Скандал с приложением FaceApp (разработано российской компанией Wireless Lab), которое "состаривает" или "омолаживает" фотографии пользователей, продолжает набирать обороты. За последние несколько дней приложение стало вирусным: пользователи активно делились фото из FaceApp в соцсетях. Но утром 18 июля американский сенатор Чак Шумер обратился к ФБР и Федеральной торговой комиссии с просьбой расследовать FaceApp и обвинил российских разработчиков в том, что их продукт ставит под угрозу национальную безопасность США и его жителей.
Приложение, как утверждал Шумер, получает "полный и бесповоротный доступ к фотографиям и личным данным" тех, кто его устанавливает на свой смартфон, и передает эти данные и фото третьим лицам, в том числе иностранным государствам. Другие эксперты также отметили, что именно это было написано в пользовательском соглашении, которое, как это обычно и бывает, читал мало кто из пользователей, загрузивших продукт на свой смартфон.
Руководство FaceApp выпустило заявление и попыталось объяснить, что обвинения Шумера не соответствуют действительности:
"Мы не продаем и не передаем какие-либо пользовательские данные третьим лицам. FaceApp выполняет большую часть обработки фотографий в облаке. Мы загружаем только фотографию, выбранную пользователем для редактирования. Мы никогда не переносим другие изображения из телефона в облако", – говорится в сообщении Wireless Lab.
Отдельно в заявлении было сказано, что хотя основная группа разработчиков и находится физически в РФ, но при этом данные никаким образом не передаются в эту страну.
Насколько справедливы обвинения американских сенаторов в адрес приложения? И кому на самом деле FaceApp передает данные и какие? Телеканал "Настоящее Время" расспросил об этом специалиста по кибербезопасности Алекса Пацая.
– Что это за "поставщики услуг", которым FaceApp, как следует из его пользовательского соглашения, может передавать информацию из приложения?
– Один из комментариев по поводу FaceApp был как раз по поводу политики конфиденциальности, которая существует в этом приложении. Были претензии, что она не соответствует требованиям GDPR (Генеральный регламент о защите персональных данных, General Data Protection Regulation, который действует в странах ЕС с 2018 года). И, соответственно, эксперты указывали на то, что не стоит ожидать, что FaceApp будет соблюдать соглашение о конфиденциальности пользовательских данных и охранять информацию о пользователях, которую оно получает.
Я лично думаю, что в данном случае разработчики приложения просто использовали некую стандартную заготовку для пользовательского соглашения. И заранее не подумали о том, что случится, если их приложение станет популярным и в него будут загружены тысячи пользовательских фотографий.
Что касается организаций, которые могут выступать "третьими лицами" и которым могут быть переданы данные о пользователях приложения, то ими могут быть кто угодно. Начиная от госорганов и заканчивая рекламными компаниями, которые в будущем могут захотеть искать людей по фотографиям и пытаться продавать им рекламу. Или это могут быть партнеры, которые используют полученные фотографии для дальнейшего обучения нейронных сетей на базе информации, которую можно получить из этих фотографий.
Такие истории ранее неоднократно были. Были компании, которые собирали пользовательские фотографии. Впоследствии они тренировали нейронные сети для правоохранительных органов, чтобы системы распознавания лиц для полиции работали более качественно.
– В пользовательском соглашении FaceApp также есть пункт, что пользовательские данные могут передаваться "любому государству, вне зависимости от уровня защиты информации в этой стране".
– Скорее всего, разработчики опять же взяли стандартный шаблон соглашения. И скорее всего, основатели компании уже об этом пожалели, учитывая уровень разгоревшегося вокруг приложения скандала и уровень внимания к этому приложению. Возможно, они это соглашение изменят.
– А что, так можно делать?
– Да, юридически пользовательские соглашения могут меняться и могут применяться ретроспективно. Компания может объявить, что все данные, которые были получены ранее, будут подпадать под новую политику.
– А как быть с заявлением разработчика FaceApp: "Вы неправильно понимаете нашу систему, мы загружаем в облако только те фотографии, которые в приложении выбирают сами пользователи, речь не идет обо всем фотопотоке или фотоархиве". Это действительно так?
– Эта фраза была произнесена, когда разработчики комментировали предположения некоторых пользователей: те заподозрили, что приложение получает доступ ко всей библиотеке их изображений и всю ее загружает в облако. Изучение сетевого трафика этого приложения показало, что на самом деле вся библиотека не передается. Передается только конкретная фотография для последующей обработки на сервере.
К этому процессу тоже есть вопросы, потому что в целом похожую обработку уже можно делать и на современных смартфонах: и на тех, которые делает Apple, и на смартфонах Google. Все они имеют встроенный процессор для работы с нейронными сетями и для применения технологии машинного обучения.
Но мне кажется, в данном случае разработчик приложения немного лукавит: они говорят, что "мы просто экономим время работы процессора для того, чтобы пользователь, один раз загрузив фотографию на сервер, мог получить сразу несколько разных вариантов обработки снимка". Все, что они делают, в принципе можно делать на мобильном устройстве, вообще не передавая фотографию в интернет.
– Но пользовательское соглашение FaceApp все равно дает возможность разработчику забирать другие данные пользователя с его смартфона, не только одну выбранную фотографию?
– В целом, наверное, да. Но что касается фотографий... Я не знаю, как это сделано в операционной системе Android, но в IOS (она применяется в мобильных устройствах Apple) системные вызовы построены таким образом, что разработчик получает доступ только к фотографии, которую указал пользователь, а не ко всей библиотеке.
– То есть страхи по поводу приложения и пользовательских данных несколько преувеличены?
– Скажем так: истерии вокруг ситуации с FaceApp немного больше, чем приложение того заслуживает. Особенно это идет из США, где принадлежность самого приложения российским разработчикам уже вызывает панику, учитывая опыт 2016 года (эксперт имеет в виду обвинения России во вмешательство в выборы президента США – НВ). Соответственно, шумиха вокруг возможностей приложения и отношения приложения к пользовательским данным несколько раздута.