И как происходит трекинг пользователей веб-аналитикой
Наиболее популярные среди беларусов веб-аналитические системы – это Яндекс.Метрика и Google Analytics. Они различаются по функционалу и обе бесплатны для владельца сайта и пользователей. Это сложные и качественные инструменты, которые созданы крупнейшими бизнес-компаниями. Если они бесплатны – значит, их создатели что-то получают взамен.
В случае веб-аналитики это данные пользователей. Владелец сайта с Google Analytics может увидеть, что делал пользователь, даже если он не регистрировался на сайте и не оставлял свою электронную почту.
Google Analytics по умолчанию не является GDPR-совместимым, то есть собирает данные, которые могут прямо или косвенно идентифицировать человека. В частности, речь про файлы cookie, которые используются для отслеживания пользователей вашего веб-сайта и их поведения.
Сервис забанен во многих странах. Например, во Франции компании предупреждают, что его использование по умолчанию является незаконным из-за проблем с передачей данных между ЕС и США. Также за нарушение стандартов GDPR Управление по защите данных Австрии в декабре 2021 года запретило использование Google Analytics на европейских веб-сайтах.
Чтобы использовать Google Analytics в ЕС или США легально, его нужно настроить, а также сообщить пользователям о сборе данных и получить их согласие.
То же касается Яндекс.Метрики. По умолчанию, например, она нарушает закон о конфиденциальности потребителей в Калифорнии, но если поработать с настройками – нет. Процитируем Яндекс:
Если ваша компания зарегистрирована в ЕС или Швейцарии — или вы обязаны соблюдать GDPR по другим причинам — вы можете:
- Предупредить посетителей сайта о том, что используете cookies и Яндекс Метрику.
- Прочитать и подтвердить согласие с Договором об обработке данных в Яндекс Метрике при создании или редактировании счетчика.
Также Яндекс.Метрика связана со всеми сервисами Яндекс – например, системой поиска. Поиск выбирает для пользователя рекламу не только по тому, что он недавно искал через запрос, но и тому, на какие сайты он заходил. Если пользователь заходил на сайт продажи автозапчастей, где стоит метрика – реклама будет о запчастях, даже пользователь не пользовался поисковиком.
Что собирает Яндекс.Метрика?
Личная информация, собираемая Яндексом при доступе, взаимодействии или работе с сайтами или сервисами, включает, согласно документам компании, множество пунктов.
Среди них информация, предоставленная вами при регистрации (создании) учётной записи пользователя:
- имя;
- номер мобильного телефона;
- адрес;
- возраст.
Электронные данные:
- заголовки http;
- IP-адрес;
- файлы cookie;
- веб-маяки/пиксельные теги;
- информация о браузере;
- информация о вашем оборудовании;
- программном обеспечении;
- данные сети Wi-Fi.
Кстати, Яндекс.Метрика уточняет, что если отключить распознавание IP, то ухудшится распознавание геоданных пользователей (Google Analytics 4, кстати, отключает такое распознавание в 2023). Кроме этого, Яндекс.Метрика распознаёт поля форм, в которые посетитель может вводить конфиденциальную информацию.
Процитируем Яндекс:
“Такие данные автоматически заменяются на звездочки. Точное распознавание полей не гарантируется, так как некоторые технологии, используемые на сайте, могут помешать распознаванию полей. Для гарантированного запрета записи полей используйте специальные CSS-классы”.
Также в Яндекс.Метрике есть технология «Вебвизор» — она фиксирует действия посетителей сайта, позволяя просматривать их на видео. Данные сохраняются для всех посещений за последние 14 дней.
Посмотреть пример описания того, на что соглашается пользователь сайта, где есть Яндекс.Метрика, удобно на сайте российского «Сбербанка».
Метрики и война в Украине
Особенно остро встаёт вопрос метрики в контексте войны. Яндекс – это российская компания со всеми вытекающими последствиями.
Украинская киберполиция считает, что российские спецслужбы используют мобильные приложения, чтобы получать от пользователей информацию о критической инфраструктуре, расположении военных объектов и склонять к сотрудничеству. Список популярных российских приложений собрала Liga.Tech, и среди них есть Яндекс.
Авторы ссылаются на расследование неправительственной организации Me2B Alliance, которое в марте 2022 года опубликовала газета Financial Times. Оно посвящено App Metrica от Яндекса. Формально App Metrica даёт разработчикам возможность создавать приложения для операционных систем Apple и Android. Фактически – собирает сведения о пользователях и способно отправлять их на серверы в РФ.
Яндекс ответил расследователям, что он не передаёт правительству данные. “Мы работаем в полном соответствии с международными нормативными актами, такими как GDPR, и местным законодательством (…) Идея о том, что мы «тайно» отправляем данные в Россию, попросту ошибочна”, – пишет компания.
Обеспокоены не только расследователи из США и украинские власти. Весной литовские министры предлагали отказаться от приложений Яндекс для доставки еды, такси и трансфера. Литовские министры также предлагают министрам Европейской экономической зоны с просьбой совместно призвать Apple и Google удалить приложения Яндекса с платформ электронной коммерции в Европе. ЯндексGo уже сейчас недоступен в Appstore в Литве.
Внутри самой компании за время войны произошёл раскол из-за Яндекс.Дзен. Этот новостной сервис публиковал пропаганду, а в итоге был продан корпорации VK, которой владеет сын главы администрации Путина. Бывший гендиректор Яндекс Аркадий Волож ушёл со своего поста после начала войны, попав под санкции. Теперь он живёт в Тель-Авиве, а Яндекс – вне санкций.
Что в итоге?
Яндекс часто называют небезопасной компанией, а её сервисы собирают слишком много личных данных пользователей. Впрочем, как и Google Analytics.
Принципиальная разница в том, что Яндекс – российская компания, а Россия прямо сейчас ведёт войну в Украине. Среди российского арсенала есть не только ракеты и пули, но также кибер-средства. Есть риск, что к ним относятся и российские интернет-сервисы.
Что знает о вас Яндекс? С каким поисковым запросом вы пришли и на какой сайт ушли, а также порой – что вы там делали. Если на сайте установлена Яндекс.Метрика (как на сайте Светланы Тихановской), то компания будет знать не только что читал пользователь, но и что он писал.
Пользователь может описать в форме обратной связи что угодно, включая чувствительную информацию, за которую в Беларуси можно быть репрессированным. Потом пользователь может перейти по гиперссылке с сайта – например, на «Зеркало», где также есть Яндекс.Метрика.
Таким образом, российская компания может получить личные данные. Затем – проследить движение пользователя по сайту человека, занесённого в Беларуси в список террористов, а также по сайту медиа, которое власти считают экстремистским формированием.