В последнее время всё чаще появляются предупреждения о том, почему не стоит пользоваться «Яндекс.Метрикой». Другой не менее популярный сервис аналитики Google Analytics также вызывает вопросы. Как быть беларусским редакциям – Пресс-клуб разбирался вместе с экспертами правозащитной организации Human Constanta.
Проблема «Яндекс.Метрики» и Google Analytics в том, что эти сервисы собирают персональные данные. Хотя многие считают, что сервисы аналитики собирают такую информацию, которая не может считаться персональной, потому что она агрегированная.
Обычно мы рассматриваем эти сведения как какие-то цифры, графики и статистику. Однако и «Яндекс.Метрика», и Google Analytics собирают персональные данные, особенно если смотреть на это не с точки зрения беларусского или российского законодательства, а с точки зрения GDPR (General Data Protection Regulation) – Общего регламента о защите персональных данных Европейского Союза.
Несмотря на то, что в системе не написаны имена и фамилии людей, которые заходят на сайт, им в любом случае присваивается некоторый идентификатор, который может «гулять» с пользователем от сайта к сайту.
На сегодня этот бесплатный интернет-сервис компании «Яндекс» является третьей по размеру системой веб-аналитики в Европе.
Главный вопрос с «Яндекс.Метрикой» – это юрисдикция страны, в которой находится компания. А в России распространено следующее: в законе может быть прописано одно, а на практике получается другое. Если говорить про закон, то многие сервисы «Яндекса» внесены в реестр распространителей информации. Это значит, что они должны подключаться к системе оперативно-розыскных мероприятий (СОРМ) и передавать данные – в том числе в автоматическом режиме – российским силовикам.
Сервиса «Яндекс.Метрика» среди этих ресурсов нет, но любые данные, которые собирает в целом компания «Яндекс», могут быть запрошены и должны быть переданы российским спецслужбам. При этом мы вероятнее всего об этом даже не узнаем, это не будет фигурировать в судебных разбирательствах. Скорее, будут только косвенные свидетельства того, что это происходит.
Правозащитная организация Human Constanta считает, что любые персональные данные, собранные «Яндексом», могут быть переданы не только российским, но – по прямому запросу к компании или в рамках взаимодействия спецслужб – и беларусским силовикам. Об этом говорит и соответствующий отчёт, из которого можно узнать, сколько и каких данных передал «Яндекс». «Яндекс.Метрика» и в целом сервисы компании «Яндекс» небезопасны как для независимых медиа, так и для их аудитории. Однако для последней система «Яндекс» небезопасна даже в большей степени.
Каждый раз, когда загружается страничка, у пользователя срабатывает скрипт, который передаёт информацию пользователя на сервер аналитики. То есть фактически каждый шаг пользователя на вашем сайте записывается на серверы «Яндекса». Это значит, что с этой информацией «Яндекс» теоретически может делать всё что угодно.
Эта информация объединяется со всей остальной информацией о пользователе. Например, пользователь также использует сервис «Яндекс.Такси», а там есть сведения о его перемещениях, номера его телефона и банковской карты. Эти данные быстро связываются с данными, полученными на вашем сайте. Потому, если у вас установлена «Яндекс.Метрика», то утверждать, что на ваш сайт зашёл безликий пользователь, нельзя.
Конечно, в первую очередь эти сведения «Яндекс» применяет для таргетирования рекламы. Но это не мешает использовать эти данные в оперативно-розыскных мероприятиях. По ссылке видно, что количество таких запросов росло. Такую статистику начали публиковать с 2019 года. В 2020-м было 30 тысяч запросов, в 2021-м – 40 тысяч, а за 2022-й статистика не публикуется вообще.
Допустим, пользователь заходит на сайт «экстремистского» издания. Если на этом сайте установлена «Яндекс.Метрика», сайт фактически передаёт информацию о том, что этот пользователь зашёл на такой-то сайт и «походил» по таким-то страницам. Также в «Яндекс.Метрике» есть технология «Вебвизор»: она показывает, куда пользователь кликал, где он водил мышкой, что он набирал. Там в том числе может сохраняться информация о том, оставлял ли человек какие-либо комментарии, писал ли куда-то (если у вас есть форма обратной связи, например).
«Яндекс» говорит, что эту информацию они скрывают, но никто не может этого гарантировать. Эти данные технически хранятся бесконечно, стоимость её хранения мизерна. Есть угроза, что сведения могут быть использованы для поиска «неугодных» в том числе через два-три года.
Цепочку продолжают «Яндекс.Вебмастер», Adfox, баннерная крутилка. Если мы говорим про «Яндекс» – то это всё скрипты. И в целом не особо важно, пользуетесь вы браузером «Яндекс» или нет, все те же ID пользователей собираются со всех сервисов – любых сервисов, которые создаются и оперируются российскими организациями.
В мире есть большая проблема: многие разработчики построили свои продукты на базе сервисов «Яндекса». А тут выясняется, что граждане США, Европы пользуются «Яндекс» – это создаёт серьёзное напряжение. Невозможно убрать только один сервис и пользоваться всем остальным. Поэтому если говорить о миграции, то иметь в виду комплексную миграцию.
Как ни удивительно, но вопросы к Google лежат примерно в той же плоскости, что и к «Яндекс», несмотря на то, что GDPR вступил в силу еще в 2018. Google – американская компания, у неё есть представительства в ЕС, есть серверы в ЕС, однако Google Analytics по умолчанию обрабатывает свои данные на американских серверах.
В США стандарты защиты данных гораздо ниже, чем в ЕС. При этом, согласно GDPR, трансграничная передача персональных данных без согласия пользователя или без дополнительных гарантий запрещена в страны, которые не обеспечивают надлежащий уровень защиты персональных данных, а это и есть США.
И вот тут мы сталкиваемся с тем, что без согласия пользователя, который переходит на ваш сайт, – а большинство сайтов беларусских медиа сейчас инкорпорированы в европейское право, поскольку редакции находятся в ЕС или нацелены на европейских пользователей, в том числе беларусов, которые уехали из Беларуси и теперь находятся в ЕС, – передача этих данных недопустима.
Были определённые соглашения между ЕС и США о передаче персональных данных, но все они впоследствии были отменены судом. Сейчас на согласовании (т.е. еще не принята) уже третья версия соглашения.. Несколько регуляторов, которые занимаются защитой персональных данных в ЕС, уже выступили с позицией, что использование Google Analytics не соответствует Регламенту об электронной приватности и GDPR.
И даже если вы напишите на своём сайте «мы используем кукис» или «мы используем кукис и даём вам выбор, какие кукис принять» (пользователь ставит необходимые «галочки» и, соответственно, тем самым даёт согласие на использование аналитики) – этого всё равно будет недостаточно.
Основная проблема Google Analytics в том, что пользовательские данные уходят из Европы в США, а требования GDPR – сведения не должны покидать территорию ЕС без дополнительных гарантий. И на это владелец сайта никак не может повлиять, остается ждать соглашения ЕС-США. Другая проблема – псевдоанонимизация: когда аналитический инструмент делает так, чтобы было невозможно понять, что за пользователь зашёл на сайт. Google Analytics сейчас этого не делает, и мы можем ожидать, что эту часть компания исправит. Но передавать данные в США они вряд ли перестанут.
Альтернатив существуют десятки, есть платные и бесплатные. Ознакомиться с ними можно на этом ресурсе. Все эти альтернативы изначально создавались для того, чтобы соблюдать требования GDPR, собирать меньше данных и отдавать только те данные, которые не содержат личной информации о пользователе.
Данных в принципе станет меньше. Если вы пользовались Google Analytics углубленно и создавали сегменты, когорты, анализировали пересечения, то в других аналитических сервисах это будет сложнее сделать. Но основных метрик и показателей для медиа должно хватить на 99 процентов.
Пресс-клуб Беларусь будет исследовать альтернативы и расскажет о них в будущих публикациях. Чтобы ничего не пропустить, подписывайтесь на нашу рассылку, Telegram, Facebook и Instagram.
Кожны тыдзень атрымлівай на пошту: якасныя магчымасці (гранты, вакансіі, конкурсы, стыпендыі), анонсы івэнтаў (лекцыі, дыскусіі, прэзентацыі, прэс-канферэнцыі) і карысны кантэнт
