Наприкінці лютого в уанеті набрав популярності застосунок GetContact. Телефонна утиліта найвідоміша тим, що дає змогу подивитися, як ваш (або чужий) номер записаний в адресній книзі інших користувачів. У результаті соцмережі наповнили скріншоти з недолугими або кумедними підписами. Редакція AIN.UA розповідає, що не так із застосунком і чому він безпосередньо загрожує вашій приватності.

Що трапилося?

Застосунок GetContact «завірусився». За даними аналітичного сервісу AppAnnie, в українському App Store програма посідає перше місце за популярністю, випередивши Telegram та Instagram. При цьому на другому рядку опинився застосунок GetContact_ — клон з урізаною функціональністю. У Google Play ситуація інша, у GetContact лише 32 позиція в загальному заліку.

Перший стрибок популярності GetContact зафіксовано ще 9 лютого. Тоді розробка посіла п’яте місце в розділі «Утиліти» та 45-те — у загальному списку українського App Store. Однак по-справжньому масово GetContact почали використовувати в останній тиждень лютого. З 25 по 28 лютого утиліта стрибнула зі 165-го на перше місце. Це пов’язано з ефектом «сарафанного радіо» — в соцмережах з’являлася безліч скриншотів від користувачів, які встановили GetContact і виявили, що дивно або кумедно підписані в інших абонентів. Жартувати на цю тему почали й блогери.

Цього року ціна на подарунок коханій до 8 березня безпосередньо залежатиме від кількості «котиків» та «зайчиків», викритих за допомогою GetContact.

Як це працює?

Під час першого запуску GetContact просить доступ до контактів. Відтак інформація з адресної книги надсилається на сервери компанії. Натомість можна побачити, як твій номер підписано в інших користувачів GetContact. Крім того, можна ввести будь-який інший номер — хтось перевіряє таким чином друзів, хтось — подружжя. На сайті розробника запущено інтерактивний лічильник, який показує кількість адрес у базі сервісу. На момент написання статті їх понад 2,2 млрд, і ця кількість дедалі зростає.

Крім аналізу телефонної книги, GetContact пропонує блокування від телефонного спаму, а також ідентифікацію вхідних дзвінків від абонентів, які не записані в телефонній книзі.

У чому небезпека?

Встановлюючи GetContact, необхідно прийняти умови угоди користувача. Так, це саме та штука, яку всі позначають галочкою, не читаючи.

Приймаючи умови договору, ви дозволяєте компанії збирати будь-які дані та ділитися ними з третіми сторонами. Також вона може розпоряджатися відомостями в рамках туманного положення про право «підтримувати та розширювати свої послуги». Ще один пункт відкриває дорогу для спаму, фіксуючи дозвіл на проведення «маркетингової активності». До неї входить розсилка SMS, електронних листів та навіть дзвінки.

Неповний список інформації, яку отримує GetContact, є таким:

  • інформація з телефонних книг (контакти та інше);
  • фотографії;
  • поштова адреса;
  • IP-адреси;
  • історія дзвінків.

Хитрість ще й у тому, що навіть якщо ви не встановлювали GetContact, ваш номер може опинитися в розпорядженні розробників — достатньо, щоб він опинився в адресній книжці одного з користувачів.

Хто це розробив?

Громадяни Туреччини Бурак Саглік та Мустафа Севінк. Права на застосунок належать компанії GetContact LLP, яку вони зареєстрували в Лондоні у 2017 році, про що повідомляється в записах Британської реєстраційної палати. Саглік та Севінк також вважаються топменеджерами турецького розробника Tekyason yazılım. Ця компанія також зазначає серед своїх проєктів GetContact.

Де ще працює GetContact

Туреччина — головний за популярністю ринок програми, а розробники запевняють у присутності в 148 країнах. Протягом грудня та лютого GetContact підкорював електронні магазини Вірменії, Азербайджану, Киргизії та Казахстану. Через порушення законів про оброблення персональних даних у Казахстані та Азербайджані утиліту заборонили. У грудні вірменські ЗМІ навіть повідомляли, що користувачам вдалося отримати особисті номери президента Азербайджану та його дружини. Правдивість цієї інформації підтвердити не вдалося, а формальною причиною видалення застосунку стало передавання даних третім особам.

З цим пов’язана й поява клону програми. Казахстанські розробники зі студії CodeBusters оперативно випустили застосунок GetContact_ (незабаром перейменований на Pootin). Він мав урізану функціональність, обмежившись «вірусною» фічею — скануванням телефонних книг. У Казахстані заборонили й цю програму, але в українському App Store саме GetContact_/Pootin зараз посідає друге місце за популярністю.

У Вірменії справа обмежилася закликом влади відмовитися від використання GetContact. У Росії, яку представники AppAnnie в коментарі РБК назвали «другим ринком» GetContact після Туреччини, перевірку програми на відповідність законодавчим нормам проводить Роскомнагляд. Якщо будуть встановлені порушення, до суду буде надіслано позов про блокування застосунку.

Це взагалі законно?

У кожній країні свої вимоги щодо оброблення персональних даних. У Казахстані, наприклад, GetContact заблокували на підставі порушення норм, зафіксованих у статті 41-1 Закону Республіки Казахстан «Про зв’язок». У Росії приводом для блокування може бути те, що місцеве законодавство зобов’язує чітко повідомити людину про використання її персональних даних. При цьому не вводячи її в оману, аж до надання повного списку третіх осіб, яким буде передано інформацію.

Редакція AIN.UA вже звернулася за інформацією до юристів про те, чи легальною є робота GetContact в Україні. Партнер юридичної компанії Brightman Дмитро Гончаренко поставив під сумнів умови роботи сервісу:

Правила збирання, оброблення та зберігання персональних даних визначено Законом України «Про захист персональних даних». Закон (абзац 8, статті 2), на відміну від своїх «братів» з ЄС (наприклад, Загального регламенту захисту даних GDPR), ніяк не деталізує і не визначає перелік персональних даних. Тому положення Закону можуть бути застосовні до безлічі ситуацій, у тому числі й до збирання та оброблення даних, запит на які робить GetContact під час реєстрації в застосунку. Тобто коли користувач встановлює на свій смартфон застосунок GetContact, він погоджується з умовами, один з пунктів яких — збирання персональних даних, а ст. 2 Закону легітимізує цю дію. Тому збирання особистих даних громадян України застосунком GetContact можна вважати легальним.

У державних органів можуть виникнути питання до легальності роботи застосунку, якщо GetContact, зібравши персональні дані користувачів у єдину базу, не зареєструє її відповідно до вимог ст. 9 Закону. Отже, якщо GetContact не виконав державну реєстрацію своїх баз даних, що містять персональні дані громадян України, то роботу застосунку можна вважати незаконною, попри будь-які «застереження» у Terms of Use та Private Policy застосунку. Окремо варто окреслити питання зберігання та передавання застосунком персональних даних користувачів третім особам. Чинна редакція Terms of Use та Privet Policy застосунку, на мою думку, не зовсім відповідає вимогам Закону та може бути оскаржена як користувачами, так і безпосереднього державними органами.

Реєстрація баз даних відбувається за «заявним принципом», тобто власнику бази даних достатньо просто заповнити заяву та подати її до державного органу, не чекаючи від такого органу жодних реєстраційних документів. За загальним правилом ст. 9 Закону власник бази даних зобов’язує повідомити державний орган протягом 10 днів після кожного випадку оброблення персональних даних.

Я вже встановив GetContact. Чи можна щось зробити?

Можна видалити акаунт. Принаймні в цьому запевняють розробники. На сайті є спеціальна форма в розділі Unlist, яка дає змогу вилучити свій номер із загального реєстру. Прибрати його обіцяють упродовж 24 годин. Варто відзначити, що просто видалити додаток зі смартфона недостатньо — потрібно спочатку зайти в налаштування та знайти розділ «Про Get Contact». У разі повторної реєстрації номер повернеться до бази.