ФСБ атрымае доступ да даных «Яндэкс Go», у тым ліку да паездак на таксі за мяжой. Пад пагрозай жыхары мноства краін, у тым ліку Беларусі

Кругласутачны доступ да баз даных сэрвісаў таксі ФСБ атрымае 1 верасня: прэм'ер-міністр Расіі Міхаіл Мішусцін ужо падпісаў адпаведную пастанову.

Тое, што ФСБ зможа атрымаць доступ да даных, турбавала кліентаў, якія карыстаюцца «Яндэкс Go» за мяжой, — і яны спрабавалі высветліць сітуацыю ў службы падтрымкі кампаніі, распавяла «Медузе» крыніца ў «Яндэксе». Супрацоўнікі, у сваю чаргу, пісалі менеджменту: «Як мы абараняем даныя [кліентаў]?» 

Прадстаўнік кіраўніцтва адказваў, што даныя Yandex Go і Yango захоўваюцца ў Расіі, і прасіў «у размовах з кліентамі пазбягаць згадкі інфармацыі аб цяперашнім месцазнаходжанні дата-цэнтраў».

Два супрацоўнікі «Яндэкса» на ўмовах ананімнасці пацвердзілі: даныя сэрвісу таксі цяпер захоўваюцца толькі ў расійскіх дата-цэнтрах.

Пры гэтым да пачатку вайны частка даных захоўвалася ў дата-цэнтры кампаніі ў Фінляндыі (дзе сэрвіс таксі працуе пад брэндам Yango). У самой кампаніі ў сакавіку 2022-га казалі: «Каманда Yandex Go ніколі не адмаўляла, што алгарытмы сэрвісу могуць выкарыстоўваць расійскія серверы нароўні з фінскім дата-цэнтрам».

Інфармацыя сэрвісу таксі дублявалася ва ўсіх дата-цэнтрах «Яндэкса» без падзелу на паездкі па Расіі і за мяжой, растлумачылі дзве крыніцы «Медузы» ў кампаніі. Былы супрацоўнік «Яндэкса» дадаў, што такія дублікаты патрэбныя, каб падтрымліваць бесперабойную працу сэрвісу: «Дапусцім, у вас у адным цэнтры ідуць працы, іншы адвальваецца з-за аварыі, але трэці працуе як трэба».

Некалькі гадоў таму, калі сэрвіс «Яндэкса» толькі пачынаў працаваць у Еўропе (і павінен быў прытрымлівацца еўрапейскіх пратаколаў GDPR), у кампаніі абмяркоўвалі магчымасць вылучэння і пераносу ўсіх «даных па міжнародцы» ў замежныя дата-цэнтры, у прыватнасці ў фінскі цэнтр, распавяла крыніца «Медузы», блізкая да кіраўніцтва «Яндэкса». Але ў кампаніі «хутка зразумелі, што гэта доўга, дорага і нудна».

Пасля пачатку вайны да гэтай ідэі ўжо не вярталіся, растлумачыў суразмоўца ў кампаніі. Цяпер даныя сэрвісу таксі ў фінскім дата-цэнтры не захоўваюцца, падкрэслілі тры крыніцы «Медузы» ў «Яндэксе».

«Мы ж не можам дапусціць, каб у НАТА або любой іншай недружалюбнай краіне даведаліся, як чыноўнікі з Адміністрацыі прэзідэнта па стрып-клубах ездзяць», — іранізуе блізкая да кіраўніцтва кампаніі крыніца «Медузы» ў «Яндэксе».

Пасля таго, як пасля пачатку вайны кіраўніцтва «Яндэкса» патрапіла пад санкцыі, фінскі цэнтр адключылі ад электрычнасці, а фінскія актывы кампаніі, у прыватнасці акцыі фінскага падраздзялення Yandex Oy, замарозілі (цяпер кампанія змяніла назву на Global DC і спрабуе вярнуць актывы праз Акруговы суд Хельсінкі).

Аднак Yango працягвае працаваць на тэрыторыі Фінляндыі. Гэты сэрвіс непасрэдна звязаны з агульнай інфраструктурай «Яндэкса» дзякуючы адзінай сістэме аўтарызацыі «Яндэкс ID». Менавіта яна дазваляе карыстальнікам без праблем заказваць таксі незалежна ад краіны.

«Усё зроблена цэнтралізавана, кіруецца ў адным месцы, ты прыехаў за мяжу і можаш карыстацца сваёй мабільнай праграмай замовы таксі хоць у Алматы, хоць у Тэль-Авіве. Так напісаны код, так працуе сэрвіс», — тлумачыць супрацоўнік кампаніі.

Вылучыць усе міжнародныя паездкі ў такіх умовах — «вялікі гемарой, для якога давядзецца пераробліваць усю архітэктуру сэрвісу», тлумачыць крыніца «Медузы», блізкая да кіраўніцтва «Яндэкса».

Зрэшты, былы дырэктар па тэхналогіях «Яндэкса» Рыгор Бакуноў зазначае, што перанесці даныя ўсё ж такі можна, але для гэтага патрэбна «воля кіраўніцтва».

І карыстальнікі самі на гэта пагадзіліся?

Тое, што сэрвіс «Яндэкса» захоўвае даныя ў Расіі, сапраўды відаць і з дакументаў кампаніі. Англамоўныя рэгламенты «Палітыкі прыватнасці», размешчаныя на сайтах «Яндэкса» і Yango, практычна ідэнтычныя. І адзін з пунктаў у іх відавочна дазваляе захоўванне і апрацоўку даных у Расіі.

З іншага боку, у гэтых жа тэкстах кампанія абяцае, што апрацоўваць персанальныя даныя карыстальнікаў «Яндэкса» будуць кампаніі з трох краін:

• Фінляндыі (для карыстальнікаў з АЭЗ і Швейцарыі);
• Ізраіля (для мясцовых карыстальнікаў);
• Расіі (для ўсіх астатніх).

Аднак 22 лютага 2022 года — праз месяц пасля ўнясення сэрвісу таксі ў рэестр «Арганізатараў распаўсюджвання інфармацыі» і за два дні да пачатку вайны — «Яндэкс» абнавіў сваю палітыку прыватнасці. Адна са змен — з'яўленне агаворкі аб тым, што ў Фінляндыі больш не апрацоўваюцца даныя карыстальнікаў Yango, Yandex.Taxi і Deli (брэнд дастаўкі «Яндэкса»).

Раней паміж фінскім падраздзяленнем кампаніі, Yandex Oy, і расійскім ТАА «Яндэкс» быў заключаны дагавор, які прадугледжвае ўмовы перадачы персанальных даных карыстальнікаў з Еўропы ў Расію. Адзін з пунктаў гэтага дакумента прадугледжваў права фінскай кампаніі прыпыніць перадачу даных і скасаваць дамову «ў выпадку змены такога [расійскага] заканадаўства, якое з вялікай доляй імавернасці акажа істотнае неспрыяльнае ўздзеянне на гарантыі [канфідэнцыйнасці]».

Мяркуецца, што гэтыя дакументы вывучылі ўсе карыстальнікі сэрвісу таксі, пад якім бы брэндам ён ні працаваў у канкрэтнай краіне. Напрыклад, упершыню запусціўшы Yango, карыстальнік павінен увесці свой нумар тэлефона і паставіць адну птушачку, пацвердзіўшы, што ён прачытаў дамову на карыстанне сэрвісам, ліцэнзійную дамову і палітыку прыватнасці.

У Yango некаторыя карыстальнікі ставяць гэтую птушачку, не чытаючы дакументаў. Гэта вядома не толькі з досведу запаўнення аналагічных формаў. Рэч у тым, што дзве з трох гіперспасылак на англамоўныя дакументы ў праграме проста не адкрываюцца. Замест дамовы на карыстанне і палітыкі прыватнасці, якія насамрэч можна знайсці на сайце yango.com, у абодвух выпадках з'яўляецца паведамленне «Памылка 404. Няма такой старонкі» на дамене rostaxi.org.

Больш за тое, прэамбула да ліцэнзійнай дамовы Yango забараняе выкарыстоўваць мабільную праграму, пакуль карыстальнік «цалкам і безумоўна» не прыняў умоў ва ўсіх трох дакументах. Пры гэтым замест згаданай там «Палітыкі прыватнасці» спасылка ў ліцэнзійнай дамове вядзе на зусім іншы дакумент — «Апавяшчэнне аб канфiдэнцыяльнасцi» .

Як ФСБ будзе атрымліваць даныя аб паездках?

На думку Рыгора Бакунова, расійская спецслужба можа працаваць з данымі «Яндэкса» двума спосабамі. 

У першым выпадку супрацоўнікі атрымаюць доступ да копіі ўсяго трафіку сэрвісу, у другім — толькі да спецыяльнага канала сувязі, куды будуць выгружацца толькі тыя паездкі карыстальнікаў, што цікавяць ФСБ.

Паводле ацэнкі Бакунова, другі варыянт прасцейшы для ФСБ. Ён тлумачыць:

— Уявіце, што ў вас ёсць дзве магчымасці. [Першая] — самастойна рукамі даследаваць неапрацаваную кучу даных. І другая — пры якой да вас, вобразна кажучы, у пошту прыходзяць паведамленні аб кожнай паездцы па зададзеных параметрах тыпу «Карыстальнік Х з кіроўцам Y праехаў з пункта A ў пункт B». 

Далей усё ў руках ФСБ — наколькі ім наогул захочацца самастойна ў агульнай кучы разбірацца. Калі ў іх ёсць для гэтага спецыяльныя людзі, то могуць і пачытаць [увесь масіў паездак].

У другім выпадку, упэўнены спецыяліст, асаблівая рызыка ўзнікае для расіян, якія пераехалі ў краіны былога СССР пасля пачатку вайны. 

«У масіве ёсць даныя па таксі ў Кыргызстане, Казахстане, Арменіі, Грузіі і іншых месцах, куды расіяне з'язджалі пасля пачатку вайны. Гэта пагроза, я б сказаў, больш значная, чым доступ да даных па Фінляндыі, Нарвегіі і Алжыры», — дадаў Бакуноў.

З ім пагадзіўся і адзін з супрацоўнікаў «Яндэкса», які пагутарыў з «Медузай». Фіны і нарвежцы, на яго думку, «могуць спаць спакойна, а на месцы нашых грамадзян я б хваляваўся».

«Мы не ведаем, ці ёсць у спецслужбаў дастатковы аб'ём магутнасцяў, якія яны гатовыя пакласці на гэтую справу, колькі ў іх ёсць вылічальных рэсурсаў, «жалеза», высокакваліфікаваных распрацоўшчыкаў, [каб апрацаваць увесь масіў паездак па Расіі і за яе межамі]. Гэта вялікая марока, але зрабіць гэта можна», — пацвердзіў былы супрацоўнік «Яндэкса». 

Да якіх звестак будзе доступ у ФСБ?

У тэорыі — да ўсёй інфармацыі, якую збірае сэрвіс таксі. У апавяшчэнні аб канфiдэнцыяльнасцi Yango прыводзіцца падрабязны пералік такіх даных. Гэта і тэхнічная інфармацыя, якая збіраецца аўтаматычна, напрыклад:

• IP-адрас;
• ідэнтыфікатар прылады;
• яе тып і мадэль;
• аперацыйная сістэма, якая выкарыстоўваецца;
• звесткі аб браўзеры або мабільнай праграме.

І звесткі, якія кампаніі дае сам чалавек:

• імя;
• тэлефонны нумар;
• электронны адрас;
• банкаўская інфармацыя;
• каментары карыстальніка;
• і галоўнае — адрасы паездак.

Няўжо GDPR не павінна абараняць хаця б замежнікаў?

GDPR дазваляе карыстальнікам у любы момант адклікаць сваю згоду на апрацоўку персанальных даных. Больш за тое, карыстальнік можа скарыстацца сваім «правам на забыццё» — запатрабаваць выдаліць або забараніць выкарыстоўваць свае персанальныя даныя.

Пры гэтым у некаторых выпадках GDPR можа бараніць правы нават жыхароў нееўрапейскіх краін. Напрыклад, калі кампанія або яе падраздзяленне, якое працуе з персанальнымі данымі гэтых асоб, зарэгістраваныя ў Еўрасаюзе.

«Яндэкс» неаднаразова сцвярджаў, што ў Еўропе кампанія працуе ў строгай адпаведнасці з нормамі Еўрасаюза і GDPR. Такія заявы кампанія рабіла і летам 2018-га, калі Нацыянальны цэнтр кібербяспекі пры Міністэрстве абароны Літвы заявіў, што мабільная праграма «Яндэкса» перадае даныя ў Расію, і вясной 2022 года, калі Латвія забараніла працу сэрвісу таксі на тэрыторыі краіны.

Цяпер правы карыстальнікаў, гарантаваныя GDPR, згадваюцца ў апавяшчэннях аб канфiдэнцыяльнасцi мабільных праграм Yango і Yandex Go. І фактычна да гэтага часу падаюцца не толькі жыхарам еўрапейскіх, але і астатніх краін.

У расійскай «Палітыцы канфідэнцыйнасці» такія правы карыстальнікаў таксама згадваюцца. Але дзейнічаюць яны толькі ў тым выпадку, «калі гэта прадугледжана дзейным заканадаўствам». Магчыма, такая агаворка патрэбная з-за экстэрытарыяльнасці GDPR: рэгламент абараняе правы рэзідэнтаў і грамадзян Еўрасаюза незалежна ад таго, дзе яны знаходзяцца. Гэта значыць, расійскія кампаніі фармальна таксама абавязаныя прадстаўляць еўрапейцам правы, гарантаваныя GDPR. 

Гэта значыць, можна папрасіць выдаліць даныя — і ўсё будзе добра?

У тэорыі гэта магчыма (прынамсі, для замежных карыстальнікаў). Для захавання GDPR «Яндэкс» ужо прапрацаваў пытанне выдалення персанальных даных карыстальнікаў сэрвісу таксі. Гэта відаць з уцечкі зыходных кодаў кампаніі, якая стала публічнай у пачатку 2023 года. Неананімізаваныя даныя карыстальнікаў выдаляліся з дапамогай takeout — унутранага сэрвісу «Яндэкса». У адным з дакументаў кампаніі сцвярджалася, што яна гатовая была выдаліць персанальныя даныя, «калі няма неабходнасці захоўваць [іх] вечна». У іншым гаварылася, што «Яндэкс» не выдаляе некаторых даных, звязаных з плацяжамі. Напрыклад, адмовіць у выдаленні даных павінны былі карыстальніку з непагашаным доўгам і чалавеку, абвінавачанаму ў махлярстве.

У тым жа дакуменце супрацоўнікі «Яндэкса» вылучылі ў асобную катэгорыю даныя, якія яны маглі не выдаляць (гэта значыць усё заставалася на меркаванне кампаніі). Там згадваліся «некаторыя тэхнічныя даныя, якія не з'яўляюцца персанальнымі», а таксама нейкія «гістарычныя даныя»: яны таксама захоўваліся ў базе даных «Яндэкс.Таксі», але не былі бачныя карыстальніку. Што гэта канкрэтна — «Медузе» невядома.

У апавяшчэннях аб канфiдэнцыяльнасцi мабільных праграм Yango і Yandex Go таксама асобна агаворваецца, што кампанія ў любым выпадку не будзе выдаляць даных, «якія неабходна захоўваць у адпаведнасці з законам або для абароны нашых інтарэсаў, у прыватнасці, у кантэксце судовых разглядаў». Пры гэтым у адпаведнасці з расійскім «законам Яравой» ТАА «Яндэкс.Таксі», як арганізатар распаўсюджвання інфармацыі, абавязаны захоўваць даныя карыстальнікаў на працягу паўгода. То-бок застаецца невядомым, якім чынам паступіць кампанія, калі атрымае запыт на выдаленне даных ад грамадзяніна Еўрасаюза, які карыстаўся паслугамі сэрвісу таксі ў Расіі: выдаліць усе даныя адразу ці толькі праз паўгода.

Для выдалення сваіх персанальных даных або адразу ўсяго ўліковага запісу карыстальнікам Yango і Yandex Go прапануюць скарыстацца «Яндэкс ID»: ён кіруе адзіным акаўнтам карыстальніка ва ўсіх сэрвісах «Яндэкса». Аднак незразумела, наколькі эфектыўным будзе выдаленне ва ўмовах, калі ў ФСБ будзе прамы кругласутачны доступ да баз даных і з'явіцца магчымасць рабіць рэзервовыя копіі да выдалення інфармацыі. 

«Я б сказаў так: калі вы хочаце паспрабаваць схаваць сувязь паміж старым акаўнтам у «Яндэксе» і новымі замовамі таксі ў вашай цяперашняй краіне пражывання, то трэба разлагініцца са старога акаўнта, выдаліць праграму, паставіць яе зноў — у ідэале на новую прыладу — і залагініцца з замежнай сім-карты, прывязаўшы да акаўнта замежную банкаўскую карту», — кажа суразмоўца «Медузы», які раней працаваў у «Яндэксе». 

…Пасля публікацыі гэтага матэрыялу «Медуза» атрымала адказ ад сэрвісу Yango. У ім сярод іншага гаворыцца: «Заканадаўства Расіі не распаўсюджваецца на міжнародны бізнэс Yango і на карыстальнікаў Yango, бо яны здзяйсняюць паездкі і выкарыстоўваюць мабільную праграму за межамі Расіі. Гэта не зменіцца і пасля 1 верасня». Таксама падкрэсліваецца, што ўсе даныя карыстальнікаў Yango нібы апрацоўваюцца ў адпаведнасці з GDPR. На пытанне аб тым, дзе канкрэтна захоўваюцца даныя, у Yango не адказалі.

• 5
• 8
• 1
• 2
• 12