Human Rights Watch опубликовали подробный разбор приложения по массовой слежке китайского правительства за уйгурами [1] через специальное мобильное приложение. О нём же статья в Boing Boing с некоторыми подробностями и акцентами [2] на том что то что экспериментируется в Синцзяне против уйгур будет в дальнейшем применяться по всему Китаю.

Разбор интересен во многих аспектах. И в том что в нем глобально нет ничего нового, лишь подтверждение того что и так было известно, но есть много технических подробностей о тех триггерах на которых приложение срабатывает и о том как отслеживают жителей на специальных постах. Правильнее, конечно, говорить не о мобильном приложении, а о полноценноый сложной системе контроля за поведением огромного числа людей.

При этом, конечно, опасения что создатели аппаратных платформ и программных собирают гораздо больше информации чем даже это китайское приложение - вполне обоснованы. Apple, Google, Samsung, Xiaomi, Microsoft все кто делают как цельное решение от железа до начинки (Apple) так и в связке нескольких решений в одно - все они могут реализовать если не то же самое, то очень близкое. Это всё приводит к очень серьёзному вопросу о юрисдикции и самих компаний и, вопрос о котором нельзя забывать, юрисдикции их датацентров. Но это вопрос глобального противостояния спецслужб, глобальных корпораций и иных интересантов к персональным данным граждан. В основном через ретроспективный доступ, от инцидентов.

Китайский же пример важен именно цельностью внедрённой системы. Приложение + система уведомлений + система чекпоинтов + система централизованного мониторинга и ещё многое что остаётся за кадром.

Пример такого тотального контроля, безусловно страшен. Но реализуем только в ситуации сильной диктатуры. Можно ли перенести китайскую модель на другие страны? В те которые смогут выстроить жёсткую модель государственного насилия - безусловно. В те в которых это не получится - бессмысленно.

Но. Я хочу напомнить что то относительное изобилие в котором живёт человечество в последние десятилетия (пару столетий) может оказаться совсем не долговременным периодом истории человечества. В случае глобальных техногенных, антропогенных и иных катаклизмов способных перевернуть отношение общества к институциональному насилию - сценарий когда подобный подход будет реализовываться в ранее благополучных средах, совсем не иллюзорен.

Ссылки:
[1] https://www.hrw.org/report/2019/05/01/chinas-algorithms-repression/reverse-engineering-xinjiang-police-mass-surveillance
[2] https://boingboing.net/2019/05/07/terrorism-is-the-pretense.html

#privacy #surveillance

Михаил Петров (глава департамента цифровой трансформации в Счетной палате) написал в Republic статью [1] о Huawei и текущую ситуацию с этим китайским конгломератом. Статья хорошая, взвешенная и с продуманными выводами о том что развитие отечественной электроники и производителей - это не про прибыль и экономическую эффективность, а про купирование рисков.

Но я хочу сказать не об этом. Противостояние Huawei vs. Правительство США - это про технологии, включая технологии слежки. Huawei если не единственная, то крупнейшая компания находящаяся на территории за пределами альянса Five Eyes [2] имеющая серьёзный масштаб внедрения их устройств. Атака на Huawei - это подавление конкурента, а не компании в стране под санкциями или компаниями под санкциями. Но конкурента в слежке.

Поэтому да, что в России, что в других странах это вопрос зависимости, в том числе зависимости от того кто за Вами следит - Китай или альянс демократических спецслужб.

Но я не разделяю пиетета по поводу жертвенности России или любой другой страны в этой ситуации. Будем честными, будь наша экономика сильной, а Россия значимым игроком геополитики со своими вендорами, чипами и тд., она бы делала то же самое что и Китай и США - поддерживала бы своих производителей для слежки за всем миром. В "большой игре" правила именно таковы.

Вечный вопрос - что делать маленькому человеку в этом уже не новом мире где цифровой тоталитаризм гораздо ближе цифрового рая?

Ссылки:
[1] https://republic.ru/posts/93768
[2] https://en.wikipedia.org/wiki/Five_Eyes

#privacy #surveillance

Нужна ли в России анти-премия по защите от глобальной слежки? Например, такая премия есть в Германии, называется она Big Brother Award [1] и даже есть её описание на английском языке.

В 2019 году их получили:
(1) Власть: Hessian Minister of the Interior, Peter Beuth
(2) Рабочее место: Интервью – Surveillance and Privacy in the Workplace
(3) Биотехнологии: Ancestry.com
(4) Коммуникации: Precire Technologies
(5) Технологии: “Technical Committee CYBER” of the European Telecommunications Standards Institute (ETSI)
(6) Защита прав потребителей: ZEIT Online

Также стоит посмотреть на победителей в 2018 году.

Ссылки:
[1] https://bigbrotherawards.de/en
[2] https://bigbrotherawards.de/en/2018

#surveillance #data

ASPI, австралийский мозговой центр выпустивший ранее исследование Mapping China technology giants выпустили обновлённое
исследование [1] в которое добавили множество новых данных и теперь покрывают 23 китайские технологические компании.

Были добавлены такие компании как:
- BeiDou
- ByteDance
- CloudWalk
- Dahua
- DJI
- iFlytek
- Megvii
- Meiya Pico
- Sense Time
- Uniview
- YITU

В исследовании немало интересного, например, о компании ByteDance которые являются создателями приложения TikTok и о CloudWalk и колониализме данных (data colonialism) когда все данные распознавания людей по походе в Зимбабве передаются и хранятся в Китае.

Этот отчёт стоит внимания, его можно прочитать в виде PDF по ссылке [2].

Ссылки:
[1] https://www.aspi.org.au/report/mapping-more-chinas-tech-giants
[2] https://s3-ap-southeast-2.amazonaws.com/ad-aspi/2019-11/Mapping%20more%20of%20Chinas%20tech%20giants_1.pdf?cONTm6ETA8RMzlcILgDFNdoHdMN6xGZf

#china #datacolonialism #aspi #australia #surveillance

Новая социальная тема по нарушению прав граждан/потребителей - это property tech (proptech) также называемое landlord tech. Технологии для домовладельцев которые затрагивают и нарушают права арендующих жилые или нежилые помещения. В проекте Landlord tech watch [1] собраны многочисленные примеры, как видов таких нарушений прав, так и конкретных примеров на территории США.

Эти нарушения включают, например:
- установку систем распознавания лиц на вход
- установку внутренних систем слежения
- использование мобильных приложений для коммуникации с арендодателями
- проверку арендодателя через базы полиции, банковский скоринг и тд
и ещё многое другое.

В статьях которые приводятся на сайте есть много отсылок к housing inequality и digital housing, а также к джентрификации территорий по причине развития подобных технологий.

Актуально ли это в России? Технологическая задержка внедрения подобных технологий у нас может составлять от 5 до 25 лет, в зависимости от территории и области применения. Российский массовый рынок съёма жилья является "серым", но всё меняется, лично я не удивлюсь если proptech в российских реалиях окажется частно-государственным партнерством с акцентом на собираемость налогов и иных платежей, например, коммунальных.

Ссылки:
[1] https://antievictionmappingproject.github.io/landlordtech/

#proptech #govtech #landlordtech #surveillance

Для тех кто интересуется тем как развиваются и внедряются технологии слежки за гражданами, простой и понятный проект Atlas of Surveillance [1] от Electronic Frontier Foundation [2].

Это база 5577 случаев применения технологий слежки, список которых включает:
- автоматическое распознавание номеров машин
- камеры на одежде
- реестры камер (те которые добровольно создают жители-волонтеры)
- симуляторы базовых станций (подмена стандартный базовых станций специальными устройствами для слежки)
- дроны
- распознавание лиц
- центры слежения и обмена данными о людях между разными уровнями власти и частными и иными организациями
- автоматическая идентификация стрельбы
- прогнозирование/предсказание преступлений
- центры мониторинга преступности в реальном времени
- партнёрства полиции и местных сообществ по установке устройств слежки в рамках сообщества
- видео аналитика и технологии компьютерного зрения
Подробнее о них рассказывается в глоссарии [3]

Как мы видим, в другом контексте, этот список выглядит как список стендов на какой-нибудь конференции по технологиям безопасности. Здесь же взгляд на них через потенциальный вред гражданам через слежку за ними.

Почти весь реестр построен на основе сообщений в новостях, отчетов НКО, публикаций и расследований EFF, данных на сайтах вендоров и многое другое. Особенности слежки в США в её высокой технологичности, в том что многие локальные решения принимаются властями муниципалитета (country) или штата (state) и в том что некоторые способы слежения, вроде слежения через дверные звонки и стартап ring.com, специфичны только для США.

Ссылки:
[1] https://atlasofsurveillance.org/search
[2] https://eff.org
[3] https://atlasofsurveillance.org/glossary

#privacy #surveillance #eff

На сайте Теплицы социальных технологий заметка о том как лучше стали работать алгоритмы распознавания лиц даже с учётом масок [1]. Заметка весьма будет полезна, как тем кто алгоритмов побаивается, так и тем кто считает что бояться нечего.

Ссылки:
[1] https://te-st.ru/2020/11/11/cctv-mask/

#privacy #surveillance #facedetection

По поводу актуальных историй про то что Московское правительство создаёт очередную систему слежки за горожанами, МВД создаёт базу биометрических паспортов и нового приложения Минкомсвязи "Стопкоронавирус контакты" мне есть много что сказать, но я что-то так много и так часто комментировал это журналистам последнюю неделю и даже, перекрестившись, ходил на передачу на НТВ в качестве одного из экспертов за что меня уже троллят все коллеги что это видели.

Я сформулирую тезисно и сразу с нескольких точек зрения которые мне удаётся пока что удерживать одновременно в моей голове.

Общественная позиция
1. Новые инструменты слежки за гражданами неподотчетны, непрозрачны, неизмеримы поскольку закрыты и не предусматривают прав граждан на запрет слежки за собой. Да и даже на то чтобы узнать что о тебе собрано.
2. Сейчас отсутствуют публичные инструменты противодействия таким инициативам, они не согласуются с законодательными властями или же законодательные власти не прислушиваются к опасениям граждан.
3. Вместо регулирования big tech органы власти воспроизводят их худшие практики и сами пытаются стать цифровыми монополиями.

Государственная позиция
1. Создание информационных систем одними органами власти усиливает их в отношении других и создает возможности для злоупотреблений. Злоупотребления могут пресекаться ведением цифрового надзора за создаваемыми информационными системами.
2. Такой надзор должны осуществлять, и Роскомнадзор и Роспотребнадзор, которые активно проверяют коммерческие компании и почти полностью игнорируют государственные организации и органы власти.
3. Это также требует введение цифровой повестки в деятельность этих надзорных органов поскольку сейчас они всё ещё мыслят категориями физических объектов.
4. Основной надзор за государственными структурами в России осуществляют органы прокуратуры. Без возможности технической и кадровой по надзору за цифровой повесткой: информационными системами, мобильными приложениями и тд. нарушения там продолжаться.

Взгляд со стороны бизнеса
1. Практически все эти инициативы технологические, но происходят неконкурентным образом.
2. Бизнес давно имеет платформы для отслеживания потребителей с гораздо более серьёзным и широким охватом устройств/людей.
3. Бизнес хотя бы _пытается_ саморегулироваться и реагирует или понимает что будет реагировать в ближайшее время на запрос на этическое использование данных со стороны граждан.

#privacy #surveillance

#9. Экосистема государственной и негосударственной слежки через мобильные устройства и интернет вещей

Пандемия COVID-19 оказалась тем удивительным природным явлением когда следящие за потребителями корпорации big tech и государства выстраивающие инфраструктуру слежки за гражданами нашли веское основание того зачем они это делают.
При этом в обществе существуют очень разные мнения о происходящем. От убеждённости в скором появлении полноценного большого брата до мнения что государство и корпорации и так знают о нас столько, что новые знания не добавляют уже новых рисков.
В этом тексте я постарался описать экосистему государственной слежки основанной на уже сложившейся слежке за потребителями.

Текст полностью в рассылке https://begtin.substack.com/p/9-

#privacy #surveillance

Наши друзья из Роскомсвободы (@roskomsvoboda) проводят очередной Хакатон DemHack 2 [1] на тему приватности и доступности информации.

Я предложил на хакатон задачку "Мониторинг использования технологий слежки наблюдения за гражданами за гражданам" которая звучит так:
Извлечение из Реестра деклараций о соответствии данных о технических средствах слежки за гражданами, поиск и визуализация сведений о госконтрактах с этими техническими средствами
(данные здесь и здесь, а также есть недокументированное API для поиска по сертификатам и декларациям соответствия.
По закупкам данные на порталах spending.gov.ru и clearspending.ru).

Честно говоря я давно про эту задачу (и проблему) думаю и даже думал не сделать ли такой общественный проект, но, всё же, Инфокультуре он не профилен напрямую, Инфокультура создавалась про хорошее - развитие открытости, а тут задача для крепкого вотчдога (организации/команды ориентированной на мониторинг злоупотреблений гос-ва).

Поэтому она идеально подходит для DemHack и я надеюсь на то что найдутся команды которые возьмутся за неё.

Тем временем могу сказать что у меня довольно часто за последние годы разговоров с людьми внутри государства, довольно грамотно аргументирующих почему что-то не может быть открыто или почему какие-то госданные должны быть закрыты. И имеющие хорошие доводы почему госслежка необходима (для борьбы с мошенниками, преступникам и там ещё много чего).

Я вот хорошо их понимаю и их аргументы, но, я считаю крайне важным отсутствие безнадзорной государственной слежки. Иначе говоря, даже если внедряются какие-либо системы слежки за гражданами они должны быть прозрачны, аудируемы, подотчётны законодательной и судебной власти, без излишней концентрации в одних руках (одном органе власти), жёстко регламентированы и так далее. Я считаю что если придерживаться того что называется государственной позицией, то возможно только такое. Контроль и надзор не государства за гражданами, а контроль и надзор государства за отдельными его частями.

Впрочем, конечно, лучше жить в мире где этой слежки совсем нет или её минимум. Если такое вообще возможно.

А пока, присоединяйтесь к хакатону и создавайте проекты которые помогали бы гражданам и тем органам власти которые осуществляют контроль и надзор за другими органами власти чтобы те не нарушали права человека.

Ссылки:
[1] https://demhack.ru

#it #surveillance

Мне, честно говоря, порядком надоедает комментировать очередную инициативу регулирования со стороны Роскомнадзора. Вчерашняя новость о том что Роскомнадзор планирует собирать сведения о звонках граждан [1] как раз из таких. Если коротко - то это лечение настоящей проблемы негодными методами.

Методы борьбы с сим-картами предлагаются через то, чтобы ежесуточно операторы сдавали Роскомнадзору ежесуточно такие данные как:
- Ф.И.О. абонентов, их местах жительства, дате рождения, реквизитах документов, удостоверяющих личность. О пользователях корпоративных тарифов будут передаваться аналогичные сведения, а также наименование организации, сотрудниками которой они являются, с юридическими идентификаторами;
- номере телефона, который используют абоненты и пользователи, а также дату заключения, изменения или расторжения договора об оказании услуг связи;
- видах звонков, совершенных абонентом или пользователем корпоративных тарифов, а также номере вызывающего и вызываемого абонента, о дополнительном номере вызывающего абонента, о номере, на который осуществляется переадресация вызова. Также будут переданы данные об идентификаторе базовой станции вызывающего и вызываемого абонентов или пользователей корпоративных тарифов;
- факте передачи голоса, текстовых и мультимедийных сообщений, а также передачи данных, в том числе с использованием промышленных устройств, оборудования, датчиков, сенсоров и т.п.;
- используемом абонентами и пользователями корпоративных тарифов оборудовании, в том числе его идентификационный модуль, а также о замене оборудования и изменения информации в идентификационном модуле и др.

Что я могу тут сказать? Могу сказать сразу с трех точек зрения.
Общественная: это, безусловно, дополнительный инструмент слежки за гражданами поскольку даже сам факт обмена информацией между гражданами - это важные сведения, они дорого стоят для всех частных охранных агентств, очень активно применяются для слежки за конкурентами и со стороны государства для слежки за недовольными, оппозицией и так далее.

Коммерческая: обратите внимание что вся стратегия регулирования государства стремительно меняется вот уже несколько лет. Если ещё какое-то время назад она была по модели регуляторной: "на Вас кто-нибудь пожалуется и мы Вас за это накажем, а ещё будем Вас регулярно и больно проверять", то сейчас модель датацентричная в плохом смысле. Регулятор теперь не приходит регулировать, он говорит: "Данные сдавать сюда, я сам разберусь, сам если что и заблокирую, а Вы вот эту железку себе на $&* поставьте". Это, в принципе, конец цифровой экономике и скоро площадки по диалогу бизнеса-государства по этой теме превратятся из лоббистких в защитные, когда корпоративные лоббисты отслеживают новые лютые изменения в НПА и хоть как-то пытаются их смягчить. На самом деле уже почти все так и живут, ну, почти все, ещё есть попытки лоббировать интересы, а не только защищаться.

Государственная: это, безусловно, безнадзорное расширение полномочий отдельного органа исполнительной власти который постепенно превращается в аналог Росфинмониторинга для связи и Интернета. Кроме уже существующих правоохранительных органов появляется ещё один в лице Роскомнадзора имеющий доступ к данным которые могут использоваться, в том числе, для нарушения приватности государственных служащих других ветвей власти, к примеру. В принципе, непрерывное усиление отдельных ФОИВов и их полная безнадзорность и невыполнение ими самими надзорных функций - это плохой тренд для госуправления. Роскомнадзор, хреново, но умеет отслеживать нарушения у бизнеса и полностью игнорирует нарушения в других органах власти.

Ссылки:
[1] https://www.rbc.ru/technology_and_media/17/03/2021/605206809a794702c7c67af8

#privacy #government #surveillance