Понимая важность защиты своих персональных данных, мы вынуждены поддерживать определенный баланс между их закрытостью и доступностью. Иначе просто невозможно будет покупать в интернете, пользоваться многими сервисами и приложениями. Но, сообщая данные выбранной компании, мы рассчитываем, что она будет оперировать ими сама, соблюдая законы, этику и учитывая наши интересы. А в результате данные оказываются у совсем другой компании, и делает она с ними не то, на что мы соглашались и что нам нужно.
Мы решили исследовать несколько популярных мобильных приложений на предмет того, какие третьи стороны имеют доступ к персональным данным их пользователей. Мы выбирали приложения, которые соответствуют двум принципам: они популярны (или принадлежат известным, авторитетным компаниям) и они собирают “чувствительную” информацию, контроль над которой особенно важен людям, а злоупотребления могут создать им серьезные проблемы.
Но подробнее об исследовании, его методологии и результатах мы расскажем в посвященном ему материале. А пока рассмотрим несколько вариантов того, что может происходить с вашими личными данными, когда компании передают их друг другу и используют для маркетинга.
1. Сбербанк и Segmento
Интерес к совместной активности этих компаний возник после того, как на одной из технологических конференций представитель Segmento рассказал об удачном кейсе. Для рекламной кампании нового бургера "Макдональдса" была отобрана целевая аудитория из клиентов Сбербанка, которые оплачивали заказы в заведениях фаст-фуда. Но это не первый и не единственный пример использования для рекламы сведений о банковских транзакцях.
Крупнейшему российскому банку принадлежит контрольная доля компании-владельца сервиса Segmento. Segmento разрабатывает технологии таргетированной рекламы и предлагает бизнесам увеличение продаж с помощью данных о покупках клиентов Сбербанка.
Для магазина шуб "Снежная Королева" они оценили эффективность рекламной кампании, сравнив количество покупок в магазинах в группе клиентов банка, которые не видели рекламу, и в группе, участники которой видели. На странице с описанием кейса текст "«Segmento обладает доступом к данным о покупательском поведении и предпочтениях 84 млн россиян, активных пользователей карт Сбербанка»" пропал после освещения сотрудничества с "Макдональдсом" в прессе.
Для показа рекламы косметического бренда L’OREAL PARIS были отобраны клиенты Сбербанка, которые совершали покупки декоративной и уходовой косметики и платили в SPA или салоне красоты чаще двух раз в месяц.
Чтобы простимулировать предзаказы умных часов Samsung, Segmento выделили людей с высоким доходом — VIP-клиентов, держателей платиновых и золотых карт — и нашли среди них тех, кто покупает часы и ювелирные изделия со средним чеком от 15 000 рублей.
Для минеральной воды определялись "тусовщики" — люди, которые регулярно посещают ночные клубы и дискотеки; еженедельно платят в барах, пабах и других "местах продажи алкогольных напитков". Не так страшно попасть в такой сегмент аудитории, если ей интересуется производитель минералки, и не очень хочется, если технология используется, например, в найме сотрудников.
На основе транзакций Segmento не только отбирает аудиторию для показа ей рекламы, но и после проведения кампании оценивает эффективность: считает, сколько увидевших рекламу купили товар.
Таким образом, частично принадлежащее банку агентство использует данные о транзакциях клиентов банка для обслуживания посторонних банку коммерческих компаний.
2. "Шопоголик" и Один Известный Банк
Банковские транзации — это воистину золотая жила для маркетинга. Что может точнее описать потребности, желания, интересы, привычки и прочие аспекты покупательского поведения, нежели уже совершенные покупки? Неудивительно, что желание воспользоваться сведениями о них возникло у рекламщиков очень давно.
Так, даже в считающейся технологически отсталой от США России как минимум пять лет назад сведения о банковских транзакциях для рекламы уже использовались. Основатель сервиса Шопоголик.ру Никита Халявин рассказывал в интервью, что сервис получил возможность анализировать покупки, и с помощью этих сведений повысил конверсию контакта с потенциальным покупателем на 106%. Технологическую организацию процесса он описывал так: "они не имеют права передавать нам как третьей стороне сами транзакции, но мы приходим в банк, устанавливаем там свой сервер, который принадлежит им и обрабатывает информацию о транзакциях. С нашей стороны он забирает информацию о предложениях, которые у нас есть, со стороны банка получает сведения о транзакциях, всё это анализирует и выдает людям от лица банка таргетированные на них предложения".
Название банка в интервью произнесено не было, но скорее всего это "Связной Банк". В 2015 году он лишился лицензии, активы группы компаний "Связной" продавались за долги, и среди них было ООО Шопоголик.ру.
Возможно, "Связным" ассортимент банков не ограничился, и Халявин успел реализовать свои планы по партнерству с другими банками.
Представитель Segmento Роман Нестер, рассказывая о вышеупомянутом кейсе "Макдональдса", тоже отметил, что анализ покупок они не придумали первыми: "Например, скажу, что есть такая программа "Спасибо". Она уже лет пять анализирует банковские транзакции, чтобы отсылать вам таргетированные сообщения. Она точно так же предлагает этот таргетинг всем внешним партнерам. Таким образом, мы, в принципе, встроились в эту существующую экосистему".
Он же признал, что сейчас клиенты банка имеют право на некоторое недовольство: "Не так давно в банке была поднята инициатива по тому, чтобы скорректировать пользовательское соглашение для того, чтобы каждый пользователь, становясь клиентом банка мог прямо и сразу понимать, каким образом данные в банке используются".
3. Google и все банки сразу
В мае этого года Google объявил, что будет использовать информацию о покупках с помощью банковских карт для анализа эффективности рекламы. Анализом займется некий подрядчик, который располагает "доступом к 70% транзакций по дебетовым и кредитным картам в США". Даже удивительно, что сам Google заинтересовался сведениями о транзакциях только сейчас, когда даже в далекой отсталой России не очень известные миру компании занимаются этим уже как минимум пять лет. А может быть, не стоит удивляться? Может быть, у Google были свои основания не спешить в этом направлении?
4. Социальные сети и реклама с доставкой в "личку"
Если банковские транзакции рассказывают всё о покупательском поведении, то социальные сети могут рассказать много о самой личности. Имя, фамилия, адрес, телефон, состав семьи, опять же — увлечения, потребности, доходы, работа… Несколько лет назад вебмастера коммерческих сайтов научились получать ссылки на профили в социальных сетях тех людей, что заходили на сайт. Открывшиеся перспективы сложно переоценить. Большие бизнесы получили Ещё Больше Данных для анализа и последующих рекламных манипуляций. А малые бизнесы получили возможность зайти на страницу ВКонтакте и написать в личные сообщения "Здравствуй, Вася. Вчера ты заходил в наш магазин, просмотрел такие-то товары в таких-то разделах, два даже положил в корзину, потом удалил, и ничего не купил. Расскажи, почему, давай мы тебя уговорим сделать покупку!"
Некоторым васям такая клиентоориентированность казалась спамом, эмоциональным давлением и посягательством на их личное время, которое им не хотелось посвящать объяснениям с магазинами.
Бизнесы покрупнее, у которых не было ресурсов вручную разговаривать с каждым Васей, ставили лайки на васины посты, чтобы Вася зашел посмотреть, кто его лайкнул, и заинтересовался рекламной информацией в профиле, подписывали Васю на свою группу, добавляли в коллекцию васин телефон… Стратегий возникло сразу множество.
В результате довольно быстро социальным кликджекингом заинтересовался Яндекс и начал понижать в ранжировании сайты, на которых замечал коды соответствующих сервисов. Но сервисы продолжают работать и сейчас, предлагая поиск посетителей сайта в социальных сетях и работу с найденными профилями.
5. NaviStone и данные, которых не было
Неприятно, когда Макдональдс показывает вам рекламу на основе сообщённой банку информации. Но ещё неприятнее, когда реклама использует информацию, которую вы отказались сообщать.
Онлайн-калькуляторы расчета стоимости различных услуг, анкеты и формы на сайтах могут передавать на сторону введённые в них данные сразу по мере заполнения полей. Посетитель сайта считает, что информация отправится только после того, как он нажмет кнопку "Отправить". Надеется, что у него есть возможность передумать оставлять сведения о себе, закрыв страницу в браузере. Интерфейс сайта вводит его в заблуждение.
Куда именно может утекать информация из заполняемой формы? Например, на многих сайтах с такими полями, сразу передающими попавшую в них информацию, есть код NaviStone.
Американский стартап NaviStone берется узнать о посетителях сайта их имена и почтовые адреса, чтобы бизнес-мог отправить им открытки с персонализированным предложением. То есть, компания уже соединяет онлайн-данные с оффлайновыми, финансовую информацию с именем и адресом. Код NaviStone есть примерно на сотне сайтов, колумнисты Gizmodo проверили случайные 12 из них и только на одном в "Политике приватности" нашли честное указание на то, что "введенная вами информация будет собрана даже если вы отмените или не завершите заказ".
Впрочем, большинство сайтов из этой сотни ненавязчиво собирают "всего лишь" email-адреса.
6. HP и "забытый шпион"
Случается, что компания вообще не планирует собирать и использовать информацию, и она случайно где-то копится. До того момента, как её кто-нибудь найдет и применит в своих интересах.
Ещё в 2016 году пользователи некоторых ноутбуков HP заметили странности в их поведении. И только в 2017 специалисты разобрались, чем занимался один из системных процессов, который "тормозил" компьютер. Он записывал всё набранное на клавиатуре в файл с неограниченным доступом для любого пользователя. То есть действовал как клавиатурный шпион, программа, специально созданная для похищения информации, печатаемой на клавиатуре.
Оказалось, что сотрудники HP нечаянно забыли кейлоггер в системе в процессе отладки. В результате на протяжении года на 20 миллионах ноутбуков были уязвимы такие данные пользователей, как пароли к сервисам, номера и остальные данные банковских карт, не говоря уже о менее "чувствительной" информации. Смог ли кто-то этим воспользоваться в преступных целях, неизвестно.
7. CarPrice и "случайная генерация телефонов"
Когда о вас слишком много знают, можно утешиться хотя бы выяснением источников информации. Но и в этом вам могут обидно отказать. Однажды пользовательница Майя зашла на сайт сервиса Carprice, чтобы посмотреть цены на автомобили, оставила там email-адрес, а ей от Carprice позвонили по телефону. Майя поинтересовалась, откуда взят номер, и получила такой ответ: "ваш заход на сайт и звонок вам спустя сутки не имеют между собой никакой связи. Это совпадение. Звонок на ваш номер сгенерировался автоматически, в рамках реализуемого нами отдельного проекта по популяризации нашего бренда: робот набирает случайную комбинацию цифр, и далее сотрудник рассказывает ответившим о нашей компании, о наших услугах..."
Интересно, что и описанный представителем сервиса механизм в России незаконен. Согласно статье 18 закона «О рекламе», запрещено распространять рекламу по телефону, не получив предварительного согласия абонента.