«Практически всё, что называют «марафоном желаний»
или «тренингом исполнения мечты», это не про психологию, а про механизм социального инжиниринга, построенный на извлечении максимального количества персональных данных для дальнейшей монетизации. Доступ к камере, микрофону и контактам — не техническая ошибка, а центральный элемент этой модели.»
Как устроен типичный марафон «под ключ»
На российском рынке цифровых продуктов давно сформировался шаблон. Автор, часто позиционирующий себя как коуч или эксперт, заказывает разработку мобильного приложения или веб-платформы у специализированной студии. Техническая начинка таких решений стандартизирована: чат, календарь заданий, система «достижений» и, что самое главное, интеграция с соцсетями и запрос расширенных разрешений устройства.
С точки зрения регуляторики и ФСТЭК, такие платформы редко проходят серьёзную оценку на соответствие 152-ФЗ. Они позиционируются как «развлекательные» или «образовательные», что позволяет организаторам избегать строгих требований к защите персональных данных. Однако собираемая информация — фотографии с лицами, голосовые сообщения, список контактов из адресной книги — по закону является персональными данными в чистом виде.
Архитектура приложения часто предусматривает хранение этих данных не в зашифрованном виде на защищённых серверах в России, а в облачных хранилищах международных провайдеров, доступ к которым может иметь не только автор курса, но и разработчики шаблона.
Камера и микрофон: не для «живого общения», а для биометрического профиля
Официальная причина запроса доступа к камере и микрофону звучит убедительно: «для участия в живых эфирах», «для выполнения практик с видеоотчётом» или «для создания поддерживающего комьюнити». На практике живыми эфирами часто ограничиваются одним-двумя запускающими вебинарами, а основная нагрузка ложится на асинхронные задания.
Настоящая цель иная. Видео- и аудиоконтент, который пользователи добровольно создают в состоянии вовлечённости (например, выполняя задание «запиши видео, в котором ты представляешь себя уже достигшим цели»), является источником ценных биометрических данных.
- Видео позволяет анализировать мимику, эмоциональные реакции, фон (обстановку квартиры), элементы стиля и даже иногда документы или экраны устройств, попавшие в кадр.
- Аудиозаписи дают образец голоса, который может использоваться для создания глубоких фейков или профилирования эмоционального состояния.
- Фотографии с заданиями (например, «сфотографируй свой идеальный день») зачастую содержат метаданные о времени и месте съёмки (EXIF), которые приложение может извлечь.
Собранные биометрические данные теоретически могут применяться для тонкой настройки дальнейшего маркетинга (например, анализ эмоций на рекламу) или, в худшем случае, попасть в утечки и быть использованными для таргетированного фишинга или шантажа.
Контакты: сеть доверия как инструмент роста и влияния
Запрос доступа к телефонной книге — один из самых агрессивных, но его обосновывают необходимостью «пригласить друзей для поддержки» или «найти партнёров по марафону». Механика проста: приложение предлагает отправить пригласительную ссылку нескольким контактам, обещая бонусы или «ускорение исполнения желания» за каждого приведённого друга.
Это решает сразу несколько задач для организатора:
- Вирусный рост: привлечение новых платящих участников через канал личных рекомендаций, обладающий максимальным доверием.
- Карта социальных связей: построение графа связей участника. Понимая, кто с кем общается внутри платформы и вне её, можно моделировать социальное давление («твои друзья уже выполнили задание») или выявлять лидеров мнений.
- Расширение базы данных: даже если приглашённый друг не купил марафон, его номер телефона или аккаунт в соцсети уже попал в базу организатора для дальнейшего ретаргетинга.
С точки зрения законодательства, передача контактов третьим лицам без явного согласия каждого из этих контактов является нарушением 152-ФЗ. Однако пользователь, нажимая «Разрешить», даёт согласие за всех своих знакомых, даже не осознавая этого.
Психологический крючок: почему люди соглашаются
Технические специалисты часто упускают психологический контекст, который делает эти практики эффективными. Запрос разрешений происходит не в нейтральный момент, а на пике эмоционального вовлечения — после оплаты дорогого курса, во время просмотра мотивирующего вступительного видео.
В этот момент у пользователя включается механика обязательства и последовательности: он уже инвестировал деньги и время, теперь нужно идти до конца. Отказаться от «технических формальностей» кажется глупым, это воспринимается как саботаж своего же успеха. Авторитет фигуры ведущего («эксперт сказал, это важно для результата») подавляет естественную осторожность.
Кроме того, сама формулировка запросов в iOS и Android («Приложение запрашивает доступ к контактам для поиска друзей») смягчает восприятие, маскируя истинные масштабы сбора данных.
Что происходит с данными после окончания марафона
Сценарии использования собранных данных разнообразны и часто неочевидны для участника:
| Тип данных | Неочевидные риски использования |
|---|---|
| Видеоотчёты с эмоциями | Анализ на уязвимости, болевые точки, уровень внушаемости для предложения более дорогих «индивидуальных» программ или сектоподобных сообществ. |
| Голосовые сообщения | Возможность синтеза голоса для фейковых аудиосообщений в будущем (например, для взлома голосовой биометрии в банках). |
| Граф социальных связей (контакты) | Таргетированная реклама или фишинг-рассылки не только самому участнику, но и его окружению с упоминанием общих тем («Аня из марафона желаний рекомендует…»). |
| Метаданные (время, геолокация) | Построение паттернов поведения, определение уровня дохода по районам, оптимального времени для push-уведомлений. |
Данные редко удаляются после окончания курса. Они пополняют «цифровое досье» пользователя, которое может быть продано, передано партнёрам или использовано для запуска новых марафонов с теми же людьми, но под другим названием.
Как отличить безопасный тренинг от data-harvesting платформы
Не все образовательные или коучинговые проекты построены на извлечении данных. Есть признаки, которые позволяют провести черту:
- Минимализм разрешений: нормальной платформе для обучения не нужен доступ к контактам и микрофону. Достаточно возможности загрузить текстовый отчёт или фото через стандартный интерфейс выбора файлов.
- Прозрачность политики данных: чёткое, человекочитаемое описание, какие данные собираются, как хранятся (на серверах в РФ), кто имеет к ним доступ и как их удалить. Отсутствие таких документов или их наполнение юридическими штампами — тревожный сигнал.
- Техническая поддержка: возможность получить внятный ответ от техподдержки на вопрос «куда физически попадают мои видеофайлы?», а не шаблонные отписки.
- Принцип data minimization: если для выполнения задания «визуализировать цель» предлагают нарисовать картинку на бумаге и сфотографировать, это безопаснее, чем требовать пятиминутное видео-исповедь перед камерой.
Что делать, если доступ уже выдан
Если вы осознали риски после того, как разрешили доступ, порядок действий может быть таким:
- Отзовите разрешения в настройках системы: в Android и iOS есть разделы настроек приложений, где можно точечно отключить доступ к камере, микрофону и контактам. Это не удалит уже переданные данные, но остановит дальнейший сбор.
- Запросите удаление данных: напишите в поддержку приложения с требованием удалить все ваши персональные данные, включая видео, аудио и контакты, на основании статьи 21 152-ФЗ («Право субъекта персональных данных на отзыв согласия»). Фиксируйте обращение скриншотами.
- Проверьте связанные аккаунты: если вы входили через соцсети, отзовите права доступа у этого приложения в настройках соответствующей социальной сети (Facebook, VK).
- Предупредите контакты: если есть подозрение, что приложение могло просканировать и сохранить данные вашей телефонной книги, имеет смысл в общем чате или лично предупредить близких о возможных спам-рассылках от вашего имени.
Главный вывод: доступ к сенсорам и данным устройства, это не «техническая деталь», а фундаментальный вопрос цифровой гигиены. В контексте марафонов желаний запросы на такие доступы почти никогда не продиктованы реальной необходимостью для обучения. Они служат инструментом построения детализированных цифровых профилей, ценность которых для организатора часто превышает ценность самого образовательного контента.