Всем привет.
Написание этой статьи продиктовано чтением вот этого материала. Ну и истории о Фёдоре Власове с его Kate Mobile тоже, но об этом — в конце.
А также случайным изучением логов соединений от рабочих компьютеров сотрудников в одном небольшом офисе.
Изучение показало, что сотрудники в рабочее время сидят на IP 185.203.72.22, что есть Служба Знакомств Мамба. Но речь пойдёт вовсе не о работоспособности сотрудников и рабочем времени. Речь пойдёт о соответствии Федеральным Законам.
Итак, Сайт Знакомств Мамба (mamba.ru) принадлежит ЗАО «МАМБА» с 2003 года. ЗАО «МАМБА» (ИНН 7714548885, КПП 770301001, ОГРН 1047796286020, ОКПО 72777958) зарегистрирована по адресу г.Москва, ул.Звенигородская 2-я, д.13, стр.42, помещение 1 этаж 4, 123022.
Эта скучная информация говорит о том, что mamba.ru полноценно попадает под действие Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) «О персональных данных». Кстати, по этому закону, «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)», так что номер телефона, указываемый при регистрации — уже персональная информация, даже если фото чужие и имя придуманное.
В настоящий момент mamba.ru имеет IP 185.203.72.22. Этот адрес принадлежит компании Variti International Gmbh, Denkmalstrasse 2, 6006, Luzern, Switzerland
Позвольте, что? То есть данные сайта знакомств хранятся в Швейцарии?
Но ведь согласно ст.18 п.5 Федерального закона, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Не спешите звонить в Роскомнадзор, на самом деле Variti International Gmbh не предоставляет хостинг, а осуществляет анти-DDOS-защиту. И данные хранятся на диапазоне 193.0.170.0 — 193.0.171.255, которые в России.
При этом, как сообщают швейцарцы, работают они так:
- Мы пропускаем весь входящий трафик защищаемого веб-сайта через распределённую сеть фильтрующих узлов VARITI.
- Мы анализируем трафик в реальном времени по нескольким характеристикам.
- Используя собственные математические алгоритмы, мы фильтруем трафик, обеспечивая запросы только от реальных пользователей.
- Все запросы классифицируются — от реальных пользователей или же от ботов.
- Мы разделяем трафик от одного IP (мобильный или беспроводной интернет, провайдеры с NAT, Wi-Fi открытого доступа).
- Подозрительные пользователи журналируются незаметно; расширенный анализ производится по поведенческим факторам.
- В случае регистрации атаки DDoS или угрозы автоматического сканирования, защита немедленно блокирует злонамеренный трафик (скорость реагирования менее 50 мс).
Я тут повыделял некоторые моменты, которые ну никак не обеспечивают сохранность персональных данных, сертифицирование в ФСБ и ФСТЭК средств шифрования и прочего.
Итого:
- Как это факту проверяется расположение хостинга? Любой whois, пинг да и что угодно по mamba.ru выдаёт именно швейцарский адрес. Роскомнадзор так тщательно отслеживает реальную работу и хостинг? Проверяет сервера доменных имён? Проверяет ответы серверов доменных имён? Отслеживает реальный трафик? Хммм...
- Как по факту проверяется слив информации при использовании анти-DDOS-служб, подобно приведённой выше?
- Недавно одного человека арестовали за то, что его сервисом пользовался педофил. Как поступят компетентные службы (ФСБ, МИД, ФСТЭК, МВД и т.д.) в отношении анти-DDOS-сервисов при аналогичной ситуации? Конкретно в примере, рассмотренном выше, я могу найти очень много действий, ответственность за которые предусматривается статьёй 241 УК РФ.
Заботится ли Федеральное законодательство о моих личных данных на самом деле?
P.S. В ходе написания статьи не один сотрудник из офиса за сидение на сайте знакомств не пострадал.
P.P.S. Спасибо уважаемому Sabubu — оказывается, можно звонить в Роскомнадзор и банить Мамбу:
Однако, по данным источников «whois» установлено, что услуги по предоставлению вычислительной мощности для размещения баз данных, содержащих персональные данные граждан Российской Федерации, посредством которых обеспечивается запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, постоянно подключенных к сети «Интернет»… осуществляется посредством серверных мощностей компании Cloudflare, Inc., расположенной на территории Соединенных Штатов Америки
К списку можно добавить ещё много других.
К сожалению, остальных ответов на свои вопросы я так и не нашёл.
Комментарии (49)
BoogieMan75
25.02.2019 18:21-2совсем съехали на теме ПД. Какие там данные, если половина баб там старше лет на 5 заявленного возраста?
gjf Автор
25.02.2019 18:33При регистрации необходимо указывать номер телефона. В РФ при покупке сим-карты предъявляется паспорт. Таким образом номер телефона = паспорт. И по определению ФЗ это является персональной информацией.
Вопрос немного в другом. Почему для одних компаний и случаев закон читается в одном понимании, а в отношении других — в другом?
Сейчас анкету заполнит несовершенолетка с целью проституции, с ней свяжется взрослый дядька и переспит. Это — прямое нарушение УК. Variti за это накажут, ведь в деле фигурировал их IP и «весь входящий трафик» проходил через них?
А почему тогда наказали Власова?BoogieMan75
25.02.2019 18:53+2Номер телефона никак не равно паспорт. Точнее, не так. Покажите каким образом зная номер телефона можно получить паспортные данные?
gjf Автор
25.02.2019 18:54-1«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»
Это не я придумал, это цитата ФЗ.
По такому определению номер телефона — это персональные данные.edogs
25.02.2019 19:15-3Это не я придумал, это цитата ФЗ.
В законе про номер телефона ничего не сказано. То что номер телефона подпадает под определение ПД это Ваш вывод, а не ФЗ. В юридической среде нет однозначного мнения о том, является ли телефонный номер сам по себе ПД или нет. Даже если забыть о чисто техническом нюансе — что не каждый телефон оформлен на конкретные фио.
По такому определению номер телефона — это персональные данные.gjf Автор
25.02.2019 19:19Ну вообще-то это не мои выводы.
И таких ещё много, ознакомьтесь.
Повторюсь, я не юрист, но я умею читать и пользоваться доступной информацией.edogs
25.02.2019 19:34Ну вообще-то это не мои выводы.
Здесь в топике — были Ваши, т.к. именно Вы от себя написали «По такому определению номер телефона — это персональные данные.»© Поймите правильно, мы не докапываемся, просто тематика требует очень формального и строгого подхода.
И таких ещё много, ознакомьтесь.
Конечно много, именно поэтому мы в предыдущем комментарии написали "в юридической среде нет однозначного мнения о том, является ли телефонный номер сам по себе ПД или нет"© Легко гуглятся противоположные мнения, а так же промежуточные (что в одном случае является, в другом нет).
Однозначный ответ может дать только решение ВС, к сожалению, мы о существовании такого не знаем. Если у Вас есть ссылка — поделитесь, это закроет вопрос.gjf Автор
25.02.2019 19:38ВС нет. Но есть апелляционное определение Тульского областного суда от 28 апреля 2015 г. по делу № 33-850. Согласно нему, признаются персональными данными ФИО, дата и место рождения, адрес регистрации и фактического проживания, рабочий и мобильный телефон, паспортные данные, сведения о работе и членах семьи.
edogs
25.02.2019 19:47Согласно нему, признаются персональными данными
Согласно нему — нет, не признаются.
Вот ссылка на решение sudact.ru/regular/doc/WiziwJNrvRJM
Там нет слов как Вы говорите
признаются персональными данными ФИО, дата и место рождения, адрес регистрации и фактического проживания, рабочий и мобильный телефон, паспортные данные, сведения о работе и членах семьи.
Давайте не изменять цитаты, ок?
На самом деле в решении написано
В данной заявке истец указал свои персональные данные, включая фамилию, имя и отчество, дату и место рождения, адреса мест регистрации и фактического проживания, номера рабочего и мобильного телефонов и номер паспорта, а также дату его выдачи и наименования органа, выдавшего паспорт, сведения о работе, сведения о супруге и сыне и датах их рождения.
Если будет проще понять по аналогии, возьмите две фразы
а) Любой автомобиль признается средством к существованию.
и
б) Истец указал средства свои средства к существованию, включая автомобиль.
Очевидно, что из второго не следует первое никак вообще.
И если уж на то пошло, то несложно нагуглить, что ИП адрес тоже по мнению некоторых юристов является персональными данными. В общественных местах идентифицируетесь по телефону, дома договор оформлен на конкретные фио. С такой логикой получается что ИП тоже хранить нельзя и всех кто их хранит можно сажать, так?
Более того (дописка после редактирования)
Вы там выше даете ссылку на пост habr.com/en/post/433714 (можно звонить и банить мамбу), но в этой же ссылке (цитируем)
при изучении официального сайта РКН можно найти комментарии, где говорится, что ФИО, номер телефона или email могут не являться персональными данными
Номер телефона с точки зрения РКН не является ПД:
gjf Автор
25.02.2019 19:53Повторюсь, я не юрист, я пользуюсь доступной информацией.
Указанный прецедент я нашёл здесь.edogs
25.02.2019 20:02Повторюсь, я не юрист, я пользуюсь доступной информацией.
То что Вы не юрист, это не значит что доступную информацию допустимо искажать и не перепроверять. Особенно если рассуждаете на юридические темы.
Указанный прецедент я нашёл здесь.
Вы привели цитату
признаются персональными данными ФИО, дата и место рождения, адрес регистрации и фактического проживания, рабочий и мобильный телефон, паспортные данные, сведения о работе и членах семьи.
Но по указанной ссылке такой цитаты нет.
Самое близкое что там есть, это
анкетные данные, указанные в заявлении на получение потребительского кредита (ФИО, дата и место рождения, адрес регистрации и фактического проживания, рабочий и мобильный телефон, паспортные данные, сведения о работе и членах семьи) [13]
А теперь вопрос — куда делась при цитировании Вами та важная информация, что это относится к "анкетным данным указанным в заявление на получение потребительского кредита"?
Хорошо, Вы не пошли перепроверять в источнике (мы его привели Вам выше), который опять же показывает неточность даже на том сайте, но зачем был при цитировании с того сайта удалять такую важную часть?
p.s.: Ссылка на решение суда там выглядит как «file:///C:/Users/Vasileva/AppData/Local/Microsoft/Windows/Temporary%20Internet%20Files/Content.Outlook/A7HIEYG2/Жердина Двенадцатова_Защита персональных данных_первые итоги и перспективы судебных дел_11.2017.docx#_ftn13», как думаете, «Васильева» в данном случае это ПД или нет?:)gjf Автор
25.02.2019 20:44-1Я хоть и не юрист, но с Вами чувствую себя как на перекрёстном допросе :)
Чего Вы так завелись?
ОК, забудьте про номер телефона: я вот прямо сейчас создам анкету на Мамбе с указанием своего города, настоящего имени и приложу настоящие фотографии. Они — персональная информация? Они — должны защищаться законом?
Ну вот и закроем тему.edogs
25.02.2019 21:05+1ОК, забудьте про номер телефона:
Э, так это единственное что вызвало наше возражение. Именно утверждение про то, что номер телефона сам по себе исходя из ФЗ является ПД.
По остальным вопросам статьи все слишком неоднозначно, что бы мы могли аргументированно дискутировать.
foxyrus
25.02.2019 20:40+1Впрочем, на вопрос ответчика о том, какие именно сведения о незарегистрированных пользователях туда входят, представитель ведомства сначала не нашел ответа, а после настойчивого повторения вопроса все же перечислил, что сайт сохраняет IP-адреса устройств, их модели и файлы cookies. «Но эти данные не являются персональными!» — эмоционально отреагировал юрист компании LinkedIn. «Это ваше мнение»,— кратко изрек представитель госоргана в ответ.
… Выслушав все доводы сторон, Мосгорсуд поддержал сторону Роскомнадзора, полностью отклонив апелляционную жалобу представителей LinkedIn
rkn.gov.ru/press/publications/news41531.htm
Александр Жаров (глава Роскомнадзора) сообщил про персональные данные следующее: “Это набор информации, позволяющий безошибочно идентифицировать вас как личность. Либо, если ваша личность уже определена, безошибочно отнести требуемые данные именно к вам. Например, фотография, ФИО, номер телефона и адрес электронной почты позволяют идентифицировать человека достаточно точно. А фотография и имя «Оля» персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных.”
lenta.ru/articles/2015/09/01/personaldatagjf Автор
25.02.2019 20:45+1Ну в совокупности: номер телефона при регистрации, фото, имя, город и прочее — это разве не об этом?
edogs
25.02.2019 20:45Сюда же в копилку
26.rkn.gov.ru/p8926/p10713
номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.
foxyrus
25.02.2019 21:57И это
Роскомнадзор не нашёл нарушений прав пользователей в возможной утечке данных клиентов «Акадо»
vc.ru/legal/56116-roskomnadzor-ne-nashel-narusheniy-prav-polzovateley-v-vozmozhnoy-utechke-dannyh-klientov-akado
pvp
26.02.2019 13:38Жаров, как всегда, несет херню. «Безошибочно идентифицировать» — нет такого критерия в законе.
pvp
27.02.2019 12:18Жаров, как всегда, бредит. В законе нет такого критерия, про «безошибочно идентифицировать». Там к ПД отнесены даже те данные, которые «косвенно относятся» к кому-то. И не только к «определенному», но и к «определяемому» лицу, т.е., этих данных может быть недостаточно для полной идентификации.
Ну и если вы посмотрите на практику применения закона о ПД, то легко увидите, что критерий Жарова о «безошибочном определении» там не применяется весьма часто.
AlexanderS
25.02.2019 20:42+1В законе про номер телефона ничего не сказано.
Но в законе сказано: «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Номер телефона = «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Я не юрист. Но что не так-то?)
Sabubu
25.02.2019 22:29+1Давайте я вам для начала процитирую решение суда по делу о сайте "умного голосования" (а именно суд занимается толкованием смысла закона в случае противоречий):
Представитель истца отмечает и то, что ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных, в Политике конфиденциальности интернет-ресурса https://2019.vote/ об использовании сервисов при обработке персональных данных, сведений не содержится, что также является нарушением ФЗ № 152.
Мне кажется, тут двойного толкования выделенной части текста быть не может. Можно придраться разве что к "представитель истца утверждает", но зачем тогда это включать в раздел "суд установил"?
Там вообще много интересных мест, например:
Вместе с тем, на интернет – ресурсе https://2019.vote/ при проставлении знака «V» о согласии на обработку персональных данных, субъекту персональных данных не предоставляется информация относительно оператора, обрабатывающего персональные данные субъектов персональных данных, сроков хранения персональных данных, перечне обрабатываемых персональных данных, а также целях обработки персональных данных.
Я думаю, что каждый может вспомнить немало случаев, когда такие сведения не предоставляются.
По моему личному, не-юридическому мнению, закон написан довольно бредово и во многих местах не позволяет однозначного толкования. То же определение "персональных данных":
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Допустим, у нас есть информация: "номер телефона +71234567". Это ПД или нет? С одной стороны, это "любая информация", которая относится к косвенно определяемому лицу — абоненту ОПСОС. Трудно это отрицать. С другой стороны, тут номер телефона указывает на лицо, а в законе, думаю, имелось в виду, что отдельно должна быть информация, а отдельно указатель для привязки этой информации к лицу. Само по себе упоминание, что есть такой номер телефона, трудно назвать ПД с житейской точки зрения.
Возьмем тогда другую информацию, "пользователь с адреса 1.2.3.4 при регистрации указал номер телефона +71234567". Номер телефона здесь определяет лицо, а 1.2.3.4 можно назвать "любой информацией". Или наоборот. Подходит под определение?
Или возьмем информацию, "пользователь с адресом 1.2.3.4 в 12:00 посетил страницу сайта porn.example.com". Что тут?
Или такую, "пользователь с кукой xyzzzz12345 посетил в 12:00 сайт porn.example.com, а до этого в 11:55 зашел на news.example.com".
Обратите также внимание на фразу "прямо или косвенно определенному или определяемому". Как это трактовать?
1) если вы сотрудник ФСБ, то для вас телефон или IP-адрес вполне может позволить определить лицо, которое им пользовалось.
2) если вы обычный человек, то вам в принципе и номер паспорта ничего не скажет и для вас он не будет являться ПД.
3) наконец это можно понимать как "определяемое оператором ПД лицо". Тогда тоже большинство данных будут не персональными. У меня есть ваш номер паспорта, дата выдачи, IP адрес и телефон, но я про вас ничего не знаю и не могу связать это с конкретным лицом.
Я бы это понимал так: "определяемое" — значит определяемое любыми доступными любому человеку средствами. То есть, информация в связке с номером телефона или IP адресом является ПД.
Можно оценить по этому закону уровень наших уважаемых законодателей. GDPR содержит определение похожей степени размытости, но с пояснением (это пояснение не имеет силы на территории РФ):
‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
Наконец, есть еще точка зрения РКН (она тоже не имеет юридической силы):
К общим персональным данным относят фамилию, имя, отчество, дату рождения, место регистрации, паспортные данные, сведения об образовании, иные данные, то есть любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В законе много и других размытых мест, оцените часть 1 ст. 18.1:
Оператор обязан принимать меры,… для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер,… К таким мерам могут, в частности, относиться:
Зачем писать, что может в частности, относиться к "таким мерам"? Непонятно.
Наконец, я нашел еще интересную штуку — постановление Правительства 1119 с заголовком "ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ". Эта штука по размытости оставит далеко позади размытие по Гауссу. К сожалению, размытость ст. 19 закона 152-ФЗ не позволяет мне понять, относится ли это постановление к госорганам или ко всем организациям вообще? Ощущение, что ко всем. А там есть такие интересные пункты:
4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
Если вы обрабатываете ПД и используете средства защиты (антивирус? программу шифрования диска? модуль шифрования данных в БД?), получается, вы должны соблюдать требования ФСБ.
5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
Очевидно, что в той же сети Вконтакте есть и политические, и религиозные взгляды в профиле. А значит, в ней "специальные ПД" и повышенные требования к оператору ПД.
15. Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Определения, что считать "журналом сообщений", нету. Это видимо логи имеются в виду?
Loreweil
26.02.2019 02:39В 2015 РКН выпустила «научно-практический комментарий» к 152-ФЗ
Там они в том числе попытались разъяснить определение персональных данныхВ настоящее время наибольшую дискуссию вызывает понятие персональных данных. В связи с этим Роскомнадзором в рамках Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных было предложено создать рабочую группу по определению матрицы персональных данных. В соответствии с п. 1 комментируемой статьи персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Данное определение практически идентично определению, установленному пп. «а» ст. 2 Конвенции 1981 года, согласно которому персональные данные означают любую информацию об определенном или поддающемся определению физическом лице («субъект данных»). В то же время с точки зрения принципов права, действующих в российской правовой системе, можно усомниться в формальной определенности понятия «персональные данные».
При буквальном толковании (применяемом в правоприменительной практике «по умолчанию») рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте. В частности, в нем нет указания на связь между информацией и прямой или косвенной определенностью или «определяемостью» физического лица. Соответственно, отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные будут относиться к персональным, а в каких — нет.
Вместе с тем рабочей группой были высказаны сомнения относительно возможности сформулировать адекватное определение, имеющее менее общий характер.
В целом члены рабочей группы согласны в том, что если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность.
При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. Изложенный подход допустимо рассматривать как учитывающий баланс интересов всех участников отношений.
По результатам анализа российской судебной практики за 2014 год можно выделить следующие характерные примеры персональных данных, нашедшие прямое отражение в текстах правоприменительных актов:
- паспортные данные (см. например, апелляционное определение Московского городского суда от 22.05.2014 № 33-14709);
- данные технического паспорта на дом (см., например, определение Приморского краевого суда от 28.04.2014 № 33-3718);
- адреса места жительства индивидуальных предпринимателей, указанные в плане проведения проверок юридических лиц и индивидуальных предпринимателей, размещенном в общем доступе на официальном сайте администрации (см., например, апелляционное определение Волгоградского областного суда от 24.04.2014 № 33-4427/2014);
- сведения о пересечении государственной границы (см., например, апелляционное определение Московского городского суда от 10.04.2014 № 33-11688);
- адрес регистрации должностного лица, сведения о его доходах и собственности, распространяемые в непредусмотренных для официальной процедуры форме (см., например, определение Санкт-Петербургского городского суда от 31.03.2014 № 33-4198/14);
- данные работника, указанные в трудовом договоре (см., например, апелляционное определение Верховного суда Республики Саха (Якутия) от 23.10.2013 № 33-4172/13).
Членами рабочей группы были представлены также отдельные примеры, основанные на опыте работы с персональными данными. В частности, к числу идентификаторов (данных, позволяющих однозначно
идентифицировать физическое лицо), которые сами по себе однозначно определяют физическое лицо, могут быть отнесены: номер и серия паспорта; страховой номер индивидуального лицевого счета; идентификационный номер налогоплательщика; биометрические данные; банковский счет, номер банковской карты.
Приоритет при этом следует отдавать идентификаторам, присваиваемым государством, однако остается открытым вопрос о том, что может являться персональными данными — сам идентификатор,
идентификатор и информация о том, что это именно идентификатор, а не набор цифр, имеющий какое-либо иное значение. Кроме этого, следующие данные также можно рассматривать как персональные, несмотря на то, что в их отношении остается некоторый аспект вероятного совпадения:
- фамилия, имя, отчество, дата рождения, место прописки;
- фамилия, имя, отчество, дата рождения, должность;
- фамилия, имя, отчество (возможно, фамилия и инициалы) плюс любая информация, выделяющая субъекта из уже ограниченного круга лиц.
Например, житель дома А.А. Иванов имеет такие-то долги. Скорее всего, подобное объявление в подъезде однозначно идентифицирует субъекта, по меньшей мере, для жителей этого дома. Пока, однако, неясно, как точно дать определение ограниченного круга лиц, потому что «жители Москвы» — тоже ограниченный круг лиц, а житель Москвы А.А. Иванов — это уже не конкретный субъект (вместе с тем пример с «жителем дома А.А. Ивановым» подтверждается судебной практикой).
Членами рабочей группы также были представлены отдельные примеры, основанные на опыте работы с персональными данными. Так, к числу данных, которые не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения. Другие идентификаторы сами по себе не определяют однозначно конкретное физическое лицо. Такие данные должны быть отнесены к персональным данным только в том случае, если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо.pvp
27.02.2019 12:24+1«к числу данных, которые не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения.»
Причина такого фигурного толкования очень проста. Закон о ПД причисляет к «персональным» кучу данных, «выходящих за рамки разумно ожидаемых». Поэтому «толкователям» из РКН нужно сократить сферу регулирования до той, которую они могут проглотить. Особенно прикольно в этом перечислении «данных, которые не могут рассматриваться» выглядит последовательность «фамилия, имя, отчество», которая в тексте закона прямо причислена к «персданным». Толкователи из РКН просто забыли закон почитать прежде чем давать советы космического масштаба.
dollar
25.02.2019 18:38Хм, а где вы нашли утечку персональных данных? Если организация, какая угодно, тихо сливает данные, то это не проверить. Нужны доказательства. Например, открытая дыра, которой может воспользоваться любой желающий.
И где несертифицированные средства шифрования? Трафик идёт по HTTPS. Variti походу анализирует уже расшифрованный трафик какими-то своими алгоритмами, уже не имеющими отношения к шифрованию. Цель алгоритмов — выявить ботов по каким-то признакам. По сути про человека известно только то, что он человек. Остальное нужно доказывать и проверять.
РКН вроде бы работает так: проверяет сайты 1) по своему желанию 2) по запросу. То есть если где-то какой-то сайт что-то нарушает и никто не возмущается, то проблем нет.
P.S. Такое ощущение, что вы хотите ввода белых список сайтов и белых списков алгоритмов, которые можно использовать. Тогда и правда будет тотальный контроль. Надеюсь, этого не будет.gjf Автор
25.02.2019 18:41Я вижу следующее:
1. Использование собственных несертифицированных алгоритмов.
2. Полный доступ к персональным данным.
Вы сейчас нападаете не на того — я не защищаю ФЗ, я не защищаю Роскомнадзор, я пытаюсь показать, что существующая модель — тупо карательная, не имеющая ни смысла ни логики.
Такие законы можно применить «под заказ», а если подходить к ним в том смысле, в каком они звучат — ну да, это блокировать большую часть интернета.
Ещё раз: почему нормы федеральных законов и законов вообще выполняются избирательно?dollar
25.02.2019 18:56Погодите. Откуда у анти-DDOS-службы полный доступ к персональным данным сайта? Они же просто входящий трафик смотрят. Они не извлекают оттуда ПД, а по косвенным признакам смотрят: бот или человек. Иначе можно было бы просто зайти в кафе с WiFi, подключиться к незащищенному сайту, ввести свои ПД, а потом засудить это кафе за хранение и передачу ПД посредством точки доступа. Или, скажем, я дам вам клочок бумаги со своим телефоном — и как только вы дотронетесь, сразу обвиню в хранении ПД и потребую компенсацию, иначе через суд. Есть же предел разумного.
Про алгоритмы всё ещё не ясно. Они используют своё шифрование или что? Из статьи не ясно, из вашего коммента — тоже. Если да, то в каком месте и зачем анти-DDOS-службе нужен свой алгоритм шифрования?
P.S. Я не нападаю. Про карательную модель согласен, но она такой и задумывалась вроде бы.gjf Автор
25.02.2019 19:03Почитайте исходные ссылки в первом предложении этой статьи.
Карательная модель, которая может быть истолкована в удобном виде («казнить нельзя помиловать») — есть тоталитаризм и беззаконие. Ну это так, шутки ради.
NobleDonOko
25.02.2019 21:52Попробуем разобраться…
1. Для защиты ПДн (не пишите «ПД» — в контексте безопасности это совсем другая тема) применять надо отечественные алгоритмы шифрования, реализованные в программных или программно-аппаратных комплексах с соответствующим сертификатом под соответствующий класс криптозащиты по линии ФСБ РФ. Как думаете, используют их авторы mamba.ru? А швейцарцы? В этом суть дилеммы…
2. Пример с кафе, imho, неудачный. Вы сознательно толкаете владельца WiFi-точки к нарушению закона, фабрикуя ситуацию. Да и нарушением закона такую ситуацию назвать сложно. Потому что владелец WiFi выступает все же не как Оператор ИСПДн, а как посредник и, в некотором роде, оператор связи. Другие законы, другие статьи…
3. Пример про клочок бумаги тоже неуместен. Если вы передали сами, вы же в первую голову и несете за это ответственность. +, как было сказано выше, номер телефона (да, собственно, и данные паспорта) в «чистом виде» ПДн не являются…
ЗЫ Вот меткому комментарию тов. BoogieMan75 про возраст особ женского пола аплодирую стоя. Поди отдели еще плевла от зерен, сиречь, ПДн от мусора и фантазий на любом сайте знакомств. Прецедент нужен, так, чтобы реальный ущерб. А до тех пор — это все бессмысленное сотрясение воздуха, что по логике, что по закону, imho…
dss_kalika
25.02.2019 18:47+1Разве данные о месте хранения не должны предоставляться по запросу ответчиком, а не попытками сделать это автоматически?
Sabubu
25.02.2019 19:24+2Как это факту проверяется расположение хостинга?
В истории с сайтом умного голосования проверяли по стране в whois:
Однако, по данным источников «whois» установлено, что услуги по предоставлению вычислительной мощности для размещения баз данных, содержащих персональные данные граждан Российской Федерации, посредством которых обеспечивается запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, постоянно подключенных к сети «Интернет»… осуществляется посредством серверных мощностей компании Cloudflare, Inc., расположенной на территории Соединенных Штатов Америки
dartraiden
25.02.2019 19:28+4Возможно, я ошибаюсь, но в законе ничего не сказано, что персональные данные россиян должны находится только в России? То есть ситуация «обработка ведётся на территории России, а копия уходит за границу» — вполне допускается законодительством.
Если так, то чем ситуация «мои данные находятся и в России, и зарубежом» для пользователя лучше, чем «мои данные находятся только зарубежом»? По-моему, второй вариант, наоборот, лучше. И следом встаёт вопрос: этот закон точно защищает персональные данные граждан (хоть убейте, не вижу как), или он принят в интересах силовых структур?gjf Автор
25.02.2019 19:32+1согласно ст.18 п.5 Федерального закона, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
dartraiden
25.02.2019 19:37+2Вот, значит, я был прав. Слова «только» там нет. То есть, закон в явном виде не запрещает делать это параллельно и за пределами территории Российской Федерации.
gjf Автор
25.02.2019 19:42Уважаемый Sabubu привёл очень интересную ссылку. Судя по этой информации, «параллельность» — не аргумент.
Понятно, что в ряде случаев, но всё же.dartraiden
25.02.2019 19:44+2Ну, натянуть сову на глобус, если очень надо, РКН может, да. Как, скажем, в случае блокировок сторонних прокси Телеграма пачками, на что у них нет никаких законных оснований.
Но Мамба это друг, а, как известно, друзьям всё, аНавальномуврагам закон.
zvirusz
25.02.2019 19:45+1В настоящий момент mamba.ru имеет IP 185.203.72.22. Этот адрес принадлежит компании Variti International Gmbh, Denkmalstrasse 2, 6006, Luzern, Switzerland
Позвольте, что? То есть данные сайта знакомств хранятся в Швейцарии?
Исходя из чего вы сделали выводы, что данные хранятся в Швейцарии? Это не более, чем IP-адрес вэб-сервера, который ничего не говорит о расположении хранилища данных.gjf Автор
25.02.2019 19:54+1Вы вообще статью прочитали до того, как комментарий написали? Дочитайте до конца, пожалуйста.
zvirusz
25.02.2019 20:07Я дочитал, спасибо, что беспокоитесь :) Я по-прежнему считаю, что вы не можете утверждать, где именно хранятся данные, если вы не сотрудник мамбы, конечно.
Мы же здесь не на тренинге роскомнадзора, всё-таки.jasta
26.02.2019 10:51Полагаю, речь всё же об этом в первую очередь:
… на самом деле Variti International Gmbh не предоставляет хостинг, а осуществляет анти-DDOS-защиту. И данные хранятся на диапазоне 193.0.170.0 — 193.0.171.255, которые в России.
После чего идёт краткое описание принципа работы данного сервиса, т.е. суть сводится к факту наличия посредника, взаимодействующего с передаваемыми данными, непонятностью способов их обработки/накопления и итоговому вопросу:
Заботится ли Федеральное законодательство о моих личных данных на самом деле?
Temych
26.02.2019 13:04+1К слову, напомню (или расскажу новое, если кто-то не знал), что сервисы знакомств mamba.ru/wamba.com ещё с 2014 года внесены в реестр ОРИ (организаторов распространения информации) с обязанностью хранить и предоставлять все сведения о действиях и взаимодействиях пользователей, включая внутреннюю переписку, российским спецслужбам по их запросу. Внесены, что характерно, одними из первых, под №3.
BalinTomsk
26.02.2019 20:18+1Microsoft и IBM странно трактуют этот закон.
кто в курсе, отчего такое? решил я попробовать не на вакансии откликаться (ибо толку ноль), а через друзей, чтобы они меня засаджестили в хр отдел. но им отказали, написали вот такое:
rsdn.org/forum/abroad/7382732.1
Due to Russian Data Privacy regulations, employees are not able to refer Russian residents. However, an employee in Russia may refer non-Russian residents that meet the above eligibility requirements
подозреваю, что все из-за санкций. но может и нет…
piton-vas
26.02.2019 23:29В это же время проект одного персонажа блокируют за то, что использовали гугл-аналитику на сайте.
vilgeforce
О чем речь, если в свое время генеральная прокуратура осуществляла деятельность, связанную с обработкой ПД, с нарушениями законов? Государственных структур, делающих также прямо в этот момент — вагон и маленькая тележка
tyomitch
От того, что (бредовый) закон нарушается каждым первым, включая генпрокуратуру — нарушение закона перестаёт быть нарушением закона?
vilgeforce
Вы кому-то не тому отвечаете :-)