В Соединённых Штатах разгорается беспрецедентный скандал вокруг интернет-провайдеров. Давно уже не случалось ничего подобного по накалу страстей и масштабу последствий! А причина простая: провайдерам дали добро на использование и перепродажу информации о своих клиентах. И разобраться в происходящем тем более полезно, что параллели с отечественной практикой самые прямые.

Чтобы понять, что произошло, нужно сделать экскурс в предысторию вопроса. Долгое время законодательство США не регулировало сбор и использование провайдерами данных, порождаемых пользователями. К таким данным относится всё, что можно узнать, наблюдая за работой клиента в интернете: адреса посещаемых им страниц, список используемых приложений, вообще содержимое входящего и исходящего потоков информации. В результате если провайдер желал, то мог анализировать принимаемые и передаваемые клиентами данные — извлекая из этого какую-либо выгоду (а способов сделать это, как вы увидите, множество). Никто этого не разрешал, но и не запрещал тоже никто: вопрос находился в «серой зоне» права. И все, кто мог, этим пользовались.

Однако минувшей осенью были приняты некоторые поправки, серьёзно поменявшие схему работы . Вступить в силу они должны будут в декабре и требуют, в частности, испрашивать у клиента явное согласие на сбор его данных и тем более их передачу третьей стороне. Для провайдеров это означало выход из «серой зоны» и миллионы недополученной прибыли! Поэтому они начали лоббировать отмену поправок — и добились своего.

На днях предварительно одобрили законопроект, не только отменяющий ограничительные поправки, но и запрещающий впредь ограничивать работу провайдеров подобным образом. Пока закон не принят, он должен пройти через ещё одно голосование и президента, но ожидания пессимистичные: скорее всего он принят будет.

Представьте, что провайдеры - привратники интернета. И вот теперь им дали право не только раздевать вас догола, чтобы обыскать, но и отбирать вещи по своему усмотрению!
А это означает, что рядовые американцы, пользующиеся интернетом на компьютере или телефоне, теперь уже на законных основаниях превратятся в дойных коров. Только доить их будут не ради молока, а ради информации. Вот вам лишь четыре наиболее вероятных сценария (уже реализованных в прошлом, когда такая активность ещё не была ни запрещена, ни разрешена), как заработать деньги на сборе, анализе и перепродаже информации, порождаемой пользователями.

1) Провайдер записывает адреса посещаемых клиентами страниц и продаёт список какому-нибудь маркетинговому агентству. Это самый безобидный вариант: собранные данные по крайней мере обезличены, да и провайдер ведёт себя скромно, только наблюдая.

2) Провайдер перехватывает поисковые запросы. Когда только возможно, он ловит ваш запрос к поисковой системе и переправляет его сторонней компании. Та, в зависимости от собственных намерений, либо отправляет запрос поисковику (так что вы ничего не замечаете), либо переадресует вас на посторонний сайт, как-либо связанный с содержимым запроса (например, вы искали «кроссовки» и попали на сайт Adidas). Естественно, всё это не бесплатно, но только не для вас: вы скорее всего даже не поймёте, что происходит, почему вместо поисковой машины вдруг попали на сайт производителя спортивной обуви.

3) Провайдер врезает рекламу. Клиентский трафик автоматически анализируется и в подходящие моменты прямо в него врезается, например, рекламный банер. Пользователь опять-таки не поймёт, что произошло: он просто увидит на просматриваемой странице новый банер, взявшийся невесть откуда, но не будет знать, кто это сделал.

Другой вариант: провайдер будет метить исходящие от вас интернет-пакеты присвоенным вам уникальным номером (его называют «суперкука» или «зомби-кука»). Для большинства окружающих этот номер ничего не значит, но компаниям, которые с вашим провайдером сговорятся и которым он номер сообщит, такая метка позволит идентифицировать вас. И, например, предложить что-то из своих товаров или услуг, точно зная, что это вы.

4) Наконец на мобильные устройства можно предустанавливать приложения, которые будут незаметно отслеживать интернет-активность пользователя. Представьте: купили смартфон от оператора X, а на нём стоит программа-шпион, рапортующая X о ваших интернет-привычках. Такое уже случалось и бороться с этим труднее всего.

Впрочем и вообще противостоять любопытству провайдеров, когда оно легализовано, весьма непросто. Да, способы есть, но сводятся они почти все к шифрованию и технически сложны. Легче всего помешать слежке, предпочитая сайты, умеющие работать по защищённому соединению: в адресной строке браузера должно стоять HTTPS:// вместо HTTP://. Однако это не гарантирует результат. Надёжней всего законодательно обязать провайдеров спрашивать разрешения на сбор и модификацию трафика.


Если же оставить всё как есть, провайдеры выжмут из клиентов все соки. Собранную информацию будут продавать не только рекламщикам и социологам, но и например работодателям и страховым компаниям. Все желающие, способные за такую информацию заплатить, будут знать, что вы читаете, ищете, покупаете, кто вы и кто с вами, чем вы больны, что планируете. Тут, правда, встают новые правовые вопросы, но пока они не урегулированы, пока они находятся в «серой зоне», найдутся предприимчивые дельцы, которые будут этим пользоваться к своей выгоде. Вот почему законопроект, разрешающий провайдерам манипулировать информацией пользователей, вызвал такой шквал протестов: активисты призывают поставить ему заслон, пока не поздно.

И тем интересней как обстоят дела у нас. А у нас — поправьте, если что-то изменилось — вопрос сбора и перепродажи пользовательской информации по-прежнему находится в «серой зоне», то есть законом не регулируется. Формально, Конституция и некоторые федеральные законы декларируют право гражданина на тайну переписки и предоставление персональных данных третьей стороне только с согласия самой персоны. Однако проблема в том, что интернет-трафик под эти законы явно не подпадает.

В результате некоторые компании уже много лет зарабатывают на тайном сборе клиентской информации. Как, например, компания iMarker: она договаривается с провайдерами, ставит к ним своё оборудование, которое перехватывает трафик и записывает, куда клиенты в интернете ходят. А после эту информацию продаёт на сторону. Формально закон не нарушен, потому что собранные данные не считаются персональными (не ФИО, не номер телефона!).

Поэтому в наших общих интересах законодательно обязать провайдеров спрашивать разрешения клиента на сбор любой информации, им порождённой или предоставленной. Иначе мы рискуем повторить американский сценарий. Вспомните четыре варианта, озвученных выше: пока ещё в России их не применяли, либо применяли только в ограниченном масштабе.

P.S. Использована графическая работа Matteo Papagna.

Если вам понравилась статья - порекомендуйте ее своим друзьям, знакомым или коллегам, имеющим отношение к муниципальной или государственной службе. Нам кажется, что им это будет и полезно, и приятно.
При перепечатке материалов обязательна ссылка на первоисточник.