třetí strany se jedná, pro koho by měly být vůbec považovány za „třetí strany“. Mimochodem, toto je velmi častá fráze amerických právníků - mají tam Třetí strany - koho, koho považujete za třetí strany: babička, prababička? .. V Americe byl dokonce takový precedens, kdy byly zveřejněny něčí údaje, člověk žaloval a oni dokázali, že tento člověk je přes několik přátel obeznámen s majitelem údajů - určitý počet podání rukou, takže každý jiný nemůže být považován za zvláštní sociologické studie. Legrační. Ale skutečnost přenosu takových dat je velmi běžná.
I když půjdete na stránku, kde je počítadlo pro identifikaci, toto počítadlo má právo někam přenést data tohoto provozu („Clickstream“, majitelé reklamních platforem čehokoli, „Pornohub“ například). Pornhub, pokud je jeden z vás webový vývojář, můžete se jít podívat, kolik sledovacích pixelů je na webu Pornhubu. Stačí jít dovnitř - je načteno obrovské množství java skriptů, například pro vylepšení webu. Ve skutečnosti se tam nastavují i mezidoménové cookies, které tam prostě nejsou, protože tyto informace jsou na trhu clickstreamů vždy vysoce ceněné.
"Facebook" se vrtí a nehodlá strhnout masku
Žádný z hlavních hráčů přirozeně nikdy nikomu neříká, komu a jak data prodávají. Kvůli tomu se nyní například Evropa pokouší žalovat Facebook. Těsně po zavedení GDPR se Evropská unie snaží setřást Facebook svým vlastním zveřejňováním algoritmů pro přeprodej dat třetím stranám.
Facebook to nedělá a veřejně říká, že ne, protože je „společností světa“ (toto cituji z dopisu, který mi poslali), je „proti škodlivému používání technologií“ (zejména pokud prodáváte rozpoznávání obličejů Kremlu). Obecně lze říci, že to Facebook nedělá úplně poctivě: jeho hlavním cílem a hlavní věcí, která se stane, jakmile bude takový mechanismus odhalen, je, že bude možné realisticky vypočítat marži reklamy, bude možné pochopit skutečné náklady na reklamy.
Obvykle, pokud vám Facebook nyní řekne, že náklady na reklamní zobrazení jsou 5 rublů a my vám je prodáme za 3 (a nám zůstanou dva rubly), a oni podmínečně obdrží 5 % zisku z těchto reklamních zobrazení. Ve skutečnosti to není 5%, ale 505, protože pokud tento algoritmus vyjde (komu a jak Facebook posílal „clickstream“, data o návštěvách, pixelová data do všech druhů reklamních sítí), ukázalo se, že vydělávají mnohem více peněz, než o tom říkají. A nejde o samotné peníze, ale o skutečnost, že cena za kliknutí je rubl, ale ve skutečnosti - setiny centu.
Obecně platí, že podstatou je, že každý se snaží takový převod skrýt, na tom nezáleží - reklama, nereklamní provoz, ale je tam. Bohužel se to nedá nijak právně poznat, protože společnosti jsou soukromé a vše, co mají uvnitř, je jejich soukromé právo a jejich obchodní tajemství. Ale takové příběhy se objevují neustále.
Drogoví dealeři jsou předvídatelní a "střílí" na "Avito"
Poslední obrázek z této prezentace. Je to legrační a jeho podstatou je, že existují určité kategorie lidí, kteří se velmi obávají o svá osobní data. A je to vlastně dobře! Tento příklad je o takové kategorii lidí, jako jsou drogoví dealeři. Zdá se, že lidé, kteří by se měli velmi obávat o své osobní údaje ...
Jedná se o studii, která byla provedena na začátku uvedeného roku pod dohledem příslušných orgánů. Ano, toto je scénář, který dostal peníze na nákup drog v Telegramu, v Toru, ale pouze od těch lidí, které bylo možné identifikovat.
Ve skutečnosti téměř všichni drogoví dealeři v Moskvě hoří na tom, že jejich telefonní číslo není vůbec v žádných otevřených zdrojích, ale dříve nebo později na Avitu něco prodají, podle čehož bude možné pochopit přibližnou polohu těchto lidí. Pointa je, že červené tečky jsou tam, kde lidé žijí, a zelené tečky jsou tam, kde jdou zanechat, víte co. Byla to jedna z částí algoritmu, která předpovídala rozmístění hlídkových služeb, ale tihle moskevští chlápci se vždy snaží nějak jít diagonálně pryč.
Věří, že když bydlí zleva nahoře, tak by měli jít zprava nahoře a rozhodně je tam nikdy nenajdou. Říkám vám, že pokud se snažíte schovat před všudypřítomnými algoritmy, skutečně nejlepší možností je změnit model chování: nainstalovat nějaký druh „Hosta“, který náhodně rozdělí návštěvy, majetek a tak dále. Ano, Pane, existují dokonce i algoritmy, zásuvné moduly, které změní velikost prohlížeče o několik pixelů, takže není možné vypočítat podpis, „otisk“ prohlížeče a nějak vás identifikovat.
To je vše, co jsem chtěl říct. Máte-li dotazy – pojďme. Zde je odkaz na prezentaci.
Otázka z publika (B): – Řekněte mi, prosím, pokud jde o používání Tor, pokud jde o sledování provozu… Doporučujete to?
Je těžké to skrýt, ale je to možné
ACH: - "Thor"? "Thor" není obecně v žádné formě. Je pravda, že nevím jak v Bělorusku - v Rusku byste tam v žádném případě neměli jít, protože téměř většina ověřených „gracenodů“ najednou přidá nějaké balíčky do vašeho provozu. Nevím jaké, ale když se podíváte: existují „uzly“, které označují provoz, není jasné, kdo to dělá, pro jaké účely, ale někdo to označí v záhlaví, abyste to později pochopili. V Rusku je nyní veškerý provoz uložen, i když je uložen v šifrované podobě, a všichni trollují balíček Yarovaya o tom, že šifrovaný provoz je uložen, ale zůstává označen, to znamená, že jej nelze použít, nelze jej dešifrovat ...
Z: - V Evropě je skladován již dlouho, pravděpodobně deset let.
ACH: - Ano, rozumím. Všichni se tomu smějí - jako, že ukládáte https, které nelze přečíst. Obsah nelze přečíst, ale pomocí určitých algoritmů lze pochopit, odkud pakety pocházejí - podle hmotnosti paketů, podle délky a tak dále. A když máte pod kapotou všechny poskytovatele, jsou tam podle toho veškeré páteřní vybavení a všechny pasy... Obecně, chápete, o čem mluvím?
Z: Jaký prohlížeč doporučujete používat?
ACH: Pro Thora?
Z: - Vůbec ne.
ACH: - No, já nevím. Ve skutečnosti používám Chrome, ale jen proto, že panel pro vývojáře je tam nejpohodlnější. Když najednou potřebuji někam jít, půjdu do nějaké kavárny. Pravda, tam byste se neměli přihlašovat ke skutečné SIM kartě.
Z: Mluvil jste o nějakých studentech. Učíte nebo vedete nějaké kurzy?
ACH: – Ano, máme mistry v datové žurnalistice. Školíme novináře, aby sbírali data, analyzovali je – pravidelně takové studie provádějí.
Neexistují žádné zabezpečené aplikace
Z: - Není bezpečné komunikovat s přáteli na Facebooku, Vkontakte, abyste později nedostali kontextovou reklamu. Jak zlepšit zabezpečení?
ACH: – Otázkou je, co považujete za přijatelnou úroveň zabezpečení. Slovo „bezpečný“ v zásadě neexistuje. Otázkou je, co je podle vás přijatelné. Někteří považují za přijatelné sdílet intimní fotografie prostřednictvím Facebooku a někteří zpravodajští důstojníci se domnívají, že vše, co bylo řečeno ústy, a to i té nejbližší osobě, je ve skutečnosti nebezpečné. Pokud nechcete, aby o tom sociální síť něco věděla, tak ano – je lepší o tom nepsat. O zabezpečených aplikacích nevím. Obávám se, že ne. A to je normální, pokud jde o to, že každý vlastník jakékoli aplikace ji potřebuje nějak zpeněžit, i když je tato aplikace zdarma nebo je to nějaké médium. Je to tak nějak zadarmo, ale pořád to potřebuje z něčeho žít. Proto není nic bezpečné. Měli byste se jen takříkajíc sami rozhodnout, co vám vyhovuje.
Z: - Co používáš?
ACH: - Sociální sítě?
Z: - Od poslů.
ACH: - Z poslů používám hlavního státního posla Ruské federace - Telegram.
Z: - Viber. je v bezpečí?
ACH: - Poslouchej, nejsem moc dobrý v instant messengerech. Abych byl upřímný, nejsem v ochrance, v nic nevěřím, protože to by bylo asi hodně zvláštní. Ačkoli Telegram je něco jako open source a jeho šifrovací algoritmy byly odhaleny. Ale to je také ošemetná věc, protože je tam klient „open source“ a servery nikdo neviděl. Myslím, že ne: Viber má spoustu spamu, robotů a tak dále. Fík ví. Myslím, že tohle moc nefunguje.
Kdo je nebezpečnější – korporace nebo stát?
Host (B): - A mám na vás otázku. Podívejte, párkrát jste to mimochodem zmínil – že stát... Příliš mnoho dat není příliš dobré... Korporace má příliš mnoho dat. No, to je prostě život, ne? Kdo se tedy bojí víc – korporace, nebo stát? Kde jsou úskalí?
ACH: - To je velmi těžká otázka. Hraničí. Obtížná etická bariéra. Člověk, pokud se nemá čeho bát, pokud neporušil zákon, v zásadě, proč potřebuje soukromí? I když si to nemyslím – tento stát si to myslí. Možná je na tom zrnko pravdy. Poslouchej, nejvíc se bojím hackerů - nějaké takové gesto. Vlastně největší gesto, které jsem v životě viděl (z celého tohoto tématu): asi před rokem a půl nebo dvěma lety byl v moskevské oblasti chycen pedofil a během vyšetřování bylo v jeho počítači nalezeno několik návodů na Python, skripty, Api VK. Sbíral účty dívek, analyzoval, která z nich byla poblíž, sbíral obsah, který... Zkrátka, rozumíte. Tady je největší plech, jaký jsem kdy viděl. A toho se opravdu bojím, že v jednu krásnou chvíli někdo něco takového udělá.
Další malá „offtopic“: Evropská organizace pro státní bezpečnost toho roku vydala zprávu, že počet krádeží z bankovních účtů vzrostl asi o 20 procent, o 25 nebo tak nějak, když byla tajná otázka hacknuta. Přemýšlejte o své tajné otázce v bance právě teď a zjistěte, zda na ni mohu zjistit odpověď z otevřených zdrojů. Pokud tam máte rodné jméno své matky nebo oblíbené jídlo ... Obecně lidé analyzovali účty, na základě toho pochopili přezdívku svého milovaného mazlíčka - něco takového ...
Z: - Řekl jste, že společnosti, korporace shromažďují potřebné informace pomocí algoritmů? Jste si jistý, že víte jak?
ACH: - Došlo k pohybu lidí, kteří svého času proháněli fotografie přes speciální filtr, aby tento filtr narušil analýzu snímků, takže později nebylo možné tyto osoby nějak identifikovat. Zde jsem vám dal příklad, že Facebook se potýkal s kryptografií zpráv. A pokud se tato věc objeví a rozšíří, sociální sítě s ní budou jistě bojovat. Navíc rozpoznávání obrázků nyní funguje velmi dobře a hraničí se skutečností, že dostatečná úroveň k „rozbití“ této fotografie (za účelem „rozbití“ algoritmu, který tyto obrázky rozpoznává) - s největší pravděpodobností na ní nebude nic jasné.
Všechny druhy glitch filtrů fungují dobře, pokud jde o silný přímý posun v polovině fotografie. Váš účet pak získá všechny barvy LSD. Čistě teoreticky si nemyslím, že by bylo moc děsivé, kdyby třeba Facebook zjistil, jaké mám auto – pravděpodobně když se do auta nepřihlásím přes Facebook.
Zákon zapomnění funguje, ale ne na internetu
Z: - Setkali jste se s uživatelem, který by vás nutil respektovat ho, smazat ho, získat přístup. Pracujete s velkými poli dat, pravděpodobně na to upozorníte. Lidé vás mohou kontaktovat. Kolik procent?
ACH: - Řeknu vám to hned. Tady to začíná být opravdu zajímavé. Teď spočítám, kolik lidí přijde, protože po akci vždy přijde 15-20%, vyplní formulář pro smazání dat - taková věc existuje. Ve skutečnosti je to někde kolem 7-8% uzavřených účtů, které neanalyzujeme, a asi 5 z tisíce lidí, kteří žádají o smazání svých dat. To je velmi malé, dokonce i podle mého skromného názoru.
Problém je v tomto: existuje něco jako zákon zapomnění. Ale zákon o zapomnění, alespoň v Rusku, se legálně vztahuje pouze na vyhledávače. Je tam napsáno: vyhledávače. A to je odstranění pouze odkazů na materiály, nikoli materiálů samotných. Ve skutečnosti, abyste něco z internetu odstranili, budete muset obejít všechny tyto zdroje, takže v to v zásadě nevěřím. Snažíme se uživatele upozornit, že před publikováním musí nejprve přemýšlet.
Zatímco toto procento je velmi malé – 5-7 lidí z tisíců. Mimochodem, o zákonu zapomnění: každý zná takový skvělý případ „Sechin vs. RBC“. Zákon zapomnění fungoval, článek byl odstraněn, ale je všude. Chápete, že když se něco jednou dostalo na internet, pak to odtamtud nikdy nezmizí.
Uživatelé jsou odstraněni, ale jsou identifikováni podle typického chování
Z: - Nemyslíte si, že lidé, kteří smažou své účty a snaží se stát "černou dírou", budou ve srovnání s ostatními ekonomickými subjekty více znevýhodněni?
ACH: - S největší pravděpodobností ano - tato pozice pro ně bude nerentabilní. Na nich závisí spousta slev a nabídek. Ale čistě teoreticky, pokud někdo nyní smaže účet... U všech extremistů je oblíbené, když smažou účet a udělají falešný, ale pokračují v interakci se stejným obsahem - tuto osobu lze opět identifikovat (zvláště pokud je na stejné sociální síti, ze stejného počítače - to je obecně otázka); elementárně podle modelu spotřeby obsahu bude možné tuto osobu najít, pokud takový úkol existuje.
Doufám, že za dalších 5 let bude nějaká technologie na monetizaci těchto dat, kdy opravdu bude možné vyplácet peníze člověku - zaplatíte vy sami a moje data nepoužijeme. A myslím si, že když se na nějakém Instagramu zavede placené předplatné, tak to nikdo nevyužije, takže alternativou je platit uživatelům za jejich data. Ale není to moc brzy, protože lobby děsivých korporátních chlápků nedovolí, aby takový zákon byl přijat, ačkoliv by to bylo cool. Ale tady jde o to, že je nemožné odhadnout skutečnou hodnotu dat jedné osoby v konkrétním okamžiku.
Facebook je parta kluků
Z: - Dobré odpoledne. Nedávno se objevily zprávy, že Facebook hodlá integrovat všechny své projekty, včetně Instagramu a Facebooku, WhatsAppu a tak dále. Jak podle vás z pohledu osobních údajů, když mi nyní tyto programy visí samostatně na mém smartphonu, ale stále patří Facebooku?.. Co bude dál?
ACH: - Chápu. Právně už k Facebooku patří a ten je v sobě může nekontrolovatelně spojovat, takže si myslím, že se nic nezmění. Jediná věc je, že nyní stačí hacknout jednu aplikaci, abyste získali vše najednou. A Facebook... Doufám, že se dívají. Strašně plno děr kluci obecně na všech místech.
V poslední době se o tom objevuje spousta informací – o únicích dat z Facebooku. Není to proto, že by Facebook najednou začal o tato data přicházet, ale proto, že GDPR nyní společnost nutí varovat předem. A největší trest je, pokud došlo k úniku informací, a společnost o tom mlčela, a proto o tom nyní mluví Facebook. To neznamená, že tyto úniky dat neexistovaly dříve.
Z: - Ahoj. Mám dotaz ohledně ukládání dat. Nyní každý stát zavádí zákon o tom, že data občanů jsou uchovávána na území tohoto státu. Jakou podmínku stačí splnit pro splnění tohoto zákona u nějaké mezinárodní přihlášky?... Například Facebook: databáze je jen jedna...
Jak dodržet tyto podmínky?
ACH: – Poslouchejte, legálně si v této zemi stačí pronajmout server a něco na něj dát. Problém je v tom, že neexistuje žádný příslušný regulační orgán. Data Facebooku neleží v Rusku. Roskomnadzor s nimi bojuje, bojuje, bojuje, bojuje... Facebook má část serverů, kde se nachází rozhraní právě tohoto Facebooku, a není možné zkontrolovat, kde data ve skutečnosti jsou, jak jsou synchronizována.
Z: – Kontrolovat provoz?
ACH: – Kontrolovat provoz? Ano. Ale provoz pak může jít do nějakého páteřního bodu. Navíc mezi servery může být něco jako VPN nebo něco jiného. Čistě teoreticky není možné žádným způsobem kontrolovat, že řekněme správce systému v jednu krásnou chvíli na tento server nepůjde a něco si odtamtud nevezme. To znamená, že tento zákon nebyl vytvořen kvůli ochraně dat, ale kvůli tomu, aby společnosti otevřely zastoupení, platily daně a skladovaly železo v zemi. Ale podle mého názoru je to velmi zvláštní iniciativa, abych byl upřímný.
Z: - To znamená, že stačí skutečně zkontrolovat rozhraní?
ACH: Někdo za vámi může přijít a zkontrolovat, že tam máte data. Ale můžete ukázat nějaký "excel", a to nikdo nezkontroluje, sotva to někdo zkontroluje. Nyní se jednoduše podívají na IP adresy: že IP adresa spojená s doménou se nachází na území země - dále nekontrolují. Teď pravděpodobně přijdou ke mně na kontrolu.
Neexistují služby, kterým byste mohli 100% věřit, ale slušní lidé se nemají čeho bát
Z: - Takové zprávy, přetištěné na mnoha místech: chlapík je zveřejnil od společnosti Microsoft, vytvořil službu, která zkontrolovala jeho ...
ACH: - Něco jako: unikla vaše hesla? Ten samý Facebook totiž po stejných únikech na Facebooku vždy spustí jakési záložní stránky, kde si můžete ověřit, že není zahrnut v této databázi – opět to vyžaduje GDPR. To znamená, že pokud něco takového neuděláte, nebudete moc dobří. Proto nyní každý tyto projekty prezentuje jako „toto je naše iniciativa“; ve skutečnosti to zákon vyžaduje. To je vlastně velmi super věc, ale takovým ověřovacím službám bych moc nevěřil, pokud tam potřebujete poslat něco složitějšího, než je vaše heslo, protože mnoho lidí má stejná hesla.
Z: - Stačí tam zadat svůj e-mail a oni už říkají, kolikrát byl kompromitován ...
ACH: – Takovým věcem opravdu nevěřím, protože později je velmi snadné vás propojit s tímto prohlížečem, se skutečným účtem. Zvláště pokud používáte služby stejných lidí, kteří spustili tento web. Je to jako v roce, kdy to Facebook poslal: pokud vaše intimní fotografie uniknou na Facebook, pošlete nám je a my zkontrolujeme, kde byly zmíněny.
Nevím, co je to za PR noční můru a kdo na Facebooku s tím přišel, ale opravdu se to stalo. Chtěli porovnat, zda vám nikdo neposílal do soukromých zpráv vaši nahotu. V zásadě to sleduje dobré cíle, ale je to co nejpodivnější. Nevěřil bych tomu.
Z: - A ještě jedna otázka. Jak vysoké jsou pro běžného uživatele rizika úniku? Nebezpečí poškození v důsledku netěsností.
ACH: - Rozuměl jsem vám. Hlídání, jaký druh dat ukládat. Myslím, že ne moc vysoko. Nejhorší je, že pokud někde uniknou e-maily a hesla a toto heslo máte všude, tak ano. Obecně si myslím, že se uživatelé nemají čeho bát. Ale pokud samozřejmě neukládají nějaký druh rozřezání do pošty Google. Příkladů bylo hodně.
Nejznámější příběh je na Googlu, když byla v Utahu unesena dívka, nemohli ji najít a v jednu krásnou chvíli jí únosci poslali fotky v archivované příloze. A Google při skenování této přílohy našel známky dětské pornografie. Všichni se našli. A ještě stihli zažalovat Google za porušení korespondenčního tajemství. Tento soud trvá už nějakou dobu. Ale přesto věřím, že běžný uživatel se nemá čeho bát, pokud nezveřejní, řekněme, svůj pas ve veřejné doméně. To je dvojí příběh – podle toho, jaká data a jaký uživatel. Teď už je to snad v pořádku, ale za 15 let, až se stane nějakým úředníkem, pak některé jeho materiály vyplouvají na povrch.
Jak se spolupracuje se státem?
Z: - Děkuji. Trochu jste mluvil o tom, že děláte výzkum pro stát, státní orgány, služby a spolupracujete s nimi. Možná nám můžete říci něco více o některých aktuálních projektech. Ještě více, pokud můžete, o ... Dvě otázky: první je aktuální projekty a druhá je, zda nějaké takové návrhy od veřejných služeb byly ...
ACH: - Neslušné!
Z: - Ano. Když sis myslel, že bys to možná neměl dělat.
ACH: - Řeknu ti to. Říkám to všem. Tento muž a já jsme se dlouho hádali na Twitteru. Od týmu Milonov na Twitteru jsem nějak dostal otázku ohledně hledání učitelů, kteří sledují gay porno. Okamžitě jsme řekli ne. Ale jsou, často přicházejí dopisy a velmi často je to spojeno s nějakými opozičníky, mítinky. My takové nesmysly neřešíme, a tak na nás všichni sypou sračky. nestydím se za to.
Máme následující zásady týkající se „států“: vyvíjíme software, software pro trojrozměrnou rekonstrukci, rozpoznávání obličejů, analýzu dat. Co přesně dělají, je velmi těžké říci, ale z modelů je to predikce kriminality, co souvisí s bezpečností státu uvnitř města, pohybem lidí, geomarketingem a tak dále. Od umisťování předmětů do prostředí vnitřního města až po identifikaci pedofilů, násilníků, maniaků a všemožných padouchů.
Upřímně řečeno, s žádnými opozičníky jsme nejednali. Možná nám o tom neřeknou do očí. Ve skutečnosti je to velmi velký problém - spolupráce se "státy", protože ne vždy vysvětlí, co je úkolem. Říkají vám: udělejte software na identifikaci žen v domácnosti, ale ve skutečnosti s tím udělají něco jiného – tam se všechno porouchá.
Navíc stát je velmi zajímavý a zvláštní klient, který se neustále snaží vrazit do vašeho výzkumu nějaké tři haléře a často jsou jeho přístupy a chápání strojového učení velmi povrchní. Mám například samostatnou přednášku o chybách strojového učení. Vždy tam uvádím příklad, když jsme dělali systém předpovědi kriminality v Moskevské oblasti, zákazník řekl: tam, kde prodávají melouny, zvyšte koeficient čtyřikrát. A pak se vlastně ukázalo, že místa, kde se melouny prodávají, nejsou trestná. To jsou prostě chyby toho, že člověk přispívá svými myšlenkami.
Stát je zkrátka pohodový klient, je tam spousta zajímavých úkolů. Většina přichází k podobným modelům předpovídání něčeho. Nejčastěji jde o nějakou městskou infrastrukturu.
Z: – Existují nějaké zdroje, kde můžete svůj výzkum sledovat? Mnoho informací. Pokud tomu dobře rozumím, mnoho z toho stále zůstává přes palubu. Vaše stránky, něco jiného...
ACH: Nemám osobní stránky.
Z: - Pravděpodobně už byl Facebook uzavřen?
ACH: - Asi před čtyřmi měsíci se stal příběh: Poslali nám všem tak velké dopisy, že „jste podivíni, všechno prodáváte Kremlu, porušujete všechna pravidla Facebooku. Dokonce poslali dopis mému psovi: "Ahoj, Mars Blue Corgi, sbíráš data!" a tak dále. Podívej, teď měníme značku. Za dva tři týdny máme web a vše bude aktualizováno. Můžete to sledovat. Jenže právě v tomto ohledu jsme velmi líní.
Jak můžete určit spolehlivost VPN?
Z: - Kdy jste řekl, že půjdete do kavárny, aniž byste se tam identifikovali svým telefonním číslem. A pod čím?
ACH: - Nemůžete říct - pod cizí osobou, protože se jedná o výzvu k porušení identifikačních předpisů. Ne ne ne. Dělám si srandu. Nyní téměř všechny kavárny identifikují vše za sebou - není tam jen telefonní číslo, je tam hromada pixelů, je tam identifikace zařízení, adresa máku a co ne, aby to bylo možné později použít - od reklamních účelů až po operativní pátrací činnost. Takže na takové věci musíte být velmi opatrní. Nejen, že můžete něco napsat, ale oni mohou psát z vašeho zařízení a pak se něco stane.
Možná jste viděli příběh, že nyní vyšetřují, jak (mimochodem i v Bělorusku) pronajímají účty na Facebooku, například pro reklamy v kasinech. Ale ve skutečnosti se neví za co, dávají také přístup k počítači. To jsou věci, na které byste si měli dávat největší pozor. Pokud se rozhodneš odněkud něco anonymně napsat ... přišel bych do kavárny a zapnul si nějakou super VPN. Ale ve skutečnosti (opět na nikoho neukazuji prstem), když máte účet ve VPN, kontrolujete, kdo je vlastníkem této VPN, která společnost, kdo vlastní tuto společnost a tak dále. Protože většina hráčů na trhu VPN nejsou zrovna dobří kluci.
No, v Bělorusku je to jedno. V Rusku se dobrá VPN kontroluje podle toho, zda je tam blokován azino777 nebo ne. Protože pokud ne, pak je velká šance, že tato VPN služba bude do týdne uzavřena. V podstatě vše zkontrolujte.
O automatickém mazání zpráv
Z: - Mluvili jste tolik o soukromých zprávách, že jejich sociální sítě čtou... Ale například Facebook má tajné soukromé zprávy, které lze uložit (kromě toho jsou také šifrované) ke zničení. Jak se k tomu můžete vyjádřit?
ACH: - V žádném případě. Za prvé nejsem žádný superprofesionál v kryptografii a za druhé je tady problém, že nikdo neviděl server Facebooku, nikdo neví, jak to tam všechno funguje. Běžně se v nějaké specifikaci píše, že se jedná o end-to-end šifrování, ale nemusí to tak být, nebo je to end-to-end, ale s nějakými chybami nebo něčím jiným. Má smysl používat takovou věc, pokud se bojíte, že osoba, které jste ji poslali, se v určité chvíli pokusí něco udělat.
Telegram má praktickou funkci pro odesílání intimních fotografií, které se samy vymazávají: když se pokusíte pořídit snímek obrazovky, automaticky se smaže. iPhone má funkci nahrávání obrazovky a můžete nahrávat video na obrazovce a tak dále... Jen mi velmi často zasílají materiály s touto funkcí (automatické mazání) - nikdy nechápu proč. Můžu stahovat hned! Záleží to jen na tobě.
Sociální hodnocení v Číně: mýty, realita, vyhlídky
In: - Vlastně trochu zneužívám, i když nepotřebuji VPN (mimochodem, máme ověřenou VPN). Otázka o etice. Máme úžasného kamaráda z Kazachstánu, přivezli jsme ho i s přednáškou. Nějak s ním seděli na nějaké konferenci, kde mluvili o různých věcech, a on říká (a věnuje se kybernetické bezpečnosti, tedy v její nejčistší podobě inženýrské bezpečnosti, člověk, který se zajímá o technická řešení): „Tady se vrátil z Číny. Dělají tam takovou super věc - sociální hodnocení. Mimochodem, zkoumal jsi něco o této problematice, jak jim to funguje?
ACH: – V Rusku prodáváme bodování, vím o tom hodně.
In: - Tak mám otázku, co byste k tomu řekl víc - o tom, co nás snad všechny v budoucnu čeká. Ale další otázka k etice. Řekl tak šťastně: "Zajímavé technické řešení!" Máte svůj vlastní etický kodex?
ACH: - Ano, mimochodem, existuje. Před dvěma lety jsme to představili - těsně po příběhu s Milonovem jsme se rozhodli tyto projekty nějak seřadit. Vrátíme-li se k hodnocení: toto je jedna ze super populárních otázek, protože média celý tento příběh velmi silně démonizují – že lidé nesmí do zahraničí, zabíjí je laser z Měsíce. Přináším vám znovu technické kousky...
Pokud se v tomto příběhu začnete vrtat, podíváte se, jaké parametry jsou v tomto sociálním hodnocení zahrnuty, pochopíte: zahrnuje uzavřené alimenty, trestní rejstřík, úvěrovou historii, to je z inženýrského hlediska opravdu úžasná věc. Žijete bez porušování zákonů, žijete dobře – dají vám nízkou úrokovou sazbu na půjčku. Máte důležitou sociální práci (například učitele) - poskytují vám vhodné bydlení. Nejprve to všechny zmátlo, protože nejprve unikla historka, že když o prezidentovi napíšete špatně, sníží se vám hodnocení. I když nebyly žádné důkazy. Na obranu hodnocení řeknu, proti hodnocení řeknu, že ten algoritmus nikdo neviděl, jaké parametry se tam vlastně používají.
Pak se objevila historka, že více než milion lidí nesmělo odjet do zahraničí, měli zakázáno vycestovat. Ve skutečnosti to není úplně přesné znění. Když dostanete vízum (například do Evropy), dostanete vízum za sazbu „70 eur na den“ (něco takového); Pokud nedoložíte příjem, vízum nedostanete. V Číně se tamní ministerstvo zahraničí rozhodlo zajít o něco dál: prostě okamžitě varovalo lidi, kteří neměli dost peněz, že pokud budete chtít do zahraničí, nebudete mít dost peněz. V souladu s tím se to vše pak poslalo do konceptu, že chudým není dovoleno odejít do zahraničí. To je složitá etická věc, hraničí to s určitou presumpcí viny či neviny, ale v podstatě nemohu hodnotit.
Lidé zabíjejí, ne zbraně
Hlavní věc, kterou je třeba pochopit, je, že všechny tyto algoritmy, které společnost odsuzuje, nejsou problémem s algoritmy. Algoritmy jednoduše umožnily velmi rychle analyzovat velký „objem“ lidí a tento společenský problém se dostal na vrchol. To znamená, že robot Microsoftu, který se poučil z tweetů a stal se rasistou, není chyba robota, ale tweety, které přečetl. Nebo firma, která se rozhodne postavit model ideálního zaměstnance analýzou těch současných a ukáže se, že jde o bílého, genderově vyššího muže.
To není model – rasista, sexista nebo něco jiného; to jsou lidé, kteří tyto lidi najali (měli pravdu, mýlili se – na tom nezáleží). Všechno jen hraničí s tím, že umělá inteligence je zlá, špatná a zničí svět, ale ve skutečnosti... Pokud například ruská vláda nyní schválí zákon, že opozičníci nemají bezplatné vzdělání, a napíší software, který je zdarma identifikuje a připraví o toto vzdělání, nebude to algoritmus, kdo za to může. I když tento můj koncept nikdo nepodporuje, protože – když říkám, že nezabíjejí lidi zbraně, ale lidi – „jste fašista“ a tak dále.
Obecně je to opravdu velmi cool technické řešení. Je třeba pochopit, proč se to nestane například v Rusku. Vy [v Bělorusku] to mít nebudete, protože jste evropský stát, u vás je vše v pořádku. To se v Rusku nestane z mnoha důvodů: za prvé, nemáme stejnou úroveň důvěry v systém vymáhání práva jako v Kita; Nemáme takovou úroveň digitalizace. Proč to v Číně vyšlo? Protože vláda: mají digitální medicínu, digitální pojištění, digitální policii. A někoho chytrého napadlo: pojďme to dát dohromady a udělejme to – ve skutečnosti se jedná o věrnostní program. Existuje více dobrot než „nedobroty“.
Proto ano – myslím, že toto v Rusku zavedeno nebude. Nejprve musíme zdigitalizovat celé ministerstvo zdravotnictví (a to je úkol na 50 let) – někdo za to musí položit život, ale tohle samozřejmě nikdo neudělá. Na druhou stranu, ruské banky jsou nejlepší na světě, co se týče bodování lidí, nic nedělají: „Jo, vole? Líbí se ti mladé dívky? Zde je kreditní karta pro vaši milenku. Je to tam hodně pokročilé. Například v Americe je takové bodování zakázáno téměř všude, protože existují zákony, podle kterých je banka povinna vám vysvětlit proč: „Aha! Protože společnost Social Data Hub uchovává historii po dobu 10 let a nyní - to a to o vás prozradilo! A zažalujme jedno i druhé! My takové příběhy nemáme.
Proč jsou statistiky potlačeny?
V zásadě podporuji bodování, pokud to není nějaký "totalitní" příběh. Ale celé je to v tom, že to nelze předvídat, hodnotit. Toto je nejtěžší příběh v etice velkých dat, jak předpovědět sociální dopad, který bude za 15 let. Například velmi dlouho prosím státní zastupitelství, aby otevřelo informace o kriminalitě. Statistika kriminality je jedním ze základních kamenů každé statistiky; tohle chce opravdu každý. Ale například v Rusku se kriminální statistiky neotvírají z velmi prostého důvodu: bojí se narušit demografii ve městech. Věří, že v některých městech lidé přestanou žít, i uvnitř města se vše nějak přerozdělí. Ze stejného důvodu nejsou zveřejněny statistiky USE - sami chápete, že lidé budou chodit do některých škol, a do některých ne.
Možná je to správně, možná ne, ale projektů bylo mnoho... Například Yandex se najednou (opět podle „žlutých“ zvěstí, neviděl jsem to, nevím) rozhodl přidat počet útoků na taxikáře do modelu prognózování nemovitostí, to znamená nějaký přístup k úrovni kriminality, počítání počtu stížností taxikářů a tak jim vyhrožoval, někdo harašil. Rychle se obrátili zpět do společnosti, aby takové věci nedělali.
Z: – Komunikujete se studenty, komunikujete s publikem ve vaší zemi, u nás. Z množství dotazů z publika jste si všimli, že jsme stále ve fázi vývoje, kdy si myslíme, že potřebujeme důvěrnost, že se můžeme před někým schovat, chránit svá data, aniž bychom je poskytovali, skrývali, šifrovali. Pokud se Evropská unie již posunula do další fáze, do fáze soukromí, což znamená kontrolu nad daty – donutit každého, kdo shromažďuje vaše data, aby vám nad nimi dal účinnou kontrolu... Pokud jde o vzorky podle regionů, podle sociálních vrstev – která z kategorií občanů, lidí, již přešla do druhé fáze, nebo kdo jiný sedí v té první v hlavní?
Koho nejvíce zajímá bezpečnost osobních údajů?
ACH: - Naprostá většina... Řekl bych: všem je to jedno! To nyní vzrušuje vrcholné manažery. Města v Rusku jsou Moskva a Petrohrad. Aktivním centrem jsou IT specialisté, designéři, kreativní profese, všichni, kdo umí filtrovat obsah, získávat nové znalosti, s vysokým zájmem o mezinárodní problematiku. V podstatě jde o vrcholové manažery; ano, IT lidé (nepočítaje bezpečnostní specialisty); bankéři – tedy všichni lidé, kterých se únik dat může nějak dotknout.
Pokud jsou například ukradena data nějakého hospodáře z nějaké Kalugy: je nepravděpodobné, že se v jeho životě něco vážně změní, pokud mu někdo ukradne například přístup k gmailu, kde si ponechá přístup k seriálům. Otázkou je, že zákon chrání všechny stejně a právem, protože ... z pohledu zákona jsou si všichni rovni - ha ha ... ale nejdůležitější je, že nelze pochopit, čí data budou stát kolik, dokud se tato data neztratí - bohužel je velmi obtížné předvídat. Ale většinou tato kategorie občanů.
Telefon - ve fólii!
Jedinýkrát v životě jsem viděl totální skladování všeho a všeho ve dvou společnostech. Jedním z nich je největší integrátor informační bezpečnosti: vše, až po USB, je uvnitř kanceláře přilepeno lepidlem; a lidé tam chodí stejně - potkal jsem tam člověka, který má telefon ve fóliovém sáčku. Zjistil jsem, že existují firmy, které prodávají speciální tašky jako je tato. A podruhé jsem viděl podobný příběh v Bloombergu mezi zaměstnanci: stáli jsme v kuřárně a někdo někde fotil a jeden z nich - "Abychom tam nebyli vidět v pozadí!" Říkám si: "Oh wow!"
„Jsme lepší než FSB“
Nerad bych řekl, že je to méně než jedno procento populace, ale bohužel v obecné mase je to téměř každému jedno. Ale na druhou stranu mám skandální službu na sledování jednání nezletilých (spustili jsme ji už dávno pod heslem „Jsme lepší než FSB“), abychom rodiče upozornili, že nezletilý dělá odpad dřív, než k němu náš vlastní algoritmus, který je někde nainstalovaný, někoho pošle.
Při ověřování dítěte je potřeba poslat sken pasu (to je v podstatě běžná praxe), ale psali jsme, že číslo pasu můžete odstřihnout, protože nás to nezajímá; zajímá nás pouze vaše fotografie, hologram a křestní jméno. A téměř 100 % lidí – tedy asi 95 ze 100 pasů – lidí ve Photoshopu tato čísla pečlivě vystřihlo a poslalo jen správnou část. To znamená, že pochopili - ano, pokud to nepotřebují, nemusí to posílat. To je podle mě nějaký skutečný pokrok, ke kterému je přiměla nedůvěra k nám.
Z: - Výběr je tak jednoznačný. Jsou lidé, kteří se hlásí, jsou už pokročilí.
Lidé nechtějí být následováni, ale nečtou dohody.
ACH: - Ano. A druhá věc je totéž: na konci toho roku jsme spustili seznamovací aplikaci (brzy ji restartujeme). Byla tam kontrolní skupina 100 15 lidí. A tam, podle přístupů GDPR, bylo v mém účtu 98 zaškrtávacích políček - uděluji oprávnění k analýze interakce s rozhraním, k přístupu k mé demografické údaje, k přístupu k 2D rekonstrukci obličeje, k přístupu k mým osobním zprávám atd. Všechny možné přístupy jsme maximálně vymalovali. Dokonce někde jsou statistiky, kdo co zaškrtl. XNUMX % nechalo ve výchozím nastavení zaškrtnutá všechna zaškrtávací políčka (navzdory skutečnosti, že šli na tuto stránku a viděli to všechno, ale bylo jim to jedno), ale pro tato XNUMX % byla zajímavá analýza toho, co bylo pro lidi prioritou.
Všichni odebrali oprávnění k přístupu k soukromým zprávám a téměř všichni odebrali oprávnění k přístupu k datům sexuálních testů (co se jim tam líbí, co tam vyplňovali, jejich zvrácenosti – jen sranda). Ale lidi do toho nakopli, šťouchli: rozhraní jim říká – pozorně si to přečtěte, umožňuje to procházet touto dohodou až do konce. Ale bylo to provedeno pouze proto, že to byl výzkumný projekt a všichni byli varováni. Žádná společnost včetně nás, když tuto aplikaci vypustí na veřejnost, nedonutí člověka dočíst tuto zprávu až do konce, protože ... no pardon, tak to funguje.
Za předpokladu, že za námi přišli s vědomím, co firma dělá, s vědomím, že šli do služby, která vám navrhne kandidáty podle toho, jaké porno se vám líbí – i na základě toho si jen 2 % přečetla tato zaškrtávací políčka a skutečně něco udělala. A pak téměř nikdo z nich nezrušil zaškrtnutí políčka „Přístup k provozu a údajům o návštěvě jiných webových stránek“. V podstatě všichni měli obavy ze soukromých zpráv.
Nahota a přistání pro lajky - zajímavé zákony bratrských republik
Z: – Mám dotaz ohledně ochrany údajů. Můžete nosit telefon ve fólii, tvářit se, že tam nejsou... Pak se ukáže, že tak nějak šetříte, šetříte, ale pak musíte svá data dát státu, protože to po vás požaduje, a vy prostě nemůžete... A pak se ukáže, že státní dodavatelé mají všichni plno děr. A v Bělorusku stále platí takové pravidlo: pokud zkontroluji zabezpečení svých osobních údajů (něco opravím a získám k tomu přístup), okamžitě se stanu zločincem. Stejný článek byl použit k obvinění novinářů v „kauze BelTa“ ze získání neoprávněného přístupu k datům (můžete si jej přečíst sami). Zde vlastní a otázka: zda jsou taková omezení účinným opatřením pro soukromí, obecně pro bezpečnost soukromých údajů?
ACH: - Chápu. V Bělorusku existuje mnoho velmi zajímavých zákonů. Nedávno jsem to zjistil... dělám si srandu o přenosu nahoty, ale ty, jak se ukázalo, máš zakázáno.
Z: - Demonstrace zakázána!
ACH: - Je to trochu divné.
Z: - Můžete se dívat, nemůžete vysílat, nemůžete to mít rádi. Nemůžete se dívat spolu!
ACH: - Odpovím na vaši otázku. Vrátím se k tématu „sezení pro lajky“ v Moskvě. V Rusku je to téma číslo jedna. Nevím, jak je to v Bělorusku, ale upřímně řečeno ve státě… Když si analyzujete statistiky, v Moskvě je 95 přistání na lajky ze 100, když si lidé stěžují na lidi, někdo napíše na prokuraturu o jiné osobě. Stát takové případy iniciuje velmi zřídka. Zdá se mi, že tento zákon je naprosto absurdní. Neznám jediného skutečného zločince, který byl za to uvězněn. Ale toto opatření se používá k tomu, aby se člověku připsalo alespoň něco. Zdá se mi, že to je nejpodivnější. Myslím, že se to jednou zruší.
Z: - Tomu se říká držet pod pokličkou.
ACH: - No, uh, dobře... nemůžu říct. Nejsem zrovna prostátní monstrum, ale moje vnímání je mírně změněno, víte, lidmi, kteří k nám přicházejí a říkají: "Mé dítě se ztratilo, pomozte mi ho najít." Říkám: "Nemohu nic dělat bez povolení soudu." Podíváte se na tyto rodiče, kteří by dali všechno ve svém životě, dali by jakýkoli přístup k jakýmkoli datům - jen aby vyřešili svůj problém. Proto je pro mě velmi těžké takovou diskusi vést: na jedné straně věřím, že stát dělá správnou věc, když chytí nějaké skutečné lidi, a na druhé straně poskytování nekontrolovaného přístupu je obecně hrozný příběh.
Vrátím se k vaší věci, "omlouvám se" za rozptýlení. Na alobalové sáčky vůbec nevěřím. Mít mobil a balit ho do fólie je tak trochu hloupost. proč to dělat? Kvůli nepřipojování telefonu k Wi-Fi? Jednodušší je to vypnout. Aby vás mobilní operátor neidentifikoval? Takže ještě můžou trilaterovat signál, nějak to spočítat. Pro mě jsou jediným účinným bezpečnostním opatřením úložiště, chráněné, jako místní síť - třeba v bytě, kde se dá něco uložit.
Z: - Je to otázka práva. Je legislativa trestná vůči osobě, která si chce ověřit své údaje?
ACH: - Rozumím, ano. Ani jsem o této věci nevěděl, takže vám to nemohu s jistotou říct. V Rusku nic takového neexistuje, i když je tam všechno velmi těžké. Pravděpodobně se můžete poradit s kvalifikovanými právníky a možná je tam nějaká mezera - možná to podat k nějakému evropskému soudu... Ne? Nemůžu ti o tom říct. Moje znalosti práva jsou povrchní, na úrovni šéfa firmy. Vím, co nedělat, aniž by ti někdo něco řekl. To je samozřejmě velmi smutné.
Z: - Chci říct, že v jiných zemích (například ve Státech) je běžnou praxí, že můžete otestovat nějakou zranitelnost a pak ji prohlásit, ale nezveřejnit.
ACH: Ano, bug bounty. Chápu, že existuje.
Z: „A společnosti nemají mechanismus, jak vás vyřadit, protože je to levnější.
ACH: „I tato věc hraničí s rovinou zákona. Záleží na tom, jak tuto zranitelnost najdete. Zdá se mi, že velké množství peněz zaplacených za tuto zranitelnost v Americe bylo zaplaceno na základě dohody o mlčenlivosti a pod hrozbami, že tuto osobu žalovat. Je to také jako držet svíčku. Vždycky něco takového riskujeme. Moji zaměstnanci párkrát našli podobné zranitelnosti ve všemožných vládních aplikacích - vždy říkám: "Poslat anonymní dopis je lepší, než jim říct, že tam ta díra je." A pak přijde nějaký výzkumný ústav, který tuto službu dodal... Obecně nebudu dále pokračovat.
Kontrolovat poctivost firmy nebude fungovat: pokud se vám to nelíbí, nepoužívejte to
Z: - Otázka. Řekl jste, že jste provedli experiment – muselo být zaškrtnuto 15 zaškrtávacích políček... Řekněme, že uživatel zruší všechna zaškrtávací políčka. Kdo a jak to bude kontrolovat? Jak to vůbec zkontrolovat?
ACH: - Upřímně, řeknu vám: nikdo a nic. Vážně. To, že jste u Googlu zaškrtli a odškrtli políčko „Zákaz sledování reklamy“ vůbec nic neznamená. Bohužel, i když zakážete indexování vyhledávačů na Vkontakte, vyhledávače jej stále indexují a pak tyto výsledky určitým lidem prostě neposkytnou. To vše na úrovni absence příslušných orgánů, které to nemohou ověřit. Navíc společnosti, které to dělají, jsou soukromé. Facebook má správnou nebo špatnou pozici, mají jen jednu: když se vám nelíbí, nepoužívejte to.
O regulaci
Z: Mám jen jednu jednoduchou otázku. A jak vnímáte problematiku regulace ve zpracování dat, samoregulace?
ACH: - Jako zástupce společnosti se domnívám, že trh, podnikání potřebuje samoregulaci. Věřím, že big data asociace dokáže regulovat vše sama, bez státu. Opravdu nevěřím vládní regulaci a opravdu nevěřím všem historkám, kdy stát chce něco zachovat, protože každý případ ukázal, že je to velmi špatné. Určitě někdo nalepí přihlašovací jméno a heslo na žlutou nálepku na monitoru a tak dále.
Obecně věřím v seberegulaci. Navíc věřím, že v příštích 5 letech dojdeme k určité otevřenosti. Už teď je to vidět ve zprávách, že pro stát je velmi těžké lhát uživatelům, pro uživatele je velmi těžké lhát systému. A to je v zásadě asi dobře. Protože naši zpravodajští důstojníci jsou vypočítáni z veřejných fotografií
To vše vede ke snížení míry kriminality. Tedy čistě matematicky. Pokud má někdo zájem mluvit o snižování míry kriminality, dá se z toho vyvodit spousta všemožných závěrů. Obecně jsem pro samoregulaci trhu. Děkuji!
Nějaké inzeráty 🙂
Děkujeme, že s námi zůstáváte. Líbí se vám naše články? Chcete vidět více zajímavého obsahu? Podpořte nás objednávkou nebo doporučením přátelům, , jedinečný analog serverů základní úrovně, který jsme pro vás vymysleli: (k dispozici s RAID1 a RAID10, až 24 jader a až 40 GB DDR4).
Dell R730xd 2krát levnější v datovém centru Equinix Tier IV v Amsterdamu? Pouze zde V Nizozemsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 $! Číst o
Zdroj: www.habr.com