С введением GDPR в Европейском союзе его жители теперь имеют право, например, запросить у соцсети «ВКонтакте» полный архив данных о себе. Администрация соцсети после многочисленных обвинений в сотрудничестве с силовиками пообещала, что будет давать и россиянам данные о самих себе. Журналист «Медузы» Султан Сулейманов, правда, живет в Риге (как и значительная часть редакции издания), поэтому потребовал данные о себе по GDPR. В ответ он получил файл с шестью миллионами строк, но соцсеть прислала не всё, пишет meduza.
21 августа 2018 года Султан из Риги попросил службу поддержки предоставить данные о себе. 17 сентября он получил ссылку на зашифрованный архив. «Никаких документов или других доказательств, что запрос пришел именно от меня, представители соцсети не запрашивали. Представителя службы поддержки, приславшего ссылку, смутила просьба предоставить пароль от архива. Но оказалось, что для открытия архива было достаточно ввести аббревиатуру GDPR», – рассказал журналист.
Выходит, сотрудник службы поддержи тоже мог скачать и разархивировать все данные? В пресс-службе соцсети Султану сказали, что технически у сотрудника такой возможности нет, потому что документ скачивается только если пользователь войдет под своим аккаунтом.
Какую информацию прислали журналисту
В архиве оказался один текстовый файл размером 178 мегабайт. В нем было почти шесть миллионов строк, которые содержали сразу все наборы данных: от изменения прикрепленных номеров телефона до личных сообщений и записей на стене.
- привязанный к странице e-mail;
- дата регистрации аккаунта, IP-адреса регистрации и последних восьми входов в аккаунт; дата рождения, мобильный телефон, город;
- дата последнего изменения пароля (и с какого IP-адреса это было сделано); даты изменения привязанного номера телефона;
- истории изменения имени и фамилии, блокировок страницы с указанием причины, обращений в службу поддержки;
- заявки на восстановление страницы;
- список друзей на момент создания архива – имена и ссылки на профили;
- все отправленные и полученные сообщения за всю историю аккаунта (с 2007 года) – с прямыми ссылками на прикрепленные к ним картинки и текстом пересланных сообщений; все содержимое групповых чатов, в которых состоял пользователь – в том числе сообщения других участников;
- посты и комментарии на стене пользователя, оставленные как им самим, так и другими – с ноября 2015 года;
- фотографии, на которых отметили пользователя (с прямыми ссылками на файлы); все альбомы пользователя со всеми фотографиями, которые были на момент создания архива (включая закрытый альбом «Сохраненные фото»), – со ссылками на файлы, временем загрузки и подписью;
- все видеозаписи, загруженные или добавленные на страницу: название, ссылка на страницу, дата загрузки, IP-адрес, длительность, количество просмотров; аудиозаписи, добавленные в «Мои аудиозаписи» (не на стену), документы – в том числе «граффити», отправленные в личных сообщениях – с датой загрузки, IP-адресом и прямой ссылкой на файл;
- группы, в которых состоит пользователь, с указанием тех, где он является администратором;
- политические и религиозные предпочтения (те, что были указаны на странице).
Что еще должно быть
Султан пишет: «Даже если предположить, что ВК не сохраняет историю местоположения устройства, с которого пользователь зашел соцсеть, посещенные сайты и другие действия пользователя, которые можно получить косвенным путем, архив нельзя считать полным». Он указывает на то, что в нем нет разделов с информацией со страницы пользователя вроде образования, военной службы, мест работы, языков, которыми он владеет и так далее (вся эта информация у Султана была заполнена). Также не хватает:
- игр, которые он добавил к себе;
- приложений, которые он создал через портал для разработчиков;
- старых записей и комментариев (у Султана на стене есть посты, написанные с 2007 года);
- комментариев, оставленных под чужими записями и фотографиями;
- закладок – хотя такой раздел есть на сайте.
В пресс-службе ВК ему рассказали, что соцсеть по запросу пользователя «стремится отдать ему всю необходимую информацию», но могут возникать «серьезные технические ограничения». Также там добавили, что разработчики «никогда не создавали инструменты, упрощающие доступ к данным», а вместо этого работали над технологиями, защищающими обработку персональных данных, и жестким разграничением доступа к ним.
Султан вспомнил беларуского активиста Кристиана Шинкевича, живущего в Польше, который летом воспользовался возможностями GDPR и тоже получил от «ВКонтакте» архив со своими данными. Но и у него были не все данные.
Султан удаленной информации не нашел: «Список друзей был актуальным, а удаленные когда-то сообщения и фотографии в документ не попали. В нем было вдвое больше фотоальбомов, чем есть на моей странице, но при внимательном изучении оказалось, что это был один и тот же (актуальный) список, вставленный дважды. В списке фотографий, на которых я был отмечен, оказались нерабочие ссылки на снимки других пользователей, позже закрытые настройками приватности, – однако эти же фотографии ВК позволяет увидеть через альбом «Фотографии с пользователем».
Пресс-служба «ВКонтакте» признала, что хранит удаленные данные, как того требуют российские законы (соцсеть по закону из «пакета Яровой» внесена в реестр организаторов распространения информации): переписку – шесть месяцев, другую информацию – год.
Европейское законодательство предусматривает штрафы до 20 миллионов евро или 4% годового оборота компании за нарушение отдельных положений GDPR. «Я попросил службу поддержки прислать недостающие категории личных данных. На момент публикации текста ответа не было», – закончил Султан.