Женские приложения-календари: знают много, но не несут ответственность ​​​​​​​за собранные данные

Приложение с более 50 млн. скачиваний запрашивает неоправданно большое количество разрешений, что может свидетельствовать о шпионской активности.

В двух приложениях есть риск из-за навязчивой рекламы. Часто разработчики не знают, какая именно реклама будет публиковаться у них в приложении, а значит есть риск размещения мошеннических ссылок.
​​​​​​​Проблемой становится тот факт, что ни один из сервисов в полной мере не указывает ответственного за сбор данных. То есть в случае утечки данных, близких к медицинским, невозможно будет установить ответственного, чтобы направить претензию в его адрес.

Специалисты Центра цифровой экспертизы Роскачества исследовали 12 самых популярных женских приложений-календарей на Аndroid (от 1 млн. скачиваний) , чтобы выяснить, насколько внимательно они относятся к сохранности личных данных. Выбор Android обусловлен тем, что это более открытая платформа, где разработчикам намного проще получать те или иные доступы к данным системы и пользователей.
​​​​​​​
Исследованные приложения:
 - Дневник Менструаций, Календарь
- Слежка овуляции месячных
- Femometer Женский календарь
- Менструальный календарь Clue
- WomanLog календарь месячных
- Женский Календарь Месячных
- Овуляция и Календарь месячных
- Календарь Менструаций
- Трекер Периодов Мой Календарь
- Женский календарь месячных
- Календарь овуляции: Ледитаймер
- Flo Ovulation & Period Tracker

Эксперты проверили наличие рекламы и всплывающих баннеров, разрешения, которые запрашиваются перед установкой, а также политики конфиденциальности, чтобы узнать о сборе персональных данных и возможностях передачи их третьим лицам.

Медицинская тайна или просто информация о здоровье

С юридической точки зрения, данные о женском цикле нельзя отнести к медицинской тайне в случае с мобильными приложениями, так как они предоставлены на добровольной основе (женщина сама отмечает в календаре нужные дни) и не получены путем обследования в ходе медицинской проверки у врача.

Сергей Кузьменко, старший специалист Центра цифровой экспертизы Роскачества по исследованию цифровых продуктов: «Что произойдет, если информация из женского календаря станет достоянием общественности или будет “слита”? Каким-то третьим лицам станет известно, что у женщины была задержка, сбился цикл или случился незащищенный половой контакт. Обо всех этих вещах можно узнать из многих женских приложений. Теоретически такие данные можно продать сторонним медицинским организациям и торговым компаниям для настройки соответствующей рекламы с предложением услуг и товаров по теме. Однако не стоит забывать, что все эти “возможные” данные будут идти в обезличенном — статистическом виде. Если мы говорим о “слитой” базе, то возможно получится по связке логин-данные вычислить владелицу, но это весьма сложная в реализации схема, тем более для рекламной рассылки, которая в теории, возможно, принесет прибыли и в дальнейшем окупится».

Реклама в приложениях

Во всех отмеченных приложениях присутствует реклама в виде баннеров внизу или вверху экрана, а в приложениях WomanLog календарь месячных и Календарь Менструаций появляются баннеры на весь экран.
​​​​​​​Риск с навязчивой рекламой заключается в том, что пользователь может случайно кликнуть на баннер, особенно если он “выскакивает” внезапно, да еще и на весь экран. Часто разработчики не знают, какая именно реклама будет публиковаться у них в приложении, а значит есть риск размещения мошеннических ссылок.

Доступы приложений

В ходе проверки были обнаружены приложения, которые запрашивали доступ не только к календарю, но и к личной информации (логины в аккаунтах), системе мониторинга физической активности, идентификаторам устройства и т.д. Все эти данные передаются в аналитические компании для рекламы, которую вы с большой вероятностью и увидите в вашем аккаунте.
Худшим в рейтинге разрешений оказалось приложение Flo Ovulation & Period Tracker, но оно же является и самым популярным — более 50 млн скачиваний. Помимо перечисленных выше доступов, приложение просит доступ к фото и видео, истории действий, идентификатору вызовов, а также к просмотру сообщений. Это признаки сталкерского приложения (stalkerware) и шпионской активности.

Передача третьим лицам

WomanLog календарь месячных — единственное приложение, которое передает персональные данные в полном объеме третьим лицам и, кроме того, не имеет российской юрисдикции. Поэтому существуют риски, что если вы захотите, например, отозвать свое согласие на обработку ваших персональных данных — а это делается в письменной форме на адрес компании, то ваше заявление вполне могут просто проигнорировать.

​​​​​​​Половина приложений, сообщая, что передают данные третьим лица (онлайн-касса, сервис аналитики метрик и т. п.), указывают их идентификаторы (наименование, ИНН и т.п.). Оставшаяся половина не указывают их вовсе или ограничивается формулировками без конкретики.

Только одно приложение Календарь овуляции: Ледитаймер хранит персональные данные пользователей на территории РФ и в своей политике ссылается на российское законодательство. Во всех других приложениях указано законодательство других стран, то есть оно будет иметь преимущество перед российским.

Ответственный за сбор данных
​​​​​​​

Проблемой становится тот факт, что ни один из сервисов в полной мере не указывает ответственного за сбор данных. То есть в случае утечки данных, близких к медицинским, невозможно будет установить ответственного, чтобы направить претензию в его адрес.

Пользовать можно, но осторожно

В целом, серьезных оснований не пользоваться данными приложениями нет. Однако присутствует проблема с излишними доступами и избыточной рекламой, откровенно шпионских программ обнаружено не было, но остается вопрос, зачем приложение Flo Ovulation & Period Tracker запрашивает так много разрешений.

Никита Куликов, генеральный директор АНО «ПравоРоботов», к.ю.н.: «В законодательстве нет однозначного ответа и подходящего термина, объясняющего, является ли передаваемая информация в принципе медицинской. Ведь чисто технически и в глазах законодателя отметки в календаре не являются врачебной тайной, как и персональные данные. Однако очевидно, что косвенно, по некоторым показателям, занесенным женщиной в календарь, можно сделать тот или иной вывод о ее здоровье. Например, по отсутствию отметок в календаре третьи стороны могут предположить, что пользовательница беременна и начать таргетировать на ее профиль рекламу соответствующего характера. Разумеется, данные основанные на внесении или невнесении информации нельзя считать полностью достоверными. Однако если у компаний будет доступ к проверенной информации, очевидно, они ею воспользуются».