Do you remember when you were a child, you probably had a favorite toy that was a constant companion, like Christopher Robin had Winnie the Pooh, and your imagination fueled endless adventures? What could be more innocent than that? Well, let me introduce you to my friend Cayla.
Помните, в детстве у вас, вероятно, была любимая игрушка, которая всегда была с вами, как Винни Пух у Кристофера Робина, и ваше воображение придумывало бесконечные приключения? Что может быть более безобидным? Позвольте мне представить вам мою подругу Кайлу.
Cayla was voted toy of the year in countries around the world. She connects to the internet and uses speech recognition technology to answer your child's questions, respond just like a friend. But the power doesn't lie with your child's imagination. It actually lies with the company harvesting masses of personal information while your family is innocently chatting away in the safety of their home, a dangerously false sense of security. This case sounded alarm bells for me, as it is my job to protect consumers' rights in my country. And with billions of devices such as cars, energy meters and even vacuum cleaners expected to come online by 2020, we thought this was a case worth investigating further. Because what was Cayla doing with all the interesting things she was learning? Did she have another friend she was loyal to and shared her information with? Yes, you guessed right. She did. In order to play with Cayla, you need to download an app to access all her features. Parents must consent to the terms being changed without notice. The recordings of the child, her friends and family, can be used for targeted advertising. And all this information can be shared with unnamed third parties.
Кайла была признана игрушкой года во многих странах мира. Она подключается к интернету и при помощи технологии распознавания речи отвечает на вопросы ребёнка, имитируя живого друга. Но для этой игрушки главное — не детское воображение, а сбор множества личной информации для компании, которая её произвела, пока ваша семья невинно болтает в своём, казалось бы, безопасном доме. Но это чувство защищённости ложное и коварное. Этот случай обеспокоил меня, потому что я отвечаю за защиту прав потребителей в своей стране. Учитывая, что миллиарды таких устройств, как автомобили, электросчётчики и даже пылесосы, перейдут в онлайн режим к 2020 году, мы решили, что этот случай заслуживает дальнейшего изучения. Что же Кайла делает со всеми услышанными занятными разговорами? Есть ли у неё другой верный друг, с которым она делится информацией? Да, вы угадали. Он у неё есть. Чтобы играть с Кайлой, нужно установить приложение для доступа ко всем её функциям. Родители должны принять условия, которые меняются без предупреждения. Аудиозаписи ребёнка, его друзей и семьи могут быть использованы для целевой рекламы. И вся информация может быть передана неназванным третьим лицам.
Enough? Not quite. Anyone with a smartphone can connect to Cayla within a certain distance. When we confronted the company that made and programmed Cayla, they issued a series of statements that one had to be an IT expert in order to breach the security. Shall we fact-check that statement and live hack Cayla together? Here she is. Cayla is equipped with a Bluetooth device which can transmit up to 60 feet, a bit less if there's a wall between. That means I, or any stranger, can connect to the doll while being outside the room where Cayla and her friends are. And to illustrate this, I'm going to turn Cayla on now. Let's see, one, two, three. There. She's on. And I asked a colleague to stand outside with his smartphone, and he's connected, and to make this a bit creepier ...
Думаете, это всё? Не совсем. Любой, у кого есть смартфон, может подключиться к Кайле в пределах определённой дистанции. Когда мы заявили об этом в компанию, выпустившую и запрограммировавшую Кайлу, они выступили с заявлениями о том, что только IT-эксперты могут обойти защиту. Давайте проверим это заявление и прямо сейчас вместе взломаем Кайлу? Вот она. У Кайлы есть встроенный блютус модуль, передающий данные в пределах 18 метров или немного меньше через стены. Это значит, что я или любой другой человек может подключиться к кукле, находясь за пределами комнаты, где находятся Кайла и её друзья. И чтобы это продемонстрировать, я сейчас включу Кайлу. Один, два, три. Всё. Она включена. Я попросил коллегу постоять снаружи со смартфоном. Он к ней подключен. И чтобы сделать эксперимент ещё более пугающим...
(Laughter)
(Смех)
let's see what kids could hear Cayla say in the safety of their room.
давайте проверим, что Кайла может сказать детям.
Man: Hi. My name is Cayla. What is yours?
Мужчина: Привет. Меня зовут Кайла. А как тебя зовут?
Finn Myrstad: Uh, Finn.
Финн Мирстад: Финн.
Man: Is your mom close by?
Мужчина: Твоя мама рядом?
FM: Uh, no, she's in the store.
ФМ: Нет, она ушла в магазин.
Man: Ah. Do you want to come out and play with me?
Мужчина: Хочешь выйти на улицу и поиграть со мной?
FM: That's a great idea.
ФМ: Отличная идея.
Man: Ah, great.
Мужчина: Отлично.
FM: I'm going to turn Cayla off now.
ФМ: Пожалуй, я выключу Кайлу.
(Laughter)
(Смех)
We needed no password or to circumvent any other type of security to do this. We published a report in 20 countries around the world, exposing this significant security flaw and many other problematic issues. So what happened? Cayla was banned in Germany, taken off the shelves by Amazon and Wal-Mart, and she's now peacefully resting at the German Spy Museum in Berlin.
Нам не понадобилось ни пароля, ни каких-либо ещё способов обхода защиты. Мы выпустили отчёт в 20 странах мира об этой серьёзной уязвимости в системе безопасности, а также о других проблемных вопросах. Что же произошло после этого? Кайла была запрещена в Германии, снята с полок Амазона и Уолмарта, и сейчас она мирно покоится в немецком Шпионском музее Берлина.
(Laughter)
(Смех)
However, Cayla was also for sale in stores around the world for more than a year after we published our report. What we uncovered is that there are few rules to protect us and the ones we have are not being properly enforced. We need to get the security and privacy of these devices right before they enter the market, because what is the point of locking a house with a key if anyone can enter it through a connected device?
Однако Кайла продавалась в магазинах по всем миру больше года после выпуска нашего отчёта. Выяснилось, что нам не хватает правил защиты прав пользователей, при этом уже существующие правила не исполняются должным образом. Необходимо обеспечить должный уровень безопасности и конфиденциальности устройств до их выхода на рынок. Какой толк запирать дом на ключ, если любой может зайти в него через подключённое устройство?
You may well think, "This will not happen to me. I will just stay away from these flawed devices." But that won't keep you safe, because simply by connecting to the internet, you are put in an impossible take-it-or-leave-it position.
Вы, наверное, думаете: «Со мной такого не произойдёт. Я просто не буду пользоваться недоработанными устройствами». Но так вы себя не обезопасите, потому что простое подключение к интернету ставит вас в бескомпромиссную позицию «соглашайтесь или не пользуйтесь».
Let me show you. Like most of you, I have dozens of apps on my phone, and used properly, they can make our lives easier, more convenient and maybe even healthier. But have we been lulled into a false sense of security? It starts simply by ticking a box. Yes, we say, I've read the terms. But have you really read the terms? Are you sure they didn't look too long and your phone was running out of battery, and the last time you tried they were impossible to understand, and you needed to use the service now? And now, the power imbalance is established, because we have agreed to our personal information being gathered and used on a scale we could never imagine.
Смотрите. Как и у вас всех, в моём телефоне много приложений. При должном использовании они могут сделать жизнь легче, удобнее и даже здоровее. Но не заманили ли нас ложным чувством безопасности? Всё начинается с проставленной галочки. Мы соглашаемся с тем, что прочли условия. Но действительно ли вы их прочли? Может, текст был слишком длинным, а батарея телефона уже садилась, или в прошлый раз их было невозможно понять, а приложение было нужно уже сейчас. Таким образом устанавливается дисбаланс сил, потому что вы согласились со сбором и использованием ваших персональных данных в невообразимых масштабах.
This is why my colleagues and I decided to take a deeper look at this. We set out to read the terms of popular apps on an average phone. And to show the world how unrealistic it is to expect consumers to actually read the terms, we printed them, more than 900 pages, and sat down in our office and read them out loud ourselves, streaming the experiment live on our websites. As you can see, it took quite a long time. It took us 31 hours, 49 minutes and 11 seconds to read the terms on an average phone. That is longer than a movie marathon of the "Harry Potter" movies and the "Godfather" movies combined.
Именно поэтому я со своими коллегами решили глубже изучить эту проблему. Мы задались целью прочитать условия наиболее популярных приложений. А чтобы показать, насколько нереалистично ожидать от пользователей, что они действительно прочитают условия, мы их распечатали — вышло более 900 страниц — и, сидя в офисе, читали их вслух, транслируя в прямом эфире этот эксперимент на нашем сайте. Как видите, это заняло довольно много времени. Нам понадобился 31 час 49 минут и 11 секунд, чтобы прочитать условия приложений на одном телефоне. Это больше, чем кино-марафон «Гарри Поттера» и «Крёстного отца» вместе взятых.
(Laughter)
(Смех)
And reading is one thing. Understanding is another story. That would have taken us much, much longer. And this is a real problem, because companies have argued for 20 to 30 years against regulating the internet better, because users have consented to the terms and conditions.
Прочесть — это одно, а понять — совсем другое. Это заняло бы у нас гораздо больше времени. И это серьёзная проблема, учитывая, что компании на протяжении 20–30 лет выступают против более эффективного регулирования интернета, так как пользователи соглашаются с существующими условиями.
As we've shown with this experiment, achieving informed consent is close to impossible. Do you think it's fair to put the burden of responsibility on the consumer? I don't. I think we should demand less take-it-or-leave-it and more understandable terms before we agree to them.
Как показал наш эксперимент, достичь информированного согласия практически невозможно. Думаете, справедливо перекладывать ответственность на пользователя? Я так не считаю. Надо требовать меньше условий «соглашайтесь или не пользуйтесь» и сделать их в целом более понятными в момент их принятия.
(Applause)
(Аплодисменты)
Thank you.
Спасибо.
Now, I would like to tell you a story about love. Some of the world's most popular apps are dating apps, an industry now worth more than, or close to, three billion dollars a year. And of course, we're OK sharing our intimate details with our other half. But who else is snooping, saving and sharing our information while we are baring our souls? My team and I decided to investigate this. And in order to understand the issue from all angles and to truly do a thorough job, I realized I had to download one of the world's most popular dating apps myself.
Сейчас мне бы хотелось поведать вам историю любви. Самые популярные приложения — это приложения для знакомств. Это отрасль стоимостью около трёх миллиардов долларов в год. Нет ничего ненормального в том, чтобы делиться интимными подробностями со своими половинками. Но кто ещё подглядывает за нами, сохраняет и делится нашей информацией, когда мы обнажаем наши души? Мы с моей командой решили разобраться в этом. Для рассмотрения проблемы со всех сторон и проведения тщательного исследования я понял, что мне нужно самому установить одно из самых популярных приложений для знакомств.
So I went home to my wife ...
Итак, я пошёл домой к жене,
(Laughter)
(Смех)
who I had just married. "Is it OK if I establish a profile on a very popular dating app for purely scientific purposes?"
с которой мы только поженились: «Ничего, если я создам профиль в очень популярном приложении для знакомств исключительно в научных целях?»
(Laughter)
(Смех)
This is what we found. Hidden behind the main menu was a preticked box that gave the dating company access to all my personal pictures on Facebook, in my case more than 2,000 of them, and some were quite personal. And to make matters worse, when we read the terms and conditions, we discovered the following, and I'm going to need to take out my reading glasses for this one. And I'm going to read it for you, because this is complicated. All right.
Вот что мы обнаружили. Уже отмеченная галочка, скрытая в основном меню, давала компании доступ ко всем моим личным фото в Facebook, что в моём случае составляло более, чем 2 000 изображений, некоторые из которых были очень личными. Что ещё хуже, прочитав условия, мы обнаружили следующее. Для этого мне понадобятся очки для чтения. Я прочту вам текст условий, потому что он очень замысловатый. Итак.
"By posting content" -- and content refers to your pictures, chat and other interactions in the dating service -- "as a part of the service, you automatically grant to the company, its affiliates, licensees and successors an irrevocable" -- which means you can't change your mind -- "perpetual" -- which means forever -- "nonexclusive, transferrable, sublicensable, fully paid-up, worldwide right and license to use, copy, store, perform, display, reproduce, record, play, adapt, modify and distribute the content, prepare derivative works of the content, or incorporate the content into other works and grant and authorize sublicenses of the foregoing in any media now known or hereafter created."
«Публикуя информацию», — под информацией понимаются фото, сообщения и другие действия в приложении, — «используя эту платформу, вы автоматически даёте компании, её филиалам, лицензиатам и правопреемникам безусловное» — что значит, нельзя передумать, — «бессрочное» — что значит бесконечное, — «неисключительное, передаваемое, сублицензируемое, полное, глобальное право на использование, копирование, хранение, показ, воспроизведение, запись, проигрывание, изменение и распространение, разработку производных продуктов или включение информации в другие продукты, а также разрешаете сублицензиатам упомянутое выше в любом существующем медиа, либо созданном в будущем».
That basically means that all your dating history and everything related to it can be used for any purpose for all time. Just imagine your children seeing your sassy dating photos in a birth control ad 20 years from now.
Фактически это означает, что история всех ваших знакомств и всё, что с ней связано, всегда может быть использовано в любых целях. Представьте, что ваши же дети увидят ваши вызывающие фото в рекламе контрацептивов через 20 лет.
But seriously, though --
Ну, а если серьёзно,
(Laughter)
(Смех)
what might these commercial practices mean to you? For example, financial loss: based on your web browsing history, algorithms might decide whether you will get a mortgage or not. Subconscious manipulation: companies can analyze your emotions based on your photos and chats, targeting you with ads when you are at your most vulnerable. Discrimination: a fitness app can sell your data to a health insurance company, preventing you from getting coverage in the future. All of this is happening in the world today.
как подобные рыночные практики могут коснуться вас? Например, финансовые потери: исходя из истории посещаемых сайтов, алгоритмы могут определять, давать вам ипотеку или нет. Воздействие на ваше подсознание: опираясь на фото и сообщения, компании могут определять ваше настроение и воздействовать на вас через рекламу, когда вы наиболее уязвимы. Дискриминация: фитнес-приложения могут продавать ваши данные страховым компаниям, тем самым лишая вас страховых выплат в будущем. Всё это происходит уже сейчас.
But of course, not all uses of data are malign. Some are just flawed or need more work, and some are truly great. And there is some good news as well. The dating companies changed their policies globally after we filed a legal complaint. But organizations such as mine that fight for consumers' rights can't be everywhere. Nor can consumers fix this on their own, because if we know that something innocent we said will come back to haunt us, we will stop speaking. If we know that we are being watched and monitored, we will change our behavior. And if we can't control who has our data and how it is being used, we have lost the control of our lives.
Конечно, не всегда полученные данные используются со злым умыслом. Некоторые алгоритмы требуется доработать, а некоторые — просто замечательны. Есть и положительные моменты. Сервисы онлайн-знакомств во всём мире изменили свою политику после нашего судебного иска. Но организации, подобные моей, которые борются за права потребителей, есть не везде. Равно как и потребители не могут решить проблему сами. Если бы мы знали, что любое безобидно сказанное слово может аукнуться нам, мы бы молчали. Если бы мы знали, что за нами наблюдают, мы бы изменили наше поведение. Если мы не можем контролировать хранение и использование наших данных, значит, мы не управляем своей жизнью.
The stories I have told you today are not random examples. They are everywhere, and they are a sign that things need to change. And how can we achieve that change? Well, companies need to realize that by prioritizing privacy and security, they can build trust and loyalty to their users. Governments must create a safer internet by ensuring enforcement and up-to-date rules. And us, the citizens? We can use our voice to remind the world that technology can only truly benefit society if it respects basic rights.
То, что я рассказал сегодня, это не случайные примеры. Они происходят повсеместно, и это сигнал к необходимым изменениям. Но как можно добиться изменений? Компании должны понять, что конфиденциальность и безопасность укрепляют доверие и благосклонность пользователей. Государства должны развивать безопасный интернет, обеспечивая соблюдение и улучшение правил. А что насчёт нас, граждан? Мы можем отстаивать свои интересы, напомнив миру о том, что технологии приносят пользу обществу, только если они не нарушают основных прав.
Thank you so much.
Большое спасибо.
(Applause)
(Аплодисменты)