Персональные данные: поезд, sms, секс-шоп
В России могут ужесточить ответственности за утечку персональных данных.
Возможно, если бы великий Александр Блок жил в наше время, то написал бы не "Улица. Фонарь. Аптека." а "Поезд. SMS. Секс-шоп". Ибо июль в этом году выдался богатым не только на грибы-ягоды, но и на утечки персональных данных и конфиденциальной информации. Просто перечислим факты, ставшие достоянием широкой общественности:
1. Поисковым движком Яндекс были проиндексированы и выводились по поисковым запросам SMS, отправленные абонентам столичного Мегафона с сайта оператора.
2. Все тот же Яндекс позволял осуществлять поиск по данным клиентов секс-шопов.
3. В Яндекс утекли данные о продажах электронных железнодорожных билетов.
4. В индекс Google попали служебные документы российских ведомств.
Неплохой улов, а? 3:1 в пользу Яндекс. Я бы на месте Яндекса сменил логан. На ум пришло сразу несколько вариантов: "Найдется все. Воистину все.", "Хотите вы этого или нет, но найдется все!", "От нас не утаишь!" Государственные мужи, которые, к своему несчастью, оказались не в отпуске дежурно прореагировали на случившееся. И, как часто случается в России после каждой большой драки, власти засучили рукава и сурово сдвинули брови. Так вот, как сообщает нам информационное агентство РБК, "Комитет Госдумы по информационной политике, информационным технологиям и связи намерен рассмотреть возможность для совершенствования законодательства в сфере защиты персональных данных и ужесточения ответственности виновных за утечку личной информации". Глава профильного комитета Сергей Железняк сообщил, что комитет совместно с правоохранительными органами и Роскомнадзором анализируют сейчас причины случившегося. "По итогам будем рассматривать возможность для совершенствования законодательства в этой сфере и ужесточения ответственности виновных", - сказал, как отрезал Железняк. Видимо, в роду Желязняков (и Железняковых) все мужчины способны говорить короткие, но емкие фразы.
Как? Совершенствовать законодательство? Опять??!! И это спустя каких-то пару дней, как Президент РФ подписывает поправки в закон о защите персональных данных. Закон, поди-ка, еще не опубликован в Российской газете, а уже требует совершенствования? Похоже, что кто-то очень много ест плохо делает свою работу? А вы как думаете?
Комментарии 26
По поводу SMS: слушал "Сухой остаток" с Эльдаром Муртазиным на Финам.ФМ. Так вот - там не было утечки персональных данных. Номер мобильного телефона - это НЕ персональные данные, поскольку номер принадлежит не абоненту, а оператору.
По поводу Яндекса: на Хабре высказали интересную мысль - если страницу с персональными данными в Яндекс отправляет Яндекс Бар в браузере, то формально Яндекс нарушает закон о защите персональных данных. И то, что доступ к странице может быть закрыт паролем (или иной аутентификацией) не отменяет факта нарушения закона.
А вот и реакция Яндекса на лавину "утечек". Получается, что Яндекс все-таки не нарушает закон о персональных данных (раз Яндекс Бар ничего не отправляет). Просто среди веб-мастеров царит полный разброд и шатание.
Андрей Подкин писал: Номер мобильного телефона - это НЕ персональные данные
Андрей, Вы не правы. Любая информация, которая "привязана" к конкретному лицу, является персональными данными. Сам по себе номер мобильного телефона ещё не персональные данные, а вот если есть возможность установить его владельца - то уже ПД. Собственность на номер вообще здесь ни при чём.
П.1. ст.3 Закона о Персональных данных:": "Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация"
Наталья Храмцовская писала:
У других лиц - нет.
Это Вы на полном серьёзе утверждаете, или шутите?
Андрею Подкину: Даже если не брать в расчет нелегально распространяемые базы (которые также доступны и через Интернет), и возможности поиска в интернете, Ваш мобильный номер известен не такому уж узкому кругу лиц и организаций – это может быть работодатель, банк и т.д.
IMHO, говоря о защите ПД, нужно не за формальности цепляться, а оценивать реальные риски ущерба для граждан вследствие утечки данных. Предположим, что Ваш номер «засветился» в связи с чем-либо, что представляет интерес для преступного мира – как Вы думаете, насколько сложно будет заинтересованным лицам установить, кому этот номер принадлежит?
То, что происходит с персональными данными - совершенно естественно и закономерно. И дело тут не в плохих законах, а в том, что сложившаяся практика использования персональных данных провоцирует
необоснованно широкое их распространение, после чего эффективная защита становится практически невозможной уже на техническом уровне. Как следствие, невозможна и разработка эффективных законодательных
актов.
Интернет-магазину по сути персональные данные клиента безразличны, просто ему не предложено другого способа идентификации. Лечение в медучреждении совершенно не должно зависеть от фамилии пациента.
Необходимо искать новые организационные схемы и технические решения, чтобы, прежде всего, ограничить использование персональных данных очень узкими зонами, где они объективно необходимы.
Такое решение предложено здесь: http://www.gosbook.ru/node/16951. Похожая схема предлагается принятой в США "Национальной стратегией доверенной идентификации в киберпространстве" - обзор здесь: http://www.gosbook.ru/node/17384
Эти предложения доводились до сведения специалистов Минкомсвязи, МЭР, ЭКГ при Президенте, РСПП, но не получили ни критики, ни поддержки. В равной степени чиновниками и, что удивительно, ИТ-специалистами была проигнорирована американская стратегия.
По-видимому, погреть руки на защите персональных данных проще и привлекательнее, чем строить реально защищенную среду аутентичных коммуникаций. А сенсационные "утечки" и шумиха вокруг них - очень техничная подготовка "сговорчивости" аудитории.
Не поняла как "лечение не должно зависеть от фамилии". Лечить нужно конкретного человека с его "предисторией", записаной в карте, корая обозначена фамилией и именем. Фамилию и имя человечество изоберло для иденификации.
Наталье Храмцовской:
А какой смысл вообще оперировать терминами "персональные данные" (и другими, определенными в законе), когда речь идет о пресупном мире? Преступники могут получить о человеке настолько широкий набор сведений, что номер мобильного телефона будет просто неинтересен в этом плане.
Если речь идет о мелких мошенниках, то даже им важнее паспортные данные, ИНН, СНИЛС и прочее, а не номер телефона.
Елене Питомцевой:
Человечество изобрело множество способов идентификации. Фамилия - не самый лучший среди них. Например, по ней часто бывают коллизии. В этом плане более удобен "номер социального страхования".
А вот когда я просто человек с именем и фамилией и без номера социального страхования меня лечить не надо? Ладно. Это вообще отдельная песня.
2Владимир Самохвалов: очень инетересные мысли у вас в статье!
Сергей, не было в SMS ничего такого. Все SMS были отправлены через сайт, а не с телефона. Потому там очень специфическая выборка. Скорее, как раз окажутся SMS от мошенников "Вы выиграли", чем реальные сообщения про деньги.
Про мошенничество с вымогательством - тоже мимо кассы, это давно отработанные схемы. Там не нужны никакие SMS, все номера получаются из других источников.
Про социальные сети: люди, которые шлют пароль в SMS через сайт, как правило, не защищаются и в других местах. Поэтому их аккаунты успешно ломались задолго до публикации SMS и столь же успешно будут ломаться и после публикации.
Елена, вы никогда не видели в поликлиниках объявление "Без полиса ОМС приема нет"? Здравоохранение в России вообще часто нарушает права граждан, но это несколько другая история.
Небольшая ремарка по поводу Мегафоновских sms:
По закону ПДн должны быть уничтожены после достижения целей обработки. Самой оправданной целью обработки в данном случае видится передача sms адресату. После передачи или таймаута данные должны быть уничтожены. Если эта информация хранилась в рамках СОРМ, то имело место нарушение требований - кто-то из комментаторов упоминал, что сервер с данными СОРМ не должен быть подключен к сети Интернет. В любом случае sms не должны были всплывать в Интернете.