ФСБ получит доступ к данным «Яндекс Go», включая поездки на такси за границей. Под угрозой жители многих стран, в том числе Беларуси
Несмотря на войну, сервис (обычно под названиями Yango и Yandex Go) до сих пор работает более чем в двадцати странах мира, в том числе Беларуси, Израиле, Норвегии, Финляндии, Казахстане, Грузии, Армении, пишет «Медуза».
Круглосуточный доступ к базам данных сервисов такси ФСБ получит 1 сентября: премьер-министр России Михаил Мишустин уже подписал соответствующее постановление.
То, что ФСБ сможет получить доступ к данным, беспокоило клиентов, пользующихся «Яндекс Go» за рубежом, — и они пытались выяснить ситуацию у службы поддержки компании, рассказал «Медузе» источник в «Яндексе». Сотрудники, в свою очередь, писали менеджменту: «Как мы защищаем [клиентские] данные?»
Представитель руководства отвечал, что данные Yandex Go и Yango хранятся в России, и просил «в разговорах с клиентами избегать упоминания информации о нынешнем местоположении дата-центров».
Два сотрудника «Яндекса» на условиях анонимности подтвердили: данные сервиса такси сейчас хранятся только в российских дата-центрах.
При этом до начала войны часть данных хранилась в дата-центре компании в Финляндии (где сервис такси работает под брендом Yango). В самой компании в марте 2022-го говорили: «Команда Yandex Go никогда не отрицала, что алгоритмы сервиса могут использовать российские серверы наряду с финским дата-центром».
Информация сервиса такси дублировалась во всех дата-центрах «Яндекса» без разделения на поездки по России и за рубежом, пояснили два источника «Медузы» в компании. Бывший сотрудник «Яндекса» добавил, что такие дубликаты нужны, чтобы поддерживать бесперебойную работу сервиса: «Допустим, у вас в одном центре идут работы, другой отваливается из-за аварии, но третий работает как надо».
Несколько лет назад, когда сервис «Яндекса» только начинал работать в Европе (и должен был следовать европейским протоколам GDPR), в компании обсуждали возможность выделения и переноса всех «данных по международке» в зарубежные дата-центры, в частности, в финский центр, рассказал источник «Медузы», близкий к руководству «Яндекса». Но в компании «быстро поняли, что это долго, дорого и муторно».
После начала войны к этой идее уже не возвращались, пояснил собеседник в компании. Сейчас данные сервиса такси в финском дата-центре не хранятся, подчеркнули три источника «Медузы» в «Яндексе».
«Мы же не можем допустить, чтобы в НАТО или любой другой недружественной стране узнали, как чиновники из Администрации президента по стрип-клубам ездят», — иронизирует близкий к руководству компании источник «Медузы» в «Яндексе».
После того, как после начала войны руководство «Яндекса» попало под санкции, финский центр отключили от электричества, а финские активы компании, в частности акции финского подразделения Yandex Oy, заморозили (сейчас компания сменила название на Global DC и пытается вернуть активы через Окружной суд Хельсинки).
Однако Yango продолжает работать на территории Финляндии. Этот сервис непосредственно связан с общей инфраструктурой «Яндекса» благодаря единой системе авторизации «Яндекс ID». Именно она позволяет пользователям без проблем заказывать такси независимо от страны.
«Все сделано централизованно, управляется в одном месте, ты приехал за границу и можешь пользоваться своим приложением заказа такси хоть в Алматы, хоть в Тель-Авиве. Так написан код, так работает сервис», — объясняет сотрудник компании.
Выделить все международные поездки в таких условиях — «большой геморрой, для которого придется переделывать всю архитектуру сервиса», объясняет источник «Медузы», близкий к руководству «Яндекса».
Впрочем, бывший директор по технологиям «Яндекса» Григорий Бакунов отмечает, что перенести данные все-таки можно, но для этого нужна «воля руководства».
И пользователи сами на это согласились?
То, что сервис «Яндекса» хранит данные в России, действительно видно и из документов компании. Англоязычные регламенты «Политики конфиденциальностиі», размещенные на сайтах «Яндекса» и Yango, практически идентичны. И один из пунктов в них явно позволяет хранение и обработку данных в России.
С другой стороны, в этих же текстах компания обещает, что обрабатывать персональные данные пользователей «Яндекса» будут компании из трех стран:
- Финляндии (для пользователей из ОЭЗ и Швейцарии);
- Израиля (для местных пользователей);
- России (для всех остальных).
Однако 22 февраля 2022 года — через месяц после внесения сервиса такси в реестр «Организаторов распространения информации» и за два дня до начала войны — «Яндекс» обновил свою политику конфиденциальности. Одно из изменений — появление оговорки о том, что в Финляндии больше не обрабатываются данные пользователей Yango, Yandex.Taxi и Deli (бренд доставки «Яндекса»).
Ранее между финским подразделением компании, Yandex Oy, и российским ООО «Яндекс» был заключен договор, предусматривающий условия передачи персональных данных пользователей из Европы в Россию. Один из пунктов этого документа предусматривал право финской компании приостановить передачу данных и расторгнуть договор «в случае изменения такого [российского] законодательства, которое с большой долей вероятности окажет существенное неблагоприятное воздействие на гарантии [конфиденциальности]».
Предполагается, что эти документы изучили все пользователи сервиса такси, под каким бы брендом он ни работал в конкретной стране. Например, впервые запустив Yango, пользователь должен ввести свой номер телефона и поставить одну птичку, подтвердив, что он прочитал пользовательское соглашение, лицензионное соглашение и политику конфиденциальности.
В Yango некоторые пользователи ставят эту птичку, не читая документов. Это известно не только из опыта заполнения аналогичных форм. Две из трех гиперссылок на англоязычные документы в программе просто не открываются. Вместо пользовательского соглашения и политики конфиденциальности, которые на самом деле можно найти на сайте yango.com, в обоих случаях появляется сообщение «Ошибка 404. Нет такой страницы» на домене rostaxi.org.
Более того, преамбула к лицензионному соглашению Yango запрещает использовать мобильное приложение, пока пользователь «полностью и безоговорочно» не принял условий во всех трех документах. При этом вместо упомянутой там «Политики конфиденциальности» ссылка в лицензионном договоре ведет на совершенно другой документ — «Уведомление о конфиденциальности».
Как ФСБ будет получать данные о поездках?
По мнению Григория Бакунова, российская спецслужба может работать с данными «Яндекса» двумя способами.
В первом случае сотрудники получат доступ к копии всего трафика сервиса, во втором — лишь к специальному каналу связи, куда будут выгружаться только интересующие ФСБ поездки пользователей.
По оценке Бакунова, второй вариант проще для ФСБ. Он объясняет:
— Представьте, что у вас есть две возможности. [Первая] — самостоятельно руками исследовать необработанную кучу данных. И вторая — при котором к вам, образно говоря, в почту приходят сообщения о каждой поездке по заданным параметрам типа «Пользователь Х с водителем Y проехал из точки A в точку B».
Дальше все в руках ФСБ — насколько им вообще захочется самостоятельно в общей куче разобраться. Если у них есть для этого специальные люди, то могут и почитать [весь массив поездок].
Во втором случае, уверен специалист, особый риск возникает для россиян, переехавших в страны бывшего СССР после начала войны.
«В массиве есть данные по такси в Кыргызстане, Казахстане, Армении, Грузии и прочих точках, куда россияне уезжали после начала войны. Это угроза, я бы сказал, более значимая, чем доступ к данным по Финляндии, Норвегии и Алжиру», — добавил Бакунов.
С ним согласился и один из сотрудников «Яндекса», пообщавшийся с «Медузой». Финны и норвежцы, по его мнению, «могут спать спокойно, а на месте наших граждан я бы волновался».
«Мы не знаем, есть ли у спецслужб достаточный объем мощностей, которые они готовы положить на это дело, сколько у них есть вычислительных ресурсов, «железа», высококвалифицированных разработчиков, [чтобы обработать весь массив поездок по России и за ее пределами]. Это большая морока, но сделать это можно», — подтвердил бывший сотрудник «Яндекса».
К каким данным будет доступ у ФСБ?
В теории — ко всей информации, которую собирает сервис такси. В уведомлении о конфиденциальности Yango приводится подробный перечень таких данных. Это и автоматически собираемая техническая информация. Например:
- IP-адрес;
- идентификатор устройства;
- его тип и модель;
- используемая операционная система;
- сведения о браузере или мобильном приложении.
И сведения, которые компании предоставляет сам человек:
- имя;
- телефонный номер;
- электронный адрес;
- банковская информация;
- комментарии пользователя;
- и главное — адреса поездок.
Разве GDPR не должна защищать хотя бы иностранцев?
GDPR действительно позволяет пользователям в любой момент отозвать свое согласие на обработку персональных данных. Более того, пользователь может воспользоваться своим «правом на забвение» — потребовать удалить или запретить использовать свои персональные данные.
При этом в некоторых случаях GDPR может защищать права даже жителей неевропейских стран. Например, если компания или ее подразделение, работающее с персональными данными этих лиц, зарегистрированы в Евросоюзе.
«Яндекс» неоднократно утверждал, что в Европе компания работает в строгом соответствии с нормами Евросоюза и GDPR. Такие заявления компания делала и летом 2018-го, когда Национальный центр кибербезопасности при Министерстве обороны Литвы заявил, что приложение «Яндекса» передает данные в Россию, — и весной 2022 года, когда Латвия запретила работу сервиса такси на территории страны
Сейчас права пользователей, гарантированные GDPR, упоминаются в уведомлениях о конфиденциальности приложений Yango и Yandex Go. И фактически до сих пор предоставляются не только жителям европейских, но и остальных стран.
В российской «Политике конфиденциальности» такие права пользователей тоже упоминаются. Но действуют они только в том случае, «если это предусмотрено применимым законодательством». Возможно, такая оговорка нужна из-за экстерриториальности GDPR: регламент защищает права резидентов и граждан Евросоюза вне зависимости от того, где они находятся. То есть российские компании формально тоже обязаны предоставлять европейцам права, гарантированные GDPR.
То есть можно попросить удалить данные — и все будет хорошо?
В теории это возможно (по крайней мере для иностранных пользователей). Для соблюдения GDPR «Яндекс» уже проработал вопрос удаления персональных данных пользователей сервиса такси. Это видно из утечки исходных кодов компании, ставшей публичной в начале 2023 года. Неанонимизированные данные пользователей удалялись с помощью takeout — внутреннего сервиса «Яндекса». В одном из документов компании утверждалось, что она готова была удалить персональные данные, «если нет необходимости хранить [их] вечно». В другом говорилось, что «Яндекс» не удаляет некоторые данные, связанные с платежами. Например, отказать в удалении данных должны были пользователю с непогашенным долгом и человеку, уличенному в мошенничестве.
В том же документе сотрудники «Яндекса» выделили в отдельную категорию данные, которые они могли не удалять (то есть все оставалось на усмотрение компании). Там упоминались «некоторые технические данные, которые не являются персональными», а также некие «исторические данные»: они тоже хранились в базе данных «Яндекс.Такси», но не были видны пользователю. Что это конкретно — «Медузе» неизвестно.
В уведомлениях о конфиденциальности приложений Yango и Yandex Go также отдельно оговаривается, что компания в любом случае не будет удалять данные, «которые необходимо хранить в соответствии с законом или для защиты наших интересов, в частности, в контексте судебных разбирательств». При этом в соответствии с российским «законом Яровой» ООО «Яндекс.Такси», как организатор распространения информации, обязан хранить данные пользователей в течение полугода. Таким образом, остается неизвестным, каким образом поступит компания, если ей поступит запрос на удаление данных от гражданина Евросоюза, пользовавшегося услугами сервиса такси в России: удалит все данные сразу или только через полгода.
Для удаления своих персональных данных или сразу всей учетной записи пользователям Yango и Yandex Go предлагают воспользоваться «Яндекс ID»: он управляет единым аккаунтом пользователя во всех сервисах «Яндекса». Однако непонятно, насколько эффективным будет удаление в условиях, когда у ФСБ будет прямой круглосуточный доступ к базам данных и появится возможность делать резервные копии до удаления информации.
«Я бы сказал так — если вы хотите попробовать скрыть связь между старым аккаунтом в «Яндексе» и новыми заказами такси в вашей нынешней стране проживания, то нужно разлогиниться из старого аккаунта, удалить приложение, поставить его заново — в идеале на новое устройство — и залогиниться с иностранной сим-карты, привязав к аккаунту иностранную банковскую карту», — говорит собеседник «Медузы», ранее работавший в «Яндексе».
После публикации этого материала «Медуза» получила ответ от сервиса Yango. В нем среди прочего говорится: «Законодательство России не распространяется на международный бизнес Yango и на пользователей Yango, поскольку они совершают поездки и используют приложение за пределами России. Это не изменится и после 1 сентября». Также подчеркивается, что все данные пользователей Yango якобы обрабатываются в соответствии с GDPR. На вопрос о том, где конкретно хранятся данные, в Yango не ответили.
Комментарии