Госдума просит Роскомнадзор проверить шпионские возможности Google
Счетчики посещаемости сайтов дают возможность сторонним компаниям видеть запросы и персональные данные интернет-пользователей
Персональные данные россиян, материалы обращений граждан в госорганы оказываются доступными для сторонних фирм. Утечка данных может происходить, если на страницах официальных сайтов используются счетчики посещаемости от сторонних производителей — Google, "Яндекса" и др. Об этом говорится в письмах члена комитета Госдумы по безопасности и противодействию коррупции Ильи Костунова, направленных генпрокурору РФ Юрию Чайке, главе Роскомнадзора Александру Жарову и министру экономического развития Алексею Улюкаеву. Депутат просит проверить защищенность данных граждан от несанкционированного сбора через интернет-счетчики, а также запретить использование на государственных сайтах счетчиков от компаний из недружественных к России стран.
Сейчас многие государственные и муниципальные власти вставляют на свои официальные сайты фрагменты программного кода (от "Яндекса", Google, Liveinternet и др.), которые позволяют увидеть посещаемость отдельных страниц, популярность ссылок (на какую кликают редко, на какую часто), пути движения посетителей по сайту и др.
Согласно данным аналитического портала index.ru из 264 госсайтов счетчики "Яндекса" есть на 52%, Liveinternet — на 35%, Google — на 21% (можно использовать сразу две или более). Эти счетчики можно настроить так, что пользователь их не видит на сайте, их можно увидеть, только посмотрев программный код страницы.
При этом на серверы компаний уходит не только статистика посещений. "Собираются не только параметры запроса пользователя к посещаемому сайту или адрес сайта, с которого произошел переход, но и информация, получаемая от браузера, в том числе о данных, введенных в поля форм, о нажатии на кнопки клавиатуры, кликах "мышки", перемещении курсора, выделении и копировании текста", — отмечает в своем письме депутат.
— Владельцы сайтов с удовольствием ставят счетчики, чтобы знать, кто заходит к ним на страницы и что делает. Происходит взаимный обмен данными, — рассказал "Известиям" Костунов. — Но подобные интернет-счетчики собирают информацию о поведении граждан, которые зашли на портал госоргана и отправляют на удаленный сервер — например, компании Google. Считаю абсолютно недопустимым сбор и отправку на удаленный сервер данных, которые граждане сообщают, например, при получении государственных и муниципальных услуг в электронной форме. Также в обращениях россиян в госорганы содержится личная и семейная тайна.
Костунов приводит пример: на портале госуслуг Москвы в разделе, где идет работа с персональными данными, стоят счетчики "Яндекса" и Google. В департаменте информационных технологий Москвы эту информацию подтвердили.
— Установка этих счетчиков необходима для анализа переходов между страницами, а также с других ресурсов, учета потребностей пользователей, помогает оперативно выявлять проблемы, — рассказывает официальный представитель ДИТ Москвы Елена Новикова. — Никакие персональные данные никуда не передаются, вся аналитика деперсонализирована и доступна только в обобщенном виде. Использование счетчиков — совершенно стандартная практика, которая позволяет лучше понимать посетителей ресурса и подстраиваться под их нужды.
По словам основателя аналитического сервиса index.ru Леонида Филатова, от счетчиков исходит потенциальная угроза, а используют они полученную информацию или нет — это вопрос другой.
— Счетчики Google и "Яндекса" позволяют получать доступ ко всем данным на странице, — рассказывает Филатов. — Например, у "Яндекса" есть функционал, которой делает скриншот страниц и передает его в систему аналитики. Такой же функционал есть у Google. Компании могут заявлять, что не используют эти данные, но они имеют к ним доступ.
По словам директора по информационным технологиям Mail.Ru Group Александра Горного, счетчики могут использовать код двух типов: либо он полностью помещается на страницу сайта, либо его часть подгружается с сервера счетчика.
— В первом случае данные, передаваемые в систему статистики, строго ограничены и обычно не позволяют персонифицировать пользователя — обычно передается IP-адрес, браузер, разрешение монитора и тому подобное. Если же код подгружается с сервера счетчика, он потенциально может собирать практически всё что угодно, включая и содержимое форм, — говорит Горный. — Что касается нашей системы аналитики — рейтинга Mail.Ru, мы даем возможность установить код обоими способами и надеемся, что в закрытой части сайтов органов госвласти используется первый.
По словам основателя сервиса статистики Liveinternet Германа Клименко, от подгруздки кода с сервера они отказались еще на этапе проектирования своего сервиса.
В пресс-службе компании "Яндекс" отметили, что вся информация, собираемая счетчиками, хранится на сервера в обезличенном виде.
— Установить по этим данным, кто именно заходит на сайт, невозможно, — отметили в пресс-службе. — Статистику сайта сделать общедоступной может только владелец ресурса, но не владелец счетчика.
В Google не ответили на запрос "Известий".
В своем письме депутат просит Генпрокуратуру провести проверку и дать правовую оценку доступа негосударственных интернет-компаний к указанной информации, а Роскомнадзор и Минэкономразвития — провести проверку госсайтов на предмет защищенности данных. Кроме того, Костунов просит "с учетом известных сообщений Эдварда Сноудена рассмотреть возможность запрета размещения "интернет-счетчиков" на государственных порталах от компаний, находящихся под юрисдикцией стран, проводящих явно недружественную политику по отношению к Российской Федерации".
— На сайте Минэкономразвития России персональные данные пользователей не обрабатываются и не хранятся, соответственно, ни один сервис для создания статистики посетителей получить к ним доступ не может. Виджеты на страницах сайта министерства не используются, — сообщила "Известиям" помощник министра Елена Лашкина. — Всё, что может фиксировать счетчик статистики на сайте Минэкономразвития, — это откуда приходят посетители (с какого сайта или с какой ссылки), как долго они остаются на сайте, где они находятся географически, какие страницы просматривают, к каким разделам обращаются.
В Роскомнадзоре не стали комментировать обращение Костунова. В Генпрокуратуре не ответили на звонок "Известий".