Заболели, в отъезде, без комментариев. dev.by пытался узнать, какие системы аналитики используют белорусские продуктовики (+Комментарии юристов)

4 комментария
Заболели, в отъезде, без комментариев. dev.by пытался узнать, какие системы аналитики используют белорусские продуктовики (+Комментарии юристов)

В конце февраля The Wall Street Journal рассказал, что как минимум 11 популярных приложений делятся личными данными пользователей с Facebook через аналитическую платформу соцсети. Для белорусской Flo этот текст обернулся 48-часовым хакатоном: команда за один уикенд выпилила Facebook Analytics SDK и перешла на свою систему аналитики.

dev.by обратился к 20+ продуктовых компаний с вопросом, какие системы аналитики они используют. В 17 нам отказали в комментариях. Две из этих 17 при этом уточнили, что применяют собственные разработки.

Пояснения компаний были разными:

  • «не хотим, чтобы наше название упоминалось в связи со скандалом»;
  • «у нас нет экспертизы — не можем быть вам полезны»;
  • нужный специалист «ушёл в отпуск»;
  • «заболел»;
  • «в командировке»;
  • «занят»;
  • «передали просьбу — с вами свяжутся»;
  • «давайте в этот раз без нас»;
  • NDA;
  • «мы вам это припомним».

Total Games: «Некоторые данные проще получить запросами в собственную базу»

Основатель Total Games (компания занимается разработкой игры на блокчейне Total Poker) Алексей Мелешкевич рассказал нам, что в его компании используют несколько систем аналитики: Google Firebase, Adjust, а также собственную разработку.

— Мы не собираем персональные данные наших пользователей, у нас нет логинов через социальные сети. Собственная система аналитики  необходима нам, чтобы дополнить внешние системы. Некоторые данные гораздо проще получить запросами в собственную базу данных, чем отслеживать их через Firebase, например.

Алексей добавил, что стоимость собственной разработки Total Games была совсем небольшой.

MapBox: «Вся информация остаётся у тебя — меньше возможностей её похитить»

Экс-руководитель минского подразделения MapBox (делает умный видеорегистратор) Александр Матвеенко отметил, что в его компании никогда не применяли стороннюю систему аналитики.

— Мы использовали трекинг событий — это скорее система логирования, написанная нами самими. Дело в том, что системы аналитики в основном используют B2C-приложения, мы же всё-таки делали SDK для бизнеса. У нас не было потребности в системе аналитики.

В Maps.Me мы в своё время использовали и Google, и Facebook Analytics: и на самом деле, если у тебя есть канал продвижения приложения на Facebook, то, конечно же, ты будешь использовать их систему аналитики.

Говоря о преимуществах и недостатках собственной системы аналитики, Александр отмечает: её «достоинство заключается в том, что вся информация так или иначе остаётся у тебя — меньше возможностей её похитить». «А недостатки — в том, что её нужно разрабатывать: а это расфокус, отвлечение от основного продукта».

По словам Александра, MapBox применяет почти все известные способы защиты данных пользователей — шифрование, авторизацию и так далее.

— В последнее время мы особенно много над этим работали — шифровали весь контент, который выкладывали на устройства. Также было правило не хранить данные одного и того же пользователя в течение длительного периода времени (например, целого дня), чтобы было невозможно отследить его местоположение по треку GPS.

DeepDee: «Все данные на наших серверах, они не затрагивают пользователей»

CTO DeepDee (стартап занимается разработкой мобильного приложения для диагностики глазных заболеваний по снимку глазного дна) Алексей Кузьменков заметил, что на данный момент они не используют системы аналитики: ни внешние, ни внутренние.

— Просто проект ещё не на той стадии, и нам этого не надо.

Он также рассказал, как стартап защищает данные пользователей: «во-первых, у нас все данные на наших серверах; во-вторых, эти данные не затрагивают пользователей либо обезличены».

Guru Maps: «Когда речь заходит о сложных запросах, Facebook Analytics уступает Amplitude»

Основатель картографического сервиса Guru Maps Евгений Бодунов говорит, что они использовали Facebook Analytics, но отказались от этой системы пару лет назад «в связи с её бесполезностью».

— Сейчас основная аналитика Amplitude: она позволяет действительно гибко фильтровать данные и следить за изменениями.

Также Евгений добавил, что Guru Maps не показывают своих баннеров и не ведут сбор информации о ЦА, чтобы лучше делать таргетинг.

— Нам интересно смотреть, какие события когда случались. Допустим, с каких серверов из какой страны и с какой скоростью пользователи скачивали карты. Или какой функцией где чаще пользуются. Также интересно, что чаще не получается, и любимые функции по странам. Не говоря уже о базовом ретеншн.

По мнению, Евгения «когда речь заходит о сложных запросах Facebook Analytics уступает Amplitude».

В ответ на вопрос, как в Guru Maps защищают пользовательские данные, Бодунов говорит, что они «не собирают лишнего и дают пользователю отключить сбор аналитики в любой момент». Такую возможность добавили совсем недавно. Те, кому это важно, выключают — и с этого момента у нас нет никакой информации об этом пользователе». В остальном, добавил Евгений, он «надеется на порядочность Amplitude».

PingFin: «FireBase поддерживает автоматический экспорт сырых данных в BigQuery»

Продуктовый менеджер Алексей Красовский рассказал в беседе с dev.by, что у его компании есть два взаимосвязанных проекта: клиентское приложение PingFin для учёта расходов пользователей и Open Business — аналитика по средним чекам для компаний.

— В клиентском приложении мы используем Google FireBase: мы работаем с большими объёмами данных, а FireBase поддерживает автоматический экспорт сырых данных в BigQuery. Это очень удобно — потому что, просматривая все данные, мы можем вычленять именно те, что нужны нам.

При этом Алексей исключил возможность того, что данные станут доступны кому-то вне компании.

— Мы работаем с финансовыми транзакциями пользователей, и поэтому в принципе никак не идентифицируем пользователей — они выступают как анонимы. У нас есть возможность сохранения бэкапов с привязкой к Gmail, но они отвязаны от основной аналитики.

Отвечая на вопрос, как компания защищает пользовательские данные, Алексей добавляет, что у них соблюдают протоколы безопасности при работе с базами, используют серверное ПО, а также специальный хостинг.

Viber: «Гарантируем, никто не может получить доступ к данным пользователя»

Пресс-служба Viber в ответ на запрос dev.by прислала такой комментарий:

— Новость о неправомерном использовании Facebook личных данных вызывает беспокойство. Вся информация, которой пользователи делятся в личных и групповых чатах Viber, будь то сообщения, аудио или видеозвонки, — засекречена с помощью сквозного шифрования.

Используя сквозное шифрование, мы гарантируем, что никто, в том числе Viber, не может получить доступ к личным данным пользователя, прочитать или прослушать его разговоры. Никто не может передать эту информацию третьим лицам: она засекречена с помощью специального кода, а ключи шифрования хранятся только в телефонах пользователей.

Viber не использует упомянутые инструменты, разработанные Facebook, так как мы заботимся о конфиденциальности данных наших пользователей.

По теме
Все материалы по теме

Юрист ИТ-компании: «Можно провести аудит, получить сертификат по соответствию GDPR. Но какая гарантия?»

Юрист одной из минских ИТ-компаний на условиях анонимности рассказал dev.by, что сейчас работа с персональными данными и передачей их третьим лицам — «больное место» для разработчиков ПО.

— Есть нюансы: во-первых, в большинстве стран мира приняты разные законы для регулирования действий с персональными данными — и всем им нужно соответствовать. Во-вторых, проблема также в том, что:

  • эти законы содержат общие нормы и не отвечают на вопрос, что же конкретно нужно сделать, чтобы ничего не нарушить;
  • или содержат юридические термины и формулировки, которые слабо соотносятся с существующими технологиями (поэтому не хотелось бы, чтобы в новом законе о персональных данных, принятие которого обсуждается в Беларуси, был просто переписан GDPR без детальной проработки и осмысления практической реализуемости норм).

Наш источник задаётся вопросом, будут ли предпринятые разработчиками меры признаны контролирующим органом достаточными. Можно провести аудит, получить сертификат по соответствию GDPR. «Но какая гарантия? — спрашивает он. —  Применимо ли то, что тебе посоветовали? У регулятора свое мнение».

— Я понимаю, почему компании отказываются давать комментарии: вопрос очень неоднозначный — они и рады бы соответствовать нормам, но как конкретно? И сколько это будет стоить? И будет ли того, что ты сделал достаточно, чтобы гарантировать защиту от утечек и прочих неприятностей? Насколько хорошо защищает данные используемая тобой система аналитики и не использует ли она их как-то ещё?

Своя собственная система аналитики — это недешёвое удовольствие: не каждый стартап может себе это позволить. Приходится пользоваться услугами третьих лиц, чью честность сложно гарантировать.

Одни разработчики систем аналитики прямо открещиваются от всякой ответственности за полученные данные, другие пишут, что их продукт соответствует существующим требованиям в области защиты данных, но проверить это ты не можешь. Что касается крупных систем аналитики: очень многие ими пользуются — и очень сложно от них уйти ввиду их практической необходимости. Поэтому на сегодня больше вопросов, чем ответов в этой сфере. Полагаю, поэтому и такая реакция.

Arzinger & Partners: «Можете детализировать использование данных — делайте это»

В юридической компании Arzinger & Partners нам пояснили:

— Принимая решение в пользу внешней системы аналитики компания соглашается с Privacy Policy, принимает оферту. Не читать соглашение, равно как и не предупреждать об этом своих пользователей — плохая идея. Вы в ответе за тех, чьими данными оперируете.

Кстати, необходимо отдать должное команде Flo — на сайте компании ещё до инцидента было чётко и недвусмысленно указано, что приложение использует аналитические инструменты от Facebook, которые собирают в основном не персонализированную информацию. Но тем не менее она может быть использована Facebook для рекламных целей.

Если попробовать составить правильный шаблон пользовательского соглашения, то начнётся он с двух основополагающих моментов:

  1. ваши данные могут быть использованы в маркетинговых (коммерческих) целях;
  2. ваши данные могут быть переданы третьим лицам.

«Каким третьим лицам? В каких целях?» — на эти вопросы в читаемых нами Privacy Policy ответов чаще всего нет. И не факт, что они появятся.

По GDPR, производитель должен предупреждать пользователя, в каких целях он использует персональные данные — в том числе те, что могут быть признаны медицинскими (вес, возраст, особенности поведения и прочее). Коротко и «доступно» — таковы рекомендации европейского законодателя относительно Privacy Policy.

На деле юристы не всегда с лёгкостью справляются с этой задачей: часто грязнут в объяснениях терминов и множат объём текста.

Ещё одна сторона вопроса: как производителю отразить в Policy информацию, которая напрямую влияет на его бизнес-процессы. «Это ведь моя коммерческая тайна. Я на этом деньги зарабатываю, детей кормлю, хакатоны спонсирую…» — так и слышишь в ответ.

Какие в связи с этим можно дать советы, как обезопасить себя от возможного скандала, а своих пользователей от «утечек» их данных:

​советы

  1. Можете детализировать использование данных — делайте это. Проработайте соглашение, в котором будут указаны цели, методы применения пользовательской информации, механика их обработки, а также партнёры (такие, как Facebook), с которыми вы этими данными делитесь.
  2. Не забывайте, что при появлении каждого нового партнёра, каждой новой цели следует обновлять документ, предупреждая об этом пользователя. Важно вычитать PP всех партнёров, с которыми имеешь дело. И при этом обязательно учитывать все возможные страновые ограничения.
  3. Контролируйте и периодически проводите «аудит», какого рода данные направляются контрагентам и не нарушает ли такая передача ваши договоренности и законодательство какой-либо страны или штата.
  4. Ну и по возможности выбирайте программные продукты, которые могут быть установлены на серверах вашей компании. Вы можете использовать сторонние системы данных, но по факту данные останутся у вас.

Хотите сообщить важную новость?

Пишите в наш Телеграм

Горячие события

.NET Summit Belarus 2020  Online Edition Conference
7 августа — 8 августа

.NET Summit Belarus 2020 Online Edition Conference

Минск

Читайте также

В Беларуси 68,6 тысячи случаев заболевания коронавирусом
В Беларуси 68,6 тысячи случаев заболевания коронавирусом
В Беларуси 68,6 тысячи случаев заболевания коронавирусом
Отпустило: большинство уже не боится остаться без работы и хорошей зарплаты
Отпустило: большинство уже не боится остаться без работы и хорошей зарплаты
Отпустило: большинство уже не боится остаться без работы и хорошей зарплаты
Больше 50% белорусских айтишников не боятся остаться без работы или устраивающей зарплаты. Лишь меньше 10% ИТ-специалистов опасаются увольнения. Таковы результаты кризисного опроса dev.by по итогам июня. Итоги майского опроса про настроения и перспективы — здесь.
6 комментариев
Генпрокуратура грозит оштрафовать разработчиков платформ для голосования
Генпрокуратура грозит оштрафовать разработчиков платформ для голосования
Генпрокуратура грозит оштрафовать разработчиков платформ для голосования
17 комментариев
Ермошина назвала платформу «Голос» политической аферой и «преступным проектом»
Ермошина назвала платформу «Голос» политической аферой и «преступным проектом»
Ермошина назвала платформу «Голос» политической аферой и «преступным проектом»
11 комментариев

Обсуждение

Александр Флахбарт
Александр Флахбарт программист в BELHARD
0

Неудивительно - напишешь. что используешь FA - сразу запишут в ряды сливателей, напишешь что используешь свои разработки - нет доказательств. что данные реально обезличены. А про GDPR compliance так вообще упоминать тоже моветон, поскольку он ещё более размыто написан и вотчина самонаровдишихся консультантов по расписыванию privacy policy и дурацких консентов.

2

После того как отдельные чиновники в ЕС нашли путь подняться по карьерной лестнице и начали нагнетать истерию с приватностью, мы скатились к смешному что нужно извиняться за использование аналитики и не дай .. FA.
99% пользователей вообще не парило что и куда они сливают, и сейчас не парит. Они сами готовы всем делиться.
Вся проблема на мой взгляд не в сборе данных а в том чтобы их не использовали в "плохих" целях. От этого GDPR и т.п. решения не спасут, кому нужно на них и внимания не обратят.
Но кол-во бесплатного софта сократится. И IT гиганты начнут брать плату там где раньше было бесплатно, собственно уже так есть. А молодым стартапам будет сложней получить прибыль. ЕС ставит свои компании в худшие условия на международном рынке. Будут запускаться там где меньше ограничений в США и Азии.

5

Классно вайбер ответил. Сразу начали заливать про сквозное шифрование чатов, звонков и т.п., хотя вопрос был про аналитику.
Учитывая тот колхоз, который происходит с десктопным клиентом я им не верю. Сколько раз писал в поддержку о том, что на пол списка контактов суют баннеры с рекламой финансовых пирамид - ноль реакции. При этом чтобы пожаловаться на рекламу нужно заполнить 100500 полей. Плюс ссылка на рекламный баннер вставляется как "undefined". Аналитика, видимо, так же сделана.

0

нашел, но не ФА, а marketo.com... Viber! удаляйте пока никто не увидел.

А вообще вайбер это конечно печаль, но пока не все ещё ушли с него приходится пользоваться...
Вот сегодня на мобиле вылез скрин: "Настройте резервное копирование"... и пока не настроишь сообщения ты х!й прочитаешь или напишешь.
А ещё приходилось как-то работать с их API для паблик акков. Там вообще ад.

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже