28 июня 2018
О персональных данных. Или как у них и что у нас?
Внештатные материалы
Содержание
- Введение
- Что говорит закон
У них – США и Европа
У нас — Россия - Персональные данные и правоохранительные органы
У них – США и Европа
У нас — Россия - Заключение
Введение
Заметка Эльдара о том, что Европейские законы запрещают делать фото людей на улицах, вызвала серьёзные споры в комментариях. Предлагаю разобраться, что это за зверь такой «персональные данные», как их хранят и пользуются ими в Евросоюзе, США и России, можно ли их передавать кому-то или куда-то еще, например, в другую страну. Не хочу, чтобы у нас получилось заседание кружка любителей сравнительного правоведения, поэтому буду стараться объяснить всё доступно, как говорится, на пальцах, и сознательно некоторые вещи буду упрощать.
Действия человека в Интернете оставляют множество следов. «Ушлые компании» их собирают, накапливают, анализируют и затем продают всем желающим в обезличенном виде. Являются ли это персональными данными? Давайте разбираться.
Что говорит закон
Для начала определимся, что закон/законы различают общую обработку персональных данных и таковую, но осуществляемую компетентными органами в интересах безопасности (на самом деле там длинное и более точное название, интересующимся предлагаю посмотреть, например, директиву ЕС 2016/680).
Предлагаю начать с общей обработки персональных данных.
У них – США и Европа
В США все просто и сложно одновременно. Там нет единого закона, регулирующего обработку персональных данных, нет единого определения персональных данных и т.д. В каждой сфере свой нормативный акт и свое определение. В них, конечно же, куча нюансов, просто так не разобраться. Например, закон о неприкосновенности частной жизни 1974 года запрещает служащим федеральных органов раскрывать содержание информации о гражданах частного характера без их письменного согласия. Закон Грэмма – Лича – Блайли 1999 года среди прочего регулирует защиту «частной персональной информации» банками, страховыми и иными компаниями в финансовой сфере. Упрощенно можно сказать, что основным принципом работы с персональными данными является недопустимость их использования для дискриминации на основе критериев расы, пола, вероисповедания, возраста и т.д.
Разрешается трансграничная передача персональных данных, то есть их передача в другую страну при наличии соответствующего соглашения. По каждому обращению из-за границы принимается отдельное решение на передачу (или отказ в передаче). Такой договор у США есть, например, с Евросоюзом, но он почему-то применяется в основном в обратную сторону, из ЕС в США.
В Евросоюзе, на всей его территории, действует упомянутый Эльдаром регламент GDPR (General data protection regulation 2016/679). Его требования распространяются только на юридических лиц. Он установил единые правила, регулирующие обработку персональных данных, во всех странах ЕС.
В этом нормативном акте под персональными данными понимаются любая информация, которая позволяет идентифицировать физическое лицо прямо или косвенно. В регламенте подробно расписан порядок обработки персональных данных, организация этой работы и т.д. Нам, по идее, от него должно быть ни холодно ни жарко, ведь это требования к тем, кто живет и работает в Европе. Но действие этого правового акта распространяется за пределы Евросоюза, если обработка персональных данных связана с предложением товаров и услуг жителям ЕС или с мониторингом их действий/поведения. То есть любые Интернет-магазины, работающие для европейцев, или компании, предлагающие, например, персонифицированую рекламу в ЕС, должны озаботиться тем, чтобы привести свою деятельность в соответствие с этими нормами, а значит понести определенные расходы.
По новому регламенту компании, которые занимаются обработкой персональных данных, должны будут сообщать о случаях неправомерного доступа к данным. Кроме того, вводятся серьезная ответственность (штрафы с многими нулями или в процентах от выручки за предшествующий финансовый год) за нарушение требований этого нормативного акта.
Вы, наверное, заметили, что в последнее время многие сервисы обновили политики безопасности, в которые входят и условия обработки персональных данных. Мне, например, с середины мая в почтовый ящик зачастили такого рода письма. Это компании готовились к вступлению в силу регламента Евросоюза GDPR с 25 мая 2018 г., а также получали обязательное согласие на обработку персональных данных.
В Европе, как я уже упоминал выше, разрешена трансграничная передача персональных данных. Под этим термином в данном случае понимается их передача за пределы границ ЕС, так как внутри Евросоюза действует принцип свободного перемещения персональных данных. Критерии очень похожи на таковые в США – наличие соглашения, соблюдение определённых требований и решение по каждому конкретному случаю.
У нас — Россия
В России действует Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями). Его требования распространяются на юридических и физических лиц Российской Федерации, которые осуществляют обработку персональных данных граждан нашей страны (именно граждан России, а не любых жителей Земли). Персональные данные определяются примерно так же, как и в ЕС – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Штрафы не такие большие, как в Европе и исчисляются максимум несколькими десятками тысяч рублей. Но в российском законодательстве есть своя особенность под названием локализация персональных данных. Это означает, что персональные данные (если можно так выразиться, их оригиналы) должны храниться на территории нашей страны, а рабочая копия может быть где угодно.
Трансграничная передача персональных данных разрешена, но условия не такие жесткие. Специального соглашения не требуется, необходимо лишь выполнение определенных условий. Решение о передаче принимает лицо, обрабатывающее персональные данные.
Персональные данные и правоохранительные органы
У них – США и Европа
Теперь предлагаю рассмотреть особенности доступа к персональным данным и их передачи компетентными органами в интересах безопасности.
В Европе, как я уже упоминал, с 6 мая 2018 г. действует директива 2016/680. Она вводит единые для всех стран-членов требования к защите персональных данных в указанной сфере. В ЕС рассчитывают, что унификация позволит заметно сократить материальные и временные затраты на обработку информации. Новые правила будут распространяться на обмен персональными данными на национальном, трансграничном и международном уровнях. Передача такой информации за границу может осуществляться только на основании решения Еврокомиссии об «адекватности уровня защиты персональных данных» в третьей стране или международной организации либо при наличии соглашения между странами.
«Адекватность» уровня защиты персональных данных будет определять Еврокомиссия. По сути это проверка на соответствие норм в третьей стране законодательной и административной практике Евросоюза. Наиболее сложным моментом в реализации директивы оказалась адаптация IT-систем к выполнению функций регистрации и хранения учетных данных о фактах доступа к персональным данным. Большинство стран-членов уже заявили, что смогут завершить установку соответствующего оборудования только к 2026 году.
Соединенные Штаты пошли еще дальше. У них в марте 2018 года был принят закон об уточнении правомерности использования хранящихся за рубежом данных, так называемый CLOUD Act (Clarifying Lawful Overseas Use of Data Act), который фактически ликвидирует существующие механизмы защиты данных, хранящихся за рубежом.
Что это значит? Закон позволяет правоохранительным органам США запрашивать у американских IT-компаний хранящиеся у них данные американских граждан вне зависимости от того, где эта информация физически находится, а поставщики услуг электронной связи обязаны передавать эти данные уполномоченным органам. Учитывая, что многие глобальные IT-компании находятся в юрисдикции США, американские власти получают доступ к переписке, метаданным и учетным записям пользователей всего мира.
Например, полиция США может обязать Google или Facebook предоставить персональные данные пользователей, даже если они хранятся в Европе. Ранее правоохранительные органы могли требовать у компаний только те данные, которые находятся на территории США.
В случае необходимости получения информации из другой страны, в действие вступала система договоров о взаимной правовой помощи (Mutual Legal Assistance Treaties, MLAT). Она довольно громоздкая и сложная. Механизм передачи данных регулируется национальным законодательством каждой из стран. Срок рассмотрения одного запроса в среднем составляет 10 месяцев. Чаще всего к моменту получения информации от другого государства она становилась неактуальной.
Непосредственной причиной выработки нового закона стал судебный процесс Microsoft против правительства США.
В 2013 году в ходе расследования схемы распространения наркотиков, ФБР предъявило Microsoft судебный ордер для просмотра переписки одного из пользователей. Он был гражданином США, но переписка хранилось на серверах в Ирландии. Этот пользователь указал в качестве своего местоположения Ирландию, а политика Microsoft предписывала хранить информацию по возможности ближе к местоположению пользователя. ФБР отказали в выдаче данных, ссылаясь на то, что это противоречит законам Ирландии. Поэтому представители компании предложили ФБР обратиться к ирландским властям за разрешением.
Как раз в это время были опубликованы разоблачения Э. Сноудена. Граждане стали подозревать, что правительство США шпионит за ними через Интернет-компании. Особенно этот вопрос беспокоил иностранных пользователей. Поэтому Microsoft разрешила государственным и корпоративным заказчикам выбирать, в какой стране они желали бы хранить свою информацию.
Дело уже дошло до Верховного суда США, но после принятия CLOUD Act, стороны договорились, что власти переоформляют свои требования по новому закону и оперативно получают необходимые данные, а компания отзывает все протесты. Все остались довольны (особенно судьи верховного суда, потому что им не пришлось разрешать это непонятное дело).
У нас — Россия
А что же в России? У нас получение информации из-за рубежа регулируется соглашениями о взаимной правовой помощи или иными похожими межправительственными соглашениями. Есть в законе о персональных данных уже упоминавшееся требование об их локализации, действует закон, запрещающий размещение государственных IT-систем за пределами страны, а также знаменитый «пакет Яровой». Эти нормативные правовые акты позволяют обеспечивать безопасность персональных данных, их обработку на территории России, а при необходимости предоставить доступ к ним для российских компетентных органов.
С точки зрения доступа к персональным данным в интересах безопасности, эти решения были оправданными. Я думаю, вы представляете, как иностранные компании реагируют на запросы правоохранительных органов России о предоставлении нужных данных. Например, по статистике почтового сервиса Gmail с января по июнь 2017 года, американские органы власти попросили Google раскрыть пользовательские данные 16823 раза и более чем 13500 раз (81% случаев) получили данные. В тот же период Россия обратилась к Gmail 318 раз и лишь немногим более 30 раз (10% случаев) получила некоторые данные.
Заключение
Краткие итоги:
- персональные данные во многих странах мира законодательно тщательно охраняются. Но эти меры, к сожалению, не снижают количество «сливов»/«утечек» баз персональных данных;
- требования об обеспечении безопасности персональных данных являются эффективным инструментом увеличения трат на сектор информационных технологий;
- если вы живете в России и ваша деятельность не связана с предложением товаров и услуг жителям ЕС или с мониторингом их действий/поведения в Интернете, то на Вас требования регламента GDPR не распространяются;
- внедрение «пакета Яровой» может привести к определенным юридическим проблемам у российских операторов связи, потому что в массив хранимой информации так или иначе будут попадать сведения о жителях ЕС, без их явного согласия. Это, в свою очередь, является нарушением регламента GDPR и может повлечь за собой серьезные штрафы;
- США вопросах доступа к персональным данным в интересах безопасности в очередной раз поступают так, как им удобно, абсолютно не заботясь об остальном мире. Экстерриториальное действие американского законодательства может вызвать возмущение даже у традиционных союзников;
- ну и самое главное, как быть простому человеку? Если вы законопослушный гражданин, то Вам, скорее всего, нечего скрывать. В этом случае все описанные законы не влияют на вашу повседневную деятельность. Если же вам надо что-то скрыть, то, думаю, вы и без моих советов знаете, что и как делать. На всякий случай, напомню базовые вещи. Всю необходимую информацию целесообразно хранить на автономном компьютере, который никогда и ни при каких условиях даже опосредованно не был и не будет подключен к Интернету, а в повседневной деятельности пользоваться не смартфоном, а простым кнопочным телефоном и бумажной записной книжкой. Всем остальным, кто находится между этими двумя крайностями, надо просто знать и учитывать упомянутые нюансы обработки персональных данных. Кроме того, настоятельно рекомендую внимательно читать соглашения о защите информации, с которыми вы всегда соглашаетесь (ставите об этом галочку) в процессе регистрации на том или ином сервисе.
- очевидно, со временем Европа пойдет по пути США, и правоохранительные органы ЕС также получат упрощенный доступ к персональным данным. В свою очередь для тех людей, кому есть что скрывать, будут расширяться предложения по изменению своих персональных данных, их «автономизации» и т.д. Например, уже сейчас есть сервисы, которые незаметно для человеческого глаза меняют на фото местами один-два пикселя в определенных блоках для того, чтобы машинное распознавание не могло идентифицировать человека.
P.S. Эта тема важная, потому что надо понимать, как и кем могут использоваться ваши персональные данные. Надеюсь, статья была полезна.
Пишите в комментариях, опасаетесь ли за сохранность своих персональных данных и читаете ли соглашения об их защите при регистрациях в онлайн сервисах или в офлайн организациях (банки, медцентры,страховые компании)?
Иван Александров
В общем надо запрещать Google в России, других путей просто нет.
Лично я целиком и полностью поддерживаю введение «белых списков».
зачем мелочится, оставить только телеграм, госзакупки и одноклассники, остальное заблокировать. иш ты гугл распоясался, в 90% случаев проигнорировал запросы, куда только Жаров смотрит
Как избранные большинством российского народа депутаты решат, так и будет.
Телеграмом вообще исламские террористы пользуются.
Кхм.. Не то, чтобы я вам не верю, но можно ссылку на пруф? Ну про телеграм и исламистов, конечно.
Ссылки тут блокируются, но в Гугле есть:
* Telegram offers ultra-secure way to share text, videos
* Islamic State [террористическая организация, запрещена в РФ] uses Telegram channels to communicate with members
* Telegram has shut 78 Islamic State channels
Вау! Круто. Я могу кучу ссылок выдать, что исламисты по телефонам разговаривают и воздухом дышат. Если без сарказма, то пожалуйста ссылочки на то, что исламисты пользовались Телеграмом в противоправных целях и именно факт применения Телеграм не дал правоохранителям это предотвратить.
А потом что? Просто интересно.
А, ну нет, так нет. СМИ, кричащие, что Телеграм зло, тоже ничего в подтверждение предоставить не могут.
А потом… замените террористов на «лиц желающих секретной коммуникации», где ключевое слово «секретной» и додумайте сами. Поймите, что они пользуются неким каналом только потому, что он закрыт, а как только его раскроют, есть 100500 других закрытых каналов, на которые они безболезненно переберутся в кратчайшие сроки. Если нет возможности заблокировать их ВСЕ, пинать один нет смысла.
Кстати, вы перелогиниться забыли.
Да ну?
Гитлера тоже избрали
А убийцы кухонным ножом тоже могут воспользоваться
Надо запретить! Тоже европейская практика.
Пакет яровой в статье недостаточно негативно представлен, поэтому статья не очень понравилась
Откуда негатив? Закон Яровой защитит граждан России от террористов. Что же в этом негативного?
прежде всего закон защитит людей и компании от денег, а как он будет защищать от террористов, а как будут расшифровываться кучи зашифрованного трафика?
К сожалению, ничего не бывает бесплатно. Обеспечение безопасности потребляет ресурсы, а они стоят денег. Но что есть деньги в сравнении со спасёнными жизнями?
Не весь трафик шифруется. Для части зашифрованного есть ключи. Но я частично с вами согласен: проще заблокировать любой нераспознанный контент.
Не шифрованный им вроде как и не особо интересен, там же одним из основных моментов были сообщения в мессенджерах, даже если забить на «секретные» чаты телеграма, то есть ещё вацап, вайбер, iMessages где шифрование по умолчанию, а сколько ещё других менее известных мессенджеров
Как иногда бывает, сегодня некий вид шифрования абсолютно надёжен, а завтра в нём находят уязвимость.
Хуже когда уязвимость (heartbleed) находят вчера, а люди думаю, что он еще абсолютно надежен.
Можно даже не уязвимость, а качественный скачок вычислительных мощностей, позволяющий с лёгкостью расшифровать то, что несколько лет назад считалось невозможным.
Пример: rainbow tables для GSM.
Кстати да, дельная мысль, не подумал от этом.
вы так говорите, как будто в правительстве работаете ))
Вспомните, полно же было негативных статей про этот проект когда его принимали.
Прикольно что есть люди одобряющие попытки правительства шпионить за всем обществом )))
Вобще на мой взгляд вспоминать любые инициативы правительства без ритуальных проклятий дурной тон
Правительство избрали граждане. Мне этого достаточно.
не обманывайте себя, они сами себя избрали
Вы просто ненавидите всё российское.
Ну почему же, я просто не люблю правительство )))
Вобще мне это напоминает начало книги про солдата Швейка. Недавно начал читать.
Там агент секретных служб ходил по пивным и пытался с посетителями завести разговор на тему политики. Никто не хотел с ним разговаривать, все боялись что нибудь не так сказать. Ведь за неосторожную фразу в адрес правительства сразу арестовывали.
Может и у нас в стране так все скоро будет.
Так что закругляюсь разговаривать на тему политики пожалуй )
Как всегда путаете. Не отождествляйте правительство , власть и страну. Касается любой страны
Читайте же между строк 🙂 моя позиция проста: выбрали — жрите плоды своего выбора!
Вы еще скажите, что «шубохранилища» или «коллекции швейцарских часов тоже по воле граждан приобретаются?
У нас много негативных статей по любому поводу. Вон сколько нытья развела определенная группа лиц на тему реновации в Мск и где они теперь? Тема не взлетела так как негатив был только на словах и все, забыли по-быстрому и перешли на что то новое.
Реновация все же полезная как не странно. Нужно же менять разрушающиеся дома когда то.
А вот капитальный ремонт дома за который надо платить 1000р каждый месяц всю жизнь обман чистой воды. Год назад ввели новый платёж 1000 на ремонт капитальный дома. В нашем доме его сделали. Он чисто поверхностный. Лифт у нас за счёт дома и без ремонта заменили за свой счёт. Газовые трубы, водопровод канализация все осталось старым. Так как чтобы все это заменить легче дом снести. И когда ресурс дома истечёт совсем его все равно придётся сносить.
Ресурс материалов же не бесконечен.
И ради чего мы платим 1000р всю жизнь каждый месяц за ненужный капитальный ремонт? Закон не продуман и вообще это обман.
Сорри за оффтоп
Не устраивает качество ремонта — оформляйте претензии. Вас обули, а вы на телеокм-форуме сетуете…
Речь не о том полезная она или нет, а о том что для криков повод найти не сложно.
Кстати УК который сейчас бабки воруют у нас не правительство нам навязало, сами орали что мол ЖЭКИ зло вот в цивилизованных странах УК частные все делают…сделали УК и что? Теперь УК не нравятся. Ну так делайте ТСЖ, но там тоже нужно усилия прилагать чтоб глава ТСЖ не оказался вором.
Ну и всегда суд есть. 1 человека легко проигнорить, 10 человек легко замять…а вот когда иск подаст весь дом квартир так на 50-100, а если квартир не 50-100, а целый ЖК как у меня, из 5 корпусов включая несколько 30+ этажных где только парковочных мест подземных 2000 штук? А когда таких домов 10, 100, 1000? Но всем же лень…
Вы не понимаете, дело не в том что ремонт сделан плохо. А в том что заменить трубы и т д нельзя без выселения жильцов и тд
Максимум что можно сделать заменить лифты. Но всю жизнь 1000 платить каждый месяц за замену лифтов это слишком. Сам закон нужно отменять, чтобы не собирали каждый месяц 1000 на не нужный и не выполнимый капитальный ремонт. Вы предлагаете подать в суд на гос-во? Этот закон не продуман и не нужен.
Ещё раз сорри за оффтоп.
Я просто привёл пример бессмысленного закона который введён только за тем чтобы собирать деньги
Ирина Анатольевна,перелогиньтесь
Так проследуйте на Медузу. Там всё ок.
«если вы живете в России и ваша деятельность не связана с предложением
товаров и услуг жителям ЕС или с мониторингом их действий/поведения в
Интернете, то на Вас требования регламента GDPR не распространяются;»
Мне любопытно, а как ЕС будет энфорсить свои правила на лиц, не находящихся в его юрисдикции?
GDPR защищает не резидентов Евросоюза, а лица, находящиеся на территории Евросоюза. Например, вы россиянин и в поездке по евросоюзу решили купить билеты в российском интернет-магазине — тут ситуация спорная, но чисто формально GDPR применим. Ну а если приземление билетов будет также в Евро, то тогда уж не отвертеться.
>>Эта тема важная, потому что надо понимать, как и кем могут использоваться ваши персональные данные.
Вывод простой, персональные данные могут использоваться как и кем угодно 🙂
>> есть сервисы, которые незаметно для человеческого глаза меняют на фото местами один-два пикселя в определенных блоках для того, чтобы машинное распознавание не могло идентифицировать человека.
Современные алгоритмы распознавание давно таковы, что подобным «сервисам» придётся только эту пару пикселей на месте и оставить 🙂
Почему в статье НИ ОДНОЙ ССЫЛКИ?
На сами законы? Может потому, что среднему обывателю, там все-равно ничего не понятно?
а «ЕС 2016/680» или «Закон Грэмма – Лича – Блайли 1999 года» не ссылки?
Благая цель этих законов разбивается о простую логику и знание, что интернет изначально трансграничен. Поэтому чем больше ты захочешь порядка, тем больше тебе придется вторгаться в поле законов другой страны. На штаты наехали, может и по делу, но их закон наиболее логичен. Компания штатовская, оборудование компании, установлено за пределами штатов – все-равно подконтрольно головному офису, а значит и законам страны.
А еще, все хорошо написали про то что хотят, но ни слова, как этого будут добиваться. Допустим китайская фирма AliExpress, стопудово оказывающая услуги и хранящая персональные данные европейца, нарушила ИХ закон. Для начала нужно понять, а почему она вообще должна его соблюдать. Это европеец, быстренько, за несколько сот миллисекунд, виртуально смотался из европы в китай, получил в китае услугу и вернулся обратно. По логике, он должен подчиняться китайским законам, а не поставщик услуг европейским. Но ладно, так уж и быть, оставим нарушителем китайца. Который продолжит на него плевать! Как принудить? Ибо без принуждения нет закона, а есть только доброе пожелание. Арест руководителя если он появится на территории евросоюза? Хотел бы я на это судилище посмотреть. Европейский роскомпозор и веерные блокировки? Еще веселее.
О птичках.
Террористы, которые повалили две башни там, пользовались не телегой или закрытыми каналами связи, а обычной гугловской почтой, пароль знали все и в черновиках переписывались, не отправив при этом не единого письма — поэтому нет переписки — нет реакции фбр.
Короче обули они их по полной.
PS
Поэтому все эти запреты, личные данные и т.д. Это всё информационная волна для каких-либо политических заявлений не более!
Совершился теракт во Франции, ну и что толку что террорист в фейсбуке уже пол года орал что устроит бойню? Где реакция? Зато выложил в ВК песню — дали срок, заказал из Китая жпс-трекер для коров — чуть не посадили, благо до президента в прямой эфир достучался, а сколько таких не достучалось?
Вон уже третий месяц сидит американец, купивший по интернету быт.химию для чистки газ плиты, за покупку наркотически содержащего вещества….там что-то в составе «утёнка», если выпарить пару тонн — то можно что-то там приготовить…
Ладно, налил тут воды я….
Статья интересная, но было бы неплохо с примерами или новостями в тему статьи…
Годно.
Телеги тогда не было.
так и сейчас террористы не потому что телеграм появился
Не было тогда никаких террористов, это сами американцы все устроили. Ты реально веришь, что каких то два алюминиевых самолета пробили стальные башни? Что какой-то горный и бородатый мужичек который ели ели разговаривал все это устроил удаленно?
Да вообще пофиг, если я хочу то пишу вымышленные данные, если фейс ненадо показывать
Во1х неизвестно обоснование российских обращений, поэтому огульно даже основной посыл не показатель. А во2х на эти цифры можно посмотреть еще и с других сторон. Любопытно, сколько раз обращались к Яндексу с ордером, вместо писульки спецслужб «а ну-ка скинь нам, что там у такого-то в ящике и какие платежи он делал в Я.Деньги»? И сколько раз у него была безболезненная возможность отказать в раскрытии данных, при официальном обращении? Неужели в 19% случаев, и за это ему ничего не было?
А в случае США известна обоснованность обращений?
Тут скорее речь про то, как правильно было сформулировано обращение.
Уверен, что в рамках одной законодательной системы (США) правильно сформулировать обоснованность обращения — вероятнее.
30 раз правильно, в остальном нет? Глупость. Не первый год работают.
Кто?
Оформляют то разные люди, с разных ведомств…
Как и принимают обращения и рассматривают.
Не все знают что писать, как и на что ссылаться…
давно отправлял контейнер за рубеж — намаялся с описью…раз двадцать писал — пока на той стороне приняли и поставили печать. То один человек посмотрит моё заявление, то другой, то одного что-то не устраивало, то третьего)
О какой защите данных можно говорить в стране где на рынке можно купить любые базы?