Приложения для игр, погоды и знакомств собирают данные о местоположении, которые власти могут купить. Случай из США показывает масштабы.
Миллионы людей каждый день используют погодные приложения, мобильные игры или сервисы знакомств — при этом во многих случаях также передаются данные о местоположении. И пользователи понятия не имеют, куда они идут.
Подробности читайте после объявления
Недавний случай из США особенно ярко показывает, что подобная информация интересует не только рекламные компании, но и государственные структуры. Там Агентство таможенного и пограничного контроля (CBP) специально приобретало данные о местонахождении у рекламной системы, чтобы отслеживать пути людей — без какого-либо судебного разрешения.
То, что уже является реальностью в США, обнажает фундаментальную проблему: потоки данных, лежащие в основе мобильной рекламы, создают инфраструктуру по всему миру, которую можно использовать для слежки.
Невидимые аукционы на заднем плане
За каждым объявлением в приложении стоит сложный процесс, который эксперты называют торгами в реальном времени.
Объясняется просто: если кто-то открывает приложение, через долю секунды начинаются автоматические аукционы на бесплатное рекламное место. Десятки компаний участвуют в торгах одновременно — и при этом получают доступ к данным устройства, включая текущее местоположение.
Связующим звеном между приложением и рекламным рынком является так называемый рекламный идентификатор, или сокращенно AdID. Этот буквенно-цифровой код имеется в каждом смартфоне и фактически используется для более точного отображения рекламы.
Подробности читайте после объявления
Но именно этот код позволяет отслеживать устройство в различных приложениях.
Специализированные трейдеры данных приспособились к этому. Такие компании, как Venntel и Babel Street, собирают информацию о местоположении из десятков тысяч приложений и предлагают доступ к ней платным клиентам, в том числе властям.
Согласно внутреннему правительственному документу, CBP протестировала несколько таких платформ в период с 2019 по 2021 год, чтобы оценить данные о передвижениях для расследований пограничных патрулей.
Почему «анонимизация» почти ничего не защищает
CBP подчеркивает в своих документах, что рекламные идентификаторы не содержат личной информации, такой как имена или номера телефонов. Американская организация по защите гражданских прав ACLU не принимает этот аргумент. В подробном анализе она пишет, что обещание анонимности «иллюзорно».
На самом деле, повседневных дел достаточно, чтобы присвоить устройство конкретному человеку. Любой, кто всегда ходит на работу по одному и тому же маршруту утром и возвращается по тому же адресу вечером, создает узор, столь же индивидуальный, как отпечаток пальца.
По данным ACLU, рекламные материалы поставщика данных Gravy Analytics буквально говорят: «То, что вы делаете и где вы делаете, определяет, кто вы есть».
Власти также могут сравнивать такие профили передвижения с другими источниками данных и, таким образом, раскрывать личность, скрывающуюся за анонимным идентификатором.
Конституционные барьеры и как их обойти
Четвертая поправка к Конституции США фактически требует от следователей получения постановления суда для доступа к частным данным. Верховный суд прямо подтвердил этот принцип в отношении данных о местоположении мобильных телефонов в 2018 году.
Однако соответствующие органы выбирают другой подход: они покупают информацию на открытом рынке у торговцев данными и утверждают, что ордер на обыск не требуется.
Документы, опубликованные ACLU, подтверждают масштабность использования. Соответственно, CBP использовало так называемые запросы геозоны для записи всех устройств в определенной области и отслеживания их маршрутов на протяжении месяцев.
Иммиграционное агентство ICE приобрело инструменты, способные сканировать целые улицы на наличие активных мобильных устройств. В одном задокументированном случае сотрудник Министерства внутренней безопасности даже использовал данные о местоположении, чтобы найти коллег без каких-либо деловых причин.
Законодатели настаивают на последствиях
Около 70 законодателей сейчас призывают генерального инспектора Министерства внутренней безопасности пересмотреть покупку данных ICE.
Предыдущее расследование выявило серьезные недостатки: общие пароли для баз данных о местоположении, отсутствие контроля доступа и вышеупомянутые злоупотребления со стороны сотрудника.
Министерство временно приостановило эту практику в 2023 году, но, как сообщается, с тех пор возобновило ее.
Двухпартийный «Четвертая поправка к Закону о непродаже» представляет собой законопроект, который в будущем заставит власти получать судебное одобрение перед любым доступом к коммерчески продаваемым данным о местоположении. Палата представителей большинством голосов одобрила проект в 2024 году.
Однако это уже относится к пользователям смартфонов во всем мире: любое приложение с доступом к местоположению и рекламой может передавать данные в систему, охват которой выходит далеко за рамки персонализированной рекламы.
