...
Люди на самом деле не осознают масштаб. Это необязательно государственные органы, которые до конца, наверное, не понимают, как интернет работает, но и на самом деле моя мама, например. Она только сейчас начала понимать, что карточку в «Перекрёстке» ей дают не просто так, не за жалкие скидки, которые этот «Перекрёсток» предлагает, а за то, что потом её данные используют в ОФД, покупках, прогнозных моделях и так далее.

В общем, жителей вот столько, и о стольких есть информация в открытых источниках. О ком-то известна только фамилия, о ком-то известно всё, вплоть до порно, которое он лайкает (я всегда про это шучу, но это действительно так); и всевозможная информация: как часто люди путешествуют, с кем встречаются, какие покупки делают, с кем живут, как перемещаются – много всякой информации, которую могут использовать плохие, не очень плохие и хорошие ребята (я даже не знаю, какую шкалу сейчас придумать, но тем не менее).
...
Когда-нибудь к вам стучались ваши друзья старые школьные, с которыми вы давно не общались, а потом этот аккаунт исчезал? Есть такое среди плохих ребят, которые собирают телефоны: они анализируют друзей (а список друзей почти всегда открыт, даже если человек закрывает свой профиль, либо список друзей можно восстановить «в обратную сторону», собрав всех остальных пользователей), берут какого-нибудь неактивного вашего друга, делают копию его странички, стучатся к вам в друзья, вы его добавляете и через две секунды аккаунт удаляется; но при этом копия вашей странички осталась.
...
Я всегда заказываю еду всегда в соседний дом, потому что «Деливери Клаб» очень часто ломают, и у него реально есть такие проблемы. А недавно я очень удивился: заказывал продукты, и на коробке, которую относил на мусорку, наклеен стикер, на котором написано – «Артур Хачуян», номер телефона, адрес квартиры, код от домофона и e-mail. Мы даже на самом деле пытались договориться с московским муниципалитетом, чтобы дали доступ на помойку: в общем, приехать на склад отходов и попробовать чисто ради интереса попробовать найти какое-нибудь упоминание данных персональных – сделать что-то вроде мини-исследования. Но нам отказали, когда узнали, что мы хотим с сотрудниками Роскомнадзора прийти.
...
Но те, кто читал лицензионное соглашение «ГетКонтакта» – там написано: спам в неограниченном количестве в неограниченное время, продажи ваших данных бесконтрольно третьим лицам, без ограничения прав, срока давности и вообще всего, чего только можно. И это на самом деле не такая супер-редкая история. Вот мне «Фейсбук», пока я там был, по 15 раз в день показывал уведомления: «А синхронизируй-ка контакты, а я тебе найду всех твоих друзей, которые у тебя есть!».
...
Знаете, чем отличается российский закон (а он практически белорусский) от, например, GDPR’а? Российский 152-й ФЗ защищает данные (это пережиток советского прошлого) – документ, который защищает данные от утечки куда-то. А GDPR защищает права пользователей – права на то, что они лишатся каких-то свобод, привилегий или ещё чего-то, потому что их данные куда-то утекут (они прямо в «дата-ли» ввели такое понятие). А у нас всё, что тебе могут вменить – штраф за то, что у тебя нет сертифицированного «опен»-«Экселя» для обработки персональных данных. Надеюсь, что это когда-нибудь поменяется, но, думаю, что не в ближайшее время.
...
Ещё интересно – было где-то год или полтора назад – начал развиваться тренд в Америке, когда люди ставили расширение для браузера для того, чтобы оно шифровало сообщения «Фейсбука»: пишешь что-нибудь человеку, он ключом на устройство его шифрует и отправляет белиберду в открытый доступ. Вот «Фейсбук» в течение полутора лет судился с этой компанией и таки непонятно на каких основаниях (потому что я плохо разбираюсь в американском праве) заставил их удалить это приложение и потом сделал поправку в пользовательском соглашении: если вы посмотрите, там есть такой пункт, что вам нельзя передавать в зашифрованном виде сообщения – там как-то это так хитро описано, что нельзя использовать криптографические алгоритмы для того, чтобы видоизменять сообщения – ну, есть такое. То есть они сказали: либо ты пользуешься нашей платформой, пишешь в открытом доступе, либо не пишешь.
...
но в России существует сейчас всё большее количество прецедентов, когда для суда такое основание появляется, если есть некая модель, которая спрогнозировала определённое, хорошее или плохое, поведение.

То есть у нас никого не могут посадить (и это хорошо) за то, что вы попали в некую статистическую выборку чистокровных убийц – и это хорошо, потому что нарушает презумпцию невиновности; но есть прецеденты, когда результаты подобных прогнозов использовались для получения судебного разрешения на получение данных. Не только в России, кстати. В Америке тоже такая штука есть.
...
Потому что, когда человек фотку делает, он же не всегда думает о том, сколько всего интересного можно с неё узнать? А сколько уж в России выкладывают паспортов новорождённых?.. Или: «Ура, мой ребёночек получил визу»! Это вообще боль современного общества.

Такой ещё офтоп (я сегодня буду делиться с вами фактами): в Москве самый частый слив персональных данных – это ЖКХ, когда на дверь вешают список должников, а эти должники потом подают в суд, потому что их персональные данные в открытый доступ попали без их разрешения. Вдруг с вами такое случится… Суть в том, что человек, когда делает что-то, он же не знает, что было на той фотографии, чего не было. Номеров автомобилей сейчас много.
...
Вообще, РКН российский не считает одну фотографию персональными данными – он считает персональными данными, если рядом есть ещё что-то (например, ФИО или номер телефона), а сама по себе фотография эта – вообще ничто. Как только ввели закон о биометрии, и биометрические данные приравняли к персональным (так, очень грубо), все сразу начали говорить: это не биометрические данные, это массив точек! Особенно, если от этого массива точек взять прямое или обратное преобразование Фурье, вроде как деанонимизировать человека назад вы из этого преобразования не можете, но идентифицировать его вы можете. Чисто теоретически закон эта штука не нарушает.
...
На самом деле никто не знает, что такое персональные данные. Важная концепция! Когда я прихожу в государственные органы, говорю: «Бутылку коньяка тому, кто скажет, что такое персональные данные». И никто сказать не может. Почему? Не потому, что они глупые, а потому, что никто не хочет брать ответственность на себя. Потому что, если Роскомнадзор скажет, что вот это персональные данные, завтра кто-то что-то сделает, а они будут виноваты; а они – органы исполнительной власти и вообще не должны ни за что отвечать.
...
Есть очень много схем, которые вроде как околозаконны (то есть законны). Например, история следующая: из 15 крупнейших российских банков только два являются собственно смс-шлюзом – «Тинькофф» и «Альфа», то есть они сами шлют свои смс-ки. Остальные банки используют смс-шлюзы для отправки смс-ок конечным клиентам. Эти смс-шлюзы почти всегда имеют право анализировать контент (типа, на предмет безопасности и каких-то своих выводов) для того, чтобы потом продавать агрегированную статистику. Эти смс-шлюзы «дружат» с операторами фискальных данных, которые оперируют чеки.
...
Таким образом, вас быстренько в ОФД привязали к вашему номеру телефону, а ваш номер телефона привязан к рекламным идентификаторам, вообще ко всему-всему-всему. Поэтому вас можно потом догнать: пришли в магазин, а вам потом ещё какую-то чушь присылают без разрешения.
...
«Тор» нет, вообще ни в каком виде. Я, правда, не знаю, как в Белоруссии – в России вообще ни в коем случае туда не заходить, потому что практически большинство «грейснод» верифицированные внезапно добавляют некие пакеты к вашему трафику. Не знаю какие, но если вы посмотрите: есть «ноды», которые маркируют трафик, – непонятно, кто это делает, в каких целях, – но кто-то его маркирует в заголовке для того, чтобы потом можно было понять.
...
На самом деле самая большая жесть, которую я видел в жизни своей (из всей этой темы): где-то полтора-два года назад в Подмосковье поймали педофила и во время следственных действий у него на компьютере нашли несколько самоучителей по «Питону», скрипты, Api VK. Он собирал аккаунты девочек, анализировал, кто из них находится поблизости, собирал, контент, который они… Короче, ты понял. Вот это самая большая жесть, которую я видел. И этого я на самом деле боюсь, что в один прекрасный момент кто-то что-то подобное учудит.

Ещё один маленький «офтопчик»: Европейская организация государственной безопасности в том году делала доклад, что процентов где-то на 20, на 25 что ли увеличилось количество краж с банковских счетов, когда взламывали секретный вопрос. Подумайте просто сейчас о своём секретном вопросе в банке, и подумайте, смогу ли я узнать на него ответ из открытых источников. Если у вас там девичья фамилия матери стоит или любимое блюдо…
...
Самая известная история – в «Гугле», когда в Юте девочку похитили, её не могли найти, и в один прекрасный момент похитители прислали её фотки во вложении архивированном. И «Гугл», сканируя это вложение, обнаружил признаки детской порнографии. Всех нашли. А они ещё ухитрились на «Гугл» в суд подать за то, что они тайну переписки нарушили. Это разбирательство достаточно долго проходило.
...
Сейчас практически все кафе идентифицируют всё подряд – там не только номер телефона, там есть куча пикселей, там идентификация устройства, мак-адрес и чего там только нет, для того чтобы потом это использовать – от рекламных целей до оперативно-розыскных мероприятий. Поэтому с такими штуками нужно быть очень осторожными. Вы не только можете что-то написать, а с вашего устройства могут написать, а потом что-то произойдёт.

Вы, может, видели историю о том, что сейчас делают расследование, как (в Белоруссии, кстати, тоже) сдают аккаунты «Фейсбука» в аренду, типа для реклам казино. А по факту неизвестно для чего, ещё и доступ к компьютеру дают. Вот таких штук нужно максимально опасться. Если вы решите откуда-то что-то анонимно написать… Я пришёл бы в кафе и врубил бы VPN какой-нибудь крутой. Но на самом деле (опять же, ни на кого не показываю пальцем), когда будете аккаунт в VPN’е, вы проверьте, кому принадлежит этот VPN, какой компании, кому эта компания принадлежит и так далее. Потому что большинство игроков рынка VPN не совсем хорошие ребята.
...
Это самая сложная история в этике больших данных – предугадать социальный эффект, который будет там через 15 лет. Вот я, например, очень долго умоляю прокуратуру открыть информацию о преступности. Данные криминальной статистики – это один из краеугольных камней любой статистики; все этого очень хотят. Но, например, в России криминальную статистику не открывают по очень простой причине: боятся нарушить демографию внутри городов. Считают, что люди перестанут жить в каких-то городах, даже внутри города всё как-то перераспределится. По этой же причине не раскрывают статистику ЕГЭ – сами понимаете, что в какие-то школы люди пойдут, в какие-то не пойдут.
...