Российское приложение для слежки за гражданами пользуется услугами эстонской фирмы (1)

По сообщениям прессы, приложение отправляет данные на серверы, принадлежащие Data Corporation OÜ, компании, зарегистрированной на Тоомпеа в Таллинне.

По официальной версии московской мэрии, мобильное приложение нужно, чтобы отслеживать местонахождение пациентов с подтвержденным диагнозом COVID-19, которые не были госпитализированы, а лечатся на дому, пишет Коммерсантъ. С помощью доступа к данным GPS приложение контролирует местонахождение пациента, а в случае экстренной ситуации позволяет вызвать помощь. 

Приложение будет автоматически отслеживать геолокацию пользователя. При этом фиксируется факт оставления адреса самоизоляции, которое пользователь указал в своей анкете. Чтобы убедиться в том, что пользователь находится рядом с телефоном, приложение будет периодически направлять пользователю push-уведомления с запросом дополнительной идентификации с помощью фотографии. В случае нарушения карантина приложение будет уведомлять об этом правоохранительные органы.

Пробная версия приложения «Социальный мониторинг» появилась в магазине приложений для смартфонов Google Play 25 марта. Последнее обновление было сделано 30 марта, но к 1 апреля оно исчезло. До удаления приложение было загружено более тысячи раз (точная статистика загрузок не публикуется Google) и было оценено на единицу по пятибалльной системе на основе более чем 4000 отзывов.

Би-би-си приводит слова Лысенко о том, что мэрия готова выдавать смартфон с предустановленным приложением тем, у кого нет современного телефона или же кто не хочет передавать персональные данные со своего личного телефона разработчикам приложения.

Приложению требуется доступ ко многим телефонным ресурсам и датчикам: сохраненным данным, местоположению через GPS, камеру, микрофону, интернет-соединению и Bluetooth, портативным устройствам. Также требуется право совершать телефонные звонки, получать доступ к услугам и изменять настройки телефона.

Для использования приложения пользователь должен сфотографировать себя с помощью телефонной камеры и ввести номер телефона, на который будет отправлено подтверждающее SMS. По данным телеграм-канала @itstorm, посвященного безопасности данных, собранная информация передается в незашифрованном виде на серверы правительства Москвы, а также на сервис identix.one, который занимается распознаванием лиц и принадлежит эстонской компании Data Corporation OÜ. Postimees не удалось получить комментарий от Data Corporation.

Identix.one, в свою очередь, хранит данные на серверах, расположенных в Германии. По данным Налогового-таможенного департамента, оборот компании Data Corporation в четвертом квартале прошлого года составил 26 121 евро, и в ней работают четыре сотрудника. В правление компании входят Владимир Алексеев и Кирилл Широков. Помимо них в фирме прямое или косвенное участие в компании принадлежит российским резидентам Антону Рудову и Ивану Жирову, а также украинцу Льву Рубелю.

Журналисты независимого портала "Эхо Москвы" обеспокоены тем, что Эстония и Германия, которым приложение отправляет данные людей, являются членами НАТО, и это может нанести ущерб безопасности России. В интервью порталу Лысенко парирует эти подозрения, говоря, что вся обработка данных осуществляется в России. «Никакие фотографии или что-то в этом роде не будут отправлены в Эстонию или в другие страны», - сказал Лысенко, заявив, что приложение не нарушает российское законодательство. По его словам, в приложении используются алгоритмы identix.one, а не серверы.

Лысенко также сказал, что доступ приложения к пользовательским данным и файлам на телефоне - всего лишь предположение, на самом деле ничего подобного не происходит. Он добавил, что пациенты, которые беспокоятся о своей конфиденциальности, могут получить телефон от правительства Москвы, который не содержит никакой личной информации.

Москва ввела ограничения на передвижение с понедельника на прошлой неделе, требуя, чтобы подавляющее большинство из примерно 12 миллионов человек города оставалось дома. Разрешается ходить в магазин и аптеку, выносить мусор и гулять с собакой.

Кроме того, Москва планирует внедрить систему QR-кодов, которая позволит властям контролировать, кто и сколько передвигается в общественных местах Перед тем как покинуть дом, пользователь должен использовать приложение для генерации уникального квадратного кода, который должен отображаться по запросу сотрудника полиции. Это даст властям обзор того, кто, как часто и куда перемещался. По словам Лысенко, система будет внедрена, когда правительство Москвы примет соответствующее постановление.

Москва также покрыта широкой сетью камер наблюдения с функцией распознавания лиц. Такая система слежения вызывает беспокойство у правозащитников, которые опасаются, что с завершением вспышки коронавируса она останется в рабочем состоянии.

«Такие приложения дают возможность отслеживать перемещения миллионов людей и могут использоваться в качестве инструмента социального контроля», - сказал Би-би-си старший следователь Privacy International Тим Фишер.

Комментирует собственник сервиса identix.one и совладелец компании DATA CORPORATION OÜ Владимир Алексеев

- Канал Telegram (@itstorm утверждает, что приложение «Социальный мониторинг» отправляет данные и изображения Identix.one. Г-н Эдуард Лысенко из ИТ-департамента Москвы это отрицает. Вы получали данные от этой или любой другой российской системы слежения?

- Автором данного приложения является клиент нашего облачного сервиса, частная компания “Гаскар”. Работаем мы с ними с конца прошлого года и в тестовом режиме. Основной их продукт, насколько нам это было известно, - часы для Системы управления персоналом.

Непосредственно к созданию данного приложения мы не имеем отношения. Мы не принимали ровно никакого участия ни в его создании, ни в проектировании его архитектуры.

Более того, мы сами узнали из новостей о том, каким образом оно написано и в каком именно сценарии используется наш сервис. О том, что непосредственно в приложении опубликован токен доступа к аккаунту в нашем сервисе.

Как только мы получили эту информацию из СМИ, мы в тот же момент заблокировали аккаунт партнера.

- Если это так, какого рода услуги Identix предоставляет Правительству Москвы?

- У нашего сервиса нет такого клиента, как Правительство Москвы. Сервис ориентирован на услуги бизнес-клиентам в таких прикладных задачах, как доступ по дополнительному фактору, СКУД, системы контроля персонала, цифровой портрет покупателей, подсчет уникальных посетителей и многих других. В связи с тем, что сервис является облачным, нашими целевыми клиентами не являются государственные структуры.

- Если это не так, почему тогда (@itstorm публикует такую информацию?

- Потому что наш клиент, компания «Гаскар», таким образом реализовала свое приложение. А именно, запросы, пусть и шифрованные, но осуществлялись до нашего сервиса не через бэкэнд их приложения, а напрямую из приложения.

- Использует ли это приложение алгоритмы Identix.one и с какой целью?

- Насколько мы можем оценивать из СМИ, приложение создавалось для контроля местонахождения за теми больными коронавирусом, которые решили остаться болеть дома, а не лежать в больнице. 

Логика identix.one позволяет через API запрос создавать первичные шаблоны (персоны). В дальнейшем, отправляя уже другие фото, также через API получать ответ есть ли в базе какая-то похожая персона. И если есть, то насколько она похожа (степень похожести). В этой части, как мы понимаем и как это в принципе возможно, приложение и использовало наш сервис – просило пользователя делать селфи и через наш сервис убеждалось, что это именно больной и делает селфи.

Никаких персональных данных, по которым можно 100% идентифицировать человека с юридической точки зрения, наш сервис не хранит и не позволяет хранить. Все решается бизнес-логикой клиента – достаточно ли ему результата и степени уверенности нашего сервиса или нет.

- Не могли бы вы рассказать немного больше о вашей компании?

- Identix.one – сервис эстонской компании, развивается и управляется из Эстонии. Все основные владельцы являются жителями Эстонской Республики.

Мы – технари и абсолютно не интересуемся политикой. Наша задача – давать рынку тот продукт, который будет востребован. Именно поэтому наш первый шаг заключался в том, чтобы провести как можно больше пилотных проектов с крупными и средними бизнес-клиентами. Всего за время нашей работы их было проведено более 300.

Весь накопленный опыт мы переложили в наш облачный сервис, продолжаем его постоянно улучшать и развивать.

Сейчас в процессе развертывания уже вторая большая версия нашей платформы. Со множеством архитектурных и функциональных улучшений.

В данный момент наш облачный сервис обрабатывает по 15м API запросов с фото в месяц, к нему одновременно подключено около 500 камер видеонаблюдения.

- Как долго существует Identix.one ?

- Мы занимаемся и развиваем проект чуть менее трех лет.

- Какие услуги вы предлагаете?

- Наш сервис – это облачная платформа. Наши клиенты и партнеры встраивают логику в свои бизнес-приложения в любых сценариях, где необходимо применение распознавания лиц.

У нас есть примеры применения нашего сервиса как в партнерских решениях, когда партнеры улучшают функциональность и УТП своих продуктов и предлагают их на рынке. А также примеры, когда наш сервис используют напрямую конечные клиенты. Например, сетевой ретейл.

- Кто ваши клиенты и есть ли у вас клиенты в российских государственных или гражданских службах?

- Наши клиенты – это бизнес, стартапы, партнеры, у которых есть системы управления или продукты и необходимость использования в них качественного, легко масштабируемого решения по распознаванию лиц. Неважно, API запросы это или анализ видеопотоков с камер видеонаблюдения.

Мы не имеем контрактов ни с одним государственным органом нигде в мире. Но это не значит, что таких контрактов не может быть у наших клиентов. Хотя мы, конечно, сомневаемся, что любое государство захочет использовать для своих целей именно облачный сервис.

- Каков был оборот Identix.one в 2019 году?

- Приближается к EUR 100к, но мы запустили первую публичную версию облака только в январе 2019-го, дорабатываем ее и растем.