Почему сервисы с тяжёлым отслеживанием стоят вам дороже, чем вы думаете
Большинство приложений собирают гораздо больше, чем им нужно для работы. Вот что эти данные действительно делают, кто на этом зарабатывает и почему риск не остаётся с компанией, которая их собирает.
Большинство приложений прекрасно работают, не зная, кто вы. Картографическое приложение может вас провести, не сохраняя все места, где вы были за пять лет. Дашборд аналитики может сказать вам, сколько людей прочитали ваш последний пост, не отслеживая этих людей по всему остальному вебу. Приложение для заметок может сохранить ваши заметки, не записывая каждое нажатие клавиши и время, проведённое на каждом документе.
Сбор данных, который происходит в любом случае — сверх того, что необходимо для предоставления услуги — это не случайность. Это сам продукт.
Что на самом деле собирается
Стандартный стек отслеживания в типичном веб-приложении или мобильном сервисе включает: идентификатор устройства, IP-адрес, отпечаток браузера, поток поведенческих событий (каждое нажатие, прокрутка и наведение), точное местоположение, продолжительность сессии и ваш шаблон активности во времени. Это объединяется с покупками сторонних данных и используется для построения рекламного профиля, который продаётся или лицензируется тем, кто готов заплатить.
Это не спекуляция. Это документировано в условиях обслуживания каждой крупной платформы, в строках согласия, которые генерируют баннеры cookie, и в решениях о принудительном исполнении органов защиты данных по всему ЕС, Великобритании и США.
Кому это выгодно — и это не вы
Компания получает подробную модель вашего поведения. Вы получаете продукт, который работает. Это сделка — и большинство пользователей явно её не заключают, потому что сбор происходит в фоновом режиме, а согласие живёт в заранее отмеченных флажках и меню настроек, скрытых на три уровня в глубину.
Для чего используется модель: таргетинг рекламы, прогнозирование оттока, ранжирование контента, настроенное на максимизацию вовлечённости в ущерб качеству, и во многих случаях перепродажа брокерам данных, которые агрегируют это с записями из других источников. Профиль брокера может включать предполагаемые состояния здоровья (по шаблонам поиска), финансовое положение (по поведению трат), политические взгляды и отношения. Ничто из этого не требует, чтобы вы явно поделились чем-то из этого.
Проблема утечки
Собранные данные, которые не нужны, — это ответственность. База данных поведенческих профилей — высокоценная цель. Когда она утекает — а утечки на крупных платформах стали обыденностью — ущерб постоянный. Нет способа отозвать запись, которая уже была эксфильтрирована.
Сервисы с приоритетом конфиденциальности уменьшают эту уязвимость, изначально не собирая данные. Вы не можете утечь то, чего не существует. Сервис, который хранит только то, что необходимо для работы, имеет гораздо меньший радиус поражения, когда что-то идёт не так. Это не философская позиция — это решение архитектуры безопасности.
Как разница выглядит на практике
Сервис с приоритетом конфиденциальности задаёт один вопрос перед каждым решением о сборе: необходимо ли это для функционирования услуги? Если ответ нет, он этого не собирает.
Для аналитики: URL страниц, домены реферера, страна, тип устройства и ежедневный счётчик посетителей, выведенный из одностороннего хэша. Не: постоянный идентификатор пользователя, поведенческое воспроизведение сессии или межсайтовый профиль.
Для приложения для коммуникаций: доставка сообщений. Не: журналы метаданных о том, с кем вы разговариваете, когда и с какой частотой.
Для инструмента продуктивности: ваш контент, синхронизированный. Не: поток телеметрии, отправляемый обратно для классификации ваших шаблонов использования.
Продукты всё ещё работают. Удаляется именно слежка.
Накапливающийся риск
Каждый сервис, который собирает больше, чем ему нужно, добавляется к совокупному профилю о вас, который распределён по десяткам баз данных, которые вы никогда не проверяли, принадлежащих компаниям с политиками хранения, которые вы никогда не читали, подверженных юридическим запросам, о которых вы никогда не узнаете.
По отдельности любая единичная точка данных кажется безобидной. В сочетании между сервисами и во времени это подробная картина вашей жизни — такая, к которой будущий работодатель, правительство или противник может получить доступ через утечку, повестку или покупку у брокера данных.
Выбор сервисов с приоритетом конфиденциальности — это ставка на то, что риск останется меньше, когда данные изначально не накапливаются. Учитывая, как на самом деле работает динамика утечек и агрегации, это не консервативная ставка — это рациональная.