Эксперты АНО «Информационная культура» проанализировали приватность государственных мобильных приложений в России.
Государственные органы, госучреждения и госкорпорации начинают проявлять интерес к созданию мобильных приложений. Такие приложения создаются с разными целями: от оказания государственных услуг до предупреждение рисков в борьбе с пандемией.
Активная разработка государственными органами мобильных приложений, а также появление требований по их обязательной предустановке создали уникальную ситуацию обязательности мобильных приложений на устройствах пользователей и, как следствие, особого внимания к приватности этих приложений.
При этом разработчики государственных приложений пользуются теми же инструментами, сервисами и продуктами отслеживания пользователей, что и частные разработчики.
Сложившаяся практика приводит к тому что в мобильных приложениях, создаваемых разработчиками государственных приложений, присутствует значительное число трекеров, передающих сведения о пользователях третьим сторонам, а сами приложения получают большое число разрешений на телефоне пользователя, тем самым давая возможность как самим приложениям, так и встроенным трекерам получать доступ к ключевым возможностям смартфонов: камере, хранилищу данных и программ, отслеживанию местонахождения и многому другому.
Происходит это при отсутствии должного внимания со стороны регуляторов внутри государства, служб контроля качества заказчиков этих приложений, отсутствия методических рекомендаций и иных способов юридического и технического контроля.
Исследование, проведенное Инфокультурой, представляет собой анализ практик использования сервисов отслеживания граждан на государственном уровне, через мобильные приложения, создаваемые органами власти и государственными учреждениями.
В рамках исследования были изучены 44 мобильных приложения, созданных для государственных и муниципальных органов, госучреждений и госкорпораций. Проведенный анализ показал наличие в них 20 различных встроенных сторонних – то есть не имеющих отношения к их разработчикам и органам власти – трекеров, а также использование 88 уникальных разрешений для доступа к данным и функциям устройства:
- большинство приложений из выборки (88%) имеют хотя бы один встроенный сторонний трекер, которые передают данные третьим лицам — сторонним компаниям;
- 19 приложений (43%) передают данные как минимум 3 сторонним компаниям — владельцам отслеживающих трекеров;
- трекеры компаний Facebook и Google используются в большинстве приложений;
- около половины используемых в государственных мобильных приложениях трекеров относится к аналитическому типу, данные о геолокации собирает около 15% трекеров, в рекламных и маркетинговых целях также около 15%;
- большая часть трекеров, используемых в государственных мобильных приложениях, принадлежит компаниям юрисдикции США (86%), а приложение «Услуги РТ» использует трекер организации в юрисдикции Японии;
- все приложения запрашивают как минимум 5 разрешений на доступ к данным и функциям устройства. При этом каждое приложение из выборки использует хотя бы одно потенциально опасное разрешение;
- из списка потенциально опасных разрешений приложения чаще всего запрашивают доступ на чтение и запись во внешнее хранилище данных, доступ к точному и приблизительному местоположению, камере и получению информации об устройстве.
Что было выявлено:
- Трансграничная передача данных не учитывает трудности регулирования и правовые проблемы, с которыми сталкивается индустрия отслеживания и мобильной рекламы.
- Устройство мобильных приложений, в т.ч. государственных, приводит к ситуации трансграничной передачи персональных данных, не просто игнорируемой российскими регуляторами, но и самими же регуляторами осуществляемой.
- Отсутствуют практики, рекомендации и требования по передаче данных приложениями, разработанными за счет бюджетных средств.
Подробные выводы исследования и рекомендации для органов власти, регуляторов и органов контроля, надзора и аудита читайте на сайте https://privacygosmobapps.infoculture.ru/