Европейские регуляторы: Microsoft, мы следим за тобой

Если в результате расследования будет сделан вывод, что Microsoft нарушает GDPR, последствия могут быть самыми серьезными – вплоть до штрафа в миллиарды долларов и требования изменить порядок сбора и использования данных операционной системой


Компания на какое-то время вышла из-под прицела регуляторов, но из-за ее безразличия к вопросам конфиденциальности ситуация может измениться.

Microsoft сумела превратить себя в самую дорогую в мире компанию, избегая при этом (по крайней мере, в течение последних нескольких лет) внимания минюста США, американских регуляторов и конгресса. А между тем, сравнимые с ней по величине игроки, в том числе Facebook, Amazon, Google и Apple, оказались втянуты в весьма ресурсозатратные и отнимающие много времени и сил расследования.

Впрочем, и у Microsoft период такой свободы, похоже, приближается к концу. Windows 10 и Office нарушают европейские правила конфиденциальности GDPR. Последствия могут оказаться очень серьезными и привести к расследованию и  внутри Соединенных Штатов.

Основную опасность для Microsoft представляет способ сбора и использования данных операционной системой Windows. Еще до принятия норм GDPR, вступивших в силу в мае 2018 года, некоторые европейские страны выражали сомнения в соответствии Windows требованиям, предъявляемым к конфиденциальности.

В 2017 году голландское Агентство по защите данных (Data Protection Agency, DPA)  пришло к выводу, что Windows 10 собирает телеметрические данные пользователей, нарушая законы страны о защите данных. Агентство не оштрафовало Microsoft, но потребовало изменить порядок сбора и использования данных. Эти изменения нашли отражение в обновлении Windows 10, выпущенном в апреле 2018 года. Среди них был представленный Microsoft с большой помпой инструмент Diagnostic Data Viewer. В своем блоге компания объявила, что инструмент этот является частью ее обязательств «обеспечить полную прозрачность диагностических данных, собираемых устройствами Windows, и характера их использования, а также предоставления пользователям более полного контроля над собственными данными».

Однако ожидаемой прозрачности пользователи не получили. Инструмент оказался настолько сложным и запутанным, что даже многие программисты были не в состоянии разобраться с ним. Вместо того, чтобы пояснять, какую информацию о вас собирает Windows, он предлагал продираться сквозь невнятные заголовки наподобие TelClientSynthetic.PdcNetworkActivation_4 или Microsoft.Windows.App.Browser.IEFrameProcessAttached, не поясняя, что они означают. Щелкните мышью по заголовку, и вы увидите клубок кода, который просто невозможно понять. Глядя на него, трудно представить, что в отношении Diagnostic Data Viewer вообще можно говорить о какой-то прозрачности.

Голландское агентство DPA потратило много времени на изучение этих и других изменений Microsoft, пытаясь разобраться, соответствует ли теперь ОС Windows предъявляемым к ней требованиям и нормам GDPR. В результате оно пришло к выводу, что Microsoft выполнила то, что от нее просили изначально. Но вместе с тем проведенное исследование «пролило свет на удаленный сбор других данных пользователей». В результате агентство заявило, что компания является потенциальным нарушителем правил конфиденциальности. Дело было передано Ирландскому комитету по защите данных (Irish Data Protection Committee, DPC), поскольку штаб-квартира европейского подразделения Microsoft находится в Ирландии. Агентство будет проводить дальнейшее расследование того, нарушает ли Microsoft правила GDPR.

Microsoft все это не сулит ничего хорошего. В исследовании DPA говорится: «Мы обнаружили, что Microsoft собирает как диагностические, так и недиагностические данные. Хотелось бы понять, действительно ли сбор недиагностических данных является необходимым, и осведомлены ли об этом пользователи».

Насколько хорошо информированы пользователи Windows о сборе недиагностических данных? Насколько я могу судить, не очень. Инструмент Diagnostic Data Viewer, конечно, ничем им не помогает. Как отмечают в TechCrunch, Windows принуждает людей принимать соглашение о конфиденциальности во время установки операционной системы. В процессе установки Windows несколько раз спрашивает, согласны ли вы разрешить сбор и использование данных о вас, включая целевую рекламу. При этом Cortana комментирует текущую ситуацию. В какой-то момент Cortana прямо предупреждает: «Если вы не согласны, знайте, что использовать Windows вы не сможете!»

Если в результате расследования будет сделан вывод, что Microsoft нарушает GDPR, последствия могут быть самыми серьезными – вплоть до штрафа в размере 4 млрд долл. и требования изменить порядок сбора и использования данных операционной системой.

Европейские регуляторы оценивают конфиденциальность не только Windows. Под их прицелом находятся и различные версии Office. Голландские власти выяснили, что «Microsoft систематически и в больших масштабах собирает данные об индивидуальном использовании Word, Excel, PowerPoint и Outlook. Тайно, не ставя в известность людей. Microsoft не предлагает никакого выбора в отношении объема данных, возможности отключения сбора или просмотра собираемых сведений, поскольку поток данных закодирован».

В Германии использование Office 365 уже запретили из-за порядка обработки данных этим пакетом.

Еще более серьезные потенциальные проблемы Microsoft сулят выводы, которые могут сделать на основе изучения опыта европейской директивы по защите данных пользователей Соединенные Штаты. Регуляторы и Конгресс в определенной степени испытывают на себе влияние процессов, происходящих за рубежом, особенно в условиях политического климата, в котором крупные технологические компании превратились для Вашингтона в неуправляемого монстра. Если Европа наложит на Microsoft штраф за ее отношение к конфиденциальности, в США может начаться расследование. Многие штаты, включая Калифорнию и Нью-Йорк, уже создают собственные правила технической защиты конфиденциальности, и Microsoft является для них одной из целей.

Что все это означает? Хотя Microsoft до сих пор удавалось избегать наказания в вопросах конфиденциальности, ситуация может измениться. Когда компания в последний раз столкнулась с противодействием со стороны американских федеральных регуляторов, а было это в 1990-х годах, удача начала от нее отворачиваться. Если такое произойдет вновь, состояние дежа вю весьма вероятно.

Источник