Ivan Begtin
7.98K subscribers
1.79K photos
3 videos
101 files
4.5K links
I write about Open Data, Data Engineering, Government, Privacy, Digital Preservation and other gov related and tech stuff.

Founder of Dateno https://dateno.io

Telegram @ibegtin
Facebook - https://facebook.com/ibegtin
Secure contacts ivan@begtin.tech
Download Telegram
Медуза [1], Известия [2], РИА Новости [3] и другие издания пишут о экспертах МВД предлагающих создать мобильное приложение "Мигрант" и включить в него "рейтинг социального доверия". Иначе говоря, наработки приложений "Социальный мониторинг" и "Стопкоронавирус.РФ" МВД явно понравились и решили применить их на трудовых мигрантах.

К сожалению, за всеми этими публикациями нет ни фамилий экспертов, ни первоисточника, ни этого самого прогноза. Мне лично очень интересно как это приложение будут ставить тем у кого нет сотового телефона на Android или iPhone и как будут обязывать устанавливать приложения многочисленных топ-менеджеров европейских и американских компаний в России.

Всё таки они тоже "трудовые мигранты", но они же и граждане других стран. Вступятся ли за их права их правительства и посольства?

[1] https://meduza.io/news/2020/05/29/mvd-predlozhilo-sozdat-prilozhenie-migrant-ustanavlivat-kotoroe-obyazhut-vseh-priehavshih-na-rabotu-v-rossiyu
[2] https://iz.ru/1017094/2020-05-29/mvd-rossii-mozhet-sozdat-spetcialnoe-prilozhenie-dlia-migrantov
[3] https://ria.ru/20200529/1572150359.html

#mobile #apps #privacy
Слишком часто меня в последнее время просят комментировать инициативы Минцифры. То же ожидаемое приложение "Стопкоронавирус - Контакты" [1]. А мне и прокомментировать, на самом деле, нечего комментировать пока оно не появится, а когда появится то желающих его разобрать по кусочкам и написать про то какое оно плохое или хорошее будет много.

Пока тезисами:
1. Существует список официальных приложений сделанных органами власти в разных странах на базе API уведомлений от Google и Apple [2]. Приложения появляются буквально каждую неделю их уже десятки
2. Из всех механизмов слежки и уведомлений - этот, пока, наиболее приватный.
3. Всё зависит от того как Минцифры сделают своё приложение, но им в любом случае надо провести его через ревью Google и Apple, то есть больше шансов на приватность.
4. Есть подробности о том как API будет работать [3], многое будет зависеть от пользователя который будет давать разрешение приложениям на доступ к информации.

Что вызывает куда большую тревогу у меня лично - это то с какой скоростью ДИТ Москвы (в лице ГКУ Информационный город) плодит мобильные приложения. Их уже 18 штук только в Google Play [4].

И там всё такое вкусное:
- Электронный дом Москва [5] для жителей многоквартирных домов
- Учет посещаемости [6] для выполнения учета посещаемости участников занятий, проводимых в рамках программы Московское Долголетие

и ещё много всего другого. Стоит посмотреть внимательнее.

Так что берегите себя и близких и не забывайте следить за правительством Москвы, потому что оно об этом никогда не забудет.

Ссылки:
[1] https://www.kommersant.ru/doc/4575726
[2] https://www.xda-developers.com/google-apple-covid-19-contact-tracing-exposure-notifications-api-app-list-countries/
[3] https://www.xda-developers.com/google-apple-contact-tracing-coronavirus/
[4] https://play.google.com/store/apps/developer?id=%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D1%8B%D0%B9+%D0%B3%D0%BE%D1%80%D0%BE%D0%B4+%D0%93%D0%9A%D0%A3
[5] https://play.google.com/store/apps/details?id=ru.mos.ed
[6] https://play.google.com/store/apps/details?id=com.dit.mosdollet

#apps #privacy #covid19 #security
Правительство РФ утвердило список из 28 приложений обязательных к предустановке с 1 апреля 2021 года [1].

Список включает:
- 16 приложений для смартфонов из которых 16 для Android и 14 для iPhone
- 1 приложение для Windows - пакет МойОфис
- 11 приложений для "умных" телевизоров

На что стоит обратить внимание:
- 4 приложения Яндекса и 7 приложений от Mail.ru и компаний входящих в Mail.ru Group
- 2 госприложения от структур подчинённых федеральному правительству, для смартфонов: Госуслуги и AppList.ru. Для телевизоров приложения Wink от Ростелекома и Смотрим от ФГУП ВГТРК
- судя по описанию AppList.ru - это аггрегатор для доступа к социальным ресурсам, сервисное приложение, возможно аналог AppStore или Google Play, хотя и до конца непонятно, пока его нет в открытом доступе.

Что остаётся за кадром:
- В регулировании пока нет упоминания будут ли приложения неудаляемыми, а если будут удаляемыми, то можно ли это будет сделать одной кнопкой или потребуется удалять каждое
- Что, в итоге, с политикой Apple по поводу предустановки приложений. Это вопрос уже не регулирования, а готовности компании это регулирование выполнять и процедур выполнения.
- ничего нет про региональный контур, мобильные приложения имеющие привязку к субъектам федерации, то же Пр-во Москвы полным ходом разрабатывает свой набор мобильных приложений.

P.S.
Небольшое отступление
Не могу не отметить что до сих пор, несмотря на то что уже 2021 год, цифровизация и всё такое, документы Правительства сначала доступны сканами, и только через недели в виде текстов. На сайте Правительства документы публикуются с задержкой в 3 недели, последние публиковались 19 декабря, а в системе НПА Минюста России в 2 недели, последние документы публиковались 23 декабря. Только на publication.pravo.gov.ru они публикуются относительно оперативно, но исключительно в отсканированном виде с неприличным названием "документы для качественной печати". Очень хочется надеяться что так будет не всегда.

Ссылки:
[1] http://publication.pravo.gov.ru/Document/View/0001202101060012?index=0&rangeSize=1

#government #apps #regulation
Знаете ли Вы что...
Германское приложение по отслеживанию контактов при COVID-19 [1]:
- сделано не Правительством Германии, а компанией SAP в консорциуме с 12 компаниями
- при этом продвигается Правительством Германии [2]
- его исходный код полностью открыт [3] и разработка ведется в открытом режиме
- в нем абсолютно нет никаких трекеров [4], включая Google Firebase и Crashlytics (привет Минцифре в приложении которого они есть [5])

Итого:
- данные собираются не государством
- код открыт и вся разработка видна и публична
- трекеров нет

Другие примеры:
- Австрия, приложение Stopp Corona [6], исходный код открыты с апреля 2020 года [7], создатели - Австрийский красный крест. Трекеров нет [8]
- Австралия, приложение COVIDSafe [9], исходный код раскрыт [10], используют один трекер [11] Google Firebase
- Индия, приложение Aarogya Setu App [12], исходный код раскрыт [13], используют те же трекеры что и российское Google Firebase и Google CrashLytics

и так ещё более 20 официальных государственных приложений для отслеживания COVID-19 разрабатываются полностью с открытым кодом. Некоторые включают трекеры, в основном, Google Firebase, но тогда их использование можно увидеть в исходном коде и уже предметно говорить с разработчиками когда это использование необосновано.

Лично я считаю что весь код созданный за средства государственных бюджетов должен раскрываться и мобильные приложения не исключение. Если даже в Марокко это делают [15], то, казалось бы, что мешает Минцифры России начать публиковать код общественно значимых проектов и перевести их разработку в открытый режим?

Ссылки:
[1] https://www.coronawarn.app/en/
[2] https://www.bundesregierung.de/breg-de/themen/corona-warn-app/corona-warn-app-englisch
[3] https://github.com/corona-warn-app/
[4] https://reports.exodus-privacy.eu.org/en/reports/de.rki.coronawarnapp/latest/
[5] https://reports.exodus-privacy.eu.org/en/reports/com.minsvyaz.gosuslugi.stopcorona/latest/
[6] https://play.google.com/store/apps/details?id=at.roteskreuz.stopcorona
[7] https://github.com/austrianredcross/stopp-corona-android
[8] https://reports.exodus-privacy.eu.org/en/reports/164043/
[9] https://covidsafe.gov.au/
[10] https://github.com/AU-COVIDSafe
[11] https://reports.exodus-privacy.eu.org/en/reports/161910/
[12] https://aarogyasetu.gov.in/
[13] https://github.com/nic-delhi/AarogyaSetu_Android
[14] https://reports.exodus-privacy.eu.org/en/reports/140895/
[15] https://github.com/Wiqaytna-app

#mobile #apps #covid19
Появилось свежее приложение ФГИС Аршин для андроид [1] от ФГУП ВНИИМС (Всероссийский научно-исследовательский институт метрологической службы — головной институт в системе Федерального агентства по техническому регулированию и метрологии) .

В приложении 9 трекеров [2] включая Amplitude и Segment по профилированию пользователей на рынке adtech, а также оно запрашивает 47 разрешений на телефоне включая работу с календарём, доступ к контактам, микрофону и камере и доступ к точному местонахождению.

Если судить по названию то теперь во ФГИС нормально включать код передачи третьим сторонам и собирать данные о контактах пользователей?

Вроде Росстандарт не правоохранители, не спецслужба, и с COVID-19 не борется. Радует только то что там число установок всего 50+ и в списке обязательных к предустановке приложений его нет.

Зато политика конфиденциальности (ссылка из профиля в Google Play) [3] "зачётная". Помимо прямого обмана "Not third-party analytics" и "The data is not shared with third parties", оно ещё и юридически ничтожно.

Это всё к вопросу о том как создаются ФГИС в России. Вот так и создаются, на коленке, с передачей данных о пользователях 3-м сторонам, запредельным доступом к устройствам пользователей и весьма невысокой культурой разработки.

Ссылки:
[1] https://play.google.com/store/apps/details?id=com.vniims.arshin
[2] https://reports.exodus-privacy.eu.org/en/reports/166597/
[3] https://drive.google.com/file/d/1DIhOvJhsBEfQzLPWDePwKcU1EbGLioII/view

#government #apps #android
Этот выпуск рассылки [5] я решил целиком и полностью посвятить совсем нешуточному регулированию о предустановке отечественного ПО, оно вступило в силу с 1-го апреля и уже начались публикации о том что производители предустанавливают приложения как неудаляемые (пример - Samsung) [1].

Если говорить про устройства на базе iPhone и Android, то список включает 16 приложений [2] и вот по ним всем мы и пройдёмся и разберемся что с ними так или не так. А нашим помощником будет база данных Exodus Privacy [3] с результатами выявления внешних трекеров в этих приложениях.

Краткие выводы
- Все коммерческие приложения обязательные к предустановке содержат трекеры используемые в рынке AdTech и передают сведения о действиях пользователей компаниям в других юрисдикциях.
- Приложения передают сведения компания в юрисдикциях таких стран как: США, Германия, Индия, Израиль, Норвегия, Китай
- Компании которым передаются сведения из приложения обязательных к предустановке включают: Google, Yahoo, Microsoft, Huawei, BitStadium, Facebook, InMobi, AppsFlyer, Schibsted, Upland, AOL, Unity, MixPanel, Adjust.
- Регулятором в лице Минцифры и законодателями в лице Правительства РФ (инициатор закона) и ГД РФ (федеральный законодательный орган) не установлены требования по передаче персональных данных и отслеживания третьим сторонам и в другие юрисдикции.
- В связи с тем что регулятор и законодатель обязали предустановку этих приложений на российские устройства и их установка не является добровольной, де-факто, они взяли на себя ответственность за передачу персональных данных граждан третьим лицам в юрисдикции других стран.

Я напомню наше предыдущее исследование [4] по приватности государственных мобильных приложений, там есть пояснения о том что такое внешние трекеры и как всё это устроено.

Подробности по каждому приложению в сегодняшней утренней рассылке [5].

P.S. Я долго думал не использовать ли какой-нибудь "жареный заголовок" типа "Минцифры обязало сливать данные россиян в Китай, США и Индию" или "Помощь отечественным производителям или зарубежным разведкам?" или "Отечественные приложения - это иностранные шпионы?" и ещё много такого.

А вместо этого, обратите внимание, пишу вот такой сдержанный, конструктивный, не циничный, а где-то даже полезный текст с обозначением недостаточного и незавершённого регулирования рынка AdTech со стороны российских законодателей и регуляторов которое и приводит к текущей, весьма плачевной ситуации.

Ссылки:
[1] https://www.rbc.ru/technology_and_media/31/03/2021/6064ae8c9a7947252d3e69d3
[2] https://habr.com/ru/news/t/536308/
[3] https://reports.exodus-privacy.eu.org/en/
[4] https://privacygosmobapps.infoculture.ru/
[5] https://begtin.substack.com/p/15

#privacy #government #apps #mobile
Продолжая тему про государственные информационные системы, мобильные приложения, передачу данных третьим сторонам. Рассмотрим одно мобильное приложение от Минцифры в подробностях.

Лидеры цифрового развития
Опубликовано в Google Play от Минцифры России [1], последний раз обновлялось 3 октября 2019 года.
В "политике кофиденциальности" указана ссылка на сайт самарской компании Eventicious [2] которая действительно, делает такие приложения для частного рынка и для разного рода госкомпаний по 223-ФЗ [3].

Особенность этих приложений в том что данные хранятся в России на серверах компании Ивентишес и тут возникает вопрос. А какой статус у этого приложения. Оно ГИС или не ГИС? Или оно часть услуги ? Если оно часть услуги, то почему приложение опубликовано от Минцифры РФ, если оно заказано как приложение (кстати, не могу найти контракт), то почему данные не хранятся на серверах Министерства или одного из его подведов?

К этим вопросам добавляется ещё один. В приложениях Eventicious есть код со ссылками на два сервиса за пределами РФ [4]. Это chat-prod.eventic.io с адресом в Ирландии и time.eventicious.com с адресом в Голландии.

А я напомню про наше исследование приватности в государственных мобильных приложениях [5] и ещё раз подчеркну что проблема чаще не в том что данные передаются за рубеж, а в двуличности государственной политики в этой области.

Ссылки:
[1] https://play.google.com/store/apps/details?id=ru.ddl
[2] https://eventicious.com/privacy/#ru
[3] https://clearspending.ru/supplier/inn=6311151902&kpp=631101001
[4] https://beta.pithus.org/report/23bd9b1823cfa48ef9f3ee5abb48f30ec3f5671f22e3059614690915967003c5
[5] https://privacygosmobapps.infoculture.ru/

#privacy #mobile #apps #digital
В Коммерсанте статья о том Минэкономразвития РФ раскритиковали текущую модель предустановки отечественного ПО [1] поскольку это создаёт дискриминационные условия другим российским разработчикам и, честно говоря, я с этим абсолютно согласен.

Честно говоря я считаю что единственно допустимые модели вмешательства государства тут только в двух возможных решениях:
1) Запрет на предустановку любого ПО и запрет на невозможность удаления любого ПО. Неважно западное это ПО или российское - любое ПО должно иметь возможность удаления, впрочем это и так реализуют или сделают крупнейшие апп сторы.
2) Создание каталога ПО по категориям с пометкой "Проверено Минцифрой". Если уж Минцифра берёт на себя ответственность за то что у нас стоит на телефонах и тд. то пусть и сделают каталог и по каждой категории несколько приложений разных игроков, а не только сверх-крупный-монопольный-бизнес.

Ссылки:
[1] https://www.kommersant.ru/doc/4858731

#mobile #apps #regulation
Обновлённый список отечественного ПО обязательного к предустановке от нашего Правительства в свежем постановлении [1]. Про предыдущий список я ранее писал в телеграм канале [2].

И в рассылке писал о том куда и как передают данные эти приложения [3].

Я по прежнему считаю предустановку ПО решению Правительства РФ/Минцифры РФ очень плохим решением. Вместо защиты прав граждан, исполнительная власть берет на себя ответственность за то как эти приложения за гражданами следят. Вместо ограничений на слежку, она поощряется.

Понятно что квалифицированные пользователи будут все эти приложения сразу же удалять, но таких меньшинство.

И я ведь регулярно говорил о том что все блокировки бесполезны пока государство не контролирует конечные устройства? Догадайтесь какое/какие приложения из этого списка будут использоваться в этих целях.

Ссылки:
[1] http://publication.pravo.gov.ru/Document/View/0001202108100022
[2] https://t.me/begtin/2414
[3] https://begtin.substack.com/p/15

#privacy #apps #government
Кому поддержка отрасли, а кому +4 приложения для предустановки. Известия пишут [1] что речь идет о программе для чтения и прослушивания книг, онлайн-магазине, сервисе для музыки и радио, а также платформе для конференцсвязи.

Когда же этот горшочек перестанет варить? Как бы объяснить. Предустановка ПО - это не помощь бизнесу, а негативизация бренда. Очень скоро будут массовые общественные компании и приложения по сносу предустанавливаемых приложений.

Ссылки:
[1] https://iz.ru/1222343/2021-09-16/spisok-prilozhenii-dlia-obiazatelnoi-ustanovki-rasshiriat

#apps #regulation