Хакер #305. Многошаговые SQL-инъекции
Создатели браузера Brave обвиняют компанию Google в нарушении одного из принципов Общего регламента защиты данных (GDPR), а именно той его части, которая связана с согласием, что требуется для сбора и обработки личных данных пользователей. С соответствующей жалобой авторы Brave обратились в ирландскую Комиссию по защите данных.
Разработчики пишут, что политика конфиденциальности Google нарушают принцип целевого ограничения GDPR, так как privacy policy компании нельзя назвать прозрачной: в этом документе нет явного указания целей, ради которых вообще собираются и обрабатываются данные. Дело в том, что GDPR требует, чтобы компании и организации собирали и обрабатывали личные данные пользователей только для конкретных целей, которые должны быть абсолютно ясны потребителям.
Создатели Brave называют политику конфиденциальности Google и ее формулировки «безнадежно туманными и неопределенными» и отмечают, что приведенные причины для сбора данных (такие как «разработка новых сервисов») словно взяты из антипримеров GDPR, описывающих, как делать ни в коем случае не нужно. Также утверждается, что хотя Google показывает пользователям персонализированную рекламу, в соответствии с их интересами, информация о целях обработки данных и о причинах, по которым пользователи видят конкретную рекламу, не раскрываются.
В своей жалобе представители Brave ссылаются на собственное исследование под названием «Внутри черного ящика», в котором подробно описано, ради каких целей Google собирает персональные данные, используя интеграции с сайтами, приложениями и операционными системами. Документ гласит, что цели Google «настолько расплывчаты, что не имеют никакого смысла или предела <…> в результате компания получает внутренние данные, доступные для всех, что нарушает принципы ограничения целей GDPR».
В рамках жалобы разработчики Brave просят, чтобы Google предоставила полный и конкретный список целей для сбора и обработки персональных данных, а также соответствующие правовые обоснования для каждой из них. Сообщается, что Google якобы неоднократно отказывала Brave в подробных объяснениях.
«Проблема в том, что когда вы не знаете, что происходит с вашими данными, тогда нет никакой ответственности, прозрачности и контроля. Если такая компания, как Google, может оперировать данными по принципу free-for-all, то и защита данных и GDPR — лишь призрачная фантазия», — заявляют в Brave.
Представители Google уже ответили на эти обвинения, дав комментарий изданию The Register:
«Эти неоднократные обвинения со стороны нашего коммерческого конкурента не выдерживают серьезной проверки. Двадцать миллионов пользователей ежедневно посещают свои учетные записи, чтобы сделать выбор в отношении того, как Google обрабатывает их данные. Наша политика конфиденциальности и объяснения, которые мы предоставляем пользователям, дают четкое представление о том, как хранятся данные и какой у пользователей есть выбор».