Регуляторы разных стран дают собственный ответ на этот вопрос. Свою точку зрения имеют даже отдельные штаты. Обсудим, как обстоят дела в США и Европе.
Сколько штатов, столько мнений
Еще пятнадцать лет назад было известно, что американские интернет-провайдеры продают пользовательские логи. И хотя данные были анонимизированы, этот факт вызвал возмущение среди специалистов по информационной безопасности.
Опасения были вполне справедливы, так как примерно в то же время произошла утечка базы поисковых запросов у одного из крупнейших телекомов. Вопрос долгое время находился в серой зоне. И в 2016 году Федеральная комиссия по связи США (FCC) ввела новое правило — провайдеров обязали получать от клиентов разрешение на сбор и использование личной информации. Однако подход не оказал серьезного влияния на общую картину. В итоге спустя всего год Конгресс отменил постановление и позволил штатам самостоятельно вводить ограничения на своей территории.
Сегодня в большинстве штатов этот вопрос не регулируется, и провайдерам не нужно получать согласие на сбор и продажу информации о клиентах. Но в 2019 году руководство Мэн все же приняло закон, запрещающий телекомам использовать, продавать или предоставлять доступ к личной информации абонентов без их разрешения.
Представители общественных организаций и пользователи в большинстве своем тепло встретили это решение. Некоторые даже посчитали новый закон недостаточно строгим. Резиденты Hacker News предложили обязать провайдеров получать согласие каждый раз, когда третья сторона хочет получить доступ к ПДн. Хотя такая практика, скорее всего, быстро превратится в очередное прокликивание окошек с «куками».
Но вот отраслевые ассоциации, защищающие права интернет-провайдеров, оспорили новый закон в суде. Юристы посчитали его антиконституционным и нарушающим свободу слова — новая норма таргетирует исключительно телекомов и не ограничивает в правах другие компании, предлагающие интернет-услуги (в частности, поисковые движки и социальные сети). Эксперты также отметили, что из текста документа непонятно, кто и как будет следить за исполнением новых требований и какие штрафы предусмотрены.
Разбирательство шло порядка двух лет, но в начале сентября коалиция провайдеров отозвала иск. Они решили не тратить ресурсы на борьбу с одним штатом, примеру которого никто не последовал. Однако нельзя исключать вероятность, что другие просто ожидали необходимую правовую оценку. Возможно, аналогичные законы начнут появляться и в других юрисдикциях — они уже работают в Неваде и Миннесоте.
К обсуждению этого вопроса вернулись на федеральном уровне. В Конгрессе готовят законопроект по контролю процесса продажи персональных данных компаниями, работа которых связана с интернетом. Насколько эффективным окажется новый свод правил, еще предстоит увидеть. Есть мнение, что первым делом необходимо привести в порядок ситуацию с брокерами данных, выступающими основными покупателями данных абонентов интернет-провайдеров. Их работа до сих пор находится в серой зоне.
Опыт ЕС
Что касается Европы, то здесь провайдеры не имеют права продавать данные без получения явного согласия — этого требует GDPR. Однако ПДн среднестатистического европейца все равно переходят «из рук в руки» почти 400 раз в день.
Хотя в скором времени ситуация может начать меняться — регуляторы ужесточают контроль и выписывают многомиллионные штрафы интернет-провайдерам. Так, немецкий телеком должен оплатить 9,6 млн евро за недостаточно эффективную защиту данных клиентов. И суммы станут еще больше — в начале сентября была пересмотрена методология расчета санкционных сумм. Также остается открытым вопрос хранения и передачи ПДн правоохранителям. Подобный закон действует во Франции и Бельгии. В Великобритании (не является частью Евросоюза) полицейские могут в любой момент проверить серверы, к которым подключался тот или иной пользователь.
Общественные организации выступают против такой практики. Европейский суд — высшая инстанция Суда Европейского союза — вообще признал её нарушающей права человека. Но государства относятся к этому постановлению как к рекомендации и не спешат менять законодательство.
О чем еще мы пишем в блоге на Хабре:
И в корпоративном блоге VAS Experts:
Комментарии (3)
Enverest
20.09.2022 00:25Хорошо бы «окошко с куками» и подобные запросы решались бы на уровне браузера. При первом запросе сделал выбор и он запоминается для всех сайтов. Для этого конечно придётся этот процесс стандартизировать.
Аналогично одно время многие сайты назойливо просили включить пуш-уведомления для рассылки, теперь такой проблемы, по-моему, нет.
lexore
Нужно учитывать, что 15 лет назад HTTPS был не так распространен, как сейчас. Тогда можно было видеть запросы пользователей в текстовом виде (plain text). А сейчас запросы идут по зашифрованным соединениям. Максимум, что можно увидеть - к каким доменам обращается пользователь.
funca
Этого достаточно, собрать статисту посещений сайтов и некоторые поведенческие характеристики. Возможность ловить хендшейки https позволяет с высокой вероятностью определить операционную систему и даже версию браузера. Там же трекинг сессий. За кадром - расходы на интернет, любимые каналы и т.п.