Законы от слежки не помогут

Противостояние “брони и снаряда” переходит в юридическую область. С июля в окружной суд центрального округа Калифорнии подано уже шесть исков против компаний, занимающихся рекламой в интернете. Их обвиняют в установке “слишком незаметных” средств, позволяющих отслеживать онлайн-действия пользователей без их ведома.

Использование cookies (небольших фрагментов информации, которые браузер хранит на стороне пользователя и к которым есть доступ у веб-сайта) для аналогичных целей суды признали вполне соответствующим американскому законодательству в 2001 и 2003 годах. С тех пор cookies стали основой для 23-миллиардной рекламной индустрии. Хотя изначально эта технология разрабатывалась с учетом требований приватности, бизнес оказался важнее.

Сейчас же речь идет о том, что даже если пользователь отключает cookies (в современных браузерах это легко) или удаляет их вручную, все еще есть способы его “пометить” и впоследствии “узнать”. В частности, такую возможность предоставляют технологии Flash, Silverlight и HTML5.

Вопрос в том, насколько это законно, — или хотя бы этично. Если пользователь удаляет идентифицирующую его информацию, это достаточно ясно выражает его намерение не давать сайтам возможности “слежки”. С другой стороны, это — интернет: не нравится, не пользуйся. Компания Ringleader Digital, предоставляющая услуги “интернет-трекинга” желающим изучить “сетевое” поведение пользователей iPhone, предлагает компромиссный вариант: можно посетить ее сайт и отказаться от “сервиса”. Не очень честно: типовой пользователь просто не догадается о том, что это нужно сделать.

Кто сейчас знает в интернете больше всего о нас и наших интересах? Конечно, поисковые системы. Их интерес чаще всего кажется невинным и даже нам удобен: они предлагают нам установить “тулбар” для улучшения поиска и обратной связи или хотя бы просят зарегистрироваться. Но если мы от этого вежливо отказываемся, они все равно следят за нами с помощью cookies. Некоторым хотелось бы пойти и дальше: так, помнится, “Яндекс” в порядке эксперимента как-то установил у себя тот самый вариант flash cookie, который сейчас стал предметом разбирательства в Штатах. Но ненадолго: бдительные пользователи заметили и тогда “дуло исчезло”.

Какие-то ограничения на использование систем отслеживания в онлайне, вероятно, будут. По крайней мере, в США уже сейчас обсуждаются два законопроекта, а Федеральная торговая комиссия до конца года собирается разработать регулирующие документы. Возможно, даже появится глобальный список тех, кто не хочет, чтобы за ними следили, — что уже смешно.

Но самое интересное начинается дальше. Допустим, подобный трекинг запрещен и законодательно, и технологически. Но и без всяких cookies наши браузеры оставляют в сети уникальные и различимые “отпечатки пальцев”. Они складываются из вполне обычной информации, которая не имеет никакого отношения ни к IP-адресам, ни к использованию данных геолокации, ни к недавно закрытой уязвимости, позволявшей получить сведения о том, какие сайты посещал пользователь.

Нет, это самые обычные вещи: часовой пояс, версия программного обеспечения, режим видеокарты, установленные шрифты, языковые предпочтения и т.д. Это все, что браузер сообщает о себе, чтобы сайт мог оптимизировать для него то, что в конце концов появится на экране. Получается такой эффект очень просто: уникальные и несвязанные между собой характеристики складываются. Если, предположим, тот или иной размер и разрешение экрана характерны для одного из 15 человек, пользующихся сайтом, а набор предпочитаемых языков — для одного из двухсот, то на выходе у нас — набор уникальных характеристик, позволяющих выделить “нашего” пользователя уже из трех тысяч других. Посмотреть, как это работает, можно с помощью вот такой штуки.

Я попробовал с ней немного поразвлекаться. Мой клиент уникален среди миллиона с лишним посетителей сайта. По четырем, а то и больше параметрам одновременно. Ладно, думаю: и система не самая распространенная, и конфигурация странная; попробую сделать то же самое с обычным Internet Explorer 8 в конфигурации по умолчанию под управлением Windows XP. Все равно уникален. Не по четырем параметрам, а всего лишь по сумме остальных, но результат-то прежний. И “режим приватности” в браузере на него не влияет. Отключение лишних плагинов и запрещение скриптовых языков влияет, но не кардинально.

Страшно? А еще есть телефоны. Сотовые компании знают о нас едва ли не больше, чем поисковые системы: у них есть самые точные карты социальных связей (значительно более точные, чем у социальных сетей) и к тому же полная информация о нашем перемещении. Еще сотовые операторы отличаются тем, что, как правило, находятся в той же юрисдикции, что их пользователи. В лучшем случае. А в худшем, как мы понимаем, могут к тому же оказаться субъектами некоторых “внеправовых” отношений. Так что когда “Мегафон” предложил еще и синхронизировать со своим сервером мою записную книжку и органайзер, я предпочел отказаться.

А недавно Apple заполнила патентную заявку на способ идентификации пользователя по голосу, изображению, пульсу и т.д.; что самое интересное, идентификацию предполагается совершать “незаметно”. По идее, хорошее средство для поиска краденых телефонов, но что из этого получится на практике, никто знать не может.

Так что же, приватность в сети невозможна? Ну почему, очень даже возможна. Просто нужно быть “ниже радара” и на шаг впереди
оппонента, будь то эффективный менеджер из рекламной компании или товарищ майор. И главное — не питать иллюзий по поводу этой самой приватности и о том, что якобы есть возможности защитить ее иначе, чем своими силами.

Алексей СМИРНОВ