Журналист «Медузы» запросил у «ВКонтакте» полный архив своих данных. Он получил файл на шесть миллионов строк — и в нем не хватало информации
Администрация соцсети «ВКонтакте» после уголовных дел за мемы и обвинений в активном сотрудничестве с правоохранительными органами пообещала дать российским пользователям возможность скачивать всю свою информацию с сайта. Дело в том, что представители соцсети выдавали данные подозреваемых правоохранительным органам, а, как оказалось, получить такой же набор данных самому пользователю было невозможно. Журналист «Медузы» Султан Сулейманов воспользовался этим правом досрочно — по европейскому регламенту защиты персональных данных GDPR. Вот что оказалось в огромном текстовом документе, который ему предоставили во «ВКонтакте».
Процедура
В конце мая 2018 года в Евросоюзе заработал общий регламент по защите данных (GDPR). Он, в частности, обязывает все компании, хранящие данные граждан ЕС, по запросу предоставлять им собранную о них информацию. Чтобы соответствовать GDPR, «ВКонтакте» создала отдельную страницу с политикой приватности на английском языке — в ней, в частности, прописано право пользователей запрашивать всю информацию о себе, хранящуюся в соцсети.
Пока ВК выдает данные только людям, живущим в Европе, — жителям России советуют обратиться с письменным запросом на официальный адрес компании или подождать, пока появится соответствующий механизм. 21 августа 2018 года я из Риги попросил службу поддержки предоставить данные о себе в соответствии с GDPR.
Чуть меньше, чем через месяц, 17 сентября, я получил ссылку на зашифрованный архив. Никаких документов или других доказательств, что запрос пришел именно от меня, представители соцсети не запрашивали. Представителя службы поддержки, приславшего ссылку, смутила просьба предоставить пароль от архива. Но оказалось, что для открытия архива было достаточно ввести аббревиатуру GDPR.
Можно предположить, что сотрудник службы поддержки тоже мог скачать и разархивировать все мои данные. Но в пресс-службе «ВКонтакте» меня заверили, что технически у него такой возможности нет: документ скачивается, только если пользователь войдет под своим аккаунтом.
Что внутри
В архиве оказался один текстовый файл размером 178 мегабайт — в нем было почти шесть миллионов строк, содержавших сразу все наборы данных: от изменения прикрепленных номеров телефона до личных сообщений и записей на стене.
Вот какие данные были в документе:
- привязанный к странице e-mail;
- дата регистрации аккаунта;
- IP-адреса регистрации и последних восьми входов в аккаунт;
- дата последнего изменения пароля (и с какого IP-адреса это было сделано);
- даты изменения привязанного номера телефона;
- история изменения имени и фамилии;
- история блокировок страницы с указанием причины;
- история обращений в службу поддержки: даты создания и заголовки диалогов;
- заявки на восстановление страницы;
- список друзей на момент создания архива — имена и ссылки на профили;
- все отправленные и полученные сообщения за всю историю аккаунта (с 2007 года) — с прямыми ссылками на прикрепленные к ним картинки и текстом пересланных сообщений;
- все содержимое групповых чатов, в которых состоял пользователь — в том числе сообщения других участников;
- посты и комментарии на стене пользователя, оставленные как им самим, так и другими — с ноября 2015 года;
- фотографии, на которых отметили пользователя (с прямыми ссылками на файлы);
- все альбомы пользователя со всеми фотографиями, существовавшие на момент создания архива (включая закрытый альбом «Сохраненные фото»), — со ссылками на файлы, временем загрузки и подписью;
- все видеозаписи, загруженные или добавленные на страницу: название, ссылка на страницу, дата загрузки, IP-адрес, длительность, количество просмотров;
- аудиозаписи, добавленные в «Мои аудиозаписи» (не на стену): названия и даты добавления;
- документы — в том числе «граффити», отправленные в личных сообщениях — с датой загрузки, IP-адресом и прямой ссылкой на файл;
- группы, в которых состоит пользователь, с указанием тех, где он является администратором;
- дата рождения;
- политические и религиозные предпочтения (те, что были указаны на странице);
- мобильный телефон;
- город.
Чего в архиве не оказалось
Даже если предположить, что ВК не сохраняет историю местоположения устройства, с которого пользователь зашел соцсеть; посещенные сайты и другие действия пользователя, которые можно получить косвенным путем, архив нельзя считать полным. В нем отсутствуют несколько разделов с информацией на странице — такие, как образование, военная служба, текущие и прошлые места работы, языки, которыми владеет пользователь, или ссылки на аккаунты родственников (вся эта информация у меня была заполнена).
Также в отчете не хватает:
- пабликов, на которые подписан пользователь (в том числе тех, которые он администрирует);
- игр, которые он добавил к себе;
- приложений, которые он создал через портал для разработчиков;
- старых записей и комментариев (у меня на стене есть посты, написанные с 2007 года);
- комментариев, оставленных под чужими записями и фотографиями;
- закладок — хотя такой раздел есть на сайте.
В пресс-службе ВК мне рассказали, что соцсеть по запросу пользователя «стремится» отдать ему «всю необходимую информацию», но у возможностей выгрузки данных могут возникать «серьезные технические ограничения». Они, говорят в пресс-службе, связаны с тем, что разработчики «никогда не создавали инструменты, упрощающие доступ к данным» — а вместо этого работали над технологиями, защищающими обработку персональных данных, и жестким разграничением доступа к ним.
В июне 2018 года белорусский активист Кристиан Шинкевич, живущий в Польше, рассказал, что получил у «ВКонтакте» по GDPR архив со своими данными. При этом, утверждал Шинкевич, в документе оказались удаленные переписки и фотографии.
Мне не удалось найти в присланном архиве удаленных данных: список друзей был актуальным, а удаленные когда-то сообщения и фотографии в документ не попали. В нем было вдвое больше фотоальбомов, чем есть на моей странице, но при внимательном изучении оказалось, что это был один и тот же (актуальный) список, вставленный дважды. В списке фотографий, на которых я был отмечен, оказались нерабочие ссылки на снимки других пользователей, позже закрытые настройками приватности, — однако эти же фотографии ВК позволяет увидеть через альбом «Фотографии с пользователем».
Пресс-служба «ВКонтакте» признала, что хранит удаленные данные, как того требует российское законодательство (соцсеть по закону из «пакета Яровой» внесена в реестр организаторов распространения информации): переписку — шесть месяцев, другую информацию — год.
Европейское законодательство предусматривает штрафы до 20 миллионов евро или 4% годового оборота компании за нарушение отдельных положений GDPR. Я попросил службу поддержки прислать недостающие категории личных данных. На момент публикации текста ответа не было.