Большое расследование, проведенное The Caravan, показывает, что шведская компания использовала отсутствие в Индии всеобъемлющей правовой базы, касающейся защиты данных, для развития своего бизнеса.
В октябре 2021 года исследователь позвонил журналистам, с которыми до этого не был даже знаком, из Пакистана. И был не сказано удивлен - они приветствовали его по имени. Когда их спросили, как они его идентифицировали, журналисты прислали скриншот уведомления, полученного из приложения Truecaller на их телефоне. В уведомлении было указано имя, имя бывшего работодателя, должность в бывшей компании, штат, из которого был совершен звонок, и название оператора мобильной связи. Журналист рассказал исследователю, что недавно они установили приложение Truecaller из магазина Google Play на телефон Android.
"Мы узнали вас. Я даже знаю, что этот номер зарегистрирован в WhatsApp", — хихикнула журналистка из Лахора. Исследователю прислали еще один скриншот уведомления, отправленного Truecaller, в котором говорилось, что его номер зарегистрирован в WhatsApp.
Сказать что он был ошеломлен - ничего не сказать! Он никогда не использовал Truecaller на этом номере и не загружал приложение на устройство, которое использовал. Ни Truecaller, ни Google никогда не запрашивали его согласия на использование или отображение личного номера.
Так начиналась история, послужившая толчком для расследования аферы - получения баснословной прибыли, используя огромное количество людей и лазейки в законодательстве.
Truecaller был разработан шведской компанией True Software Scandinavia, основанной в 2009 году Нами Заррингалам и Аланом Мамеди. Мамеди имеет курдское происхождение и родился в лагере беженцев на севере Швеции, а Заррингалам переехал в Швецию из Тегерана в возрасте трех лет; оба теперь граждане Швеции.
Самый популярный
«Приложение началось, когда наши соучредители были всего лишь студентами, которые хотели создать сервис, который легко идентифицировал бы входящие звонки с неизвестных номеров», — говорится на веб-сайте Truecaller, добавляя, что это «приложение для идентификации вызывающего абонента и блокировки спама». 8 октября 2021 года компания провела первичное публичное размещение акций на Nasdaq Stockholm . По данным Crunchbase, фирма привлекла в общей сложности 98,6 млн долларов в течение восьми раундов финансирования, при этом среди ведущих инвесторов были Zenith Venture Capital, Atomico и Sequoia Capital India.
По данным веб-сайта, по состоянию на март 2021 года приложение было загружено более 581 миллиона раз. На Индию приходится более трети этих загрузок, и ее база данных насчитывает ошеломляющие 5,7 миллиарда уникальных идентификаторов телефонов. Штаб-квартира фирмы находится в Стокгольме, но большинство ее сотрудников — индийцы. Это неудивительно: согласно статистике компании, из более чем 278 миллионов активных пользователей в месяц (MAU) в 175 странах более 205 миллионов приходится на Индию, что делает эту страну крупнейшим рынком сбыта .
Хотя Индия является огромным и прибыльным рынком для технологических инноваций, расследование The Caravan показывает, что очевидный успех Truecaller в стране основан на довольно сомнительных основаниях. Интервью с бывшим старшим сотрудником, проработавшим в компании более полувека, юристами, специализирующимися на законах о конфиденциальности, и экспертами аналитических центров по исследованию политики показали, что большинство наборов данных Truecaller состоит из информации, которая была собрана без согласия пользователя. Это стало возможно из-за отсутствия всеобъемлющей правовой базы, касающейся защиты данных в Индии. По данным расследования The Caravan , фирма также может собрать полный финансовый профиль своих зарегистрированных пользователей .
В серии письменных ответов The Caravan Truecaller настаивал на том, что предлагает «услугу, ориентированную на конфиденциальность», которая «стремится быть прозрачной и соответствовать законам стран, в которых мы работаем». Но, как сказал The Caravan Прасанна С., программист, ставший юристом и специализирующийся на вопросах конфиденциальности .
«Они правы в той мере, в какой это не может быть нарушением закона. Тем не менее, нарушение конфиденциальности является правонарушением, и их деятельность, в той мере, в какой они раскрывают личную информацию вызываемому абоненту без согласия вызывающего абонента, безусловно, является нарушением конфиденциальности».
Он добавил, что это «уже давно является делом Truecaller. Truecaller — это случай, когда ваши личные данные собираются от вашего контакта, который [затем] используется без вашего согласия». Учитывая, что парламент еще не принял законопроект о защите персональных данных, впервые представленный в 2018 году, «состояние защиты конфиденциальности минимально, если таковое имеется», — сказал Прасанна.
В решении 2017 года по делу К. С. Путтасвами против Союза Индии Верховный суд постановил, что право на неприкосновенность частной жизни является основным правом в соответствии со статьями 14, 19 и 21 Конституции. Однако пять лет спустя правительство все еще обсуждает законопроект о защите данных, несмотря на несколько итераций, каждая из которых вызывает больше споров, чем предыдущая. Эта юридическая лакуна сделала граждан Индии уязвимыми для мониторинга, слежки и интеллектуального анализа данных со стороны как государственных органов, так и частных компаний.
База данных Truecaller была создана путем использования четырех основных источников: загрузки приложения; белые и желтые страницы зарубежных стран, не ограниченные соображениями конфиденциальности; партнерские отношения с платформами социальных сетей, которые публично отображают номера; и бесплатная аутентификация интерфейсов прикладного программирования (API) и комплектов разработки программного обеспечения (SDK). По словам бывшего сотрудника, опрошенного The Caravan , количество пользователей, давших согласие на идентификацию и добавление их телефонных номеров в базу данных Truecaller, ничтожно мало по сравнению с теми, кто был добавлен без их согласия.
В подробном отчете нигерийского технического издания TechCabal отмечается, что как только пользователь регистрируется или загружает Truecaller, в игру вступает динамика обмена. Если вы хотите получить доступ к функциям идентификации вызывающего абонента и другим функциям приложения, вам придется разрешить доступ к своим контактам, чтобы другие пользователи могли получить доступ к тем же функциям. Затем каждый контакт в вашем телефоне становится частью базы данных Truecaller, которая включает пользователей, которые не регистрировались и не давали согласия на идентификацию своих номеров.
Поскольку Truecaller уже запрашивает одобрение зарегистрированных пользователей на размещение контактов в своей базе данных, компания никогда не сталкивалась с юридическими сложностями. Как сообщил The Caravan представитель Truecaller , компания предоставляет людям возможность добровольно делиться своими контактами, и это помогает повысить их алгоритмическую точность.
Я разговаривал примерно с сотней индийских пользователей Truecaller в течение трех месяцев и обнаружил, что большинство из них без разбора нажимали «Я согласен», чтобы поделиться контактами с компанией при регистрации, из-за явной сложности и продолжительности процесса. текст соглашения. Это хорошо задокументированное явление, известное как усталость от согласия. Большинство пользователей даже не подозревали, что каждый номер телефона в их списке контактов стал «зарегистрированным номером телефона» в базе данных Truecaller.
Кроме того, бывают случаи, когда пользователи Truecaller не загружали приложение напрямую из магазинов Google или Apple, а вместо этого используют устройства с предустановленным приложением, такие как некоторые модели Micromax, Samsung и Wileyfox. В таких случаях большинство пользователей предоставили доступ к обмену именами, номерами, идентификаторами Google и адресами электронной почты своих контактов, потому что функция под названием «Расширенный поиск» проверяется автоматически. Эта функциональность также была одобрена компанией по умолчанию на ее веб-сайте и упомянута в ее политике конфиденциальности.
По словам бывшего сотрудника, функция расширенного поиска — это не что иное, как автоматическое согласие конечного пользователя на загрузку контактов, синхронизированных с его учетной записью электронной почты. «На странице входа четко указано, что, отметив опцию расширенного поиска, вы будете делиться своими контактами с Truecaller», — сказали они The Caravan . «Как только кто-то входит на сайт, используя свою электронную почту, его контакты загружаются на серверы Truecaller».
Поскольку каждый сохраняет номер телефона для удобства, алгоритм Truecaller загружает контактные данные по мере их сохранения отдельным пользователем. Например, если кто-то сохранил номер телефона для спама как «не бери трубку - это мошенник» — он будет точно так же указан в базе данных Truecaller для глобальной идентификации.
«Truecaller придерживается правил магазина Google и Apple и не может загружать телефонную книгу у своих пользователей, но они не следуют этому правилу в случае предустановленных приложений и общих APK [пакетов Android]», — сказал бывший рассказал The Caravan сотрудник, который также работал с отделом качества данных Truecaller . «Итак, если вы указаны в любой из телефонных книг зарегистрированного пользователя Truecaller, ваша конфиденциальность уже была скомпрометирована без вашего согласия, и ваш номер телефона — возможно, с вашей профессиональной идентичностью — готов для просмотра всем миром.”
Согласно рекламному проспекту компании и заявлениям The Caravan, Truecaller также предоставляет разработчикам приложений бесплатную аутентификацию API и SDK. SDK и службы аутентификации предлагаются разработчикам приложений бесплатно, якобы «в интересах пользователей Truecaller». Это позволяет разработчикам приложений быстро и легко подключать новых пользователей, если они также являются пользователями Truecaller. Это сокращает время и упрощает процесс адаптации, который традиционно основан на пропущенных звонках или одноразовых паролях. SDK позволяет пользователям проверять незарегистрированных клиентов, совершая сброшенный вызов, который инициируется номером пользователя в фоновом режиме для завершения процесса проверки. Здесь следует отметить, что из-за отсутствия строгих законов о конфиденциальности эта опция в настоящее время доступна только в Индии. «Только из-за этого факта иногда люди получают странные имена звонящих, такие как 'Дели- зубной врач'. или ‘Розовая пантера’», – сказал бывший сотрудник. «Эти контакты принадлежат людям, которые не знают, что их имя и профессиональные данные были [собраны] Truecaller без их согласия».
Представитель Truecaller подтвердил, что компания делится именами и проверенными номерами телефонов с разработчиками приложений, но заявил, что это не нарушает руководящие принципы Google. «Помимо имени и номера, подтвержденного Truecaller, никакие дополнительные данные не передаются разработчику приложения», — сказал представитель. «Это не нарушение правил Google. Google предлагает аналогичную услугу самим разработчикам приложений». Фирма также утверждает, что «на дату выпуска проспекта входы в систему запрашивались более 1,2 миллиарда раз, и с помощью Truecaller было выполнено более 745 миллионов входов в систему. Приблизительно 23 процента клиентов Truecaller для бизнеса являются лидами от существующих партнеров API SDK».
Удивительно, но компания не предприняла никаких мер для получения согласия от миллиардов телефонных номеров и молча наращивает свою огромную базу данных через сторонние API.
Согласно собственным данным Truecaller , он имеет в общей сложности 5,7 миллиарда телефонных идентификаторов; и на каждого загруженного и зарегистрированного пользователя с 2014 года примерно каждый второй по-прежнему является активным пользователем в месяц. Это означает, что компания , которая в настоящее время имеет более 278 миллионов MAU, имеет около полумиллиарда личностей пользователей, которые никогда не давали согласия. Даже с учетом трех других источников данных кажется маловероятным, что более одной трети общей базы данных Truecaller состоит из пользователей, которые согласились быть идентифицированными и добавленными в базу данных компании.
Огромный размер базы данных Truecaller вызывает вопрос о том, что фирма делает с этой базой данных. Расследование Caravan выявило одну возможность: фирма может составлять полный финансовый профиль своих зарегистрированных пользователей.
«SMS-сообщения в основном связаны с банковскими транзакциями, и любой может попытаться извлечь финансовую информацию миллионов пользователей Truecaller и украсть ее».
В июне 2020 года помощник управляющего национального банка, который не хотел называть своего имени, потому что не хотел ставить под угрозу свою безопасность, переехал в Бангладеш, чтобы присоединиться к партнеру, работающему в дипломатической миссии Индии. Как только они прибыли в Бангладеш, обычная функция SMS на их устройстве перестала работать из-за правил поставщика услуг. Однако сотрудник банка по-прежнему получал SMS-уведомления, в том числе одноразовые пароли для каждой онлайн-транзакции, через приложение Truecaller, установленное на его телефоне. Они поделились скриншотами некоторых из этих сообщений с The Caravan.На скриншотах видны логотип национального банка, их банковский баланс и последние четыре цифры номера счета в каждом сообщении.
Это приводит к вопросу о том, имеет ли Truecaller доступ к содержимому SMS и может ли он быть свидетелем каждого «секретного рукопожатия» — финансовых транзакций на основе OTP — с банком.
«Помимо отслеживания ваших звонков, их продолжительности и ваших самых и наименее любимых контактов, программное обеспечение Truecaller может создать ваш подробный финансовый профиль, поскольку оно имеет доступ к вашим SMS [сообщениям]», — сказал бывший сотрудник. Они подтвердили, что алгоритм компании может читать содержимое текстовых сообщений. «Благодаря специальной функции под названием 'Классификатор SMS' программное обеспечение Truecaller может распознавать личные, высокоприоритетные [банковские одноразовые пароли и транзакции], а также спам-сообщения зарегистрированного пользователя». Они добавили, что эта возможность может позволить приложению отправлять предложения по кредиту людям, когда их банковский баланс становится ниже определенного значения. Truecaller уже предлагает краткосрочный кредит до 5 лакхов рупий (около 6600 долларов США) для зарегистрированных пользователей без большого количества документов. Компания также имеет финансовое партнерство с такими фирмами, как WhizDM Innovations, которая предлагает потребительские кредиты.
Бывший сотрудник также указал, что доступ к текстовым сообщениям представляет угрозу безопасности, поскольку все данные могут быть скомпрометированы, если система Truecaller заражена или в ней обнаружена ошибка.
«SMS-сообщения в основном связаны с банковскими транзакциями, и любой может попытаться извлечь финансовую информацию миллионов пользователей Truecaller и украсть ее»,
В 2019 году они отметили, что «так называемая ошибка» автоматически создавала учетные записи с единым платежным интерфейсом в ICICI Bank, «вызывая панику и опасения взлома среди пользователей Truecaller». Позже Алан Мамеди извинился в сообщении в блоге , в котором говорилось: «Мы понимаем разочарование, которое эта новость и многочисленные слухи могли вызвать у людей, и мы искренне извиняемся перед ними. Мы все в Truecaller чувствуем себя ужасно из-за того, что это вообще произошло».
Truecaller отрицает, что у него есть возможность читать содержимое SMS, и говорит, что анализирует сообщения только локально на телефоне, чтобы идентифицировать отправителей и определить, являются ли они спамом. Тем не менее, компания одновременно заявила , что, сделав Truecaller SMS-приложением по умолчанию, можно сохранить чистоту папки «Входящие», классифицируя сообщения, такие как одноразовые пароли, встречи, спам-сообщения, несохраненные номера и многое другое.
Более того, то, как Truecaller адаптировался к изменяющемуся законодательству в некоторых частях мира, также вызывает серьезные вопросы о его практике в Индии. Компания сформулировала строгие правила конфиденциальности в Нигерии , другом крупном рынке, и переделала свое приложение для европейских пользователей после того, как Европейский союз принял Общий регламент по защите данных в 2016 году. Однако аналогичный уровень строгости не применялся к индийскому рынку. .
Например, пользователи приложения из ЕС имеют многоуровневую защиту, основанную на шести юридических контрольных точках:
- согласие,
- выполнение контракта,
- законный интерес,
- жизненно важный интерес,
- юридическое требование,
- общественный интерес.
Соответственно, пользователям приложения из ЕС были предоставлены дополнительные функции доступа и контроля в центре конфиденциальности приложения, которые позволяют им получать доступ, исправлять, стирать, ограничивать обработку и передавать свои данные. Для индийских пользователей такие опции недоступны. После введения в действие GDPR Рабочая группа, независимый европейский консультативный орган по защите данных и конфиденциальности, в июне 2017 года написала Мамеди письмо , в котором выразила озабоченность по поводу того, как True Software собирала личные данные. Письмо, копия которого есть у «Каравана », гласило:
Похоже, что True Software получает личные данные как из списков контактов пользователей Truecaller, так и, в некоторых случаях, с их страниц в социальных сетях (включая имя, номер телефона, адрес электронной почты и, при наличии, демографическую информацию и дополнительную контактную информацию). Затем эта информация становится общедоступной с помощью обратного поиска на веб-сайте Truecaller и в мобильном приложении… Нет никаких признаков того, что True Software уведомляет не пользователей о том, что их данные обрабатываются в приложении Truecaller или поиске на веб-сайте, если только эти лица активно не участвуют на веб-сайте или загрузите приложение. Вполне возможно, что люди вообще ничего не знают о таком использовании их данных. Это означает, что им отказывают в их правах в соответствии с Директивой и что их неприкосновенность частной жизни нарушается.
Вскоре после этого в 2018 году компания переместила свои центры обработки данных в Индию. По словам Пранеша Пракаша, одного из основателей некоммерческого Центра Интернета и общества в Бангалоре, Truecaller работает в Индии по умолчанию. «Truecaller лжет, когда говорит: Права и интересы наших пользователей являются для нас приоритетом, и поэтому мы предоставляем практически одинаковые права всем нашим пользователям в разных регионах», — сказал он.
«В Индии Truecaller хранит личную информацию контактов из вашей адресной книги и обеспечивает обратный поиск контактов. Это не пример «в значительной степени идентичных прав» в разных географических регионах. Truecaller явно соблюдает свои права на неприкосновенность частной жизни пользователей в ЕС, а Truecaller не уважает права на неприкосновенность частной жизни индийцев», — сказал Пракаш.
«Truecaller — это случай, когда ваши личные данные собираются от вашего контакта, который [затем] используется без вашего согласия».
Действия Truecaller также кажутся нарушением принципов конфиденциальности Google. Ришиту Амарнани, менеджер по коммуникациям в Google Play Store, уклончиво ответил на вопросы The Caravan о практике Truecaller. Нам сказали, что «информация, которой вы поделились, была передана соответствующей команде», которая «расследует это и примет соответствующие меры по результатам расследования». Прасанна, программист, ставший юристом, сказал The Caravan , что «политика конфиденциальности Google, к сожалению, очень ограничена», поскольку она предназначена для регулирования того, как приложения собирают личные данные пользователей. «Truecaller — это случай, когда ваши личные данные собираются от вашего контакта, который [затем] используется без вашего согласия».
Пока правительство Индии медлит с законопроектом о защите данных, заинтересованные граждане вмешались, чтобы заполнить пробел. В июле 2021 года Высокий суд Бомбея направил правительству Индии, правительству штата Махарастра и Национальной платежной корпорации Индии уведомления с требованием отреагировать на судебный процесс, связанный с общественными интересами, в котором утверждалось, что приложение Truecaller обменивалось данными пользователей в нарушение правил. Шашанк Постур, юрист-стажер, подавший петицию, заявил, что Truecaller делится данными с некоторыми из своих партнеров без согласия пользователей, а затем перекладывает ответственность на пользователей.
«Основным преимуществом компаний, работающих с данными, таких как Truecaller, является тот факт, что люди в Индии еще не осознали ценность и необходимость конфиденциальности», — сказал Постур The Caravan . «В Индии нет четко определенных законов о конфиденциальности, и люди могут спокойно давать доступ к сотням личных контактных номеров, даже не думая о том, что это может бомбардировать их близких деловыми звонками — и даже подвергнуть их опасности, указав свое имя. и профессиональная идентичность в общественном достоянии».
Также еще неизвестно, сможет ли законопроект о защите данных решить проблемы, связанные с конфиденциальностью и данными, относящимися к Truecaller. «Что касается предстоящего DPB в Индии, мы постоянно общались с ключевыми заинтересованными сторонами», — сказал представитель компании The Caravan . «Наш генеральный директор Алан Мамеди лично встретился с ключевыми членами объединенного парламентского комитета в 2020 году, чтобы изложить нашу позицию, объяснить, как работает Truecaller, и заявить, что мы готовы соблюдать все аспекты окончательного законопроекта».
Прасанна не возлагает больших надежд на законопроект. По его словам, хотя он прямо запрещает сбор данных без согласия, он предусматривает компенсацию только в том случае, если пострадавшая сторона может продемонстрировать вред, отличный от потери конфиденциальности. «Это, вероятно, сделает закон беззубым тигром, даже если будут предусмотрены штрафы и пени».