Выйти из сумрака, но немножко

1. Тексты
2. 10 мая 2020
3. tech privacy

Как я и опасался перед публикацией предыдущей заметки — всё пошло не так, как хотелось бы. В комментариях было сказано довольно много разных слов, но существенная часть из них относилась не к идее, описанной в заметке, и даже не к конкретному варианту реализации, а к неприкосновенности личной жизни в целом и анонимности игроков в ММО в частности.

Было высказано много соображений про персональные данные — как достаточно здравых, так и весьма далёких от действительности. В результате — тема деанонимизации, похоже, перетянула одеяло на себя. Я решил немного подробнее коснуться этих самых персональных данных и технической стороны их сбора.

Для начала условимся о терминах — чтобы на определённом этапе не оказалось, что мы имеем в виду разные вещи:

Анонимность — невозможность точной идентификации человека.

Итак, ещё раз: отсутствие анонимности — это когда вы знаете, что аккаунт 7234687263 со всеми привязанными к нему персонажами принадлежит Ивану Ивановичу Пупкину, номер паспорта 4500 123456, проживает на Третьей улице Строителей…

Когда вы знаете, что Нагибатор666 и Феяняшечка — персонажи одного человека с аккаунтом номер 7234687263, это НЕ деанонимизация. Даже если вы знаете (хотя фактически — вовсе не обязательно для предоставления сервиса это знать), что аккаунт 7234687263 зарегистрирован на номер телефона +7 485 001 02 03 и почту trustno1@mail.ru — это тоже НЕ деанонимизация.

Идея в прошлой заметке, если максимально её сублимировать, заключалась в том, что перед логином в игру вы, помимо пароля, предоставляете приложению ряд биометрических данных, которые прямо там, в приложении, обезличиваются, превращаясь в абстрактный хэш, который улетает на сервер. Затем, чтобы подтвердить, что играет тот же человек, который логинился, используются и другие метрики, более косвенные — паттерны поведения, лексика и т. д.

Термин номер два:

Персональные данные (в соответствии с законом РФ 152-ФЗ) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Формулировка довольно размытая и, к сожалению, разъяснения профильных государственных органов картину не улучшают. Однако, нам нужно с чего-то начать — например, с перечня того, что абсолютно точно является ПД:

• Фамилия, имя, отчество
• Год, месяц, дата и место рождения
• Адрес места регистрации и проживания
• Семейное, социальное, имущественное положение
• Образование, профессия, доходы
• Паспортные данные
• Биометрические данные

Продолжим другим списком — того, что точно НЕ является ПД:

• Адрес электронной почты, номер мобильного телефона без указания их владельца (см. разъяснение РКН)
• Любые софтварные и хардварные идентификаторы — IMEI, IP и MAC-адреса, HWID компьютера, куки и другие способы фингерпринтинга через браузер

Про последний пункт хочу рассказать подробнее, поскольку многие, кажется, не понимают — почему так. Всё, на самом деле, очень просто — персональные данные, как было сказано выше, это информация, относящаяся к определенному физическому лицу. IP-адрес относится не к человеку, а к пакету, переданному по сети, IMEI и MAC-адрес — к устройству (вдобавок оба легко меняются), куки и фингерпринт — к браузерам, да ещё и не к совсем конкретным. Во всех этих случаях невозможно однозначно судить, что за человек всем этим пользовался — поэтому и не ПД.

Если подходить к вопросу предельно педантично — то ни ФИО, ни дата рождения, ни адрес проживания по отдельности не идентифицируют человека однозначно.

Недопонимание, как мне кажется, произрастает из отождествления наличия у кого-либо ПД человека и возможности деанонимизации — а это ведь далеко не всегда связанные вещи. Условные спецслужбы могут идентифицировать объект с помощью данных, и не являющихся ПД — электронная почта, IP, аккаунт в соцсетях — просто потому, что у них есть возможность отследить путь несчастного пакета через интернет до домашнего провайдера, запросить у последнего логи — и получить информацию о конкретном клиенте с указанием его ФИО и места жительства. Как видите, ПД здесь появляются только в самом конце — да и то, у «кого надо» все ваши данные есть и так — вместе с доступом к многочисленным базам — из паспортных столов, налоговых, пенсионных фондов, банков.

Владельцы обычных интернет-ресурсов же подобными полномочиями и доступами не обладают — поэтому знание о вашем IP, номере телефона и почте не даст им практически ничего. Да, можно начать копать в интернете, сопоставляя информацию из соцсетей, геотэги фоточек в альбомах, просматривая тексты человека на предмет какой-либо деанонимизирующей информации — но сделать это можно и зная один-единственный ник или логин в ФБ или контактике.

Опять же — видите, деанонимизация вполне осуществима вовсе без знания какой-либо чувствительной информации, не говоря уж о ПД.

Отдельным параграфом мне хотелось бы коснуться биометрических данных. Тут, признаю, всё довольно плохо — в плане того, что российское законодательство в данном случае действует по принципу из известного анекдота — "ну, аппарат-то есть":

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Иначе говоря, никого не интересует, собираете ли вы эти данные, сохраняете ли, обезличиваете ли — если существует хотя бы гипотетическая возможность (ну, скажем — приложение просит доступ к микрофону и камере телефона) такие данные собрать, то всё — с юридической точки зрения вы становитесь Оператором ПД со всеми вытекающими обязанностями. Сбор данных — это уже обработка, даже если вы сразу после получения отпечатка пальца, фотографии и примера голоса обезличиваете эту информацию.

Поэтому, кагбе, прошлая заметка и была с ремаркой — «сейчас, в 2020 году — не получится». Мне, как технарю, вполне очевидно, что обезличенные данные не должны обладать такими же драконовскими обязанностями по защите, как и обычные. Их и данными-то, блин, назвать нельзя — как и любую другую строку, схлопнутую хэш-функцией в набор шестнадцатеричных символов.

Анонимность, на мой взгляд — важнейшее право любого человека, особенно в интернете.

И мне было довольно странно читать комментарии с обвинениями, что, мол, я хочу лишить её игроков. Нет, нет и ещё раз нет. Торжественно заявляю, что в предложенной мной идее анонимность нисколько не нарушается — просто не нужно её путать с чем-то другим, например, глобализацией информации об игровых персонажах и их действиях.