Недавно в прессе появилось заявление ведущего юриста некоммерческой правозащитной организации Electronic Frontier Foundation Кевина Банкстона (Kevin Bankston) о том, что компании Google известно больше о ее пользователях, чем родителям этих людей. Еще несколько лет тому назад это могло казаться выдумкой. Но у сонма продуктов Google на самом деле появляется все больше поклонников, за которыми ведется строгое наблюдение.
Не удивительно, что защитники личной информации сетуют на то, что конфиденциальность находится под угрозой, особенно нападая на Google. Если пользователь работает с поисковиком, система запоминает, чем именно он интересуется. То же происходит и с активностью человека на сайтах-партнерах интернет-гиганта, перепиской в почте Gmail, местонахождением пользователя (благодаря Google Latitude), встречах и планах (Google Calendar), просмотрах видеороликов (YouTube) и звонках через Google Voice. Программа Picasa Web Albums, что хранит фотографии, способна распознавать лицо определенного человека на новых фото. А благодаря сервису Google Books о каждом его использовавшем человеке сохранятся данные вроде того, какие книги он читал, и как долго.
Причем, веб-браузер с открытым исходным кодом Google Chrome также хранит информацию обо всех шагах пользователя в онлайновой среде.
Технически, конечно же, сама система не знает о человеке ничего. Но в ней сохранены мегабайты информации о каждом, точнее, об активности каждого на том или ином сервере Google — от контента, создаваемого народом, до поиска, просматриваемой рекламы и посещаемых веб-сайтов.
Как говорит Банкстон: «Руководство Google ожидает, что потребители будут доверять компании самое сокровенное».
Использование сотрудниками Google личной информации пользователей управляется тремя основными принципами. Это утверждает Питер Флейшер (Peter Fleischer), советник по безопасности Google. «Мы не продаем эти данные, не используем их несанкционированно, не помогаем рекламодателям рассылать объявления без разрешения пользователей». Однако во всем мире еще так и не приняли окончательное и единогласное решение относительно того, что нужно считать личной информацией.
Корпорация не единственная в мире, которая использует данную модель бизнеса. «Онлайновые инструменты не бесплатны, мы платим за них своими личными данными», — так говорит Грег Конти (Greg Conti), профессор Вест-Пойнт, военной академии США (US Military Academy at West Point) и автор книги, название которой переводят как «Загугленная безопасность: как много Google о вас знает». И Google, по-видимому, обладает самой большой коллекцией данных о своих пользователях и том, чем они занимаются в Интернете.
Именно из-за того, что с помощью множества своих сервисов интернет-гигант завладел большим количеством информации о народе, использующем их, он и оказался в центре дебатов. По словам Пэм Диксон (Pam Dixon), исполнительного директора правозащитной организации World Privacy Forum, ни одна компания до этого времени не имела доступ к такому количеству личных данных пользователей. Кстати, представители Google оспаривают это заявление.
Судя по заявлениям критиков, руководство Google не может толком объяснить, как корпорация использует все собираемые данные, как они распределяются между всеми ее сервисами, как охраняются от правительственных следователей, и сколько эти данные хранятся, пока их не удаляют, или хотя бы когда они становятся анонимными.
«Из-за неясности работы Google с личной информацией людей и отсутствия у пользователей права на получение доступа к этим данным вопрос конфиденциальности становится очень щекотливым», — утверждает Диксон.
Неясность политики неразглашения информации свойственна не только Google. Как оказалось, Федеральная торговая комиссия (Federal Trade Commission) оповестила все фирмы, работающие в данной индустрии о том, что каждая из них столкнется с более тщательным урегулированием, если не предоставит положения о конфиденциальности. В положениях должно содержаться четкое и лаконичное объяснение того, какие личные сведения собирает каждая компания, как планирует использовать их, и как пользователь может отказаться от их предоставления.
Представители же Google утверждают, что проблема с непрозрачностью политики компании и масштабов собираемой информации несколько преувеличена. «Я не согласен с утверждением, что наша политика ставит под угрозу конфиденциальность личных данных пользователей», — заявил Майк Янг (Mike Yang), сотрудник юридического отдела интернет-гиганта. По его словам, Google и предоставляет людям контроль над своими данными, и гарантирует прозрачность своих действий. «Существует мнение, что учетная запись пользователя содержит больше информации, чем демонстрирует. Но на самом деле это не так. В большинстве наших продуктов все сведения, которые известны сотрудникам компании, известны и видны самим пользователям».
На самом деле данные о пользователях, что хранятся в Google, разделяются на две категории: контент, создаваемый людьми, (который контролируется ими и ассоциируется с их учетными записями) и данные для входа на сервера сервисов Google (они ассоциируются с идентификаторами браузеров (cookie), что хранятся в компьютерах самих пользователей). Данные для входа на сервера не видимы для людей и не считаются информацией личного порядка.
Эти сведения вмещают в себе детали того, как пользователь работает с разными сервисами Google. Это запросы веб-страниц (дата, время и содержание запроса), IP-адрес компьютера, идентификаторы cookie (которые идентифицируют каждый отдельный браузер) и другие метаданные. Больше информации об архитектуре журнала событий представители Google предоставить отказались, только заявив, что компания не хранит единого списка журналов событий для всех своих сервисов.
По словам сотрудников Google, они не станут делать видимыми списки поисковых запросов и другие данные, потому что такая информация обычно связана с браузером или IP-адресом компьютера пользователя, а не с самим человеком и не с названием его учетной записи в одном из сервисов. Представители компании утверждают, что открытие этих сведений создаст больше проблем с сохранением секретности, чем они бы могли решить. «Если сделать эти данные видимыми, муж сможет увидеть, что искала в Интернете его жена, что ей вряд ли понравится. Всегда сложно держаться грани, которую нельзя переступать», — говорит Янг.
Пользователи и так на данный момент обладают большим контролем над своими личными данными. Сотрудники Google сообщают, что они удаляют создаваемый пользователями контент через 14 дней во многих из своих сервисов (и через 60 дней в Gmail). Что касается политики сохранения контента, которая не совпадает с ожиданиями пользователей или правилами, принятыми в индустрии, техники Google отмечают сроки удаления либо в правилах хранения личной информации, либо в самих продуктах пользователей.
Человек, использующий сервисы Google, может контролировать количество демонстрируемой ему рекламы с помощью инструмента Ads Preferences Manager, который редактирует категории интересов, и получать только ту рекламу, которая может стать полезной. Также он может использовать куки Doubleclick, которые связывают данные в Google о пользователе с его браузером, чтобы предоставлять ему подобранную именно для него рекламу.
Главный специалист компании Google по безопасности Шуман Гузмайумдер (Shuman Ghosemajumder) считает, что пользователям не о чем волноваться. Каждое из приложений Google работает на отдельном сервере и не интегрировано с другими. «Они существуют в индивидуальных хранилищах, за исключением необработанных журналов событий», — утверждает Гузмайумдер. Однако некоторая информация все же открывается в определенных обстоятельствах. И политика конфиденциальности Google сформулирована таким образом, чтобы у ее сотрудников оставалось пространство для инноваций.
Янг для примера отмечает Google Health — онлайновое хранилище информации медицинского характера. Если пользователь обменивается сообщениями с лечащим врачом, он может пожелать, чтобы эти сообщения сохранялись в почте Gmail, а посещения врача отмечались в календаре Google Calendar.
Сотрудники Google надеются, что то, чего не достает сервисам в плане политики конфиденциальности, можно компенсировать прозрачностью этих сервисов. Но Диксон, который наблюдает за вопросами конфиденциальности медицинской информации, заявляет, что сервисы все же не достаточно прозрачны. Как только данные из медицинских карт переносятся в систему Google Health, они уже более не защищены Законом об ответственности и переносе данных о страховании здоровья граждан и правилом врачебной тайны. По словам представителей корпорации, Google Health не планируется использовать в целях распространения рекламы. Но при свободе обмена данными между сервисами это вряд ли возможно.
Если у человека проблемы со здоровьем, и он обращается к Google Health, изучает информацию о болезни с помощью поисковика, использует почту Gmail для переписки с врачом, вносит детали встречи с ним в Google Calendar, а Google Latitude определяет его последним местонахождением клинику, ни рекламодатель, ни судебные, ни правоохранительные органы не узнают ничего необходимого им об этом человеке.
Последние решения руководства Google относительно использования личной информации в целях поиска целевой аудитории для рекламы вызвали недовольство пользователей. До недавнего времени реклама в сервисах интернет-гиганта распространялась на основе контекстной направленности, то есть предметов поиска или ключевого слова в письме пользователя Gmail. Конечно, рекламодатели не рассылают рекламу, связанную с темами рас, религии, сексуальной ориентации, здоровья, политики, профсоюзов и финансов.
С помощью находящейся в базах данных Google информации, сотрудники компании могли бы составить очень полные досье на своих пользователей и их историю активности в Сети. Это сомнительная практика называется поведенческим таргетингом. До недавнего времени представители Google отрицали ее использование. Затем в марте этого года Сьюзен Воджиски (Susan Wojcicki), вице-президент отдела продакт-менеджмента по рекламе Google, объявила в публикации в официальном блоге Google, что компания начала двигаться в направлении поведенческой рекламы. С запуском такой рекламы сотрудники Google планируют распространять рекламные объявления не только на основе контекста, но на основе ранее просмотренных пользователями страниц. Историю веб-страницы можно будет получить из журнала событий с идентификатором cookie. Поскольку этот идентификатор вмещает данные не об уникальном пользователе, а об уникальном браузере, то пользователь рискует получать рекламу, основанную на посещениях Интернета его родственниками или кем-то, кто воспользовался данным компьютером. То есть, рекламодатели смогут направлять рекламу на основе журналов событий, которые, однако, не доступны пользователям — из соображений конфиденциальности. Сплошные противоречия!
Гузмайумдер признает, что ситуация эта не самая лучшая. «В некоторых случаях прозрачность существует, в других ее нет», — признается он. Но по его словам, Google старается найти пути для предоставления большей прозрачности.
Заступники конфиденциальности боятся того, что онлайновая реклама — только первый шаг на пути к еще более таргетированной рекламе, которая в итоге будет основываться на всем, что известно работникам Google об их пользователях. «Это основная проблема, поскольку Google собирает все личные данные уже долгое время. Но сотрудники уверяли, что эти данные не будут использоваться», — говорит Николь Озер (Nicole Ozer), руководитель одного из подразделений «Американского объединения за гражданские свободы» Северной Калифорнии.
Но эти же сторонники защиты личных данных полагают, что Google все же в некоторых моментах ведет правильную политику. Один из примеров — запуск онлайнового центра конфиденциальности и организация дополнительного контроля над некоторыми из сервисов.
Стоит отметить, что Google — не первая компания, которая работает над внедрением поведенческого таргетинга. Наоборот, корпорация только недавно присоединилась к другим, исследующим данную практику. Вице-президент по общественным связям IAB Майк Занейс (Mike Zaneis) соглашается, что очень таргетированная реклама может даже напугать пользователей.
Данная практика будет продолжать действовать, пока народ не прекратит использовать сервисы интернет-гиганта. Но таргетированная реклама будет становиться только еще популярнее, потому что окажется более полезной пользователям, чем ненаправленные, мусорные рекламные объявления.
Растет беспокойство также относительно способности Google защищать контент пользователей внутри своих сервисов. Ведь на счету компании уже есть несколько небольших инцидентов. Например, когда документы в сервисе Google Docs могли просматривать даже те, у кого на это не было разрешения. Но эта проблема, которая коснулась только 1% пользователей, бледнеет в сравнении с неприятностями в системах защиты у конкурента Google — AOL (опубликование журналов поиска 650 тысяч пользователей в 2006 году).
По словам Гузмайумдера, конфиденциальность пользовательских данных контролируется очень строго. «Мы принимаем различные меры и гарантируем, что третьи лица не получат доступа к личным данным пользователей. А внутренний контроль не позволит человеку получить доступ к информации в учетной записи другого, если первый не является членом определенного сообщества, группы или команды».
Подчиняясь давлению, работники Google идут и на другие уступки. Данные из журналов событий на серверах не удаляются, но они будут становиться анонимными через некоторое время. Так их нельзя будет привязать к определенному идентификатору cookie и IP-адресу компьютера. После решения от 2007 года делать анонимными IP-адреса и другие данные в журналах событий на серверах через 18 месяцев, в эти условия снова были внесены изменения. В сентябре 2008 года это срок был сокращен до 9 месяцев — для всех данных кроме cookie (они будут анонимизироваться все же по прошествии 18 месяцев).
Критики полагают, что Google не слишком старается в плане анонимизации личных данных. Например, из 32-битного IP-адреса исключаются только последние 8 бит. Это облегчает процесс идентификации нужного IP-адреса, сужая поиск до 256 компьютеров в определенной географической местности. Компании, в распоряжении которых находятся блоки IP-адресов, обеспокоены этой схемой. Ведь определенную активность в Сети можно таким образом привязать к фирме. И защитники конфиденциальности утверждают, что даже анонимизированные данные можно вычислить, если сопоставить их с другой информацией о пользователе.
Конкуренты Google, узнав о критике, решили обойти корпорацию. Например, вместо анонимизации IP-адреса Microsoft просто удаляет его через 18 месяцев и пропагандирует анонимизацию поисковых журналов событий в течение шести месяцев. Фирма Yahoo анонимизирует поисковые запросы и другие данные журналов событий через три месяца их хранения, а поисковик Ixquick и вовсе не хранит IP-адресов пользователей.
Больше всего защитники конфиденциальности боятся, что огромное количество личных данных, которое хранится в закромах Google, попадет в плохие руки. Как утверждает Банкстон, это Клондайк детальных личных данных, к которым могут получить доступ все, кому не лень — хотя бы государственные следователи и иже с ними.
Законы о конфиденциальности гарантируют небольшую защиту в этом плане. Многие стратегии, включая и принципы работы Google, не обеспечивают четких гарантий, что компания сообщит пользователю, если его личные данные запросит суд. «Законные гарантии защиты личной информации, хранимой в базах данных компаний, очень неясные», — так полагает Банкстон.
Онлайновая индустрия до сих пор полагается на Закон о конфиденциальности электронных сообщений от 1986 года (Electronic Communications Privacy Act of 1986). Хотя ему уже 22 года, и даже правительство согласно, что он не применим к данным, хранимым в Интернете. «Google еще предстоит определить свою позицию относительно того, как этот закон защищает поисковые журналы событий пользователей», — говорит Банкстон.
Защитники конфиденциальности требуют, чтобы сотрудники Google опубликовали количество запросов, получаемое корпорацией от представителей закона, и то, как они реагируют на такие запросы. Однако ни Google, ни конкуренты компании такой информации не оглашают.
Руководство интернет-гиганта отказывается комментировать отсутствие прогресса в этом направлении, но заместитель генерального юрисконсульта Николь Вонг (Nicole Wong) сообщила, что Google все же подчиняется юридическим запросам — надлежащим образом, чтобы не действовать вразрез с собственными принципами работы и законом.
По крайней мере, в одном из громких дел корпорация приняла строгие меры по защите конфиденциальности информации своих пользователей. Когда компания Viacom подала иск на просмотры данных подписчиков YouTube, юристы Google добились разрешения предоставить только анонимизированную информацию (по которой невозможно выследить отдельных пользователей).
Защитники конфиденциальности задаются вопросом о том, что же произошло с тысячами запросов относительно индивидуальных данных в менее значимых делах. На что представители Google отвечают: «Наш главный принцип — это желание предупреждать своих пользователей».
Николь Озер утверждает, что компании стоит собирать меньшее количество информации и хранить ее более короткое время. Это один из пунктов в ее руководстве, посвященном конфиденциальности и бизнесу, для компаний Web 2.0.
В то время как законодатели фокусируют свое внимание на экономике, защитники конфиденциальности сомневаются, что законы, связанные с работой онлайновых компаний, изменятся. Но на Google все же производится давление подавать пример другим корпорациям в индустрии. «В качестве компании, обладающей такими объемами информации о пользователях, Google просто обязана быть новатором в своей сфере и защищать интересы пользователей в области конфиденциальности», — так считает Диксон.
Предоставление онлайновым компаниям части личной информации — обязательное условие использования бесплатных сервисов в Интернете. «Люди должны понимать, какие данные они предоставляют, и как эти данные будут использоваться. Именно пользователи должны решать, как эта информация будет использоваться, и контролировать, кому давать к ней доступ, утверждает Флейшер.
Но противостояние между желанием пользователей сохранить личные данные в тайне и необходимость компании Google быть гибкой в обращении с этими данными, похоже, пока не прекратится. Как считает Банкстон: «Бизнес Google заключается в том, чтобы получать прибыли от собираемой с пользователей информации. Работа компании всегда будет строиться на принципе «отдавай и бери»».
Обновленные законы, посвященные конфиденциальности, и выбор, который делают пользователи, определят, что приемлемо, а что — нет в подобных ситуациях. Янг говорит: «Модель нашего бизнеса целиком основывается на доверии пользователей». И одним из заданий корпорации является заслужить это доверие, не ограничивая необходимость и возможность бизнеса развиваться.
По мнению Банкстона, интернет-гигант проделал серьезную работу, стараясь заслужить доверие своих клиентов. Он только считает, что пользователям нужно предложить больше прозрачности и контроля. «Мы не хотим, чтобы сотрудники Google перестали внедрять инновации. Мы просто хотим, чтобы закон защищал личные данные пользователей компании».