Я не параноик или сторонник теории заговора. Но я внимательно читаю пользовательские соглашения и если они меня чем-то не устраивают, то просто не пользуюсь такими сервисами. На моем смартфоне почти нет приложений, а операционная система не обновлялась годами.
Что может быть проще, чем “Принять условия” и получить доступ к современному мобильному банкингу, интернет-шопингу, государственным услугам, каршерингу и многому другому. Но я решил сделать небольшой эксперимент. В его результате вскрылись довольно любопытные подробности.
(Суть эксперимента и его результаты будут описаны ниже, в разделе 6)
Ни для кого ни секрет, что доступ к персональным данным граждан уже есть у многих государственных и частных учреждений и они необходимы для осуществления комфортной жизнедеятельности онлайн – шоппинг, заказ такси, финансовые переводы или оформление сделок.
Для получения некоторых общедоступных услуг достаточно адреса и имени, а некоторые требуют раскрытия паспортных данных, фотографии пользователя и многого другого. Технически в момент получения услуги эта информация передается с мобильного устройства на сервера оператора услуги и третьих лиц, а также хранится там в течение некоторого времени.
С этого момента начинается самое интересное, рассмотрим по пунктам:
1. Что содержится в пользовательском соглашении (кратко и простыми словами)
В первую очередь оператор должен получить согласие на обработку и передачу данных. Вся соль заключается в объеме этих данных и контуре их распространения. Даже для оказания таких повседневных услуг, как мобильный банкинг или каршеринг данные необходимо передать третьим лицам. Оператор каршеринга должен передать ваши данные в страховую компанию, а при оформлении кредита банки могут передать сведения коллекторским агентствам или другим учреждениям.
Но как правило операторы услуг не заинтересованы в ограничении своих полномочий узким кругом минимально необходимых сведений и узким периметром использования. Активное развитие экосистем (например, банк + маркетплейс + доставка) стимулирует закладывать в пользовательское соглашение максимально разрешительные меры и зачастую содержит все или некоторые из следующих пунктов:
Согласие на обработку и передачу данных непосредственному оператору услуги
Согласие на передачу данным дочерним и партнерским организациям, третьим лицам (список может быть открытым и изменяться без уведомления пользователя)
Согласие на предоставление дополнительных информационных и рекламных услуг, для т.н. "улучшения(блин!) качества обслуживания"
Срок хранения и порядок удаления данных (как правило для удаления данных требуется оформление письменного заявления)
Выдержка из пользовательского соглашения сотового оператора
Изучить полностью все условия соглашения довольно сложно, учитывая размытость некоторых формулировок, многочисленные пересылки на зависимые документы, "матрешки" и прочие юридические хитрости. Но понимать его условия критически важно, поскольку соглашаясь со всеми условиями пользователи добровольно и легитимно передают права на свои персональные данные зачастую плохо определенному кругу лиц.
Давайте теперь поговорим о последствиях (прямых и косвенных) такого решения.
2. Где физически будут храниться данные
В соответствии с ФЗ-242 от 1 сентября 2015 года все данные должны храниться на серверах РФ и большинство крупных компаний используют собственные датацентры в соблюдении данного требования. Менее крупные компании вынуждены арендовать вычислительные сервера у поставщиков и облачных провайдеров в РФ. Несмотря на развитие таких провайдеров в России их масштабы, надежность и ценовая политика еще не позволяет конкурировать с крупными гигантами как AWS, Google Cloud или DigitalOcean. Поэтому для мелких ИТ-компаний становится экономически более выгодно пользоваться зарубежными облачными услугами из соображений надежности и экономической рентабельности. Конечно, это не означает, что персональные данные сразу становятся доступны иностранным компаниям, но повышает технологическую зависимость от иностранных игроков.
3. Как обеспечивается сохранность данных
Для обеспечения безопасности и сохранности данных в цифровом пространстве существует целый спектр мер, подходов и алгоритмов. Среди них криптография, антивирусы, брандмауэры, системы резервирования данных и многое другое. Грамотное применения полного комплекса мер требует наличия в компании высококвалифицированных ИБ-специалистов, регулярный аудит, мониторинг и предотвращение возникающих и перспективных угроз. Естественно, далеко не каждой ИТ компании под силу обеспечить весь спектр существующих мер защиты данных и с целью оптимизации затрат могут применяться только самые обязательные меры.
Учитывая длинную цепочку передачи персональных данных между операторами, партнерами и третьими лицами вероятность сохранения максимального уровня защиты на всех узлах цепочки кратно понижается с увеличением длины такой цепочки. Помимо прочего, некоторые участники процесса обработки могут претерпевать реорганизации, поглощения, банкротства и проконтролировать своевременное удаление данных в случае прекращения оказания услуг становится практически невозможным для пользователя.
4. Какую ценность представляют данные для третьих лиц и злоумышленников
А почему вообще так много желающих обрабатывать персональные данные и что с ними можно сделать? Давайте попробуем рассмотреть наиболее популярные варианты использования персональных данных в глобальном масштабе и их влияние на каждого отдельного пользователя.
Сценарий |
Содержание данных |
Пример использования |
Влияние на субъекта ПД |
Изучение потребительских трендов |
Демографические данные (пол, возраст и пр.) |
Показ контекстной рекламы товаров и услуг на основе трендов в поло-возрастной группе пользователя |
Минимальное |
Персонализация услуг и сервисов |
История онлайн-активности (поисковые запросы, покупки и пр.) |
Индивидуальное предложение скидок и акций релевантных интересам конкретного пользователя |
Среднее |
Навязчивая реклама |
История офлайн-активности (оформление страховок, ОСАГО, получение гос. услуг и пр.) |
- После покупки ОСАГО вам названивают сотни компаний-партнеров с предложением продлить страховку именно у них - После оформления ИП вам звонят банки с предложениями финансовых услуг |
Высокое |
Мошенничество |
ФИО, контактные данные, место жительства |
После утечки данных через коллекторское агентство у клиентов банка под видом налоговой инспекции выманивают крупные суммы денег (новость 1 про утечку, новость 2 про мошенников) |
Крайне высокое |
Конечно это лишь наиболее яркие примеры использования персональных данных. Современные технологии обработки больших данных и машинного обучения открывают практически безграничные возможности по анализу паттернов поведения пользователей, формирования вкусовых предпочтений, а в некоторых случаях даже де-анонимизации субъектов персональных данных по косвенным признакам (например, уже сейчас с некоторой точностью можно идентифицировать пользователей опираясь только на косвенные признаки, содержащиеся в паттернах онлайн активности).
Таким образом не только информация непосредственно идентифицирующая пользователя, но и элементы цифрового следа становятся частью персональных данных, что делает выработку подходов к ее защите гораздо сложнее не только для самого пользователя, но и для организаций, обладающих такими данными.
5. Грязные приемы
Допустим некоторый человек не хочет принимать обновленные условия пользования, на что тогда идут операторы услуг, чтобы заставить пользователей принять новые правила игры?
Для этого существуют различные уловки и приемы, стимулирующие пользователей безоговорочно принимать разрешительные условия обновленных пользовательских соглашений. Приведем пару простых примеров:
Ограничение доступа к некоторым функциям только через мобильное приложение
Иными словами, пользователь вынужден скачивать мобильное приложение и принимать дополнительные пользовательские соглашения, поскольку удобная функция просто не реализована в веб-интерфейсе и требует посещения офлайн-офиса компании.
Например, подключение системы быстрых платежей или оформление самозанятости в одном из крупных банков доступно только в мобильном приложении и не реализовано в веб-интерфейсе. С первого взгляда это выглядит как забота о пользователях, ведь установка мобильного приложения открывает доступ к новому уровню услуг и комфорта. Но с другой стороны пользователи становятся заложниками оператора услуг и вынуждены принимать дополнительные разрешительные условия даже не отдавая себе в этом полного отчета.
Инструкция по оформлению самозанятости через мобильное приложение
Принудительные обновления, повышающие разрешительный характер пользовательского соглашения, без которых невозможно дальнейшее пользование сервисами
Например, вам пришла новая версия приложения, сайта или операционной системы, которая полностью заменяет более недоступную старую версию и для продолжения использования вы вынуждены принять новые условия.
Пример пользовательского соглашения на веб-портале сотового оператора
Такие приемы кратно повышают извлекаемость персональных данных из пользователей, поскольку после первичного привыкания к тем или иным сервисам или услугам пользователи послушно устанавливают любые обновления и дополнения, требующие дополнительных разрешений. К тому же, по закону подлости обновления приходят в самый неподходящий момент (когда вызываешь такси на морозе или стоишь в очереди в магазине), что делает осознанное и внимательное изучение дополнительных условий практически невозможным.
6. Суть эксперимента
Теперь вернемся к эксперименту, о котором я упомянул в самом начале. Его суть довольно проста – проверить, возможно ли на легальных основаниях отказаться от передачи своих персональных данных третьим лицам и при этом на равноправных условиях продолжать пользоваться всеми современными цифровыми услугами (шопинг, сотовая связь, финансы, гос. услуги транспорт и пр.)
Я пытался изо всех сил, но результат эксперимента оказался довольно плачевным, поскольку мне пришлось отказаться от:
Мобильного банка (вместо этого только веб-версия)
Онлайн-кабинета сотового оператора (приходилось сначала звонить в службу поддержки для отключения тех или иных услуг, а потом поменять оператора)
Оформления самозанятости онлайн (необходимость идти в налоговую пешком)
Каршеринга (во всех условиях была прописана возможность передачи данных третьим лицам с целью предоставления информационных и/или иных услуг)
Список продолжает пополняться
Обращу внимание, что в данном эксперименте речь идет только о легальном отказе и легальных способах получения личных данных, когда пользователь добровольно санкционирует получение рекламных и прочих информационных услуг, передачу своих данных и пр. В рамках данной статьи заведомо не рассматриваются варианты несанкционированного извлечения данных через бэкдоры, вирусы, телефонное мошенничество и прочие каналы.
Я не исключаю, что мои персональные данные все равно попадают(или уже попали) в руки третьим лицам менее законными способами, но по крайней мере в таком случае они рискуют рано или поздно понести за это некую ответственность (хочется в это верить).
7. Последствия и меры
В сухом остатке, мы имеем полную девальвацию термина персональные данные. Постоянные сообщения об утечках и отсутствие каких-либо санкций в отношении виновных операторов (кроме скромных сообщений о проведении внутренних расследований) заставляют нас привыкать и равнодушно относиться к таким новостям. А ежедневные рекламные спам-звонки давно стали нормой. Во всем этом отчасти виноваты сами пользователи слепо раздающие свои данные налево и направо и не задумываясь о возможных последствиях. Но с другой стороны и ответственность операторов за бесконтрольное распространения такого критически важного информационного актива как персональные данные граждан возможно требует существенного пересмотра.
Я не сторонник запретительных мер и жестких ограничений. Во всем нужна разумная и системная работа по формированию благоприятного онлайн пространства, исключающего злоупотребление низкой информационной и юридической грамотностью населения со стороны технологических гигантов. Но пока мы сами не осознаем личную ответственность и важность такой работы, никто за нас этим заниматься не будет.
8. Что делать-то?
Очевидно, что полностью отказаться от цифровых услуг в современном мире невозможно. Но как минимум стоит обозначить границы цифрового равноправия. Иными словами, законно ли ущемление цифровых прав граждан, отказавшихся от передачи своих персональных данных “с целью получения информационных и рекламных услуг третьим лицам”. Если да, то представляется необходимым обеспечить дублирование таких услуг в офлайне для сохранения одинаковых прав как прогрессивно-цифровых так и консервативно-традиционных групп граждан.
Но если оставить в стороне глобальные вопросы, хочется обратиться к неравнодушным гражданам цифрового пространства с одной небольшой просьбой.
Поскольку изучение пользовательских соглашений это долгая и трудозатратная работа непосильная одному человеку, если вы не против принести пользу онлайн-сообществу и внести свой вклад в формирование цифрового равноправия, прочитайте пожалуйста внимательно пользовательское соглашение вашего любимого приложения или сервиса и пришлите краткую выдержку в формате аналогичном https://tosdr.org/ (что допускается и что ограничивается в условиях пользовательского соглашения) автору статьи любым доступным способом. А если у вас нет времени читать соглашение целиком, просто присылайте скриншоты наиболее нелепых и бессовестных условий в комментариях или личных сообщениях.
Вместе мы можем оценить уровень информационных аппетитов операторов различных ИТ-услуг и возможно помочь им пересмотреть свои политики по работе с персональными данными в лучшую сторону.
Всем удачной трудовой недели и безоблачного цифрового пространства!
Комментарии (68)
MMik
06.02.2022 22:11+5Был законопроект со штрафами за обуславливание заключения договоров предоставлением ПД, но он пока далеко не продвинулся.
По-хорошему, нужна возможность индивидуальных условий договоров и системы отслеживания услуг, связанных с договором. Это сейчас не массовые решения, довольно дорогие для бизнеса. Основной массе бизнеса и клиентам это не нужно. Пока госорганы принуждать к этому не будут – никто заниматься не будет. Госорганы сейчас заняты другими делами.
Вспомните ежедневный квест по отключению всех тракеров, включая "legitimate interest", на почти каждом посещаемом вебсайте – это примерно одного поля ягоды.
bungu
06.02.2022 22:11+10Наш закон защищает сами данные, а не права людей к которым они относяться. В этом я считаю и есть проблема
powerman
06.02.2022 22:37+12Он защищает не данные, а возможность доступа к ним для тов.майора. Именно поэтому:
До сих пор точно не определено какой именно набор данных считается "персональными" и подпадает под закон. Из-за чего "на всякий случай" любой набор данных выходящий за рамки тривиального "username + пароль + предпочитаемая цветовая тема на сайте" безопаснее считать "персональными".
Компании активно принуждают хранить данные внутри страны…
...но при этом никого не волнует наличие копий этих данных ещё и вне страны.
Практически никого не наказывают за утечки, да и не особо даже их расследуют.
Иными словами, пока все данные пользователей, представляющие потенциальный интерес для властей, находятся в лёгком доступе внутри страны - всё ок, и больше ничего предпринимать необходимости нет.
А тема "защиты ПД", под соусом которой это подаётся населению - это та же "защита детей", под соусом которой ограничивают права взрослых.
ifap
06.02.2022 22:14+5- Оформления самозанятости онлайн (необходимость идти в налоговую пешком)
Хм, а оформить самозанятость онлайн напрямую в ФНС, а не через бессмысленного посредника в лице банка?
NickKolok
06.02.2022 23:29+1lknpd.nalog.ru
Нужен только акк на госуслугах. Даже приложение ставить не нужно, всё через браузер.
ifap
06.02.2022 23:41+2Да вот и я о том же...
AlchemistDark
07.02.2022 06:34+1Так-то Госуслуги тоже данные собирают. И не только собирают, но ещё и не особо заботятся об их сохранности.
Shaman_RSHU
07.02.2022 10:05+2Госуслуги даннные не собирают, они уже все и так есть в ЕСИА.
Если субъект не зарегистрирован на Госуслугах, то это не значит, что его данных там ещё нет :)
AlchemistDark
07.02.2022 11:10По крайней мере, вроде бы учётка в ЕСИА есть не у всех (у меня есть, увы).
elve
07.02.2022 08:44+1Даже и аккаунта на госуслугах не надо, если раньше раз ногами сходил в налоговую и получил учетку.
pchirikov Автор
07.02.2022 09:20+1Да, но тогда нужно сканировать чеки и договора, загружать в ФНС, ждать прохождения камеральной проверки, потом получить отказ, исправлять запятые, опять ждать камеральной проверки...
А если вы поставите галочку в нужном месте, то банк откроет для вас специальный виртуальный счет, на который можно будет принимать платежи. И сам автоматически будет оплачивать за вас налоги с полученной суммы.
leveler
07.02.2022 10:17+1Не надо там ничего сканировать. Просто указываешь название услуги, стоимость и отправляешь чек.
В самом приложении можно привязать карту. С неё будут списываться деньги.
GeorgKDeft
06.02.2022 22:28+1Пока подписание пользовательского соглашения не несет последствий описанных в фильме "Окей, Лекси!" думаю мало кто задумается об том чтоб его читать...
schetilin
06.02.2022 22:39+2Половина пользовательских соглашений написана таким языком, что без помощи юриста не разобраться :( Вроде все прилично, но трактование слов и понятий, в обыденной и в юридической практике могут диаметрально отличаться.
ergo3110
07.02.2022 09:21+5Я юрист с десятилетним стажем, и то не всегда сразу понимаю.
Exchan-ge
07.02.2022 16:18Я юрист с десятилетним стажем, и то не всегда сразу понимаю.
В какой отрасли права?ergo3110
07.02.2022 16:34Регистрация юридических лиц, судебное представительство (арбитраж).
Exchan-ge
07.02.2022 16:47Регистрация юридических лиц, судебное представительство (арбитраж).
Гражданское право. По идее — проблем быть не должно.
Можно чуть подробнее — с чем именно возникают сложности (в работе с пользовательскими соглашениями)?
(Меня реально интересуют подобные проблемы, именно по этой причине и спрашиваю)ergo3110
07.02.2022 16:59+3Коротко - с формулировками. Если специализированные юридические термины нагуглить и понять может любой, то конские (на полстраницы или больше) сложносочиненные предложения иногда бывает сложно понять в контексте документа на несколько десятков страниц. При том никакой реальной нужды писать такие чудовищные тексты, кроме собственно желания запутать клиента, нет - при желании(это ключевой момент) любой текст соглашения можно изложить просто и доступно без ущерба для его содержания.
Для сравнения, посмотрите современные ипотечные договоры - банки были законодательно принуждены все ключевые условия писать на самых видных местах так, чтобы кому угодно все понятно было, чуть ли не в табличках на титульной странице оформляют. Это не значит, что банки перестали злоупотреблять формулировками договоров, но сейчас им делать это НАМНОГО сложнее.Exchan-ge
07.02.2022 17:45Коротко — с формулировками.
Спасибо!При том никакой реальной нужды писать такие чудовищные тексты, кроме собственно желания запутать клиента, нет -
Как я мог заметить — если речь не идет о монстрах типа Гугла или Микрософт, то очень похоже на то что тексты конечных соглашений с пользователями пишут сами разработчики, а не юристы.
Так что это скорее баг, а не фича.Для сравнения, посмотрите современные ипотечные договоры —
Там уже запретили использовать шрифт 10 пунктов на А4 с минимальным интервалом и в одну колонку? :) А ведь этот приемчик сбивает клиента куда больше, чем ключевые условия на пятой странице.Это не значит, что банки перестали злоупотреблять формулировками договоров, но сейчас им делать это НАМНОГО сложнее.
shuguroff
06.02.2022 22:38+5Ситуация, когда пользователь не может отказаться хотя бы частично от условий передачи ПД при заключении договора онлайн (при принятии соглашений и тд) без великой на то воли самого сервиса - это недоработка законотворца.
На мой взгляд на каждую конкретную цель использования персональных данных (обработка, анализ, передача третим лицам, рассылка спама, контроль качества рассылки спама) должны быть отдельные галочки (или бумажные подписи).
И на самом деле в некоторых сферах, например, у официальных дилеров автомобилей при прохождении сервиса, такое разделение есть. И можно, хоть и со скрипом, вычеркнуть большую часть целей по маркетингу, запретить передачу данных третим лицам и установить общий срок обработки скажем в 1 день. Правда, сомневаюсь, что потом это как-то влияет на фактическую деятельность и кто-то эти данные реально удаляет.
Silver_smoke
08.02.2022 17:29На данный момент ситуация (по закону по крайней мере) с отдельным согласием существует только с ПД, разрешенными субъектом для распространения неопределенному кругу лиц (на каком-либо сайте, например).
Вот в кредитных договорах обычно прямо прописано коллекторское агентство, которое будет взыскивать долг, если гражданин не заплатит сам. И тем не менее данные утекают сплошь и рядом.
Думаю дело не только в законах, но еще и в том, как они соблюдаются. Есть проблемы и с формулировками в законе (в том числе и с привлечением к ответственности виновных лиц), и в правовой сознательности и осведомленности граждан.
ovalsky
06.02.2022 22:53+2Я не исключаю, что мои персональные данные все равно попадают(или уже попали) в руки третьим лицам менее законными способами
Пользование веб-версиями услуг вместо приложений тоже приличный слив инфы, при этом спрашивать вас не надо. Да и часть данных что попадает через веб-версии услуг уже достаточно что бы сосоставить с имеющимися данными.
pchirikov Автор
07.02.2022 09:22+2Да, но это уже несанкционированный слив. В статье речь только про (не)осознанно одобренный пользователем слив.
gameplayer55055
07.02.2022 01:01+2Есть очень недооцененная штука под названием pinephone, Ubuntu touch и plasma mobile. Там все открыто, и конторам подобным незачем данные брать. Удобство, разумеется, далеко не на высшем уровне, но от честно нормально для не особо любителей соцсетей, и использующих телефон для позвонить, написать, сфотографировать вполне сгодится.
Жаль только что нет поддержки. Пользовались бы процентов 10 людей, по любому бы кде налепили открытых клиентов тиктоков и фейсбуков. Вяло все идёт.
В современном Андроиде при первом включении пользовательское соглашение километровое, даже больше виндосовского. А гугл же самый крупный продавец данных, потом уже Фейсбук и по мелочи. Просто хочется сесть и плакать, ведь никто не против, против только процент один юзеров. Может быть с веб 3.0 это уйдет в прошлое, а может быть наоборот - как сайт webarchive будущее, где надо отпечаток члена сделать чтобы пользоваться интернетом
tmin10
07.02.2022 01:24+3Вообще закон оставляет возможность отзыва разрешение на обработку ПД кроме минимально необходимой, но это повлечёт дополнительные неудобства: у экосистемы сбера пропадает логин в дочерние системы (которые по подписке прайм, например сбер звук), у билайна пропадёт доступ в лк, попросит снова принять условия договора. Скорее всего много где так.
pchirikov Автор
07.02.2022 09:24+2А как чисто физически осуществить такой отзыв? Написать заявление на имя компании, потом несколько лет добиваться, чтобы они на него ответили?
tmin10
07.02.2022 10:45+2По ФЗ 59 «О порядке рассмотрения обращений граждан Российской Федерации» все обращения рассматриваются максимум 30 дней (прлюс время на пересулку), поэтому на годы растягиваться не должно (привлечение прокуратуры после 30 дней магическим образом улучшает бизнесс-процессы). Также, отзыв ПД предусмотрен ФЗ 152 «О персональных данных», т.е. если он нарушается, опять же стоит обращаться в прокуратуру.
pchirikov Автор
07.02.2022 10:54Спасибо за уточнение. Но у меня нет цели судиться с операторам ИТ-услуг, мне кажется лучше прийти к некоторому общественному договору(или хотя бы пониманию) о том, что хорошо, а что плохо в политиках обработки ПД.
tmin10
07.02.2022 11:52+1Обращение в прокуратуру не равно судебному процессу. Оно позволяет добиться ответа от тех, кто считает, что ФЗ не обязательно выполнять.
Supervadim
07.02.2022 17:16Федеральным законом N 59 обращения в коммерческие организации на регулируются
tmin10
07.02.2022 19:26Разве на банки и операторы не возложено осуществление публично-значимых функций (ст.2 п.1)? Точного определения нет, но из судебной практики ответ скорее да, чем нет.
Supervadim
07.02.2022 21:11Когда вы выступаете в отношения с коммерческой организации, отношения эти происходят в рамках договора. Именно этим договором и регламентируется ваши права и обязанности, в том числе на общение и взаимодействие.
С органами власти у вас договора не заключено. И вроде как обязанность их вам отвечать ничем не определена. Именно поэтому такая обязанность и предусмотрена этим законом.
Если работа коммерческой организации в какой-то определенной сфере предусматривает необходимость отвечать на ваши обращения, то эта обязанность предусмотрена законодательством, регулирующим эту сферу.
Ghostcar
07.02.2022 10:51+1Писать заявление, в любом удобном формате. Ответ в данном случае не требуется, с момента получения заявления законодательное обязательство прекратить обрабатывать данные. Любой закументированный факт от этой компании, в нарушении, отправка заявления в прокуратуру с копией отзыва с отметкой о получении и документальное подтверждение нарушения.
Как бы то ни было, ответственность за такие нарушения - чуть ли не уголовная. Более того, при наличии отзыва на обработку и задокументрованного факта отправки рекламы - есть шанс каждое такое рекламное сообщение подвести под штраф от 200 до 500 тысяч рублей.
Goose-Iron
07.02.2022 12:22В приложении Сбера в меню настройки есть менюшка "Согласия и договоры"
Там можно запретить передавать ПД по экосистеме Сбера.
Для остального топать в банк.
В некоторых случаях, в том числе, подписывая разного рода договоры вычеркиваю письменный отзыв и вписываю срок договора, пару раз договор возвращали, на третий раз приняли.
pchirikov Автор
07.02.2022 14:50Это важное уточнение, но боюсь снятие галочки в приложении не несет никакой юридической силы (в плане отзыва согласия, полученного при установке), а лишь технически ограничивает саму передачу данных.
PereslavlFoto
07.02.2022 01:30+14От кладбища тоже придётся отказаться, потому что могильный памятник публикует персональные данные: имя, отчество, фамилию, дату рождения и дату смерти.
Denis1121
07.02.2022 09:24+3Вполне смешная шутка, как бы страшно она не звучала. Впрочем, это же уже после ухода в мир иной. Следовательно, личные данные толком и интереса уже не будут предоставлять.
Paranoich
07.02.2022 10:31+2Обойти свежие участки, составить список недавно усопших, с помощью собранных данных найти родственников усопших, которые вполне возможно поиздержались в процессе похорон, предложить кредит.
Хотя через морг проще и информация полнее. Но нужен человек свой и деньги.
PereslavlFoto
07.02.2022 12:57+1Они настолько представляют интерес, что суд запретил их использовать. Известный же был скандал, посмотрите сами. Человек создал описание кладбища, а суд запретил ему собирать и автоматизированно обрабатывать персональные данные покойных.
embden
07.02.2022 02:23+3А самое обидное, что подлянки вы должны ждать абсолютно откуда угодно. К примеру, решили вы пройти курс машинного обучения от open data science. Казалось, бы open data science, открытое движение. Но чтобы попасть на трэк машинного обучения, вы обязаны согласиться с их условиями обработки данных (1, 2). А там прямо прописано, что ваши данные будут переданы Сбербанку и партнерам. Партнерами оказываются МТС, Мегафон и ещё несколько компаний. А без согласия вы потеряете возможность присоединиться к треку обучения. Вот вам и open data science.
Они потом объяснили в чате, что данные передаются партнерам только если участвовать в их активностях или при согласии на получение предложений о работе, что можно галочку не ставить о согласии с получением предложений о работе, тогда данные не передадутся (хотя в соглашении об этом ничего нет). Но только большая часть людей поставит эту галочку, а значит данные автоматически улетят всем партнерам. И большая часть людей даже не догадается об этом, ведь кредит доверия к ods велик.
mixsture
07.02.2022 04:38+2Я думаю, что масштаб проблемы мы реально увидим, если сделаем персональные данные уникальными и отслеживаемыми.
Пример с телефоном: по обычному номеру +7-999-999-99-99 дозвониться нельзя, только с добавочным номером (+7-999-999-99-99#630219). Каждому требующему персональные данные отдаем уникальный такой номер. При утечке таких данным мы точно знаем канал, кто слил наши данные. Это хорошее основание вплоть до автоматического выписывания штрафов таким компаниям.
Но, думаю, даже без штрафов это бы хорошо повлияло на рынок. Т.к. сейчас на рынке телефонного спама на вопрос «откуда у вас мой телефон» слышим «из публичных источников». Вот когда из каждого такого звонка вы гарантированно будете знать, что этот спамер пришел от сбербанка — то и желание сбера сливать серым компаниям данные поуменьшится из-за репутационных рисков.laatoo
07.02.2022 04:55+2Я думаю, что масштаб проблемы мы реально увидим, если сделаем персональные данные уникальными и отслеживаемыми
Я тоже так думал, перешёл на wildcard email'ы а-ля habr.com@username.fastmail.com, и, потирая руки, ждал как я буду отлавливать этих негодяев пачками.
За несколько лет на сливе спалился только hh.ru, и то:
я допускаю, что это я где-то сделал email публичным
спаморезка email провайдера справилась, и заботливо положила письмо в папочку "спам"
С номерами телефонов, скорее всего, будет сильно хуже, но спаморезка андроида вполне себе справляется: я даже не получаю этих звонков, только вижу их в логе, помеченные красным
Это хорошее основание вплоть до автоматического выписывания штрафов таким компаниям
Вам придётся как-то доказать, что вы не давали этот номер никому другому
trak
07.02.2022 10:15+2ага, а легитимные по rfc адреса типа user+spam1@domain.ru почти никто не принимает, включая сбер
vikarti
07.02.2022 11:00catchall на то есть.
если речь про domain.ru а не mail.ru/gmail.com -:)0
не принять (например) user_userovich_userov_spamfromsber@domain.ru не получится а если начнут слов "spam" детектить — можно и lettersfromgref@domain.ru использовать в конце концов
charypopper
07.02.2022 12:53+1тут еще и плюс в том, что можно сразу и отсечь источник спама, если использовать уникальные адреса\токены и тп
И было бы бодро, чтобы нельзя было использовать уникальное имя не тому, кому я его выдал. И он бы мог только новый токен сгенерировать на основе того, что я передал (и тут открывается возможность по редактированию прав и отсеканию, при желании пользователя, того что ему стало не нужно или начало напрягать). Пока мечты (
Mikitos
07.02.2022 06:12+1После покупки ОСАГО вам названивают сотни компаний-партнеров
Неправда, это было актуально 15 лет назад, в настоящее время ОСАГО убыточно. В некоторых регионах честному водителю почти нереально его оформить через онлайн, системы постоянно выдают "ошибку", перенаправляют на другие сайты-агрегаторы и т.д.
pchirikov Автор
07.02.2022 09:28+1Полагаю вы пишете из регионов, знаем о такой проблеме. Но это тема для отдельной статьи, возможно затронем ее в будущем!
JerleShannara
07.02.2022 18:24Даже если вы в Москве — попробуйте сделать ОСАГО на новый мотоцикл (т.е. в первый раз для данного вида ТС в вашей собственности) — будете неприятно удивлены подаркам вида «не страхуем такое»/«надо пройти осмотр, ближайшая дата — конец света»/«надо пройти осмотр, хоть завтра, по адресу[адрес в 10000км от вас]»/«Ваше корыто по базам не бьётся, пишите в РСА и ждите 100500 лет ответа»/«сделаем, за +300% к цене».
Rinat111
07.02.2022 09:28+4Как то установил себе приложение красного оператора связи(если так можно выразиться). Дал разрешение на доступ к медиа. Так с телефона сразу пошел исходящий трафик под 10Мбит. После того как написал в службу поддержки, а они быстро отреагировали, мне ответили что этот косяк исправили. Но запрос на разрешение то остался!! А доверия больше нет. Это был самый откровенный случай перед моими глазами. Берегите свои персональные данные. А моя позиция такова: что абсолютная свобода личности, от общества - это идеализм. Либо мы выстроим общество где персональные данные будут служить на благо всего общества, или нам выстроят то общество, где персональные данные будут использоваться на благо конкретных людей.
Newm
07.02.2022 09:46+4Автор!
Самая первая рекомендация начинать читать не с портянок соглашений, а с первоисточника: Закон 152-ФЗ о ПДн. Вынужден согласиться, что сложновато для понимания. Тогда поискать на хабре статью с переводом европейских разъяснений к аналогичному еврозакону. Практически все разъяснения применимы к российскому закону.
По статье очень сложно что-то говорить. Тут надо просто ее брать целиком и показывать, где прав, где неправ. А утверждений в статье тех и тех примерно 50 на 50. А если еще объяснять подробно, почему это именно так, то статья получится раза в 4 больше оригинала.
Например, в п. 1 в статье в выдержке из соглашения сотового оператора - все законно. Другое дело, что совершенно непонятно, как оно туда попало, так как к пользователю относится только малая часть. Ну кому какое дело в пользовательском соглашении, что оператор обрабатывает ПДн своих работников, с которыми у него есть трудовые отношения? Или что он обрабатывает ПДн работников своих партнеров, которые имеют доступ на сотовые вышки? Это все абсолютно законно, но просто не имеет отношения к пользователю.
А вот в "Пример пользовательского соглашения на веб-портале сотового оператора" с законностью все намного хуже. И если пользователь, получивший рекламное сообщение под прикрытием этого соглашения, достаточно юридически грамотный, то он теоретически может успеть накропать телегу в РКН, получить результат рассмотрения административного дела о незаконности обработки ПДн с вынесением предупреждения, штраф там едва ли будет, срок до 2 месяцев по КоАП. А потом он с этим результатом катает телегу в ФАС на незаконную рекламу, там уже минималка 100 тыс. Но... У меня, достаточно глубоко погруженного в тему, уйдет на все формулировки примерно 10-20 часов. Вероятность того, что я не накосячу оцениваю сейчас 50 на 50. Получу я от этого в результате НИЧЕГО материального. У нормального человека я бы оценил минимальные затраты времени 100 часов для получения вероятности наказывания 5% (вот именно в этом случае, чаще случаи намного легче, там требуется проходить только один этап, здесь вероятность сурово падает именно из-за двухэтапности процесса).
В резюме скажу, что 152-ФЗ в теории хорошо защищает ПДн. Но мало кто в нем разбирается.
PS Если будут вопросы, то ответить смогу только через сутки:).
Denis1121
07.02.2022 13:52+1Насколько я могу предположить, теоретически при желании можно собрать персональные данные практически кого угодно. Вопрос лишь во времени, сложности и ресурсах. Достаточно вспомнить сколько людей сейчас используют электронный больничный (все, официально работающие). Другой вопрос - насколько вы вообще кому-то нужны. Есть же множество людей, которые не соблюдают правила цифровой гигиены, типа двухфакторной авторизации, простых паролей, открытого разговора со "сбербанком" или честного заполнения анкеты на непонятном сайте.
Сомневаюсь, что кто-то будет использовать гигантские ресурсы бот сети, чтобы ломануть одного Васю Пушкина (при том, что у Васи хватит ума на хвост мошенникам сесть), когда можно этим же ресурсом сломать сотни простых юзеров.
Да, есть же утечки и т.д. - это минус, да. Чем чаще светишь свои реальные данные, тем выше вероятность их слива. Но на мой взгляд (наверняка специальные компании занимались подсчётом вероятность утечки данных) - вероятность, что утечёт нечто ценное - в пределах погрешности. Если, конечно, фотографии паспорта не грузить на все популярные файлообменники.
А то что данные передаются - об этом пишут в лицензионном соглашение и т.д. - это скорее вынужденная мера. Да, в некоторых случаях компании используют эту информацию для собственного обогащения, но это скорее паразиторование на существующей системе, чем целенаправленное выяснение скрытых тайн.
acsent1
07.02.2022 18:43А разве когда в этом самом зеленом банке открываешь счет не нужно подписывать соглашение об обработке ПД? Или есть принципиальная разница на бумаге или электронно
Swill
08.02.2022 12:58+1В принципе, можно было бы начать с электронных дневников, как с бюджетной и подотчетной организации. Дневники, как сервисы, периодически меняются в каждой школе. На запрос об отзыве ПД из дневника, которым школа больше не пользуется, максимум вы получите удивление и многомесячные попытки найти концы. Это если вам вообще ответят.
bungu
08.02.2022 13:58Я не понимаю почему закон о защите персональных данных прямо не запрещает передачу этих самых данных третим лицам? Есть например Яндекс-драйв, который собирает твои данных для своих нужд, но в соглашении указано
Яндекс также может передавать Персональную информацию третьим лицам, не входящим в Группу Яндекса, для достижения целей, указанных в разделе 5 настоящей политики
То есть ты подписываешься на то, что твои данные фактически могут оказаться абсолютно у кого угодно. И как этот закон защищает мои данные если одной строкой в соглашении их можно распространить среди неопределенного круга лиц?
PereslavlFoto
08.02.2022 14:02Давайте встанем на точку зрения авторов этого закона. Авторы отталкиваются от реально сложившейся практики. Оказалось, что все фирмы, которые собирают ПД, хотят не только обрабатывать их у себя — но и отдавать их на обработку своим подрядчикам. Они воспринимают ПД как сырьё.
Если в законе будет запрет на передачу ПД третьим лицам, тогда остаются два варианта. Либо фирмы начнут изо всех сил проталкивать отмену этого запрета. Либо фирмы начнут тихонько нарушать этот запрет. Потому что выполнять его — слишком дорого.
d7s2di
А обыватели по-прежнему твердят друг-другу: "да кому там нужны твои персональные данные..."
Lelant0s
Всё потому, что они (усилиями сборщиков данных разумеется!) не в курсе масштабов проблемы. Даже я (хорошо с ней знакомый) зашел на сайт tosdr.org, указанный в статье автора, и, увидев "Фейсбук собирает ваши данные, независимо от того - зарегистрированы вы или нет", такой - оппаньки... И напрягся.
А вы говорите "обыватели". Тут в первую очередь просветительской работы непочатый край.
d7s2di
>> Тут в первую очередь просветительской работы непочатый край.
Это верно. Только проблема не в том, что среднестатистический обыватель чего-то не знает. А в том, что и знать ничего не желает и всегда отдает предпочтение неосознанности и комфорту.
PereslavlFoto
А потом, узнав, начинает ожесточённо судиться и запрещать всё подряд.
Moskus
Если уточнить, то это одно из проявлений ситуации, когда изначальная наивность сталкивается с неожиданной реальностью, что вызывает ощущение преданного доверия и желание за это отомстить/наказать/запретить. Подобная цепочка - одна из основных причин поддержки обывателями разных форм тоталитаризма, потому что именно к нему ведёт стремление всё подряд запретить, зарегулировать, подвергнуть гос.контролю.