Содержание
Приватность при работе в поисковой системе Яндекс / Хабр
Собственно, на идею написать данную статью натолкнул сей труд: «Возвращаем приватность или большой брат следит за мной на стандартных настройках. Часть 1. Браузер и настройки сервисов «Гугла»». Вкратце: пользователь настроил поисковик Google и браузер Google Chrome таким образом, чтобы обеспечить хоть какую-то приватность и безопасность в сети. Тогда появилось понимание, что Яндекс, наверняка, тоже не брезгует собирать информацию о пользователях, и так же как Google позволяет все это дело отключить.
Зачем пишу про Яндекс? Есть огромное количество пользователей, которые пользуются не Google, а Яндексом — в силу различных причин. И есть те, кто используют оба поисковика одновременно, в зависимости от задачи/настроения/фазы луны.
Таким образом, сегодня я рассмотрю настройки Яндекса, позволяющие сделать вашу работу более приватной и безопасной.
Продолжение — под катом. Осторожно, картинки.
Во-первых, идем на tune.yandex.ru/.
Здесь нам доступны несколько подпунктов:
- Настройка города. Это настройка нашего местоположения по умолчанию, а так же функции определения метсоположения;
- Настройка языка интерфейса. Очевидно, выбор языка интерфейса. Нам сейчас малоинтересен;
- Настройка результатов поиска. Много настроек, посвященных алгоритму поиска, в том числе отключение таргетированного поиска;
- «Мои находки». Настройка сервиса Яндекс «Мои находки»;
- Поисковые подсказки. Настройка вывода поисковых подсказок;
- Настройка показа баннера на главной странице. Нам он тоже сейчас малоинтересен. Но если бесит — можно отключить;
- Учет круга интересов для показа рекламы. Как можно понять из названия, одно из самых любопытных для нас.
Настройка города
В первую очередь надо снять галочку «использовать текущий город по умолчанию» и следом за ней функцию автоматического определения местоположения, установив галочку «не уточнять моё местоположение»:
Настройка результатов поиска
Среди огромного количества настроек, доступных на этой странице, нас интересуют те, что расположены в графе «Персональный поиск».
Тут нам необходимо снять галочки «учитывать мою историю поиска», «показывать мои любимые сайты в подсказках» и «показывать мои запросы в подсказках» и перевести качельку «Мои находки» в положение «Остановить запись»:
«Мои находки»
Это сервис Яндекс, хранящий вашу историю поисков и предлагающий вам результаты поиска на основании ваших старых результатов. Очевидно, это удобно, но если для нас безопасность важнее — это параметр следует отключить:
Все качельки переводим в положение «Выключить/Остановить» и не забываем функцию «Очистить историю».
Результат нашей активности можно проверить тут. Если все сделано правильно — увидите такую страницу:
Поисковые подсказки
В принципе, «подсказки» — сам по себе очень удобный сервис. Но вот за ним надо следить, чтобы он в обмен на удобство не слишком-то коллекционировал данные о вас.
Проверяем (по идее, по результатам предыдущих настроек, необходимые галочки уже сами должны были сброситься), чтобы была включена только функция «Поисковые подсказки», а «Мои запросы в поисковых подсказках» и «Любимые сайты в подсказках» были выключены:
Учет круга интересов для показа рекламы
Вот это самое вкусное.
Конечно, приятно видеть, как на странице Яндекс.Карт вам показывают рекламу интернет-магазина, предлагающего смартфон, которым вы интересовались пару дней назад, со скидкой. Если же такая услужливость вызывает у вас дискомфорт, ставим галочку «Не учитывать круг ваших интересов при показе рекламы».
Итак, мы с вами как могли обеспечили приватность и личную безопасность при работе в поисковой системе Яндекс. Однако не стоит забывать, что все отключенные нами сервисы создавались не только для слежки за нами, но и для обеспечения удобства нашей работы в сети. И надо отдавать себе отчет в том, что эти действия — палка о двух концах, и вы, увеличивая свою безопасность, лишаете себя какой-то доли комфорта.
Настраиваем приватность в Google и Yandex
Информацию о вас хотят собирать все крупные сетевые компании. Они используют ее, чтобы сделать свои сервисы удобней для вас — а также для того, чтобы подороже продавать места для рекламы. Ведь если показывать человеку рекламу, соответствующую его
интересам, она с большей вероятностью сработает, и дело закончится покупкой.
А подогнать под ваши интересы ее можно, если знать о вас побольше.
У сетевых гигантов есть много возможностей получить информацию о вас — ее собирают все их многочисленные сервисы. Карты с пробками и маршрутами расскажут, где вы бываете. История поиска в браузере или в самом поисковом движке — про круг интересов.
А голосовые помощники вроде Siri и «Алисы» могут знать даже списки ваших покупок!
Противостоять этому масс-шпионажу не так уж просто: какие-то данные вы не сможете утаить вообще, а другие сможете, но только отказавшись от части сервисов (а значит, и удобств). Однако стоит попытаться найти баланс между комфортом и приватностью.
И уж во всяком случае не рассказывать лишнего.
Начнем с аккаунтов Google и Yandex. Их настройки во многом похожи, поэтому сначала мы расскажем про общие принципы, а потом затронем специфические опции для каждой компании.
Ваш профиль
Компании просят вас максимально подробно заполнить профиль. Но на самом деле им совсем не обязательно знать место вашей работы, да и ваша фотография в профиле не то чтобы необходима.
Если вы не планируете использовать эти аккаунты вместо соцсетей
для поиска старых знакомых, то можете безболезненно оставить пустой большую часть строк при заполнении профиля.
Карты, навигатор, пробки и транспорт
Эти сервисы запрашивают доступ к вашему местоположению и предлагают сохранить адреса, которые вы вводите, например, при построении маршрута. Если вы согласитесь, Google и Yandex (а также рекламодатели) смогут узнать ваши обычные маршруты, любимые
рестораны, кинотеатры и курорты.
Если вы не хотите, чтобы компании знали, где вы живете и куда ездите, запретите сервисам хранить эти сведения и использовать их для персонализации рекламы. На некоторых устройствах еще можно отозвать разрешение на доступ к геоданным, когда приложение
не используется. Только учтите, что тогда вам придется каждый раз вводить нужные адреса полностью или полагаться на историю поиска — выбрать маршрут из списка уже не получится. Запрещать этот доступ для навигатора или карт на постоянной основе
не стоит – приложение станет практически бесполезным.
Что для вас важнее — решать только вам!
Поисковые запросы
Если не хотите, чтобы компания отслеживала, что вы ищете, отзовите в настройках аккаунта соответствующее разрешение (оно может называться не отслеживанием, а, например, историей) и очистите историю запросов. Это немного усложнит вам повторный поиск,
но также усложнит и рекламодателям определение ваших интересов.
Голосовой помощник
Как правило, голосовой запрос содержит больше информации, чем обычный текстовый. Тут и посторонние шумы, и попутный треп с находящимся рядом человеком… А при столь любимой многими болтовне с Алисой «за жизнь» можно наговорить много интересного. При
этом автоматике часто бывает сложно распознать голосовые запросы, и в помощь ей компании-гиганты привлекают людей.
Конечно, до передачи конкретным сотрудникам вся информация обезличивается. Но вы сами можете случайно упомянуть имена, адреса и другие сведения, по которым вас можно узнать.
Поэтому хорошенько подумайте, о чем говорить с голосовым помощником, а о
чем не стоит.
Облачные хранилища
Хранить файлы на виртуальном диске на сервере крупной компании и открывать их с любого устройства очень удобно. Однако известны случаи, когда содержимое файлов с Google Диска попадало в результаты поиска других людей. Поэтому лучше не храните на облачных
дисках документы, которые вы не готовы показать случайному прохожему.
Кстати, напомним, что единый аккаунт для всех сервисов компании — решение удобное, но если пароль от него попадет в руки злоумышленника, тот получит ключ ко всем вашим данным, в том числе и хранящимся в облаке. Поэтому для защиты учетной записи обязательно
используйте сложный пароль и двухфакторную аутентификацию.
Специфика Google
Все настройки приватности Google проще всего задать при помощи «Проверки настроек конфиденциальности». Этот инструмент подробно рассказывает, что именно вы можете отключить и к каким побочным эффектам это приведет.
Если вы входите в сервисы (например, в почту) через браузер, Google сам будет иногда предлагать вам пройти эту проверку. Вы можете запустить ее самостоятельно, открыв страницу управления аккаунтом из меню, появляющегося при нажатии на вашу аватару
в любом приложении.
Специфика Yandex
Здесь все чуть менее удобно. Большинство настроек приватности этот сервис хранит в так называемом паспорте пользователя, однако часть опций можно задать только в конкретном сервисе. Например, видимость списка ваших интересов в Яндекс.Дзен нельзя задать
в общем блоке настроек — для этого надо отредактировать опции приватности самого сервиса.
Еще у Яндекса есть уникальные сервисы, на первый взгляд не связанные с основным профилем. Например, Яндекс.Еда для регистрации требует не почтовый адрес, а номер телефона. Но если вы указали этот номер в основном профиле, то связать аккаунты будет
очень просто. Если вы не хотите, чтобы корпорация и ее клиенты-рекламодатели узнали про ваши гастрономические предпочтения, используйте для регистрации другой телефонный номер.
Поскольку вы настраиваете аккаунт, обратите внимание не только на приватность, но и на безопасность. Проверьте список привязанных к сервисам Яндекс.Такси или Яндекс.Маркет банковских карт и удалите лишнее из списка. Для таких сервисов, как и для покупок
в Интернете в целом, желательно использовать отдельную карту, на счету которой никогда не лежит много денег.
Наше обязательство по защите конфиденциальности пользователей
Более двадцати лет Яндекс обслуживает миллионы пользователей, работая над тем, чтобы сохранить их доверие, защищая их конфиденциальность и свободу выражения мнений в Интернете. Наша приверженность пользователям основана на более широкой ответственности Яндекса за соблюдение прав человека.
Конфиденциальность и безопасность данных являются важной частью этого обязательства. Наша подробная Политика конфиденциальности помогает пользователям лучше понять, какие данные мы собираем, почему мы собираем данные, кто имеет доступ к этим данным и как пользователи могут их контролировать.
В дополнение к подробной политике конфиденциальности мы также предоставляем следующие пояснения, чтобы наши пользователи понимали нашу политику.
Причины, по которым мы собираем пользовательские данные
Цель Яндекса — помочь потребителям и компаниям лучше ориентироваться в онлайн- и офлайн-мире. Большая часть этого заключается в предоставлении высоко персонализированных услуг, которые обслуживают каждого отдельного пользователя.
Пользователи разные, и такие данные, как их предпочтения, местоположение и онлайн-история, имеют решающее значение для предоставления им наилучших услуг. С этой целью наши услуги учитывают различные типы соответствующих данных, чтобы персонализировать опыт для каждого пользователя.
Например, наш сервис потоковой передачи музыки Яндекс.Музыка рекомендует исполнителей или песни, которые соответствуют индивидуальным вкусам каждого пользователя, основываясь на том, какие песни им «понравились», а какие они пропустили, среди многих других факторов.
Яндекс.Директ показывает объявления, наиболее соответствующие текущим интересам каждого пользователя. Точно так же история поиска пользователя помогает Яндексу выбирать наиболее релевантные результаты поиска именно для этого пользователя. Кто-то, кто вводит [nevermind] в строке поиска, может искать определение слова «nevermind», а кто-то другой может искать альбом Nirvana.
Персонализация пользовательского опыта с использованием исторических данных улучшает как текущий опыт, так и помогает Яндексу разрабатывать новые продукты и услуги. И чем больше данных мы используем, тем лучший опыт мы можем предоставить нашим пользователям.
Данные о пользователях, которые мы собираем
Мы собираем данные о пользователях двумя основными способами — через профили Яндекса, которые создают пользователи, и посредством взаимодействия и действий пользователей в сервисах Яндекса. Сервисы Яндекса автоматически собирают техническую информацию, такую как файлы cookie, IP-адреса и географическое положение, чтобы лучше понимать предпочтения и настройки пользователей.
Пользователи Яндекса могут зарегистрировать Яндекс ID или профиль, в котором они вручную вводят свое имя, номер телефона и другую информацию, такую как возраст, пол, местоположение и часовой пояс. Когда пользователи авторизуются в наших сервисах или приложениях, данные об их взаимодействии с сервисом или приложением автоматически добавляются в их профиль Яндекс ID.
Как мы защищаем данные наших пользователей
Яндекс очень серьезно относится к безопасности данных и следует строгим правилам защиты данных, чтобы обеспечить безопасность данных наших пользователей и защиту их конфиденциальности. Все данные обрабатываются в нашей системе автоматически, и мы запрещаем доступ к данным любому лицу, кроме как в случае необходимости, например, для поддержки клиентов Яндекса или другой обязательной административной и технической помощи. Мы также всегда шифруем всю хранимую конфиденциальную информацию, такую как пароли.
Наша технологическая инфраструктура надежно защищает данные, с которыми мы работаем.
Мы внедрили безопасный протокол HTTPS для всех сервисов Яндекса, то есть все данные шифруются при передаче между пользователем и Яндексом. Мы также внедрили специальные меры защиты там, где безопасность особенно важна, например, обработку онлайн-платежей в соответствии с международным стандартом безопасности PCI DSS.
Яндекс ID обеспечивает единую аутентификацию на всех сервисах Яндекса и имеет решающее значение для обеспечения безопасности данных пользователей. Все данные Яндекс ID надежно защищены, что подтверждают регулярные проверки и независимые аудиторы. Каждый год, начиная с 2020 года, Яндекс ID проходит независимый аудит по стандарту SSAE 18 под контролем Американского института сертифицированных бухгалтеров (AICPA) и получает отчет Service Organization Control (SOC) 2, подтверждающий соответствие международным стандартам безопасности.
Все сервисы Яндекса проходят тестирование в соответствии с процедурой оценки воздействия на защиту данных (DPIA). Комплаенс-специалисты смотрят, как обрабатываются данные пользователей на каждом сервисе Яндекса, и следят за тем, чтобы все процессы соответствовали международным стандартам защиты информации и управления рисками — ISO 27000 и ISO 31000.
Во избежание утечки данных сервисы регулярно проходят обязательные внешние аудиты. по критериям AICPA. Любая обнаруженная утечка данных публично раскрывается Яндексом, после чего проводится внутреннее расследование. Чтобы каждый сотрудник Яндекса понимал свою ответственность при работе с данными, все сотрудники Яндекса проходят обязательные курсы по информационной безопасности, корпоративной этике и защите конфиденциальных данных.
Яндекс поощряет исследования кибербезопасности на уровне сообщества для дальнейшего повышения защиты данных в своих сервисах. С 2012 года компания проводит программу поощрения уязвимостей The Yandex Bug Bounty, которая поощряет внешних участников за сообщения об уязвимостях в системе безопасности Яндекса. Яндекс понимает все потенциальные риски, связанные с исследованием уязвимостей, которые могут включать в себя получение доступа к секретной или конфиденциальной информации. Компания обеспечивает защиту участников программы от судебных разбирательств и оказывает им помощь в случае судебных разбирательств с третьими лицами при условии соблюдения ими условий программы.
Случаи, когда мы передаем данные наших пользователей
Защита данных пользователей является приоритетом для Яндекса, и нашим пользователям важно знать, в каких случаях мы передаем данные пользователей и почему. Яндекс не продает и не передает пользовательские данные третьим лицам, но передает необходимые данные некоторым партнерам для предоставления услуг Яндекса; мы также передаем агрегированные пользовательские данные с помощью наших инструментов веб-аналитики и для удовлетворения юридических запросов.
Яндекс передает избранные данные партнеру, когда это необходимо для работы сервиса. Например, Яндекс.Такси работает с таксопарками, и их водителям требуется информация о местоположении пользователя, чтобы они могли забрать пассажиров. Точно так же, когда пользователь покупает билеты на концерт через нашу службу продажи билетов Яндекс.Афиша, кассе места проведения нужна информация о пользователе, чтобы иметь возможность доставить билеты пользователю.
Некоторые из наших аналитических сервисов, такие как наш инструмент веб-аналитики Яндекс.Радар, предоставляют сводную статистику о поведении пользователей. Однако эти сервисы не получают никакой личной информации об отдельных пользователях и строго предоставляют сводную отчетность.
В некоторых случаях Яндекс может быть обязан предоставить данные пользователя по закону. Яндекс соблюдает законы и нормативные акты в сферах своей деятельности, в том числе законные запросы на предоставление информации. Если мы получаем официальный запрос на пользовательские данные, нашим главным приоритетом является защита пользователей, и мы в первую очередь обеспечиваем наличие законных оснований для запроса. Если мы обнаружим, что запрос является законным, мы подчиняемся властям, чтобы предоставить только тот объем данных, который абсолютно необходим для выполнения запроса. Если мы обнаружим, что запрос необоснован, мы отказываемся выполнять запрос и работаем с соответствующими органами для обеспечения строгого соблюдения применимого законодательства.
Яндекс публикует статистическую информацию о полученных им запросах пользовательских данных в Отчете о прозрачности.
Помимо прочего, доступ к электронной переписке пользователей Яндекса возможен только на основании официального решения суда в отношении конкретного пользователя, поскольку мы защищаем тайну переписки в соответствии с законодательством Российской Федерации.
Как наши пользователи могут контролировать свои данные
Для Яндекса важно предоставлять нашим пользователям информацию о том, как они могут контролировать и управлять своими личными данными. Пользователи могут просматривать данные, включая личную информацию, доступные Яндексу и его сервисам на Яндекс ID, а также редактировать или удалять часть этой информации с помощью инструмента управления данными. Также они могут в любой момент изменить настройки своего личного аккаунта на Яндексе.
Пользователи Яндекса, а также все пользователи сети Интернет имеют возможность в дальнейшем контролировать свои данные через настройки своего браузера, управляя своими файлами cookie.
Страница справки Яндекс.Браузера содержит информацию об использовании файлов cookie и любых связанных с ними рисках для конфиденциальности, а также рассказывает пользователям о способах настройки своих параметров.
Если у вас есть дополнительные вопросы или вы хотите узнать больше о том, как Яндекс обрабатывает данные пользователей, ознакомьтесь с нашей Политикой конфиденциальности. Чтобы сообщить о любых опасениях по поводу конфиденциальности в Интернете, посетите соответствующую страницу поддержки. Вы можете перейти к соответствующей форме для соответствующей услуги и отправить более подробную информацию о проблемах в форме обратной связи.
Яндекс и проблемы конфиденциальности данных
В этом вопросе доверие пользователя в конечном итоге передается разработчикам приложения — реальный вопрос заключается в том, кому доверять.
Частные данные могут быть собраны из тысяч приложений для Android и iOS через Яндекс, ведущую поисковую систему в России, считают исследователи безопасности.
Вопрос вращается вокруг того, как эти данные могут быть доступны российским госорганам. Помимо того, что Яндекс является поисковым порталом, он также создает комплект для разработки программного обеспечения (SDK) под названием AppMetrica, который занимается аналитикой использования приложений и маркетингом и похож на Google Firebase. SDK был включен в более чем 52 000 различных приложений, включая игры и приложения для обмена сообщениями.
Более тревожным является то, что этот SDK использовался для создания 2000 новых приложений, которые были недавно добавлены в магазины приложений после российского вторжения в Украину, а также используются в сотнях VPN, в том числе 21 из них, недавно добавленных после вторжения. Похоже, эти приложения предназначены для отслеживания перемещений украинских пользователей. Исследователи, чьи утверждения были подтверждены независимо, обнаружили, что данные сотен миллионов пользователей собираются и отправляются на серверы как в России, так и в Финляндии.
Яндекс признал, что его программное обеспечение собирает информацию об устройстве, сети и IP-адресе, но эти элементы собираются только после получения согласия пользователя и агрегируются, и что «наши принципы конфиденциальности и безопасности данных строги, и мы никогда не выдавали никаких информацию о пользователе, и нас никогда не просили сделать это». Компания приветствовала независимый аудит своих процессов сбора данных. В своей документации он описывает, что разработчики приложений могут отключить отслеживание пользователей; однако это означает, что некоторые разработчики могут уже включить отслеживание до предоставления согласия.
Статья, первоначально опубликованная британским изданием Financial Times, привлекла внимание Google, который «признал, что ему предстоит еще много работы, чтобы обеспечить пользователям прозрачность в отношении того, какие SDK используются для создания приложений, и заявил, что проведет расследование». Apple рекламировала свои рекомендации по прозрачности отслеживания приложений для разработчиков, но исследователи нашли множество способов обойти эти рекомендации, например, используя отпечатки пальцев устройства или холста.
После российского вторжения поставщик мобильных игр Gismart и VPN Opera удалили код AppMetrica SDK из своих приложений в качестве меры предосторожности, даже до того, как стало известно о его возможном злоупотреблении.
У пользователей нет простого способа определить, используется ли SDK их мобильными приложениями, без доступа к различным инструментам разработчика, хотя с внедрением соответствующих законодательных рамок, законов и политик эта информация постепенно становится все более доступной. доступны пользователям. Например, в ЕС многие из этих функций отслеживания регулируются GDPR, который накладывает строгие ограничения на то, какие данные отслеживаются и как их можно обрабатывать. Все, что нарушает это соответствие, потенциально может быть оштрафовано ЕС, а также может быть обнаружено различными поставщиками средств безопасности.
Жестокая правда заключается в том, что такие библиотеки отслеживания в той или иной форме очень распространены в большинстве мобильных приложений.
В этом вопросе доверие пользователя в конечном итоге передается разработчикам приложений, поэтому реальный вопрос заключается в том, кому доверять.
Освежите свои методы обеспечения конфиденциальности мобильных данных
Ондрей Дэвид, аналитик вредоносных программ и разработчик Android в Avast, предлагает несколько советов, которые следует учитывать, чтобы обеспечить максимальную безопасность ваших данных.
«Придерживайтесь известных брендов, с которыми вы знакомы, и обязательно ознакомьтесь с их лицензионными соглашениями и условиями. Особенно обратите внимание на разделы этих материалов, посвященные конфиденциальности и обработке данных, поскольку компании обычно обязаны информировать пользователя о том, как обрабатываются и хранятся их данные, и из этого можно извлечь много подсказок. Обычно используемые SDK для отслеживания также перечислены в этих документах».
Кроме того, Дэвид советует людям использовать функции, связанные с конфиденциальностью, которые предоставляют современные устройства — это включает в себя отключение отслеживания рекламы в настройках ОС, включение доступа к приложению только при его использовании (или при необходимости), а не автоматическое предоставление разрешений приложениям просто потому что они просят их, и проверяя настройки приложения на наличие соответствующих настроек конфиденциальности и рекламы.