На этой неделе было много шума вокруг Gmail и доступа, который некоторые сторонние разработчики имеют к вашему почтовому ящику Gmail. Скрытые под вводящими в заблуждение заголовками, сообщения, как мне кажется, по праву подчеркнули параллели между системой Gmail и предыдущими разрешениями сторонних разработчиков Facebook, которые привели к последствиям, связанным с Cambridge Analytica. Однако общественное восприятие этих историй сильно отличается.
Вот несколько заголовков от Daily Mail, Business Insider и Gizmodo соответственно:
- Пользователи Gmail, будьте осторожны! Сторонние разработчики ЧИТАЮТ ваши личные сообщения
- Google утверждает, что не читает вашу почту Gmail, кроме всех этих случаев…
- Google говорит, что больше не просматривает вашу почту, но позволяет это делать другим приложениям.
Пожалуй, одним из самых вопиющих заголовков был тот, с которого начался весь этот скандал. «Грязный секрет технологий»: разработчики приложений просматривают вашу почту Gmail, который WSJ опубликовал в понедельник.
Главное заблуждение здесь заключается в том, что вся почта всех находится… в свободном доступе. Среднестатистический наблюдатель подумал бы, что Google и все связанные с ним сторонние разработчики просто массово читают вашу электронную почту. Тайна раскрыта. Каждое написанное вами письмо доступно для всеобщего обозрения. Это просто не так.
Во-первых, ваш почтовый ящик Gmail, как правило, не открыт для самого Google. Как и во всем, есть исключения. Во-первых, Google использовал компьютерные системы для сканирования вашей электронной почты с целью показа рекламы — практика, которую он прекратил для студентов, бизнеса и государственных пользователей в 2014 году, а полностью прекратил в прошлом году. Во-вторых, Google иногда получает доступ к электронной почте, когда вы его об этом просите или если они «расследуют ошибку или злоупотребление».
Практика автоматической обработки вызвала у некоторых ошибочные предположения о том, что Google «читает» вашу электронную почту. Чтобы было абсолютно ясно: никто в Google не читает вашу почту Gmail, кроме очень редких случаев, когда вы просите нас об этом и даете согласие, или когда нам это необходимо в целях безопасности, например, для расследования ошибок или злоупотреблений.
Однако, помимо этих случаев, что насчет основной проблемы? Что насчет сторонних разработчиков? Приложения, специально созданные для анализа и чтения вашей электронной почты, анализируют и читают вашу электронную почту, и это не должно удивлять. Такие приложения, как Boomerang, например, запрашивают доступ ко всему вашему почтовому ящику, чтобы предоставить множество функций, которые Google еще не реализовал в самом Gmail.
Итак, если компании имеют прямой доступ к вашему почтовому ящику, вы нажали одну из больших синих кнопок «РАЗРЕШИТЬ» внизу, которая четко указывает, что вы даете Boomerang для Gmail доступ к чтению, отправке, удалению и «управлению» вашим почтовым ящиком. Это почти все. (Чтобы было ясно, это общеизвестно; я не обвиняю Boomerang в каких-либо злонамеренных действиях с вашей почтой. Они этого не делают.)
Это относится к любому разработчику, который может получать доступ и анализировать вашу электронную почту для любых целей, или иным образом нарушает вашу конфиденциальность. Если вы предоставляете приложению доступ к «Чтению, отправке, удалению и управлению» вашей электронной почтой, у вас, по сути, не должно быть никаких ожиданий конфиденциальности, верно? И если вы хотите узнать, как заблокировать всех этих разработчиков, чтобы оставаться в безопасности, это сделать относительно просто.
Тем не менее, есть некоторые аспекты отчета WSJ, которые являются обоснованной критикой и вызывают опасения. Например, такие компании, как Return Path Inc., по сообщениям, собирают данные «для маркетологов, сканируя почтовые ящики более чем двух миллионов человек». Опять же, приложения Return Path по-прежнему относились бы к категории приложений, к которым вы явно предоставили доступ, но их тактика действительно звучит немного подозрительно.
Политика Google запрещает множество вещей, от расплывчатого «запрещается заниматься любой деятельностью, которая может ввести пользователей в заблуждение» до очень конкретных требований, таких как неразглашение собранных данных третьим сторонам («без явного согласия пользователя») и нехранение отдельных копий пользовательских данных. Но расследование WSJ, по-видимому, показывает, что Google не слишком строго соблюдает эти требования.
Одной из наиболее спорных тем является то, что некоторые из этих компаний, по-видимому, позволяют своим сотрудникам читать письма без редакции. Они «обучают свои компьютеры, а в некоторых случаях и сотрудников, читать электронную почту своих пользователей», — говорится в сообщении WSJ. «Примерно два года назад сотрудники Return Path прочитали около 8000 писем без редакции, чтобы помочь обучить программное обеспечение компании…» Жуть.
Неясно, нарушали ли подобные конкретные случаи политику Google, но не будет преувеличением сказать, что большинство сочтет, что они должны были. А более важный вопрос, как упоминалось, заключается в том, насколько усердно Google следит за ситуацией. «Я не видел никаких доказательств человеческой проверки», — сказал WSJ соучредитель приложения для электронной почты для агентов по недвижимости. Так что, основываясь на этом отчете, похоже, что не очень-то.
Однако на этой неделе Google защищал себя, заявив, что они «убеждаются, что они [разработчики] продолжают соответствовать нашей политике». Однако они не уточнили, как именно они это делают:
Чтобы пройти наш процесс проверки, сторонние приложения должны соответствовать двум ключевым требованиям:
- Точно представлять себя: Приложения не должны искажать свою личность и должны четко указывать, как они используют ваши данные. Приложения не могут выдавать себя за одно, а делать другое, и должны иметь четкие и заметные уведомления о конфиденциальности.
- Запрашивать только релевантные данные: Приложения должны запрашивать только те данные, которые им необходимы для их конкретной функции, не более того, и четко указывать, как они их используют.
Мы проверяем сторонние приложения, чтобы убедиться, что они продолжают соответствовать нашим политикам, и приостанавливаем их работу, когда узнаем, что они им не соответствуют.
Среди этих опасений интересно и то, что WSJ отмечает, что Google фактически вывел сторонние приложения на передний план в своем последнем обновлении Gmail, которое добавляет совершенно новый раздел справа для подобных апплетов. Можно предположить, что приложения высшего уровня, которые Google демонстрирует в качестве части своего Marketplace G Suite в настольном клиенте, проходят более тщательную проверку, чем другие.
И, наконец, конечно, есть опасения, которые могут возникнуть по поводу сбора любых данных в целом. Должны ли эти компании вообще иметь доступ к этим данным? Должны ли они иметь доступ к письмам, которые вы отправляли другу, когда они были теми, кто «открыл дверь» для этих сторонних разработчиков? Существуют ли более серьезные уязвимости для утечки данных, подобной Cambridge Analytica, которая может повлиять на выборы? Это все гораздо более масштабные вопросы, которые предстоит решить (и я не могу охватить их все здесь).
На данный момент Google делает так, что вы сами контролируете свои данные, а для конечных пользователей это компромисс, поскольку они могут тесно интегрировать полезные приложения, такие как планировщики путешествий и трекеры цен, в свой почтовый ящик Gmail. Возможно, Google должен улучшить процесс проверки, но на данный момент контроль у вас — вы можете доверять любому приложению или не доверять ему. Что касается меня, я предпочитаю просто не доверять ни одному из них. (И, честно говоря, я никогда не находил много дополнений для Gmail особо полезными, так что для меня это не проблема.)
Подводя итог, сам Google, как правило, не имеет доступа к вашему почтовому ящику; заголовки, предполагающие, что сторонние приложения имеют копии всех писем в вашем почтовом ящике, вводят в заблуждение; у Google есть руководящие принципы, и он говорит, что делает все возможное, чтобы постоянно проверять тех, кто использует его API; некоторые могут использовать его API некорректно, а некоторые явно делают тревожные вещи; и WSJ утверждает, что Google нужно работать лучше.
Вот ваш вывод: если вы этого давно не делали, вам, вероятно, следует использовать удобный инструмент Google, чтобы отозвать доступ у сторонних приложений, которые вы не используете, и пересмотреть, доверяете ли вы тем, которые используете. Но это просто хорошая практика, и она применима везде: в Google, Twitter, Facebook и других сервисах.