Женские приложения-календари: знают много, но не несут ответственность за собранные данные

Приложение с более 50 млн. скачиваний запрашивает неоправданно большое количество разрешений, что может свидетельствовать о шпионской активности.

 

В двух приложениях есть риск из-за навязчивой рекламы. Часто разработчики не знают, какая именно реклама будет публиковаться у них в приложении, а значит есть риск размещения мошеннических ссылок.

 

Проблемой становится тот факт, что ни один из сервисов в полной мере не указывает ответственного за сбор данных. То есть в случае утечки данных, близких к медицинским, невозможно будет установить ответственного, чтобы направить претензию в его адрес.

 

Специалисты Центра цифровой экспертизы Роскачества исследовали 12 самых популярных женских приложений-календарей на Аndroid (от 1 млн. скачиваний), чтобы выяснить, насколько внимательно они относятся к сохранности личных данных. Выбор Android обусловлен тем, что это более открытая платформа, где разработчикам намного проще получать те или иные доступы к данным системы и пользователей.

 

Исследованные приложения:

 

Эксперты проверили наличие рекламы и всплывающих баннеров, разрешения, которые запрашиваются перед установкой, а также политики конфиденциальности, чтобы узнать о сборе персональных данных и возможностях передачи их третьим лицам.

 

Медицинская тайна или просто информация о здоровье

С юридической точки зрения, данные о женском цикле нельзя отнести к медицинской тайне в случае с мобильными приложениями, так как они предоставлены на добровольной основе (женщина сама отмечает в календаре нужные дни) и не получены путем обследования в ходе медицинской проверки у врача.

 

Сергей Кузьменко, старший специалист Центра цифровой экспертизы Роскачества по исследованию цифровых продуктов: «Что произойдет, если информация из женского календаря станет достоянием общественности или будет “слита”? Каким-то третьим лицам станет известно, что у женщины была задержка, сбился цикл или случился незащищенный половой контакт. Обо всех этих вещах можно узнать из многих женских приложений. Теоретически такие данные можно продать сторонним медицинским организациям и торговым компаниям для настройки соответствующей рекламы с предложением услуг и товаров по теме. Однако не стоит забывать, что все эти “возможные” данные будут идти в обезличенном — статистическом виде. Если мы говорим о “слитой” базе, то возможно получится по связке логин-данные вычислить владелицу, но это весьма сложная в реализации схема, тем более для рекламной рассылки, которая в теории, возможно, принесет прибыли и в дальнейшем окупится».  

 

Реклама в приложениях

Во всех отмеченных приложениях присутствует реклама в виде баннеров внизу или вверху экрана, а в приложениях WomanLog календарь месячных и Календарь Менструаций появляются баннеры на весь экран.

 

Риск с навязчивой рекламой заключается в том, что пользователь может случайно кликнуть на баннер, особенно если он “выскакивает” внезапно, да еще и на весь экран. Часто разработчики не знают, какая именно реклама будет публиковаться у них в приложении, а значит есть риск размещения мошеннических ссылок.

 

Доступы приложений

В ходе проверки были обнаружены приложения, которые запрашивали доступ не только к календарю, но и к личной информации (логины в аккаунтах), системе мониторинга физической активности, идентификаторам устройства и т.д. Все эти данные передаются в аналитические компании для рекламы, которую вы с большой вероятностью и увидите в вашем аккаунте.

 

Худшим в рейтинге разрешений оказалось приложение Flo Ovulation & Period Tracker, но оно же является и самым популярным — более 50 млн скачиваний. Помимо перечисленных выше доступов, приложение просит доступ к фото и видео, истории действий, идентификатору вызовов, а также к просмотру сообщений. Это признаки сталкерского приложения (stalkerware) и шпионской активности.

 

Передача третьим лицам

WomanLog календарь месячных — единственное приложение, которое передает персональные данные в полном объеме третьим лицам и, кроме того, не имеет российской юрисдикции. Поэтому существуют риски, что если вы захотите, например, отозвать свое согласие на обработку ваших персональных данных — а это делается в письменной форме на адрес компании, то ваше заявление вполне могут просто проигнорировать.

 

Половина приложений, сообщая, что передают данные третьим лица (онлайн-касса, сервис аналитики метрик и т. п.), указывают их идентификаторы (наименование, ИНН и т.п.). Оставшаяся половина не указывают их вовсе или ограничивается формулировками без конкретики.

 

Только одно приложение Календарь овуляции: Ледитаймер хранит персональные данные пользователей на территории РФ и в своей политике ссылается на российское законодательство. Во всех других приложениях указано законодательство других стран, то есть оно будет иметь преимущество перед российским.

 

Ответственный за сбор данных

Проблемой становится тот факт, что ни один из сервисов в полной мере не указывает ответственного за сбор данных. То есть в случае утечки данных, близких к медицинским, невозможно будет установить ответственного, чтобы направить претензию в его адрес.

 

Пользовать можно, но осторожно

В целом, серьезных оснований не пользоваться данными приложениями нет. Однако присутствует проблема с излишними доступами и избыточной рекламой, откровенно шпионских программ обнаружено не было, но остается вопрос, зачем приложение Flo Ovulation & Period Tracker запрашивает так много разрешений.

 

Никита Куликов, генеральный директор АНО «ПравоРоботов», к.ю.н.: «В законодательстве нет однозначного ответа и подходящего термина, объясняющего, является ли передаваемая информация в принципе медицинской. Ведь чисто технически и в глазах законодателя отметки в календаре не являются врачебной тайной, как и персональные данные. Однако очевидно, что косвенно, по некоторым показателям, занесенным женщиной в календарь, можно сделать тот или иной вывод о ее здоровье. Например, по отсутствию отметок в календаре третьи стороны могут предположить, что пользовательница беременна и начать таргетировать на ее профиль рекламу соответствующего характера. Разумеется, данные основанные на внесении или невнесении информации нельзя считать полностью достоверными. Однако если у компаний будет доступ к проверенной информации, очевидно, они ею воспользуются».

наверх