Dia da Proteção de Dados Pessoais, Minsk, 2019. Organizador: organização de direitos humanos Human Constanta.
Apresentador (doravante denominado B): – Arthur Khachuyan está empenhado em... Podemos dizer “no lado negro” no contexto da nossa conferência?
Arthur Khachuyan (doravante – AH): – Do lado corporativo, sim.
AT: – Ele coleta seus dados e os vende para empresas.
OH: - Na verdade…
AT: – E ele lhe dirá como as empresas podem usar seus dados, o que acontece com os dados quando ficam online. Ele provavelmente não lhe dirá o que fazer a respeito. Vamos pensar mais...
OH: - Eu vou te contar, eu vou te contar. Na verdade, demorarei muito para contar, mas em um evento anterior fui apresentado a um homem cujo Facebook até bloqueou a conta de seu cachorro.
Olá a todos! Meu nome é Artur. Na verdade, eu faço processamento e coleta de dados. É claro que não vendo nenhum dado pessoal a ninguém de domínio público. Brincando. Minha área de atuação é extrair conhecimento de dados de código aberto. Quando algo não é legalmente um dado pessoal, mas dele é possível extrair conhecimento e torná-lo com o mesmo valor como se esses dados fossem obtidos de dados pessoais. Não vou te contar nada realmente assustador. É verdade que se trata da Rússia, mas também tenho números sobre a Bielorrússia.
Qual é a escala real?
Anteontem estive em Moscovo num dos principais partidos no poder (não direi qual), e discutimos a implementação de algum projecto. E isso significa que o diretor de TI deste partido se levanta e diz: “Você disse, números e assim por diante, sabe, a 2ª Diretoria do FSB preparou uma nota para mim aqui, que diz que existem 24 milhões de russos nas redes sociais . E você diz - 120 e poucos. Na verdade, mais de trinta [milhões] de nós não usamos a Internet.” Eu digo sim? OK".
As pessoas realmente não percebem a escala. Estas não são necessariamente agências governamentais, que provavelmente não compreendem completamente como funciona a Internet, mas na verdade a minha mãe, por exemplo. Ela só agora começou a entender que eles lhe dão um cartão no Perekrestok por um motivo, não pelos descontos lamentáveis que o Perekrestok oferece, mas pelo fato de que seus dados são usados em OFD, compras, modelos de previsão e assim por diante.
Em geral, há muitos residentes e há informações sobre muitos deles em fontes abertas. De algumas pessoas só se sabe o sobrenome, de outras tudo se sabe, até a pornografia que gostam (sempre brinco com isso, mas é verdade); e todos os tipos de informações: com que frequência as pessoas viajam, quem elas conhecem, que compras fazem, com quem moram, como se deslocam - um monte de todos os tipos de informações que caras ruins, não tão ruins e bons podem usar (eu não nem sei que escala usar agora, mas mesmo assim).
Existem redes sociais, que, claro, são um conjunto gigante de dados abertos, brincando com as fraquezas de pessoas que parecem gritar por privacidade. Mas na realidade é assim: se imaginarmos um gráfico dos últimos 5 anos, o nível de histeria sobre os dados pessoais está a crescer, mas ao mesmo tempo o número de contas fechadas nas redes sociais está a diminuir de ano para ano. Pode não ser totalmente correto tirar conclusões disso, mas: a primeira coisa que impede qualquer empresa que coleta dados é uma conta estupidamente encerrada nas redes sociais, porque a opinião de uma pessoa dentro de sua conta encerrada, se ela não tiver 100 mil inscritos, não é muito interessante para qualquer análise; mas também existem casos assim.
Onde eles conseguem informações sobre nós?
Já bateu à sua porta velhos amigos da escola com quem você não conversava há muito tempo e essa conta desapareceu? Existe isso entre os bandidos que colecionam telefones: eles analisam amigos (e a lista de amigos quase sempre fica aberta, mesmo que a pessoa feche seu perfil, ou a lista de amigos pode ser restaurada “na direção oposta” coletando todos outros usuários), pegam algum amigo inativo, fazem uma cópia da página dele, batem na porta do seu amigo, você o adiciona e depois de dois segundos a conta é deletada; mas uma cópia da sua página permanece. Na verdade, foi isso que os caras fizeram recentemente, quando 68 milhões de perfis do Facebook voaram para algum lugar - eles adicionaram todos como amigos da mesma maneira, copiaram essas informações, até escreveram para alguém em mensagens privadas, fizeram alguma coisa...
As redes sociais são uma grande fonte de informação, em quase 80% dos casos as informações são obtidas sobre uma pessoa específica não diretamente, mas do ambiente imediato - são todos os tipos de conhecimento indireto, sinais (chamamos de “Ex-namorada malvada” ”Algoritmo), porque um amigo meu me deu uma ideia absolutamente brilhante. Ela nunca seguiu o namorado - sempre seguiu os cinco amigos dele e sempre sabia onde ele estava. Na verdade, este é um motivo para escrever um artigo científico inteiro.
Há um grande número de bots que também fazem todo tipo de coisas boas e ruins. Existem pessoas inofensivas que estupidamente se inscrevem em você para poder anunciar cosméticos para você; e há redes sérias que tentam impor as suas opiniões, especialmente antes das eleições. Não sei como é na Bielorrússia, mas em Moscovo, antes das eleições municipais, por algum motivo tive um grande número de amigos estranhos, cada um a fazer campanha para um candidato diferente, ou seja, não analisam de forma alguma o conteúdo que Eu consumo - eles estão apenas tentando impor algum tipo de reforma incompreensível, levando em conta o fato de que não estou registrado em Moscou e não irei votar.
O depósito de lixo é uma fonte de informações perigosas
Além disso, tem o Thor, que não é tão subestimado - todo mundo pensa que só é preciso ir lá para comprar drogas ou saber como são montadas as armas. Mas, na realidade, existem muitas fontes de dados por aí. Quase todos eles são ilegais (tipo ilegais), porque alguém poderia ter invadido o banco de dados de uma transportadora aérea em algum site hacker e jogado lá. Legalmente, você não pode usar esses dados, mas se você obtiver algum conhecimento deles (como em um tribunal americano), por exemplo, você não pode usar uma gravação de uma conversa de áudio feita sem mandado, mas o conhecimento que você recebeu desse áudio gravando, você não vai esquecer - e aqui é quase a mesma coisa.
Na verdade, isso é uma coisa muito perigosa, então eu sempre brinco, mas é verdade. Sempre peço comida na casa vizinha, porque o Delivery Club quebra com muita frequência e tem muitos problemas mesmo. E recentemente fiquei muito surpreso: estava pedindo mantimentos, e na caixa que levava para o lixo havia um adesivo que dizia “Arthur Khachuyan”, número de telefone, endereço do apartamento, código do interfone e e-mail. Na verdade, até tentámos negociar com o município de Moscovo para nos dar acesso ao depósito de lixo: em geral, vamos ao armazém de resíduos e tentamos, por uma questão de interesse, tentar encontrar alguma menção a dados pessoais - fazer algo como uma mini-pesquisa. Mas eles recusaram quando descobriram que queríamos ir com funcionários de Roskomnadzor.
Mas isso é realmente verdade. Você já assistiu ao incrível filme “Hackers”? Eles estavam fuçando no lixo para encontrar alguma parte do vírus. Isso também é popular - quando as pessoas lançam algo em fontes abertas, elas esquecem. Poderia ser algum site de escola onde eles escreveram uma dissertação sobre a supremacia branca, e depois foram à Duma do Estado e esqueceram disso. Esses casos realmente aconteceram.
O que os membros do Rússia Unida gostam?
Se você for para a seção superior do site LifeNews... Os alunos fizeram um estudo para mim há dois anos: eles pegaram todos os participantes das primárias da Rússia Unida (todos eles enviaram oficialmente suas contas de mídia social para a Central de Toda a Rússia Comitê Executivo), olharam para o que geralmente gostavam - pornografia infantil, lixo, anúncios incompreensíveis de mulheres adultas estranhas... Em geral, as pessoas parecem ter esquecido disso.
Depois escreveram uma carta dizendo que as contas de vinte pessoas haviam sido roubadas. Mas as contas deles foram roubadas há duas semanas, há 8 meses eles as submeteram à comissão eleitoral, e coisas semelhantes foram há dois anos... Em geral, você entende, certo? Há uma quantidade realmente enorme de informações que sempre podem ser usadas, mesmo para fins de pesquisa.
Minioftopchik: ontem vi a notícia de que Roskomnadzor bloqueou pesquisas de alunos de HSE há dois anos. Talvez alguém tenha visto essa notícia, não? Foram meus alunos que fizeram a pesquisa: eles do Tor, do site Hydra onde se vendem drogas (desculpe, da Rampa), coletaram informações sobre quanto custa, em que região da Rússia, e fizeram a pesquisa. Chamava-se "Cesta de Consumo do Partido Popular". Isso, claro, é engraçado, mas do ponto de vista da análise de dados, o conjunto de dados é realmente interessante - então, por mais dois anos, participei de todos os tipos de “hackathons”. Isso é real - há muitas coisas interessantes aí.
Como o Get Contact “comprou as almas” de usuários curiosos e por que você precisa ler o contrato do usuário
Normalmente, quando você pergunta a uma pessoa que tipo de vazamento de dados você tem medo (principalmente se a pessoa tiver uma webcam coberta), ela sempre coloca a estrutura de prioridades assim: hackers, o estado, corporações.
Isso é, claro, uma piada. Mas, na verdade, analistas de dados ativos, todos os tipos de pesquisadores de dados roubaram muito mais do que, parece-me, os terríveis hackers russos, americanos ou quaisquer outros (substitua qualquer um, dependendo de suas crenças políticas). Em geral, todo mundo costuma ter medo disso - certamente todos vocês têm sua webcam coberta? Você nem precisa levantar as mãos.
Mas se os hackers estão a fazer algo ilegal, e o estado precisa de permissão judicial para obter dados, então os tipos mais recentes [corporações] não precisam de nada, porque têm um acordo de utilização, que ninguém nunca lê. E eu realmente espero que tais eventos ainda obriguem as pessoas a ler os acordos. Não sei como é na Bielo-Rússia, mas em Moscou, em meados daquele ano, houve uma onda do aplicativo “GetContact” (você provavelmente já sabia), quando apareceu do nada um aplicativo que dizia: dê o aplicativo acesso a todos os seus contatos, e mostraremos como você foi gravado de forma engraçada.
Isso não apareceu na mídia, mas muitos funcionários de alto escalão reclamaram comigo que todo mundo começou a ligar para eles o tempo todo. Aparentemente, os administradores decidiram encontrar o número de telefone de Shoigu neste banco de dados, outra pessoa… Volochkova… Uma coisa inofensiva. Mas quem leu o contrato de licença GetContact - diz: spam ilimitado por tempo ilimitado, venda descontrolada de seus dados a terceiros, sem restrição de direitos, prazo de prescrição e, em geral, tudo o que for possível. E esta não é realmente uma história tão rara. Por exemplo, o Facebook, enquanto eu estava lá, mostrava notificações 15 vezes por dia: “Sincronize seus contatos e encontrarei todos os seus amigos que você tem!”
As corporações não se importam. Lei Federal 152 e GDPR
Mas, na verdade, as prioridades vão na direcção oposta, porque as empresas são protegidas pelo direito privado e, portanto, em quase todos os casos é impossível provar que estão erradas. E tendo em conta que é grande, assustador e muito caro, isso é quase impossível. E se você também está na Rússia, com uma legislação desatualizada, então de alguma forma tudo fica completamente triste.
Você sabe como a lei russa (e é praticamente bielorrussa) difere, por exemplo, do GDPR? A Lei Federal Russa 152 protege os dados (esta é uma relíquia do passado soviético) - um documento que protege os dados contra vazamentos em algum lugar. E o GDPR protege os direitos dos usuários - o direito de serem privados de algumas liberdades, privilégios ou qualquer outra coisa, porque seus dados vazarão em algum lugar (eles introduziram esse conceito diretamente nos “dados”). Mas connosco, tudo o que lhe podem cobrar é uma multa pelo facto de não possuir um Excel “Aberto” certificado para tratamento de dados pessoais. Espero que isso mude algum dia, mas acho que não num futuro próximo.
Quais são as opções reais de segmentação hoje?
A primeira história, provavelmente assustadora, em que todos pensavam constantemente era a leitura de mensagens pessoais. Certamente há alguém entre vocês que já disse algo em voz alta e depois recebeu publicidade direcionada. Sim, existiam? Levantem suas mãos.
Na verdade, não acredito na história de que o “Yandex Navigator” condicional reconhece áudio direto no stream para todos os usuários, porque aqueles que tiveram um pouco de experiência com reconhecimento de voz entendem que: em primeiro lugar, o data center Yandex » deveria ser cinco vezes mais; mas o mais importante é que o custo de atrair tal pessoa custaria muito dinheiro (para reconhecer o áudio em um stream e entender o que a pessoa está falando). Mas! Na verdade, existem algoritmos que marcam você usando determinadas palavras-chave para depois fazer algum tipo de comunicação publicitária.
Houve muitos estudos como esse, e 100 vezes fiz contas em branco, escrevi algo para alguém em mensagens e de repente recebi um anúncio que parecia não ter nada a ver com isso. Na verdade, existem duas conclusões aqui. Contra tal história, acredita-se que uma pessoa simplesmente cai em algum tipo de amostra estatística; Digamos que você seja um homem de 25 anos que, neste exato momento, deveria ter encontrado um curso de inglês no exato momento em que escreveu para alguém. Pelo menos, o Facebook sempre diz isso na Justiça: que existe um certo modelo de comportamento que não vamos te mostrar, que foi construído sobre dados que não vamos te mostrar, temos pesquisas internas que com certeza não vamos te mostrar (porque tudo é segredo comercial); em geral, você foi incluído em alguma amostra estatística, então mostramos para você.
Como a privacidade do Facebook enfureceu seus usuários
Infelizmente, isso geralmente é impossível de provar, a menos que você tenha alguém dentro da empresa que de alguma forma confirme essas ações. Mas na legislação americana, neste caso, o acordo de sigilo desse funcionário é superior ao desejo dele de ajudá-lo, então ninguém fará isso. Também é interessante - foi há cerca de um ano ou um ano e meio - uma tendência começou a se desenvolver na América, quando as pessoas instalaram uma extensão de navegador para criptografar mensagens do Facebook: você escreve algo para uma pessoa, ela criptografa com uma chave no dispositivo e envia o lixo para o domínio público.
O Facebook está processando esta empresa há um ano e meio, e não está claro por que motivos (porque não entendo bem a lei americana) ela os forçou a remover este aplicativo e depois fez uma alteração no contrato do usuário: se você veja, existe uma cláusula: que você não pode transmitir mensagens em formato criptografado - é de alguma forma descrito de forma tão inteligente que você não pode usar algoritmos criptográficos para modificar mensagens - bem, existe tal coisa. Ou seja, disseram: ou você usa nossa plataforma, escreve em domínio público, ou não escreve. E isso levanta a questão: por que eles precisam de mensagens pessoais?
Mensagens pessoais são fonte de informações XNUMX% confiáveis
Isto é uma coisa muito simples. Todo mundo que analisa a pegada digital, a atividade humana, tenta de alguma forma usar esses dados para marketing ou outra coisa, eles têm uma métrica como a confiabilidade. Ou seja, uma certa imagem de uma pessoa - você entende perfeitamente, essa não é a própria pessoa - essa imagem é sempre um pouco mais bem-sucedida, um pouco melhor. Mensagens pessoais são conhecimentos reais que podem ser obtidos sobre uma pessoa e quase sempre são 100% confiáveis. Bem, porque raramente alguém escreve algo para alguém em mensagens privadas, engana, e tudo isso pode ser verificado com muita facilidade - respectivamente, de acordo com outras mensagens (você entende do que estou falando). A questão é que o conhecimento adquirido dessa forma é quase 100% confiável, então todos estão sempre tentando obtê-lo.
Mas, no entanto, tudo isto é, mais uma vez, uma história muito difícil de provar. E aqueles que acreditam que o chamado VKontakte tem esse acesso para as agências de aplicação da lei para mensagens pessoais não são inteiramente verdadeiros. Se você apenas olhar para o histórico de pedidos judiciais para divulgação de informações, verá como o VKontakte é muito astuto (neste caso, Mail.ru) combate esses pedidos.
O seu principal argumento é sempre: por lei, as agências responsáveis pela aplicação da lei devem justificar por que é necessário o acesso a mensagens pessoais. Via de regra, se for um homicídio, o investigador sempre diz que muito provavelmente a pessoa disse onde escondeu a arma (em mensagens pessoais). Mas você e eu entendemos que nem um único criminoso sensato escreveria para seus cúmplices no VKontakte sobre onde escondeu uma arma de fogo. Mas esta é uma das opções comuns relatadas pelas autoridades.
E aqui está outro exemplo terrível (hoje me pediram para dar exemplos terríveis) - sobre a Rússia (espero que isso não aconteça na Bielo-Rússia): de acordo com a lei, o investigador deve ter razões suficientemente convincentes para que o operador revele esta informação . Naturalmente, esses parâmetros confiáveis não são descritos em lugar nenhum (o que deveriam ser, de que forma), mas na Rússia há agora um número crescente de precedentes quando tal base aparece para o tribunal se houver um determinado modelo que previsse um certo, bom ou ruim, comportamento.
Ou seja, em nosso país ninguém pode ser preso (e isso é bom) por estar incluído em alguma amostra estatística de assassinos de raça pura – e isso é bom, porque viola a presunção de inocência; mas há precedentes em que os resultados de tais previsões foram utilizados para obter permissão judicial para obter dados. A propósito, não só na Rússia. Também existe tal coisa na América. Lá, “Palantir” também matou todo mundo por muito tempo, eles usam coisas parecidas. Conto assustador.
Esta é minha pesquisa. Fizemos isso: andamos por São Petersburgo, em locais com pontos verdes, escrevemos alguns pontos-chave para amigos de contas “limpas” - como “Quero tomar café”, “onde posso comprar sabão em pó?” e assim por diante. E então, consequentemente, eles receberam publicidade com links geográficos. De que forma mágica... Ou como diziam: “Coincidência? Não pense!" Estas são mensagens pessoais no VKontakte. Que Mail.ru me perdoe, mas é assim. Qualquer um pode repetir tal experiência.
A propósito, quando eles escreveram uma declaração de apoio, o Mail disse que havia pontos wi-fi lá e seu endereço Mac foi capturado. Isto também existe.
Métodos de obtenção e opções comuns para vazamento de dados pessoais
A próxima história é uma extração de conhecimento adicional, uma parte da qual realmente mencionei. Na verdade, o perfil completo de uma pessoa nas redes sociais contém de 15 a 20% do conhecimento real que o operador de dados armazena sobre ela. O resto da história surge de coisas muito interessantes. Por que você acha que o Google está desenvolvendo tanto bibliotecas para visão computacional? Em particular, foram dos primeiros a desenvolver bibliotecas especificamente para analisar e categorizar objetos - em segundo plano, em primeiro plano, não importa onde. Porque esta é uma enorme fonte de informação adicional sobre que tipo de apartamento uma pessoa tem, um carro, onde mora, artigos de luxo...
Houve muito recheio de “hacker” quando as redes neurais treinadas do Google foram fundidas (não sei de quem eram, mas ainda assim). Havia muitas informações interessantes sobre o tema tamanho dos seios, tamanho da cintura - que as pessoas não tentavam descobrir sobre outras pessoas com base na análise de fotografias. Porque quando uma pessoa tira uma foto nem sempre pensa em quantas coisas interessantes pode aprender com ela? Quantos passaportes de recém-nascidos são postados na Rússia?.. Ou: “Viva, meu bebê conseguiu visto”! Esta é geralmente a dor da sociedade moderna.
Outro offtopic (hoje compartilharei os fatos com vocês): em Moscou, o vazamento mais comum de dados pessoais ocorre em habitação e serviços comunitários, quando uma lista de devedores está pendurada na porta, e esses devedores então processam por causa de seus dados pessoais foi disponibilizado publicamente sem a permissão deles. E se isso acontecer com você... A questão é que quando uma pessoa faz alguma coisa, ela não sabe o que estava naquela fotografia, o que não estava ali. Existem muitos números de carros agora.
Certa vez, realizamos um estudo - tentamos entender quantas pessoas com fotos abertas de carros (têm, portanto, infrações e assim por diante) - isso, infelizmente, só poderia ser feito usando os bancos de dados mesclados da polícia de trânsito, onde há apenas um número (informação não muito confiável), mas também foi interessante.
Seu próximo anúncio depende de como você consumiu o anterior
Esta é a primeira história. A segunda história são os padrões comportamentais, o conteúdo que uma pessoa consome, porque uma das métricas mais importantes que as redes sociais estão tentando construir sobre você é como você interage com a publicidade. Por mais precisos e “incríveis” que sejam os algoritmos, por mais maravilhosos que sejam a inteligência artificial e tudo o mais, a verdadeira prioridade de uma rede social é sempre ganhar dinheiro. Portanto, se a chamada “Coca-Cola” vier e disser: “Quero que todos os residentes da Bielorrússia vejam a minha publicação”, eles irão vê-la, independentemente do que os algoritmos pensam sobre esta pessoa e como direccioná-la para lá. Você provavelmente recebeu publicidade, além de bobagens superdirecionadas e completamente não relacionadas. Porque eles pagaram muito dinheiro por esse absurdo não relacionado.
Mas uma das principais métricas é perceber com que conteúdo interage melhor, nomeadamente como reage a ele, para lhe mostrar uma história publicitária semelhante. E, portanto, essa é uma métrica de como você interage com a publicidade: quem proíbe, quem não proíbe, como a pessoa clica, se ela apenas lê as manchetes ou cai completamente no material; e então, com base nisso, continuar mantendo você nesta, como agora é chamada, “bolha de filtro”, para que você continue interagindo com esse conteúdo.
Se você tiver interesse, pode tentar por um longo tempo, por uma semana, talvez um mês, simplesmente proibir toda publicidade nas redes sociais: elas mostram algum anúncio e você fecha. Se você analisar isso e colocar em um gráfico, terá uma história interessante: se você proibir a publicidade por uma semana, na semana seguinte ela mostrará uma versão aprimorada e geralmente de categorias diferentes; isto é, condicionalmente, você ama cães e vê anúncios com cães - você baniu todos os cães, e então eles começarão a mostrar todo tipo de bobagem variada de diferentes opções para tentar entender o que você precisa.
E aí, no final, eles vão cuspir em você, marcar você como uma pessoa que não interage com publicidade, colocar uma cruz em você, e nesse momento vão começar a te mostrar anúncios de marcas exclusivamente ricas. Ou seja, neste momento você verá apenas propagandas de Coca-Cola, Kit-Kit, Unilever e todas as pessoas que estão ganhando muito dinheiro porque precisam aumentar as visualizações. Faça um experimento por um mês: proíba toda publicidade por uma ou duas semanas, depois veja tudo em sequência e proíba - no final, você verá apenas publicidade, como descobrirá mais tarde (e dizem as agências de publicidade), apenas clientes que pagam por visualizações, pois é impossível entender como você interage com esses anúncios.
A pornografia é assistida com mais frequência por aqueles que tendem a mergulhar profundamente no conteúdo.
Conseqüentemente, aqui está uma história sobre todos os tipos de rastreamento de comportamento. Tenho um exemplo interessante: visitantes de um site do governo. O engraçado é que quanto mais profundidade de visualização as pessoas têm, mais elas preferem assistir pornografia a relacionamentos tradicionais. “Desculpe” continuar falando sobre esse assunto, mas na verdade tenho um relacionamento muito bom com o Pornhub, e essa é sempre uma pesquisa muito interessante, porque esse é um tema que parece tabu, mas diz muito sobre uma pessoa. E os seguintes pontos que se seguem sobre o retorno do tráfego... Também nos lembraremos do “Pornohub”!
O que são considerados dados pessoais e é possível desbloquear um iPhone com modelo de rosto 3D?
Meu favorito é contornar a lei de privacidade. Se você ler a documentação técnica do mesmo Facebook, que forneceu alguns documentos internos (por exemplo, ao tribunal), não encontrará ali nenhuma menção a reconhecimento facial ou análise de voz. Serão formulações muito complexas que nenhum advogado qualificado encontrará dentro da legislação. Aqui na Rússia funciona aproximadamente da mesma maneira - vou mostrar isso agora.
O que você vê aqui? Qualquer pessoa normal dirá que o rosto. A propósito, esta é Sasha Grey, na minha opinião. Mas legalmente esta é uma matriz de certos pontos tridimensionais, dos quais existem 300 mil. Para o bem ou para o mal, isso não é considerado dado pessoal por lei. Em geral, o RKN russo não considera uma fotografia como dado pessoal - considera-a como dado pessoal se houver algo mais próximo (por exemplo, nome completo ou número de telefone), e esta fotografia em si não é nada. Assim que a lei da biometria foi introduzida e os dados biométricos foram equiparados aos dados pessoais (ou seja, de forma muito aproximada), todos imediatamente começaram a dizer: isto não são dados biométricos, são um conjunto de pontos! Especialmente se você fizer uma transformada de Fourier direta ou inversa desse conjunto de pontos, parece que você não pode desanonimizar uma pessoa dessa transformação, mas pode identificá-la. Teoricamente, isso não viola a lei.
Também fiz outro estudo: trata-se de um algoritmo que constrói uma reconstrução tridimensional de um rosto usando fontes abertas - pegamos uma conta no Instagram e depois podemos imprimir o rosto em uma impressora 3D. Aliás, para quem tiver interesse, tenho um link de domínio público; se de repente alguém quiser desbloquear o iPhone de alguém... Brincadeira - o iPhone não pode ser desbloqueado, a qualidade é reduzida.
Um perfil fechado é uma vantagem para a segurança
Esta é a primeira coisa, e a segunda... Já mencionei o fato de que a informação é obtida principalmente do ambiente do usuário. Desenhei esta imagem em 17: o usuário médio das redes sociais russas está dentro, ele tem em média 200-300 amigos, seus amigos de amigos e seus amigos de amigos de amigos.
Obrigado às redes sociais por introduzirem algoritmos para feeds eletrônicos “inteligentes”, anos integrais, supostamente para aumentar a probabilidade de você encontrar algum conteúdo interessante. Este é o número de pessoas que podem ver o conteúdo que você produz em qualquer momento aleatório, mesmo que sua conta esteja limitada apenas aos níveis superiores de privacidade (apenas para amigos de amigos, e assim por diante). Estes são amigos de amigos:
Se alguém pensa que quando escolhe ver “amigos de amigos” em “Meus Posts” no VK, então três apertos de mão equivalem a aproximadamente 800 mil pessoas, o que a princípio não é tão pouco, mas depende do seu conteúdo. Talvez você esteja fazendo algumas transmissões indecentes e todos esses amigos de amigos possam interagir com esse conteúdo. Um deles pode repassar algo em algum lugar, todas as pessoas têm um feed de curtidas, que na verdade provavelmente será cancelado, porque não é uma coisa muito pessoal. Portanto, a qualquer momento o conteúdo pode parar em algum lugar.
A VK lançou perfis superfechados naquele ano, mas até agora apenas um número muito pequeno de pessoas os utilizou (não direi quantos, mas é pequeno!). Talvez um dia as pessoas descubram isso - espero sinceramente que sim. Todas as pesquisas visam constantemente fazer com que as pessoas compreendam a escala dos problemas. Porque até que alguém seja especificamente afetado por alguma coisa terrível, nunca pensará nisso. Vá em frente.
As agências governamentais não sabem o que são dados pessoais e não têm pressa em defini-los
Qualquer especialista em direito de dados pessoais sempre diz o seguinte: você nunca precisa combinar diferentes fontes de dados, porque aqui você tem e-mails (são apenas dados pessoais com alguns identificadores anonimizados), aqui está o seu nome completo... Se isso combinar tudo, parece que se tornarão dados pessoais. Em geral, seria correto abordar esse assunto primeiro, mas acho que você já está imerso nele e talvez saiba como funciona a lei.
Na verdade, ninguém sabe o que são dados pessoais. Conceito importante! Quando chego às agências governamentais, digo: “Uma garrafa de conhaque para quem puder lhe dizer o que são dados pessoais”. E ninguém pode dizer. Por que? Não porque sejam estúpidos, mas porque ninguém quer assumir responsabilidades. Porque se Roskomnadzor disser que se trata de dados pessoais, amanhã alguém fará alguma coisa e a culpa será deles; e são autoridades executivas e não deveriam ser responsáveis por absolutamente nada.
A questão é que a lei afirma claramente que dados pessoais são dados pelos quais uma pessoa pode ser identificada. E tem um exemplo: nome completo, endereço residencial, telefone. Mas você e eu sabemos que você pode identificar uma pessoa pela forma como ela pressiona os botões, pela forma como ela interage com a interface e por outros parâmetros indiretos. Se alguém estiver interessado: em quase todas as áreas há um grande número de lacunas.
Identificadores que nos revelam
Por exemplo, todos começaram a definir pontos para capturar endereços MAC (certamente você já encontrou isso antes?) - fabricantes inteligentes (ou não sei, gananciosos) de equipamentos móveis, como Apple e Google, introduziram rapidamente algoritmos que fornecem descobrir um endereço MAC aleatório para que você não consiga identificar quando você anda pela cidade e enviar a todos seu endereço MAC. Mas os caras espertos inventaram a próxima história ainda mais longe.
Por exemplo, você pode obter uma licença de operadora móvel; Depois de receber uma licença de operadora móvel, você terá acesso a isso - é chamado o protocolo SS7, por meio do qual você verá algumas transmissões das operadoras móveis; existem vários tipos de identificadores que não são dados pessoais. Antes era IMEI, mas agora - literalmente alguém tirou da língua e decidiu manter um único banco de dados desses “IMEIs” na Rússia (tal iniciativa). Isso meio que existe, mas ainda assim.
Há também, por exemplo, um monte de identificadores - por exemplo, IMCI (identificador de equipamento móvel), que não é um dado pessoal nem está vinculado a qualquer outra coisa e, portanto, pode ser salvo sem qualquer processo legal, e então com quem De alguma forma, troque esses identificadores para se comunicar com a pessoa posteriormente.
A cultura de trabalhar com dados pessoais é baixa
No geral, a questão é que agora todos estão muito preocupados em combinar dados entre si, e a maioria das empresas que fazem essa combinação às vezes nem pensam nisso. Por exemplo, um banco chegou, fez um acordo de sigilo com uma empresa que faz pontuação e transferiu 100 mil dos seus clientes para ele...
E nem sempre esse banco tem cláusula em seu contrato de transferência de dados a terceiros. Esses clientes mexeram em alguma coisa lá, e não está claro para onde esse banco de dados foi depois, não foi - a maioria das empresas na Rússia não tem uma cultura de exclusão de dados... - esse “Excel” com certeza acabará em algum lugar no computador da secretária e depois desligue.
Nossos dados podem ser vendidos em cada compra na loja
Existem muitos esquemas que parecem quase legais (isto é, legais). Por exemplo, a história é a seguinte: dos 15 maiores bancos russos, apenas dois são realmente gateways de SMS - Tinkoff e Alfa, ou seja, enviam suas próprias mensagens SMS. Outros bancos usam gateways de SMS para enviar SMS aos clientes finais. Estes gateways SMS têm quase sempre o direito de analisar conteúdos (por exemplo, para segurança e algumas das suas conclusões) para depois venderem estatísticas agregadas. Esses gateways SMS são “amigos” dos operadores de dados fiscais que processam cheques.
E acontece o seguinte: você veio ao caixa, a operadora de dados fiscais (eles te deram, não te deram o seu número de telefone - está de alguma forma vinculado lá) ... você recebe um SMS no seu número de telefone, o gateway destes SMS vê os últimos 4 dígitos do cartão e o número de telefone. Sabemos em que momento você fez uma transação com a operadora de dados fiscais, e no SMS sabemos (agora) para qual número está a informação sobre o débito de tal e tal quantia em dinheiro com tal e tal os últimos quatro dígitos do cartão foi recebido. Os últimos quatro dígitos do cartão não são seus identificadores, não violam a lei, porque não podem desanonimizar você e o valor da transação também não.
Mas se você concordou com a operadora de dados fiscais, você sabe em que janela de tempo (mais ou menos 5 minutos) esse SMS deve chegar até você. Assim, você foi rapidamente vinculado no OFD ao seu número de telefone, e seu número de telefone está vinculado a identificadores de publicidade, em geral a tudo, tudo, tudo. Portanto, eles podem alcançá-lo mais tarde: eles vieram até a loja e depois lhe enviaram outras bobagens sem permissão. Acho que dificilmente alguém nesta sala já escreveu uma reclamação à FAS sobre spam. Quase não há nenhum... Exceto eu, provavelmente.
Os documentos são uma forma arcaica, mas eficaz, de lutar pelos seus direitos
Isso funciona muito bem. É verdade que você terá que esperar um ano e meio, mas a FAS vai realmente verificar: quem, como, para quem transferiu os dados, por que, para onde e assim por diante.
Pergunta do público (doravante – XNUMX): – Não existe FAS na Bielorrússia. Este é um país diferente.
OH: - Sim, eu entendo. Certamente existe algum análogo...
Objeções estão vindo do público
OH: - Ok, mau exemplo, desculpe. Não importa. Entre meus amigos, não conheço ninguém que saiba, em princípio, sobre a existência de tal história - que você pode escrevê-la e então eles trabalharão por mais um ano.
A segunda história, que também está se desenvolvendo muito na Rússia, mas acho que você encontrará uma analogia em seu próprio país. Eu gosto muito de fazer isso, quando uma agência governamental se comunica mal com você, algum banco ou qualquer outra coisa - você diz: “Dê-me um pedaço de papel”. E você escreve em um pedaço de papel: “De acordo com o parágrafo 14 da 152ª Lei Federal, peço que processe dados pessoais em papel”. Não sei exatamente como isto é feito na Bielorrússia, mas certamente é feito. De acordo com as leis russas, você não tem o direito de recusar um serviço com base nisso.
Conheço até muitas pessoas que enviaram coisas semelhantes para Mail.ru e pediram para manter registros de seus dados pessoais em papel. Mail.ru lutou contra isso por muito tempo. Eu até conheço um desenvolvedor Yandex de quem se brincou: eles deletaram sua conta VK e enviaram a ele um monte de capturas de tela impressas, e disseram que enviariam capturas de tela sempre que ele quisesse atualizar sua página.
É engraçado, mas mesmo assim esta é uma alternativa real se alguém realmente se preocupa com os dados, por um lado... E por outro lado, o mesmo RKN me disse que este acordo sobre o tratamento de dados pessoais é formal, e o a lei prevê várias outras opções para dar esse consentimento. E que, por exemplo, fui convidado aqui para um evento, e se, por exemplo, a Human Constanta não puder celebrar comigo um acordo sobre o tratamento de dados pessoais no âmbito das leis russas (porque o próprio facto de eu ter vindo e concordou em falar é o consentimento para o processamento de dados pessoais) - todos ainda têm essas permissões em papel. Mas o RKN me disse algo semelhante, que isso não é fato, que muito provavelmente eles desaparecerão algum dia.
Espero que na Rússia nunca se crie um único operador, Deus me perdoe, de dados pessoais, porque a única coisa pior do que colocar todos os dados pessoais na mesma cesta é colocá-los na cesta do Estado. Porque quem sabe o que vai acontecer com tudo isso depois.
As empresas compartilham dados pessoais e as leis são fracas para regular isso
A maioria das empresas troca algum tipo de dados e identificadores entre si. Poderia ser uma loja com um banco, e depois um banco com uma rede social, uma rede social com outra coisa... E no final, essas pessoas têm uma certa massa crítica de conhecimento que pode ser aproveitada de alguma forma, e todo esse conhecimento é verdadeiro, agora estão tentando mantê-lo ao seu lado. Mesmo assim, ainda acaba em algum tráfego publicitário ou em outro lugar.
Transferir dados para terceiros é a coisa mais divertida que pode acontecer, porque as leis não descrevem que tipo de terceiros são, a quem devem ser considerados “terceiros”. Essa, aliás, é uma frase muito comum dos advogados americanos - eles têm Terceiros - quem, quem você considera terceiros: avó, bisavó?.. Houve até tal precedente na América, quando os dados de alguém foram divulgados, a pessoa entrou com uma ação judicial, e eles provaram que essa pessoa conhecia o dono dos dados através de vários amigos - um certo número de apertos de mão, citaram alguns estudos sociológicos estranhos - assim provaram que essas pessoas não podem ser consideradas terceiros partes entre si. Engraçado. Mas o fato de transferir tais dados é muito comum.
Mesmo que você vá a um site onde existe um contador para identificação, esse contador tem o direito de transferir os dados desse tráfego para algum lugar (para Clickstream, donos de plataformas de publicidade de qualquer coisa, Pornhub, por exemplo). Pornhub, se algum de vocês é desenvolvedor web, veja quantos pixels de rastreamento existem no site do Pornhub. Você simplesmente entra e uma grande quantidade de java script é carregada lá, para melhorar o funcionamento do site. Na verdade, ali também são instalados “cookies” de vários domínios, o que não existe, porque esta informação é sempre muito valorizada no mercado de “clickstream”.
O Facebook está cambaleando e não vai tirar a máscara
Naturalmente, nenhum dos principais intervenientes diz a alguém a quem e como vendem dados. Por causa disso, por exemplo, a Europa está agora a tentar processar o Facebook. Logo após a introdução do GDPR, a União Europeia está tentando abalar a divulgação de algoritmos para revenda de dados a terceiros pelo próprio Facebook.
O Facebook não faz isso e declara publicamente que não faz isso porque é uma “corporação de paz” (estou citando um e-mail que me enviaram) e é “contra o uso prejudicial da tecnologia” (especialmente se você vende reconhecimento facial ao Kremlin). Em geral, a questão é que o Facebook não está fazendo isso de forma totalmente honesta: seu principal objetivo e o principal que acontecerá assim que tal mecanismo for revelado é que será possível calcular realmente a marginalidade da publicidade, será possível compreender o custo real da publicidade.
Convencionalmente, se o Facebook agora lhe disser que o custo de uma impressão publicitária é de 5 rublos, e nós vendermos para você por 3 (e, tipo, ainda temos dois rublos), e eles, condicionalmente, receberem 5% do lucro de essas impressões publicitárias. Na verdade, isso não é 5%, mas 505, porque se esse algoritmo vier à tona (para quem e como o Facebook transferiu quantas vezes “clickstream”, dados de visitas, dados de pixel para todos os tipos de redes de publicidade), acontece que estão ganhando muito mais dinheiro do que se diz. E a questão aqui não é o dinheiro em si, mas o fato de que o custo de um clique é um rublo, mas na verdade – centésimos de copeques.
Em geral, a questão é que todo mundo está tentando esconder tal transmissão, não importa se é tráfego publicitário ou não publicitário, mas ela existe. Infelizmente não há como saber disso legalmente, porque as empresas são privadas e tudo o que elas têm dentro é seu direito privado e seu segredo comercial. Mas histórias semelhantes surgiram lá com muita frequência.
Traficantes de drogas são previsíveis e “ardentes” no Avito
A última foto desta apresentação. É engraçado, e a sua essência é que existem certas categorias de pessoas que estão muito preocupadas com os seus dados pessoais. E isso é bom, na verdade! Este exemplo é sobre uma categoria de pessoas como traficantes de drogas. Parece que pessoas que deveriam estar muito preocupadas com seus dados pessoais...
Este é um estudo que foi realizado no início deste ano sob a supervisão das autoridades competentes. Sim, este é um roteiro que recebia dinheiro para comprar drogas no Telegram e no Thor, mas apenas daquelas pessoas que pudessem ser identificadas.
Na verdade, quase todos os traficantes de Moscou contam com o fato de seu número de telefone não estar em nenhuma fonte aberta, mas mais cedo ou mais tarde venderão algo no Avito, a partir do qual será possível entender a localização aproximada dessas pessoas. A questão é que os pontos vermelhos são onde as pessoas vivem, e os pontos verdes são onde elas vão deixar você sabe o quê. Essa foi uma das partes do algoritmo que previu a localização dos serviços de patrulha, mas esses caras de Moscou sempre tentam de alguma forma ir na diagonal, mais longe.
Eles acreditam que se moram no canto superior esquerdo, então deveriam ir para o canto superior direito e definitivamente nunca serão encontrados lá. O que estou dizendo é que se você está tentando se esconder dos algoritmos onipresentes, a opção mais legal é mudar seu modelo de comportamento: instalar algum tipo de “Goster” para randomizar visitas, posses e assim por diante. Ai meu Deus, existem até algoritmos e plugins que alteram o tamanho do navegador em alguns pixels para que a assinatura, “impressão digital” do navegador não possa ser calculada e de alguma forma identificá-lo.
Isso é tudo que eu queria dizer. Se você tiver dúvidas, informe-nos. Aqui está um link para a apresentação.
Pergunta do público (Z): – Por favor me diga, do ponto de vista do uso do Thor, do ponto de vista do rastreamento de tráfego... Você recomenda?
É difícil esconder, mas é possível
OH: - "Thor"? “Thor” não, de forma alguma. É verdade que não sei como é na Bielo-Rússia - na Rússia, você nunca deveria ir para lá, porque quase a maioria dos “gracenodes” verificados adicionam repentinamente certos pacotes ao seu tráfego. Não sei quais, mas se você olhar: existem “nós” que marcam o tráfego, não está claro quem faz isso, para que fins, mas alguém marca no cabeçalho para que possa ser entendido depois. Na Rússia, agora todo o tráfego é armazenado, mesmo que seja armazenado de forma criptografada, e todo mundo está vasculhando o Pacote Yarovaya sobre o fato de que o tráfego criptografado é armazenado, mas permanece marcado, ou seja, não pode ser usado ou descriptografado. .
Z: – Está armazenado na Europa há muito tempo, provavelmente dez anos.
OH: - Sim, eu entendo. Todo mundo ri disso - tipo, você armazena https que não pode ser lido. O conteúdo não pode ser lido, mas você pode entender de onde vieram os pacotes usando determinados algoritmos - pelo peso dos pacotes, pelo comprimento e assim por diante. E quando você tem todos os provedores sob seu controle, você tem, consequentemente, todos os equipamentos de backbone e todos os passaportes... Em geral, você entende do que estou falando?
Z: – Qual navegador você recomenda usar?
OH: – Para “Thor”?
Z: - De jeito nenhum.
OH: - Bem eu não sei. Na verdade, eu uso o Chrome, mas apenas porque o painel do desenvolvedor é o mais conveniente. Se de repente eu precisar ir a algum lugar, irei a algum café. É verdade que não há necessidade de fazer login com um cartão SIM real.
Z: – Você estava falando de alguns alunos. Você dá aulas em algum lugar ou ministra algum curso?
OH: – Sim, temos mestrado em jornalismo de dados. Treinamos jornalistas para coletar dados e analisá-los – eles fazem pesquisas semelhantes periodicamente.
Sem aplicativos seguros
Z: – Não é seguro comunicar-se com amigos no Facebook, Vkontakte, para não receber publicidade contextual posteriormente. Como você pode melhorar a segurança?
OH: – A questão é o que você considera um nível de segurança aceitável. Em princípio, não existe a palavra “seguro”. A questão é o que você considera aceitável. Alguns consideram aceitável a troca de fotografias íntimas através do Facebook, e alguns agentes de inteligência acreditam que tudo o que foi dito pela boca, mesmo à pessoa mais próxima, é na verdade inseguro. Se você não quer que a rede social descubra algo sobre isso, então sim, é melhor não escrever sobre isso. Não conheço nenhum aplicativo seguro. Receio que não haja nenhum. E isso é normal do ponto de vista de que qualquer dono de qualquer aplicativo precisa monetizá-lo de alguma forma, mesmo que esse aplicativo seja gratuito ou seja algum tipo de mídia. Parece ser de graça, mas ele ainda precisa viver de alguma coisa. Portanto, nada é seguro. Você só precisa decidir por si mesmo, por assim dizer, o que mais lhe convém.
Z: - O que você usa?
OH: - Redes sociais?
Z: - Dos mensageiros.
OH: – Quanto aos mensageiros, utilizo o principal mensageiro estatal da Federação Russa – Telegram.
Z: - “Viber”. É seguro?
OH: – Escute, não sou muito versado em mensageiros. Para ser sincero, não acredito em segurança, não acredito em nada, porque provavelmente seria muito estranho. Embora o Telegram seja uma espécie de código aberto e seus algoritmos de criptografia tenham sido divulgados. Mas isso também é complicado, porque existe um cliente de “código aberto”, mas ninguém viu os servidores. Acho que não: há muito spam, bots e assim por diante no Viber. Quem sabe. Não acho que tudo isso funcione muito bem.
Quem é mais perigoso – as empresas ou o Estado?
Apresentador (B): – E eu tenho essa pergunta para você. Olha, você mencionou isso algumas vezes - que o estado... Muitos dados não são muito bons... A corporação tem muitos dados. Bem, isso é apenas a vida, certo? Então, de quem deveríamos ter mais medo – das empresas ou do Estado? Onde estão as armadilhas?
OH: - Essa é uma pergunta muito difícil. Faz fronteira. Barreira ética complexa. Uma pessoa, se não tem nada a temer, se não infringiu a lei, em princípio, por que precisa de privacidade? Embora eu não pense assim, o estado pensa assim. Talvez haja alguma verdade nisso. Ouça, o que mais tenho medo são os hackers – algo assim. Na verdade, a maior crueldade que já vi na minha vida (de todo esse tópico): há cerca de um ano e meio a dois anos, um pedófilo foi pego na região de Moscou e durante as ações investigativas encontraram vários tutoriais de Python e scripts em seu computador, API VK. Ele coletou os relatos das meninas, analisou quais delas estavam por perto, coletou o conteúdo que elas... Resumindo, você entendeu. Esta é a maior merda que eu já vi. E é disso que eu realmente tenho medo, que um dia alguém faça algo parecido.
Outro pequeno “offtopic”: a Organização Europeia para a Segurança do Estado fez um relatório naquele ano que o número de roubos de contas bancárias aumentou cerca de 20, 25 por cento quando uma pergunta secreta foi hackeada. Pense agora na sua pergunta secreta no banco e pense se posso descobrir a resposta a partir de fontes abertas. Se você tem o nome de solteira da sua mãe ou o seu prato preferido aí... Em geral, as pessoas analisavam os relatos, a partir disso entendiam o nome do seu animal de estimação preferido - algo assim...
Z: – Você disse que empresas e corporações coletam as informações necessárias por meio de algoritmos? Certamente você sabe como?
OH: – Houve um movimento de pessoas que em determinado momento passavam as fotos por um filtro especial, para que esse filtro quebrasse a análise das imagens, de modo que seria impossível identificar de alguma forma essas pessoas posteriormente. Aqui eu dei um exemplo: o Facebook teve dificuldades com a criptografia de mensagens. E se isso aparecer e se espalhar, as redes sociais provavelmente irão combatê-lo. Além disso, o reconhecimento de imagem agora funciona muito bem, e isso beira o fato de que o nível suficiente para “quebrar” esta foto (para “quebrar” o algoritmo que reconhece essas imagens) - provavelmente, nada está mais claro sobre isso. não seja.
Todos os tipos de filtros de falhas funcionam bem se houver um forte deslocamento direto na metade da foto. Sua conta assumirá então todas as cores do LSD. Teoricamente, não acho muito assustador se o Facebook, por exemplo, descobrir que tipo de carro eu tenho - provavelmente se eu não fizer login no carro via Facebook.
A lei do esquecimento funciona, mas não na Internet
Z: – Você encontrou um usuário que o obrigou a respeitá-lo, excluí-lo, obter acesso. Você opera com grandes quantidades de dados e provavelmente notifica sobre isso. As pessoas podem entrar em contato com você. Qual a porcentagem?
OH: – Vou te contar agora. Agora é aqui que fica realmente interessante. Agora vou contar quantas pessoas vão vir, porque depois do evento sempre entram 15-20%, preenchem um formulário para deletar dados - existe tal coisa. Na realidade, trata-se de cerca de 7 a 8% das contas encerradas que não analisamos e de cerca de 5 pessoas em cada mil que pedem para eliminar os seus dados. Isso é muito pouco, mesmo na minha humilde opinião.
O problema aqui é este: existe a lei do esquecimento. Mas a lei do esquecimento, pelo menos na Rússia, aplica-se legalmente apenas aos motores de busca. Diz ali mesmo: motores de busca. E isso significa excluir apenas links para materiais, e não os próprios materiais. Na realidade, para remover algo da Internet, você terá que contornar todas essas fontes, então basicamente não acredito nisso. Tentamos alertar os usuários que eles precisam pensar antes de publicar.
Até agora esta percentagem é muito pequena – 5-7 pessoas em milhares. Aliás, sobre a lei do esquecimento: todo mundo conhece um caso tão bacana “Sechin contra RBC”. A lei do esquecimento funcionou, o artigo foi apagado, mas está em toda parte. Você entende que se algo entrar na Internet, nunca desaparecerá de lá.
Os usuários são excluídos, mas são identificados por comportamento típico
Z: – Não acha que as pessoas que apagarem as suas contas e tentarem tornar-se num “buraco negro” ficarão em desvantagem relativamente a outros agentes económicos?
OH: - Provavelmente sim - esta situação será desfavorável para eles. Existem muitos descontos e ofertas que dependem deles. Mas, puramente teoricamente, se uma pessoa excluir uma conta agora... É popular entre todos os tipos de extremistas, quando eles excluem uma conta e fazem uma falsificação, mas continuam a interagir com o mesmo conteúdo - essa pessoa, novamente, pode ser identificada (especialmente se estiver na mesma rede social, no mesmo computador - isso geralmente é uma dúvida); Simplesmente com base no modelo de consumo de conteúdo, será possível encontrar essa pessoa caso exista tal tarefa.
Espero que nos próximos 5 anos apareça algum tipo de tecnologia para monetizar esses dados, quando for realmente possível pagar dinheiro a uma pessoa - você pagará a si mesmo e não usaremos seus dados. Mas acho que se algum Instagram introduzir uma assinatura paga, ninguém a usará, então a alternativa é pagar aos usuários pelos seus dados. Mas isso não acontecerá muito em breve, porque o lobby de empresas assustadoras não permitirá que tal lei seja aprovada, embora fosse legal. Mas a questão aqui é que é impossível estimar o valor real dos dados de uma pessoa em qualquer momento específico.
Facebook - caras vazados
Z: - Boa tarde. Muito recentemente, surgiram notícias de que o Facebook pretende integrar todos os seus projetos, incluindo Instagram e Facebook, WhatsApp e assim por diante. O que você acha, do ponto de vista dos dados pessoais, quando agora no meu smartphone esses programas parecem travar separadamente, mas ainda pertencem ao Facebook?.. O que acontecerá a seguir?
OH: - Eu entendo. Legalmente eles já pertencem ao Facebook, e este pode uni-los incontrolavelmente dentro de si, então acho que nada vai mudar. A única coisa é que agora basta hackear um aplicativo para obter tudo de uma vez. E o Facebook... espero que estejam assistindo. Caras com vazamentos terríveis em todos os lugares.
Recentemente, surgiram muitas informações sobre isso - sobre vazamentos de dados do Facebook. Isso não apareceu porque o Facebook começou repentinamente a perder esses dados, mas porque o GDPR agora obriga a empresa a avisar com antecedência. E a maior multa é se ocorrer um vazamento, mas a empresa manteve silêncio sobre isso, e é por isso que o próprio Facebook agora está falando sobre isso. Isto não significa que estas fugas de dados não tenham ocorrido antes.
Z: - Olá. Tenho uma dúvida sobre armazenamento de dados. Agora, cada estado está a introduzir uma lei para garantir que os dados dos cidadãos sejam armazenados no território desse estado. Que condição é suficiente cumprir para cumprir esta lei para alguma aplicação internacional?.. Por exemplo, Facebook: existe apenas uma base de dados...
Como cumprir essas condições?
OH: – Escute, legalmente você só precisa alugar um servidor neste país e colocar algo nele. O problema é que não existe uma autoridade reguladora competente. Os dados do Facebook não existem na Rússia. Roskomnadzor está lutando e lutando com eles, lutando e lutando... O Facebook possui parte dos servidores onde está localizada a interface deste mesmo Facebook, e é impossível verificar onde realmente estão os dados e como eles são sincronizados.
Z: – Verifique o trânsito?
OH: – Verifique o trânsito? Sim. Mas o tráfego pode então ir para algum ponto principal. Além disso, pode haver algo como VPN ou qualquer outra coisa entre os servidores. Teoricamente, não há como controlar que, digamos, um administrador de sistema não irá um dia fazer login neste servidor e tirar algo de lá. Ou seja, esta lei não foi feita para proteger os dados, mas para garantir que as empresas abram escritórios de representação, paguem impostos e armazenem mercadorias no país. Mas, na minha opinião, esta é uma iniciativa muito estranha, para ser sincero.
Z: – Então é suficiente verificar a interface?
OH: Alguém pode vir até você e verificar se seus dados estão lá. Mas você pode mostrar algum tipo de Excel, e ninguém vai conseguir conferir, dificilmente alguém vai conferir. Agora eles simplesmente olham para os endereços IP: se o endereço IP associado ao domínio está localizado no território do país - eles não verificam mais. Agora, provavelmente, eles virão me ver.
Não existem serviços em que você possa confiar 100%, mas as pessoas decentes não têm nada a temer
Z: - Isso é uma notícia, reimpressa em vários lugares: um cara postou da Microsoft, fez um serviço para verificar seu...
OH: – Algo como: suas senhas vazaram? Na verdade, após os mesmos vazamentos no Facebook, o mesmo Facebook sempre lança algum tipo de site de backup onde você pode verificar se não está incluído neste banco de dados - novamente, o GDPR exige isso. Ou seja, se você não fizer isso, não se sentirá muito bem. Portanto, todos agora apresentam estes projetos como “esta é a nossa iniciativa”; na verdade, a lei exige isso. Na verdade, isso é uma coisa muito legal, mas eu realmente não confiaria nesses serviços de verificação se você precisasse enviar algo mais complexo do que sua senha, porque muitas pessoas têm as mesmas senhas.
Z: – Você acabou de digitar seu e-mail, e eles já informam quantas vezes ele foi comprometido...
OH: – Na verdade, não confio nessas coisas, porque é muito fácil vincular você a este navegador, a uma conta real. Principalmente se você utilizar os serviços das mesmas pessoas que lançaram este site. É como naquele ano em que o Facebook enviou: se suas fotos íntimas vazaram no Facebook, você as envia para nós e nós verificaremos onde elas foram mencionadas.
Não sei que tipo de pesadelo de relações públicas é esse e quem o inventou no Facebook, mas realmente aconteceu. Eles queriam ver se alguém havia enviado seus nus em mensagens privadas. Em princípio, isto serve bons propósitos, mas é o mais estranho possível. Eu não confiaria nisso.
Z: - E mais uma pergunta. Para o usuário médio, quão altos são os riscos de vazamento? Riscos de danos por vazamentos.
OH: - Eu entendi você. Depende de que tipo de dados armazenar. Acho que não muito alto. O pior é se seus e-mails e senhas vazarem em algum lugar e você tiver essa senha em todos os lugares – então sim. Em geral, acho que os usuários têm pouco a temer. Mas a menos, é claro, que eles armazenem algum desmembramento no e-mail do Google. Houve muitos exemplos.
A história mais famosa está no Google, quando uma menina foi sequestrada em Utah, eles não conseguiram encontrá-la e, a certa altura, os sequestradores enviaram suas fotos em um anexo arquivado. E o Google, examinando este anexo, encontrou sinais de pornografia infantil. Eles encontraram todos. E também conseguiram processar o Google por violação do sigilo da correspondência. Este julgamento demorou bastante. Mas, no entanto, acredito que o utilizador médio não tem nada a temer se não disponibilizar publicamente, por exemplo, o seu passaporte. Esta é uma história dupla – dependendo do tipo de dados e do tipo de usuário. Talvez agora esteja tudo bem, mas daqui a 15 anos, quando ele se tornar uma espécie de oficial, alguns de seus materiais virão à tona.
Como funciona com o governo?
Z: - Obrigado. Você falou um pouco sobre fazer pesquisas para o estado, órgãos governamentais, serviços e trabalhar com eles. Talvez você possa nos contar um pouco mais sobre alguns projetos atuais. Ainda mais, se puder, sobre... Duas questões: a primeira são os projetos atuais, e a segunda é se houve alguma proposta desse tipo por parte dos serviços governamentais...
OH: - Indecente!
Z: - Sim. Quando você pensou: talvez você não devesse fazer isso.
OH: - Eu vou te dizer. Digo isso para todo mundo. Essa pessoa e eu discutimos por muito tempo no Twitter. Certa vez, recebi uma pergunta da equipe do Twitter de Milonov sobre como encontrar professores que assistem pornografia gay. Imediatamente dissemos não. Mas há alguns, muitas vezes chegam cartas, e muitas vezes isso está relacionado com alguns oposicionistas, comícios. Não lidamos com essas bobagens, todo mundo joga merda na gente de qualquer maneira. Não tenho vergonha disso.
Temos a seguinte política em relação aos “estados”: desenvolvemos software, software para reconstrução tridimensional, reconhecimento facial e análise de dados. É muito difícil dizer exatamente o que eles fazem, mas os modelos incluem previsão de crimes, coisas relacionadas à segurança do Estado dentro da cidade, movimentos populares, geomarketing e assim por diante. Desde a colocação de objetos no ambiente do centro da cidade até a identificação de pedófilos, estupradores, maníacos e todo tipo de bandidos.
Honestamente, não nos envolvemos em nenhuma atividade de oposição. Talvez eles não nos digam isso na cara. Na verdade, este é um problema muito grande - a cooperação com os “governos”, porque nem sempre explicam qual é a tarefa. Eles dizem: faça um software para identificar donas de casa, mas na verdade vão fazer outra coisa com ele - tudo quebra.
Além disso, o estado é um cliente muito interessante e estranho que está constantemente tentando inserir três centavos em sua pesquisa, e muitas vezes suas abordagens e compreensão do aprendizado de máquina são muito superficiais. Por exemplo, tenho uma palestra separada sobre erros de aprendizado de máquina. Sempre dou um exemplo aí: quando estávamos fazendo um sistema de previsão de crimes na região de Moscou, o cliente disse: onde vendem melancias, por favor, aumente o coeficiente em quatro vezes. E então, de fato, descobriu-se que os lugares onde as melancias são vendidas não são nada criminosos. Estes são simplesmente erros de uma pessoa que contribui com seus pensamentos.
Resumindo, o estado é um cliente legal, tem muitas tarefas interessantes lá. A maioria se resume a modelos semelhantes de previsão de algo. Na maioria das vezes, é algum tipo de infraestrutura urbana.
Z: – Existem fontes onde você pode acompanhar sua pesquisa? Muita informação. Pelo que entendi, muito disso ainda é deixado de lado. Suas páginas, outra coisa...
OH: – Não tenho páginas pessoais.
Z: – Provavelmente o Facebook já foi fechado?
OH: – Há cerca de quatro meses, houve uma história: eles nos enviaram cartas tão grandes que “vocês são malucos, estão vendendo tudo para o Kremlin, estão quebrando todas as regras do Facebook”. Eles até enviaram uma carta ao meu cachorro: “Olá, corgi azul de Marte, você está coletando dados!” e assim por diante. Ouça, estamos mudando a marca agora. Dentro de duas ou três semanas nosso site estará no ar e tudo será atualizado. Isso será algo para assistir. Mas somos muito preguiçosos simplesmente nesse aspecto.
Como você pode determinar a confiabilidade de uma VPN?
Z: – Quando você disse que iria a um café sem se identificar com o seu número de telefone? E sob o quê?
OH: – Não se pode dizer “em nome de outra pessoa”, porque se trata de um apelo à violação dos regulamentos de identificação. Não não não. Eu estou brincando. Agora, quase todos os cafés identificam tudo - não há apenas um número de telefone, há um monte de pixels, há identificação do dispositivo, endereço MAC e outros enfeites, para uso posterior - desde fins publicitários até atividades de busca operacional. Portanto, você precisa ter muito cuidado com essas coisas. Você não apenas pode escrever algo, mas eles podem escrever no seu dispositivo e então algo acontece.
Você deve ter visto a história sobre como eles estão agora conduzindo uma investigação sobre como (a propósito, também na Bielorrússia) eles alugam contas do Facebook, por exemplo, para publicidade em cassinos. Mas, na verdade, não se sabe por quê, eles também dão acesso a um computador. Esses são os tipos de coisas que você precisa evitar tanto quanto possível. Se você decidir escrever algo anonimamente de algum lugar... eu iria a um café e ativaria uma VPN legal. Mas, na verdade (de novo, não estou apontando o dedo para ninguém), quando você tem uma conta em uma VPN, você verifica quem é o dono dessa VPN, qual empresa, quem é o dono dessa empresa e assim por diante. Porque a maioria dos players no mercado de VPN não são exatamente mocinhos.
Bem, tudo bem, na Bielo-Rússia isso não importa. Na Rússia, uma boa VPN é verificada se o azino777 está bloqueado lá ou não. Porque caso contrário, existe uma grande probabilidade de que este serviço VPN seja encerrado dentro de uma semana. Em geral, verifique tudo.
Sobre a exclusão automática de mensagens
Z: – Você falou tanto sobre mensagens pessoais que as redes sociais as leram... Mas, por exemplo, o Facebook tem mensagens pessoais secretas que podem ser configuradas (exceto pelo fato de também serem criptografadas) para destruição. Como você pode comentar sobre isso?
OH: - Sem chance. Em primeiro lugar, não sou um superprofissional em criptografia e, em segundo lugar, o problema aqui é que ninguém viu o servidor do Facebook, ninguém sabe como tudo funciona lá. Convencionalmente, alguma especificação diz que se trata de criptografia ponta a ponta, mas pode não ser assim, ou é ponta a ponta, mas com alguns erros ou algo mais. Faz sentido usar tal coisa se você tem medo de que a pessoa para quem você o enviou, em algum momento, tente fazer alguma coisa.
O Telegram possui um recurso conveniente para enviar fotos íntimas que podem ser excluídas automaticamente: quando você tenta fazer uma captura de tela, ela é excluída automaticamente. O iPhone agora tem uma função para gravar vídeo da tela, e você pode gravar vídeo da tela e assim por diante... Muitas vezes me enviam materiais com essa função (exclusão automática) - nunca entendo o porquê. Posso baixá-lo imediatamente! Está tudo a seu critério.
Avaliação social na China: mitos, realidade, perspectivas
AT: – Na verdade, eu abuso um pouco, embora não precise de VPN (aliás, temos uma VPN comprovada). E a questão é sobre ética. Temos um amigo maravilhoso do Cazaquistão, também o trouxemos para dar uma palestra. Uma vez sentamos com ele em alguma conferência, onde conversamos sobre várias coisas, e ele disse (e trata de segurança cibernética, ou seja, na sua forma pura, segurança de engenharia, uma pessoa que se interessa por soluções técnicas): “Aqui, Voltei da China. Eles fazem uma coisa muito legal lá: classificação social.” Aliás, você já fez alguma pesquisa sobre esse assunto, como funciona para eles?
OH: – Vendemos pontuação na Rússia, sei muito sobre isso.
AT: – Então, eu tenho uma pergunta: o que você nos diria mais sobre isso – sobre o que talvez nos aguarde no futuro. Mas outra questão sobre ética. Ele disse com muita alegria: “Uma solução de engenharia interessante!” Você tem seu próprio código de ética?
OH: - Sim, aliás, existe. Há dois anos nós o apresentamos - logo após a história com Milonov, decidimos classificar de alguma forma esses projetos. Voltando à classificação: essa é uma das perguntas super populares, porque a mídia demoniza muito toda essa história - que as pessoas não podem ir para o exterior, são mortas com um laser da lua. Estou trazendo para vocês, de novo, coisas de engenharia...
Se você começar a se aprofundar nesse histórico, olhar quais parâmetros estão incluídos nessa classificação social, você vai entender: inclui pensão alimentícia encerrada, antecedentes criminais, histórico de crédito, ou seja, uma coisa realmente incrível do ponto de vista da engenharia. Você vive sem infringir a lei, você vive bem - eles oferecem uma taxa de empréstimo baixa. Você tem um trabalho social importante (por exemplo, um professor) - você recebe moradia adequada. No início isso confundiu a todos, porque a princípio vazou uma história de que se você escrever mal sobre o presidente sua avaliação será rebaixada. Embora não houvesse nenhuma evidência. Em defesa da classificação, direi contra a classificação que ninguém viu o algoritmo, quais parâmetros são realmente usados nele.
Então apareceu uma história de que mais de um milhão de pessoas não foram autorizadas a viajar para o exterior e foram proibidas de sair. Na verdade, esta não é uma formulação totalmente precisa. Quando você recebe um visto (por exemplo, para a Europa), você recebe um visto no valor de “70 euros por dia” (algo assim); Se você não fornecer comprovante de renda, não receberá o visto. Na China, o Ministério dos Negócios Estrangeiros local decidiu ir um pouco mais longe: simplesmente alertou imediatamente as pessoas que não têm dinheiro suficiente que, se quiserem ir para o estrangeiro, não terão dinheiro suficiente. Assim, tudo isto foi posteriormente canalizado para o conceito de que os pobres não estão autorizados a ir para o estrangeiro. Isto é uma questão ética complexa, que beira uma certa presunção de culpa ou inocência, mas na verdade não posso fazer uma avaliação.
Pessoas matam, não armas
A principal coisa que você precisa entender é que todos esses algoritmos que a sociedade condena não são o problema dos algoritmos. Os algoritmos simplesmente permitiram analisar muito rapidamente um grande “volume” de pessoas, e esse problema social foi elevado ao topo. Ou seja, um bot da Microsoft que aprendeu com os tweets e se tornou racista – a culpa não é do bot, mas dos tweets que ele leu. Ou uma empresa que decide construir um modelo de funcionário ideal analisando os atuais, e descobre que se trata de um homem branco, de gênero, com formação superior.
Este não é um modelo racista, sexista ou qualquer outra coisa; estas são as pessoas que contrataram essas pessoas (se elas estavam certas ou erradas - não importa). Tudo simplesmente beira o fato de que a inteligência artificial é má, má e destruirá o mundo, mas na verdade... Se, condicionalmente, agora, por exemplo, o governo russo aprovar uma lei que proíba os oposicionistas de graça educação, e eles escreverão software que os identifique e os prive dessa educação gratuita - a culpa não será do algoritmo. Embora ninguém apoie este meu conceito, porque quando digo que não são as armas que matam as pessoas, mas sim as pessoas, “tu és fascista” e assim por diante.
Em geral, esta é uma solução de engenharia muito legal. É preciso entender por que isso não acontecerá, por exemplo, na Rússia. Você [na Bielorrússia] não terá isso, porque é um Estado europeu, está tudo bem para você. Isto não acontecerá na Rússia por muitas razões: em primeiro lugar, não temos o mesmo nível de confiança no sistema de aplicação da lei que na China; Não temos o mesmo nível de digitalização. Por que tudo deu certo na China? Porque o governo: eles têm medicina digital, seguro digital, polícia digital. E alguém inteligente teve a ideia: vamos juntar tudo e fazer isso - essencialmente, é um programa de fidelidade. Existem mais guloseimas do que “não guloseimas”.
Portanto, sim - penso que isso não será introduzido na Rússia. Primeiro precisamos digitalizar todo o Ministério da Saúde (e isso é uma tarefa para 50 anos) - alguém terá que dar a vida para fazer isso, mas ninguém, naturalmente, fará isso. Por outro lado, os bancos russos são os líderes mundiais em pontuação de pessoas, não fazem nada: “É, cara? Você gosta de meninas? Aqui está um cartão de crédito para sua amante. Tudo está muito avançado lá. Por exemplo, na América esse tipo de pontuação é proibido em quase todos os lugares, porque existem leis segundo as quais o banco é obrigado a explicar o porquê: “Aha! Porque a empresa Social Data Hub guarda história há 10 anos, e fulano revelou algo sobre você! E vamos processar os dois! Mas não temos essas histórias.
Por que as estatísticas são mantidas em silêncio?
Em princípio, apoio a pontuação, se não for algum tipo de história “totalitária”. Mas a questão toda é que é impossível prever e avaliar. Esta é a história mais difícil na ética do big data – prever o impacto social que ocorrerá em 15 anos. Por exemplo, há muito tempo que imploro ao Ministério Público que abra informações sobre crimes. As estatísticas criminais são uma das pedras angulares de qualquer estatística; todo mundo realmente quer isso. Mas, por exemplo, na Rússia não abrem estatísticas sobre a criminalidade por uma razão muito simples: têm medo de perturbar a demografia dentro das cidades. Eles acreditam que as pessoas vão deixar de viver em algumas cidades, e mesmo dentro da cidade tudo será de alguma forma redistribuído. Pelo mesmo motivo, não divulgam as estatísticas do Exame Estadual Unificado - você entende que as pessoas irão para algumas escolas e não para outras.
Talvez isso esteja correto, talvez não, mas houve muitos projetos... Por exemplo, Yandex uma vez (de novo, de acordo com os rumores “amarelos”, eu não vi, não sei) decidiu adicionar ao modelo de previsão imobiliária o número de ataques a taxistas, ou seja, algum tipo de abordagem ao nível de criminalidade, contabilizando o número de reclamações dos taxistas de que alguém os assediou, ameaçou e assim por diante. Eles rapidamente recusaram dentro da empresa para não fazer tais coisas.
Z: – Você se comunica com os alunos, se comunica com o público do seu país, do nosso país. Você percebeu pela quantidade de perguntas do público que ainda estamos naquele estágio de desenvolvimento em que pensamos que precisamos de confidencialidade, que podemos nos esconder de alguém, proteger nossos dados não os fornecendo, escondendo-os, criptografando-os. Se a União Europeia já passou para a próxima fase, a fase da privacidade, que implica o controlo sobre os dados - para forçar todos os que recolhem os seus dados a dar-lhe um controlo efectivo sobre eles... Com base em amostras por região, por estratos sociais - qual categoria de cidadãos, pessoas, é mais Ela já passou para a segunda fase, ou quem mais está principalmente na primeira?
Quem está mais preocupado com a segurança dos dados pessoais?
OH: – Maioria total... eu diria: ninguém dá a mínima! Isto preocupa agora os gestores de topo. Por cidade na Rússia são Moscou e São Petersburgo. O centro ativo são especialistas em TI, designers, profissionais criativos, qualquer pessoa que saiba filtrar conteúdo, adquirir novos conhecimentos, com alto nível de interesse por questões internacionais. Estes são principalmente gestores de topo; sim, especialistas em TI (sem contar especialistas em segurança); banqueiros - isto é, todas as pessoas que poderiam ser de alguma forma afetadas por um vazamento de dados.
Se, por exemplo, os dados de algum morador de algum Kaluga forem roubados, é improvável que algo mude seriamente em sua vida se alguém roubar dele, por exemplo, o acesso ao Gmail, onde ele armazena o acesso a séries de TV. A questão é que a lei protege todos igualmente, e isso é certo, porque... do ponto de vista da lei, todos são iguais - haha... mas o mais importante é que é impossível entender de quem são os dados valerá quanto até que esses dados desapareçam - infelizmente, é muito difícil de prever. Mas basicamente esta categoria de cidadãos.
Telefone - em papel alumínio!
Pela única vez na minha vida vi o armazenamento completo de tudo e de tudo em duas empresas. Um é o maior integrador de segurança da informação: tudo ali, até USB, é lacrado com cola dentro do escritório; e as pessoas lá são iguais - conheci um homem que tinha seu telefone em uma sacola de papel alumínio. Descobri que existem empresas que vendem sacolas especiais como essa. E na segunda vez vi uma história semelhante na Bloomberg entre os funcionários: estávamos na sala de fumantes e alguém estava tirando fotos em algum lugar, e um deles - “Para que não pudéssemos ser vistos lá no fundo!” Eu estava tipo, “Oh, uau”!
“Somos melhores que o FSB”
Eu não gostaria de dizer que isso representa menos de um por cento da população, mas, infelizmente, na massa em geral, quase todo mundo não se importa. Mas por outro lado, tenho um escandaloso serviço de monitoramento da atuação de menores (lançámos há muito tempo com o lema “Somos melhores que o FSB”), para alertar o pai que um menor está criando lixo , antes do nosso próprio algoritmo, instalado onde -alguém será enviado para ele.
Ao verificar uma criança, você precisa enviar uma digitalização do seu passaporte (esta é, em princípio, uma prática normal), mas escrevemos que você pode cortar o número do passaporte porque não temos interesse nele; Estamos interessados apenas na sua foto, holograma e nome e sobrenome. E para quase 100% das pessoas - bem, cerca de 95 passaportes em 100 - as pessoas recortaram cuidadosamente esses números no Photoshop e enviaram apenas a parte necessária. Ou seja, eles entenderam - sim, já que não precisam, não precisam enviar. Na minha opinião, trata-se de uma espécie de progresso real, que foi motivado pela falta de confiança que depositaram em nós.
Z: – A amostra é tão específica. Tem gente que se inscreve, já está avançado.
As pessoas não querem ser rastreadas, mas não leem os acordos
OH: - Sim. E a segunda coisa é a mesma: lançamos um aplicativo de namoro para teste no final daquele ano (vamos relançar em breve). Havia um grupo de controle de 100 mil pessoas. E aí, de acordo com as abordagens do GDPR, havia 15 caixas de seleção na minha conta pessoal - dou permissão para analisar a interação com a interface, para acessar meus dados demográficos, para acessar a reconstrução facial tridimensional, para acessar minhas mensagens pessoais, e assim por diante . Descrevemos todos os acessos possíveis, tanto quanto possível. Existem até estatísticas em algum lugar sobre quem marcou quais caixas. 98% deixaram todas as caixas marcadas por padrão (apesar de terem ido até esta página e visto tudo, mas não se importaram), mas foi interessante analisar esses 2% para o que era prioritário para as pessoas.
Todos removeram a permissão para acessar mensagens pessoais e quase todos removeram a permissão para acessar dados de testes sexuais (o que eles gostam lá, o que preencheram lá, suas perversões - só brincadeira). Mas as pessoas foram empurradas para isso, cutucadas: a interface diz a elas - leia com atenção, pois dá a você a oportunidade de percorrer este acordo até o fim. Mas isso foi feito apenas porque se tratava de um projeto de pesquisa e todos foram avisados. Nem uma única empresa, incluindo nós, ao lançar este aplicativo em domínio público, forçará uma pessoa a ler esta mensagem até o fim, porque... bem, desculpe, é assim que tudo funciona.
Desde que nos procurem, sabendo o que a empresa faz, sabendo que procuraram um serviço que vai te oferecer candidatos com base no tipo de pornografia que você gosta - mesmo com base nisso, apenas 2% leram essas caixas de seleção e em geral fizeram alguma coisa . E quase nenhum deles desmarcou “Acesso ao tráfego e dados de visitas a outras páginas da web”. Quase todo mundo estava preocupado com mensagens pessoais.
Nudez e prisão por curtidas - leis interessantes das repúblicas fraternas
Z: – Tenho uma pergunta sobre proteção de dados. Você pode carregar seu telefone em papel alumínio, fingir que eles não estão lá... Aí acontece que você meio que salva, salva, mas aí você tem que entregar seus dados para o estado, porque ele exige de você, e você simplesmente não pode... E então acontece que os empreiteiros do governo estão cheios de buracos. E na Bielorrússia também existe essa norma: se eu verificar a segurança dos meus dados pessoais (corrigo algo e obtenho acesso a eles), sou imediatamente um criminoso. O mesmo artigo foi usado para acusar jornalistas no “caso Belt” de obter acesso não autorizado a dados (você mesmo pode lê-lo). Portanto, a minha pergunta é: serão essas restrições uma medida eficaz para a privacidade e, em geral, para a segurança dos dados privados?
OH: - Eu entendo. Existem muitas leis muito interessantes na Bielorrússia. Descobri recentemente... continuo brincando sobre transmitir nudez, mas acontece que isso é proibido aqui.
Z: – Manifestação é proibida!
OH: - Isso é realmente meio estranho.
Z: – Você pode assistir, não pode transferir, não pode curtir. Você não pode assistir juntos!
OH: – Vou responder sua pergunta. Deixe-me voltar ao tema de “ser preso por gostar” em Moscou. Na Rússia este é o tema número um. Não sei como é na Bielo-Rússia, mas, francamente, o estado... Se você analisar as estatísticas, em Moscou, 95 em cada 100 prisões por curtidas ocorrem quando as pessoas reclamam de outras pessoas, alguém escreve ao Ministério Público sobre outro pessoa. O estado muito raramente inicia tais casos. Parece-me que esta lei é absolutamente absurda. Não conheço um único criminoso real que tenha sido preso por isso. Mas esta medida é usada para imputar pelo menos algo a uma pessoa. Parece-me que isso é o mais estranho possível. Acho que um dia será cancelado.
Z: - Isso se chama manter a tampa.
OH: - Bem, ok... não sei dizer. Não sou exatamente um monstro pró-Estado, mas minha percepção é um pouco alterada, sabe, por pessoas que chegam até nós e dizem: “Meu filho está desaparecido, me ajude a encontrá-lo”. Eu digo: “Não posso fazer nada sem a permissão do tribunal”. Você olha para esses pais que dariam tudo na vida, dariam qualquer acesso a qualquer dado, só para resolver o problema deles. Portanto, é muito difícil para mim ter tal discussão: por um lado, acredito que o Estado faz a coisa certa quando captura pessoas reais, mas por outro lado, dar acesso descontrolado é uma história geralmente terrível.
Estou voltando ao seu artigo, “desculpe” por me distrair. Eu não acredito em sacos de papel alumínio. Ter um celular e embrulhá-lo em papel alumínio é meio estúpido. Por que fazer isso? Para que o telefone não se conecte ao Wi-Fi? É mais fácil desligá-lo. Para que a operadora móvel não te identifique? Eles ainda podem trilaterar o sinal e calculá-lo de alguma forma. Para mim, as únicas medidas de segurança eficazes são o armazenamento seguro, como uma rede local - talvez num apartamento, onde possa guardar alguma coisa.
Z: - Há uma questão sobre legislação. A legislação é repressiva para quem deseja verificar os seus dados?
OH: - Eu entendo, sim. Eu nem sabia disso, então não posso te dizer com certeza. Não existe tal coisa na Rússia, embora lá tudo seja muito complicado. Provavelmente, você pode consultar advogados qualificados e, talvez, haja algum tipo de brecha - talvez você possa recorrer a algum tribunal europeu... Não? Eu não posso te contar sobre isso. Meu conhecimento de direito é superficial, ao nível de gestor de empresa. Eu sei o que não fazer sem que ninguém lhe diga nada. É claro que isso é muito triste.
Z: – O que quero dizer é que noutros países (por exemplo, nos Estados Unidos) é prática normal testar algum tipo de vulnerabilidade e depois reportá-la, mas não divulgá-la.
OH: - Sim, “recompensa de insetos”. Eu percebi que existe tal coisa.
Z: “E as empresas não têm um mecanismo para remover você porque é mais barato.”
OH: – Essa coisa também beira o nível da lei. Depende de como você encontra essa vulnerabilidade. Parece-me que muito do dinheiro pago por esta vulnerabilidade na América foi pago ao abrigo de acordos de não divulgação e ameaças de processar a pessoa. Também é como se ele não estivesse segurando uma vela. Sempre arriscamos esse tipo de coisa. Meus funcionários encontraram vulnerabilidades semelhantes em todos os tipos de aplicativos governamentais algumas vezes - eu sempre digo: “Enviar uma carta anônima é melhor do que dizer a eles que o buraco está aí”. E aí vai aparecer algum instituto de pesquisa e prestar esse serviço... Em geral, não vou continuar.
É impossível verificar a integridade de uma empresa: se você não gosta, não use
Z: - Uma pergunta. Você disse que conduziu um experimento - 15 caixas de seleção tiveram que ser marcadas... Digamos que o usuário cancela todas as caixas de seleção. Quem controlará isso e como? Como posso verificar isso?
OH: – Vou te dizer honestamente: ninguém e de jeito nenhum. Seriamente. O fato de você ter marcado e desmarcado a caixa “Proibir rastreamento de anúncios” no Google não significa nada. Infelizmente, mesmo quando você proíbe a indexação de mecanismos de pesquisa no VKontakte, os mecanismos de pesquisa ainda a indexam e simplesmente não fornecem esses resultados a determinadas pessoas. Tudo isto se deve à falta de autoridades competentes que não possam verificar isto. Além disso, as empresas que fazem isso são privadas. Quer o Facebook tenha uma posição certa ou errada, eles têm uma: se você não gosta, não use.
Sobre regulamento
Z: – Só tenho uma pergunta simples. Como você se sente em relação à questão da regulamentação no processamento de dados e da autorregulação?
OH: – Como representante da empresa, acredito que o mercado e os negócios precisam de autorregulação. Acredito que a Big Data Association pode regular tudo sozinha, sem o Estado. Eu realmente não confio na regulamentação governamental e realmente não confio em todas as histórias quando o Estado quer ficar com algo para si, porque todos os casos mostraram que isso é muito ruim. Alguém com certeza colocará o login e a senha em um adesivo amarelo no monitor e assim por diante.
Em geral, acredito na autorregulação. Além disso, acredito que nos próximos 5 anos chegaremos a algum tipo de abertura. Mesmo agora você já pode ver nos feeds de notícias que é muito difícil para o Estado mentir para os usuários, e é muito difícil para os usuários mentirem para o sistema. E isso, em princípio, provavelmente é bom. Uma vez que os nossos agentes de inteligência são identificados a partir de fotografias públicas
Tudo isso provavelmente leva a uma diminuição na taxa de criminalidade. Bem, puramente matematicamente. Se alguém estiver interessado em falar sobre a redução da taxa de criminalidade, há muitas conclusões diferentes que podem ser tiradas. Em geral, sou a favor da autorregulação do mercado. Obrigado!
Alguns anúncios 🙂
Obrigado por ficar com a gente. Gostou dos nossos artigos? Quer ver mais conteúdos interessantes? Apoie-nos fazendo um pedido ou recomendando a amigos, , um análogo exclusivo de servidores básicos, que foi inventado por nós para você: (disponível com RAID1 e RAID10, até 24 núcleos e até 40 GB DDR4).
Dell R730xd 2x mais barato no data center Equinix Tier IV em Amsterdã? Só aqui na Holanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - a partir de US$ 99! Ler sobre
Fonte: habr.com