За что сейчас хейтят Zoom и какой урок могут из этого вынести другие компании

Почему Zoom может потерять пользователей и как другим компаниям избежать подобных ошибок

Жизнь и работа в режиме карантина вынудила искать удобный инструмент для дистанционной коммуникации. Для многих Zoom стал тем самым решением, которое помогает общаться с коллегами, родственниками или друзьями. Каждый день в Zoom проходят тысячи учебных занятий, рабочих совещаний и дружеских встреч. На этой волне хайпа за три месяца 2020 года в Zoom прибавилось больше активных пользователей, чем за весь 2019 год, а стоимость акций компании за те же три месяца выросла на рекордные 40%.

Активное использование Zoom также побудило пользователей обращать повышенное внимание на безопасность и конфиденциальность сервиса. Пользователями Zoom было обнаружено ряд критических уязвимостей, которые ставят под сомнение безопасность использования сервиса, в связи с чем некоторые компании и организации (например, SpaceX и NASA) даже запретили использовать Zoom для рабочих целей.

В этом материале сертифицированный специалист по защите персональных данных (CIPP/E) и старший юрист юридической фирмы AURUM Илья Шенгелия рассказывает об ошибках, которые допустили Zoom и о том, какие выводы из этого могут сделать другие компании.

Впервые данный материал был опубликован на MC.today.

Проблемы с безопасностью и конфиденциальностью сервиса Zoom существовали и ранее, то есть до вспышки пандемии COVID-19. Изменилось лишь отношение к сервису, к которому в связи с его возросшей популярностью теперь предъявляются повышенные требования. Пример Zoom показывает, что если компания планирует быть успешной, она должна задумываться о конфиденциальности и защите данных с самого начала разработки продукта.

За что критикуют Zoom?

Отсутствие сквозного шифрования

31 марта 2020 года издание The Intercept опубликовало материал, в котором указывается, что вопреки официально опубликованным документам и информации, сервис Zoom не использует сквозное шифрование (англ. — “end-to-end encryption”), а потому фактически имеет доступ к аудио- и видеоконтенту пользовательских звонков, совершаемых в Zoom. Вместо заявленного сквозного шифрования Zoom использует технологию TLS (протокол защиты транспортного уровня), которая защищает лишь передачу данных и не ограничивает сам сервис от доступа к ним.

Мэтью Грин, профессор университета Джонса Хопкинса, отмечает, что внедрить сквозное шифрование в групповые звонки достаточно сложно, потому что сервису легче отличить говорящего собеседника от неговорящего, если у него есть прямой доступ к незашифрованным данным. Тем не менее, в мире уже есть примеры удачных решений для групповых звонков с использованием сквозного шифрования, например, FaceTime от Apple.

Незаконная передача данных Facebook

26 марта 2020 года медиа-ресурс Vice опубликовал статью, в которой говорилось о том, что Zoom передает Facebook данные тех пользователей, которые не использовали функцию «зайти/зарегистрироваться через Facebook», о чем не было указано в политике конфиденциальности Zoom.

Автор статьи утверждает, что приложение Zoom предоставляло Facebook информацию о времени открытия приложения, модели устройства, часовом поясе, городе, с которого подключался пользователь, операторе мобильной связи и уникальном рекламном идентификаторе, созданном устройством пользователя, который используется для таргетинга рекламы.

Через пару дней после публикации упомянутого материала в Zoom убрали часть кода, которая передавала лишние данные Facebook, но при этом не сделали ничего, чтобы пользователи старой версии приложения перешли на обновленную версию, например, не сделали обновление обязательным.

Использование контента пользователей в рекламных целях

24 марта 2020 года неприбыльная организация по защите прав потребителей Consumer Reports обратила внимание на то, что, согласно политике конфиденциальности Zoom, контент пользователей, то есть контент встреч, информация об их участниках, файлы и прочее, может передаваться рекламодателям.

Такой большой массив данных, вероятно, может использоваться для обучения алгоритмов искусственного интеллекта (AI), распознавания речи, эмоций, лиц, или предметов, но доказательств использования Zoom таких технологий сейчас нет. В любом случае, без использования AI эти данные, скорее всего, являются просто всеобъемлющим объемом бесполезной информации.

29 марта 2020 года Zoom обновили свою политику конфиденциальности, в которой теперь указано, что контент пользователей никому не продается, а также не используется в рекламных целях.

Что нарушили Zoom?

Одним из основных нарушений является то, что Zoom не соблюдали принцип прозрачности (“transparency”), которое является первоочередным требованием законодательства по защите персональных данных практически всех юрисдикций, включая калифорнийский California Consumer Privacy Act (CCPA) и европейский General Data Protection Regulation (GDPR). В своей политике конфиденциальности Zoom должны были объяснить, как именно они обрабатывают персональные данные, кому их передают и как используют. Государственные органы считают принцип прозрачности основополагающим, ведь без предоставления необходимой информации пользователи остаются «безоружными» и не могут использовать другие права, например, право на доступ к данным, удаление и прочие. Другими словами, если пользователь не знает, как именно обрабатываются его персональные данные, он объективно не может понять, злоупотребляют ли использованием его персональных данных.

За обширными и сложными для пользователей юридическими формулировками политики конфиденциальности, Zoom предусмотрели для себя право делать с данными пользователей практически «все что угодно», что является неприемлемым. Чем обширнее и непонятнее политика конфиденциальности — тем хуже, а вероятность, что пользователи подадут жалобы — выше.

Дополнительно, тот факт, что, вопреки своим заявлениям в маркетинговых материалах, Zoom не используют сквозное шифрование, может рассматриваться как недобросовестная конкуренция или обманчивая торговая практика. Уже есть ряд прецедентов, когда Федеральная торговая комиссия США (англ. “U.S. Federal Trade Commission”) расследовала похожие случаи.

Какие выводы на примере Zoom могут сделать другие компании?

Можно выделить следующий ряд тезисов, которые являются основополагающими для всех современных технологических компаний:

• Развивайте продукт так, словно завтра им будут пользоваться миллионы пользователей. Если вы планируете, что ваш продукт станет успешным, вы должны быть готовы к этому. Ваша технологическая составляющая, а также проектная и юридическая документация должны быть безупречными еще на стадии разработки, ведь вы далеко не всегда знаете, когда к вашему продукту появится повышенное внимание.
• Будьте честными. Не приукрашивайте реальность в маркетинговых материалах или заявлениях и, тем более, не говорите о том, что используете какую-то технологию защиты данных, которой по факту нет.
• Будьте прозрачными. Чем больше вы скрываете, тем хуже для вас самих. У ваших пользователей должно быть понимание того, как вы используете данные и какие технологии используются для их защиты.
• Заботьтесь о приватности и конфиденциальности. Чтобы ваш продукт был успешен, пользователи должны доверять вам. Если вы не можете сохранить приватность и конфиденциальность данных — вы теряете пользователей.
• Privacy by design and by default. За этой фразой стоят два очень важных принципа для любого сервиса, который работает с персональными данными. Она означает, что вы должны учитывать приватность с самого начала, еще на стадии проектирования продукта, а также собирать как можно меньше персональных данных, устанавливая по умолчанию наиболее privacy-friendly настройки.

Пример Zoom демонстрирует, что даже столь прогрессивная и успешная компания была совсем не готова к повышенному вниманию со стороны пользователей. В критический момент вместо того, чтобы окончательно закрепиться в роли лидера среди приложений для удаленного общения, Zoom рискуют потерять большую долю аудитории пользователей, которые уважают конфиденциальность своих данных.

Если вам понравилась эта статья и вы хотите получать больше полезных материалов, подписывайтесь на наш Медиум канал LawGeek и страницу в Facebook.

Свяжитесь с нами, если у вас есть вопросы касательно защиты конфиденциальности и безопасности данных, а также data protection compliance.