Новая политика приватности WhatsАpp и ее влияние на права субъектов персональных данных

04.01.2021 WhatsАpp внес изменения в свои Условия использования и Политику приватности.

Первоначально предполагалась, что изменения должны вступить в силу с 08.02.2021, однако введение в действие этих изменений отложено на более поздний срок1).

WhatsАpp подчеркивает, что изменения касаются исключительно бизнес-чатов и использования платежных средств2).

Компания называет необоснованными и даже дезинформационными широко распространяемые сведения о том, что пользовательские данные теперь будут передаваться в Facebook и разъясняет: «принимая новые Условия предоставления услуг, вы не даёте WhatsАpp дополнительные разрешения на предоставление пользовательских данных материнской компании Facebook»3).

Если сопоставить содержание редакции политики приватности от 04.01.2021 с предшествующей редакцией, очевидно, что WhatsАpp передает значительный объем пользовательских данных компаниям Facebook начиная с 2014 г., и в 2021 г. в этом отношении ничего не меняется. Новой редакцией политики приватности WhatsАpp просто разъясняет то, что он делал и раньше (см. приложение № 1).

Фактически, WhatsАpp передавал и продолжает передавать компаниям группы Facebook все пользовательские данные, за исключением содержания сообщений, которое, как утверждается, защищено сквозным шифрованием (end-to-end encryption), и недоступно для расшифровки. передаваемые данные включают, например, номер телефона пользователя, номера телефонов контактов из записной книжки, адресат, время отправки и прочтения сообщений, местонахождение и параметры пользовательского устройства. перечни данных, которые WhatsАpp собирает, а также передает facebook, согласно официальным публикациям компании, представлены в приложении № 2. При этом следует иметь ввиду, что технически WhatsАpp имеет возможность собирать еще больше данных, нежели декларирует. Например, если пользовательское устройство разрешает доступ к файлам, приложение может считывать все, что находится в хранилищах данных. Соответственно, если разрешен доступ к камере и микрофону, приложение, теоретически, может вести запись без ведома пользователя в любой момент времени.

Основные риски использования WhatsАpp заключаются в том, что оператор получает возможность «склеить» аккаунты пользователя в WhatsАpp с аккаунтами в Facebook и Instagram, который также принадлежит Facebook, создав уникальный профиль пользователя с огромным количеством характеристик, что позволит, применяя технологии искусственного интеллекта, не только просчитывать поведение пользователя, но и программировать его определенным образом, воздействуя на чувствительные для пользователя «триггеры» специально подаваемой информацией.

Согласно Таксономии нарушений приватности, разработанной американским ученым Д. Соловым4) (вариант таблицы на русском языке, подготовленный С. Воронкевичем, прилагается), в данном случае можно говорить о таких нарушениях приватности как агрегация или профилирование (собирание различных частей информации о личности – «склеивание» аккаунтов и совмещение их с метаданными), вторичное использование (использование данных для целей, не связанных с целями, для которых эти данные были изначально собраны, без согласия субъекта данных), идентификация (связывание данных с конкретным лицом), а также, потенциально, посягательство на автономию в принятии решений. Второй существенный риск в данной ситуации связан с тем, что WhatsАpp, Facebook и Instagram являются американскими компаниями, подчиняющимися правопорядку США.

В США спецслужбы имеют бесконтрольный дискреционный доступ к содержанию коммуникаций, компании обязаны предоставлять соответствующий доступ и ключи шифрования даже без специальных оснований, установленных законом. Имея столь широкие полномочия и значительные материально-технические ресурсы, американские спецслужбы могут осуществлять (и наверняка осуществляют) тотальный государственный шпионаж не только за своими гражданами, но и за миллионами пользователей по всему миру. Именно поэтому Суд Европейского Союза в трех решениях по делу М. Шремса обрушил ‘Privacy Shield’ и признал США «неадекватной» юрисдикцией в сфере защиты персональных данных.

В связи с тем, что правопорядок ЕС устанавливает наиболее высокие стандарты защиты персональных данных, WhatsАpp имеет две различных версии политики приватности, а также два различных пользовательских соглашения: для Европейской экономической зоны и для всех остальных территорий мира. На официальном сайте WhatsАpp разъясняется: «Если вы являетесь жителем перечисленных ниже стран и территорий («Европейский регион», в который входят страны Европейского союза), услуги WhatsАpp вам предоставляет компания WhatsАpp Ireland Limited, которая также является контролёром данных, несущим ответственность за вашу информацию при использовании вами услуг WhatsАpp: Андорра, Австрия, Азорские острова, Бельгия, Болгария, Ватикан, Великобритания, районы дислокации ВС Великобритании на Кипре (Акротири и Декелия), Венгрия, Гваделупа, Германия, Гибралтар, Греция, Дания, Ирландия, Исландия, Испания, Италия, Канарские острова, Латвия, Литва, Лихтенштейн, Люксембург, Мадейра, Майотта, Мальта, Мартиника, Монако, Нидерланды, Норвегия, Нормандские острова, Остров Мэн, Польша, Португалия, Республика Кипр, Реюньон, Румыния, Сан-Марино, Сен-Мартен, Словакия, Словения, Финляндия, Франция, Французская Гвиана, Хорватия, Чехия, Швейцария, Швеция, Эстония.

Если вы проживаете в стране, не относящейся к Европейскому региону, Услуги предоставляются вам компанией WhatsАpp LLC, которая одновременно является контролёром данных, ответственным за вашу информацию при использовании вами наших Услуг»5)

Таким образом, для обслуживания Европейского региона WhatsАpp создана даже отдельная дочерняя компания.

Несмотря на данные меры, вполне очевидно, что сама по себе бизнес-модель WhatsАpp / Facebook по своей природе не privacy-friendly и не GDPR-compliant.

С точки зрения GDPR, действия WhatsАpp, скорее всего, могут быть признаны нарушающими ряд принципов обработки данных (ст. 5), таких как:

  1. принцип законности, справедливости и прозрачности - обрабатываются данные, не являющиеся необходимыми для исполнения договора, согласие субъекта является вынужденным, т.е. недобровольным (нарушена ст. 7 – условия согласия), легитимный интерес не перевешивает нарушенных законных интересов субъекта, следовательно, отсутствует правовое основание;
  2. ограничение целью - данные обрабатываются не для той цели, для которой они собирались;
  3. минимизация данных - собирается больше данных, чем необходимо для достижения декларируемой цели в соответствии с избранным правовым основанием;
  4. ограничение хранения – вероятно, данные хранятся и обрабатываются дольше, чем необходимо для достижения законной цели в соответствии с заявленным правовым основанием;
  5. конфиденциальность – данные передаются третьим лицам.

Также есть признаки нарушения прав субъектов персональных данных (гл. 3 GDPR).

В ноябре 2020 г. The Irish Time сообщила о том, что Ирландский надзорный орган (Irish Data Protection Commission) начал расследование в отношении WhatsАpp, как предполагается, в связи с нарушением принципа прозрачности обработки данных, т.к. взаимодействие с Facebook было не вполне прозрачным. Соответственно, WhatsАpp зарезервировал 77,5 млн. евро на предполагаемый штра6). В свою очередь, Facebook, в отношении которого в настоящее время идет не менее 10 расследований, как сообщалось в декабре 2020 г., зарезервировал 302 млн. евро на возможный штраф от ирландского надзорного органа7). Позднее появились сообщения о том, что, скорее всего, WhatsАpp будет оштрафован на 50 млн. евро8). 19 октября 2020 г. ирландский надзорный орган сообщил также о том, что ведет два расследования в отношении Facebook в связи с нарушениями при обработке персональных данных несовершеннолетних пользователей9).

Очевидно, что даже такие астрономические суммы штрафов для компаний группы Facebook являются вполне допустимыми бизнес-рисками, они заранее закладывают соответствующие суммы в свой бюджет и продолжают реализовывать бизнес-модель, называемую ‘surveillance capitalism’ (шпионский капитализм). Также очевидно, что прибыли от использования данной модели перекрывают даже европейские регуляторные риски, не говоря уже обо всех прочих юрисдикциях.

Следует еще раз подчеркнуть, что в части работы с данными пользователей у WhatsАpp в 2021 г. ничего не изменилось, данная бизнес-модель развивается уже несколько лет. В этой связи изменения в политике приватности от 04.01.2021 заслуживают, скорее, положительной оценки, т.к. разъясняют и раскрывают действительную деятельность компании по отношению к данным, повышая, тем самым, уровень прозрачности. Кроме того, как видно из приложения № 1, WhatsАpp практически свел к минимуму различия между условиями обслуживания пользователей из ЕС и остального мира.

Однако, с маркетинговой точки зрения данный шаг оказался неудачным для компании, т.к. привлек внимание пользователей к тем фактам, на которые они до того не обращали внимание, данный фактор, наряду с влиянием политического контекста (хронологически публикация изменений в политике приватности практически совпала с известными событиями в США и блокировкой бывшего президента Д. Трампа), подчеркивает международный privacy-эксперт Мария Арнст (ФРГ)10). Согласно публикациям РБК и других информагентств, на этом информационном фоне Telegram вышел на второе место по скачиваемости в США и только за 3 дня января 2021 г. получил 25 000 000 новых пользователей11), а американский мессенджер Signal (который, как утверждается, вообще не собирает никаких метаданных) вышел в лидеры скачиваемых приложений12). В частности, Илон Маск написал в Twitter ‘use Signal’13), а Эвард Сноуден заявил «я использую Signal каждый день, и я все еще жив»14).

В связи с вышеизложенным возникают вопросы об исполнении мессенджером следующих обязанностей, предусмотренных законодательством Российской Федерации:

1. Обеспечивает ли WhatsАpp запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18 ФЗ-152). Если нет, применима ч. 8 ст. 13.11 КоАП РФ;

2. Включение Facebook inc. и WhatsАpp LLC в реестр организаторов распространения информации в сети «Интернет» в соответствии с ч. 1 ст. 10.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». В случае включения компаний в реестр, могут быть изучены следующие вопросы:

а) обеспечивает ли WhatsАpp (судя по тому, что написано в Политике – не обеспечивает) в соответствии с ч. 3 ст. 10.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» хранение на территории Российской Федерации:

  • информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей сети «Интернет» и информации об этих пользователях в течение одного года с момента окончания осуществления таких действий;
  • текстовых сообщений пользователей сети «Интернет», голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей сети «Интернет» до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки.

Согласно ч. 2 ст. 13.31 КоАПРФ, неисполнение организатором распространения информации в сети «Интернет» установленной федеральным законом обязанности хранить и (или) предоставлять уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей сети «Интернет» и информацию о таких пользователях влечет наложение административного штрафа на юридических лиц от восьмисот тысяч до одного миллиона рублей;

б) обеспечивает ли WhatsАpp предоставление в федеральный орган исполнительной власти в области обеспечения безопасности информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений (п. 4.1 ст. 10.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Согласно ч. 2 ст. 13.31 КоАПРФ, неисполнение организатором распространения информации в сети «Интернет» обязанности предоставлять в федеральный орган исполнительной власти в области обеспечения безопасности информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений, влечет наложение административного штрафа на юридических лиц от восьмисот тысяч до одного миллиона рублей.

Автор: Денис Садовников - участник RPPA.
30.05.2021


1)
WhatsАpp Блог. Дополнительная информация об обновлении [Электронный ресурс]. URL https://blog.whatsapp.com/more-information-about-our-update (дата обращения: 02.03.2021).
2)
Мы обновляем наши Условия предоставления услуг и Политику конфиденциальности [Электронный ресурс]. URL: https://faq.whatsapp.com/general/security-and-privacy/were-updating-our-terms-and-privacy-policy?ref-banner (дата обращения: 02.03.2021).
3)
Мы обновляем наши Условия предоставления услуг и Политику конфиденциальности [Электронный ресурс]. URL: https://faq.whatsapp.com/general/security-and-privacy/were-updating-our-terms-and-privacy-policy?ref-banner (дата обращения: 02.03.2021).
4)
Solove, Daniel J., A Taxonomy of Privacy. University of Pennsylvania Law Review, Vol. 154, No. 3, p. 477, January 2006, GWU Law School Public Law Research Paper No. 129, Available at SSRN: [Электронный ресурс]. URL: https://ssrn.com/abstract=667622 (дата обращения: 02.03.2021).
5)
Кто предоставляет вам услуги WhatsАpp [Электронный ресурс]. URL: https://faq.whatsapp.com/general/security-and-privacy/who-is-providing-your-whatsapp-services (дата обращения: 02.03.2021).
6)
WhatsАpp Ireland sets aside €77.5m for possible data compliance fines [Электронный ресурс]. URL: https://www.irishtimes.com/business/technology/whatsapp-ireland-sets-aside-77-5m-for-possible-data-compliance-fines-1.4412449 (дата обращения: 02.03.2021).
7)
Facebook sets aside €302m for potential GDPR fines [Электронный ресурс]. URL: https://www.decisionmarketing.co.uk/news/facebook-sets-aside-e302m-for-potential-gdpr-fines (дата обращения: 02.03.2021).
8)
hatsApp facing up to €50M privacy fine [Электронный ресурс]. URL: https://www.politico.eu/article/whatsapp-privacy-fine-data-protection-europe-50-million/ (дата обращения: 02.03.2021).
9)
Data Protection Commission’s two statutory inquiries into Facebook’s processing of children’s data on Instagram (opened in Sept 2020) [Электронный ресурс]. URL: https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commissions-two-statutory-inquiries-facebooks-processing-childrens-data-instagram (дата обращения: 02.03.2021).
10)
Подкаст «Нечего скрывать»: А что там с WhatsАpp случилось? [Электронный ресурс]. URL: https://podcasts.google.com/feed/aHR0cHM6Ly9hbmNob3IuZm0vcy80OTc5ZGRjOC9wb2RjYXN0L3Jzcw/episode/ZjYyYWI4NWYtZjlmZC00NWZlLWJlZWQtODRjMjA3ODM5MDE5?sa=X&ved=0CAUQkfYCahcKEwiIteCQlJLvAhUAAAAAHQAAAAAQAg (дата обращения: 02.03.2021).
11)
См. также: Telegram вышел на второе место по скачиваемости в США [Электронный ресурс]. URL: https://www.rbc.ru/politics/12/01/2021/5ffd171a9a79474359962971 (дата обращения: 02.03.2021); Исход из WhatsАpp. За трое суток в Telegram добавились 25 миллионов человек [Электронный ресурс]. URL: https://tengrinews.kz/internet/ishod-whatsapp-troe-sutok-telegram-dobavilis-25-millionov-425776/ (дата обращения: 02.03.2021).
12)
Подкаст «Нечего скрывать»: А что там с WhatsАpp случилось? [Электронный ресурс]. URL: https://podcasts.google.com/feed/aHR0cHM6Ly9hbmNob3IuZm0vcy80OTc5ZGRjOC9wb2RjYXN0L3Jzcw/episode/ZjYyYWI4NWYtZjlmZC00NWZlLWJlZWQtODRjMjA3ODM5MDE5?sa=X&ved=0CAUQkfYCahcKEwiIteCQlJLvAhUAAAAAHQAAAAAQAg (дата обращения: 02.03.2021); См. также: Telegram вышел на второе место по скачиваемости в США [Электронный ресурс]. URL: https://www.rbc.ru/politics/12/01/2021/5ffd171a9a79474359962971 (дата обращения: 02.03.2021).
13)
https://twitter.com/elonmusk [Электронный ресурс]. URL: https://twitter.com/elonmusk/status/1347165127036977153?s=20 (дата обращения: 04.03.2021).
14)
Подкаст «Нечего скрывать»: А что там с WhatsАpp случилось? [Электронный ресурс]. URL: https://podcasts.google.com/feed/aHR0cHM6Ly9hbmNob3IuZm0vcy80OTc5ZGRjOC9wb2RjYXN0L3Jzcw/episode/ZjYyYWI4NWYtZjlmZC00NWZlLWJlZWQtODRjMjA3ODM5MDE5?sa=X&ved=0CAUQkfYCahcKEwiIteCQlJLvAhUAAAAAHQAAAAAQAg (дата обращения: 02.03.2021); См. также: https://twitter.com/Snowden [Электронный ресурс]. URL: https://twitter.com/Snowden/status/1347216537757896704?s=20 (дата обращения: 04.03.2021).