По всей видимости в "Яндексе", после не совсем удачного "представили мируновую порцию персональных данных, на сей раз несколько более скандальных и приближенных к термину "ПДн способные идентифицировать субъекта", и даже косвенно относящихся к высшей категории - "интимной жизни": в поиске [Яндексаk стали доступны статусы заказов из различных интернет-магазинов, включая секс-шопы. В публичном доступе оказались имена, фамилии и контактная информация клиентов.
В "Яндексе" по прежнему утверждают, что причиной утечки стал некорректно составленный файл
robots.txt , благодаря которому персональные данные покупателей можно увидеть и в выдаче Google. И здесь опять возникает интересная ситуация.
По закону, субъекты должны подавать жалобы на операторов (т.е. интернет-магазины), допустивших утечки ПДн, которые, в свою очередь, автоматически становятся виноватыми, так как не смогут доказать наличие согласия на обработку ПДн собственных клиентов (по мнению регуляторов согласие, как мы помним, должно быть письменное и содержать определенные законом сведения о субъекте). С другой стороны, магазины могут возразить, что далеко не всегда данные получателя, указанные в заказе, соответствуют реальным данным гражданина РФ, а потому являются обезличенными и не требуют ни согласия, ни защиты. Поэтому Роскомнадзору придется попотеть, доказывая обратное: ведь идентификация для достижения цели (доставка товара) происходит, а значит, собранный через интернет объем данных достаточен для идентификации субъекта в рамках конкретной бизнес-процедуры.
Второй момент заключается в том, что даже если интернет-магазин докажет наличие согласия, напирая на конклюдентные действия или публичную оферту (что само по себе будет прецедентом), и покажет, что он удалил данные из собственной ИСПДн после достижения целей обработки - он опять сможет попытаться уйти от ответственности: ну кто ж знал, что есть какой-то Яндекс с его роботом. Здесь вступает в силу другой аргумент: отсутствие технической защиты ПДн, позволяющих идентифицировать субъекта и передаваемых по сети общего пользования фактически в открытом виде. Аргумент весомый и трудно оспоримый. Но как и в предыдущем случае с "Мегафоном", SSL "прикрутить" нельзя в силу "забугорности", да и от утечки он
не спасает : нужно разрабатывать специальное клиентское ПО и ставить КриптоПРО, и вместе с ним - крест на деятельности интернет-магазина.
Ну и наконец, если в ходе разбирательств все же будет установлена вина оператора, не получившего согласие, не обеспечившего защиту и неправильно настроившего файл robots.txt - в случае, если это действительно так, и к утечкам не причастно программное обеспечение Яндекс.Бар, самому Яндексу по-прежнему ничего не грозит - ведь субъекты должны подавать жалобы на тех операторов, чьими услугами они воспользовались для заказа товаров.
Если же будет установлено, что утечку спровоцировал Яндекс.Бар или (в меньшей степени) Яндекс.Метрика - вот это будет действительно круто, так как получается, что пользователь поставил свободное, бесплатное, официально распространяемое НО непроверенное (несертифицированное) регуляторами ПО, и тем самым попал под удар. Именно такой вариант развития событий на руку всем "толкателям" законопроекта, но не на руку самому "Яндексу", чьи акции с недавних пор торгуются на Nasdaq. На графике видно, как после первой утечки, случившейся 18 июля, после достижения "критической информационной массы" рынок "отыгрывает" данные: небольшой "бабах" в полтора доллара на акцию 20 июля весьма существенно сказывается на объеме размещения. Хотя эксперты биржевой торговли склонны полагать, что бумага "
шла в тренде " с рынком, и связывать падение с сообщением об утечке не стоит, да и восстановилась она достаточно быстро (если бы не "тренд" то, возможно, от отсутствия претензий со стороны регуляторов).
Посмотрим, как завтра
отыграет рынок эту информацию. В любом случае, до компенсации ущерба субъектам дело вряд ли дойдет: в отличие от "Мегафона",
готовящегося выплатить от 30 до 40 тысяч рублей государству за нарушение лицензионных требований, определяемых федеральным законом "О связи", и добровольно согласившегося компенсировать моральный ущерб абонентам в виде бесплатных пакетов СМС и минут разговора (на этом фоне совершенно забавными выглядят начальные
оценки ущерба в размере до 1 млрд долларов - это ж сколько можно СМС отправить), небольшие компании гораздо меньше пекутся о своей репутации, а взыскать с них ущерб в судебном порядке будет, увы, практически невозможно.
И самое главное - ни у кого нет ответа на вопрос: если бы интернет-магазин выполнил ВСЕ требования законодательства, включая оргмеры и техсредства (которые совершенно "глухи" к такого рода вещам как robots.txt), признал бы его суд виновным и присудил компенсацию ущерба, или дело ограничилось бы наказанием системного администратора за ненадлежащее исполнение своих обязанностей (которые не факт, что где-то надлежащим образом прописаны)? Лично я очень сильно сомневаюсь.
Именно поэтому вторая утечка еще раз показывает ущербность подхода "требования превыше всего", заложенного как в действующем, так и (в большей степени) предполагаемом законодательстве о персональных данных, но это видно только специалистам; основная масса граждан, по замыслу
режиссера , снова должна впасть в истерику. Тем же, кто истерить не собирается, должно быть давно понятно: в Интернете нет и не может быть никакого прайвэси, и потому никакими мерами и средствами нельзя защитить то, чего нет по определению.
Следим за реакцией и ждем новых утечек.
UPD: И в преддверии подписания поправок президентом они
не заставили себя долго ждать :)
В "Яндексе" по прежнему утверждают, что причиной утечки стал некорректно составленный файл robots.txt , благодаря которому персональные данные покупателей можно увидеть и в выдаче Google. И здесь опять возникает интересная ситуация.
По закону, субъекты должны подавать жалобы на операторов (т.е. интернет-магазины), допустивших утечки ПДн, которые, в свою очередь, автоматически становятся виноватыми, так как не смогут доказать наличие согласия на обработку ПДн собственных клиентов (по мнению регуляторов согласие, как мы помним, должно быть письменное и содержать определенные законом сведения о субъекте). С другой стороны, магазины могут возразить, что далеко не всегда данные получателя, указанные в заказе, соответствуют реальным данным гражданина РФ, а потому являются обезличенными и не требуют ни согласия, ни защиты. Поэтому Роскомнадзору придется попотеть, доказывая обратное: ведь идентификация для достижения цели (доставка товара) происходит, а значит, собранный через интернет объем данных достаточен для идентификации субъекта в рамках конкретной бизнес-процедуры.
Второй момент заключается в том, что даже если интернет-магазин докажет наличие согласия, напирая на конклюдентные действия или публичную оферту (что само по себе будет прецедентом), и покажет, что он удалил данные из собственной ИСПДн после достижения целей обработки - он опять сможет попытаться уйти от ответственности: ну кто ж знал, что есть какой-то Яндекс с его роботом. Здесь вступает в силу другой аргумент: отсутствие технической защиты ПДн, позволяющих идентифицировать субъекта и передаваемых по сети общего пользования фактически в открытом виде. Аргумент весомый и трудно оспоримый. Но как и в предыдущем случае с "Мегафоном", SSL "прикрутить" нельзя в силу "забугорности", да и от утечки он не спасает : нужно разрабатывать специальное клиентское ПО и ставить КриптоПРО, и вместе с ним - крест на деятельности интернет-магазина.
Ну и наконец, если в ходе разбирательств все же будет установлена вина оператора, не получившего согласие, не обеспечившего защиту и неправильно настроившего файл robots.txt - в случае, если это действительно так, и к утечкам не причастно программное обеспечение Яндекс.Бар, самому Яндексу по-прежнему ничего не грозит - ведь субъекты должны подавать жалобы на тех операторов, чьими услугами они воспользовались для заказа товаров.
Если же будет установлено, что утечку спровоцировал Яндекс.Бар или (в меньшей степени) Яндекс.Метрика - вот это будет действительно круто, так как получается, что пользователь поставил свободное, бесплатное, официально распространяемое НО непроверенное (несертифицированное) регуляторами ПО, и тем самым попал под удар. Именно такой вариант развития событий на руку всем "толкателям" законопроекта, но не на руку самому "Яндексу", чьи акции с недавних пор торгуются на Nasdaq. На графике видно, как после первой утечки, случившейся 18 июля, после достижения "критической информационной массы" рынок "отыгрывает" данные: небольшой "бабах" в полтора доллара на акцию 20 июля весьма существенно сказывается на объеме размещения. Хотя эксперты биржевой торговли склонны полагать, что бумага " шла в тренде " с рынком, и связывать падение с сообщением об утечке не стоит, да и восстановилась она достаточно быстро (если бы не "тренд" то, возможно, от отсутствия претензий со стороны регуляторов).
Посмотрим, как завтра отыграет рынок эту информацию. В любом случае, до компенсации ущерба субъектам дело вряд ли дойдет: в отличие от "Мегафона", готовящегося выплатить от 30 до 40 тысяч рублей государству за нарушение лицензионных требований, определяемых федеральным законом "О связи", и добровольно согласившегося компенсировать моральный ущерб абонентам в виде бесплатных пакетов СМС и минут разговора (на этом фоне совершенно забавными выглядят начальные оценки ущерба в размере до 1 млрд долларов - это ж сколько можно СМС отправить), небольшие компании гораздо меньше пекутся о своей репутации, а взыскать с них ущерб в судебном порядке будет, увы, практически невозможно.
И самое главное - ни у кого нет ответа на вопрос: если бы интернет-магазин выполнил ВСЕ требования законодательства, включая оргмеры и техсредства (которые совершенно "глухи" к такого рода вещам как robots.txt), признал бы его суд виновным и присудил компенсацию ущерба, или дело ограничилось бы наказанием системного администратора за ненадлежащее исполнение своих обязанностей (которые не факт, что где-то надлежащим образом прописаны)? Лично я очень сильно сомневаюсь.
Именно поэтому вторая утечка еще раз показывает ущербность подхода "требования превыше всего", заложенного как в действующем, так и (в большей степени) предполагаемом законодательстве о персональных данных, но это видно только специалистам; основная масса граждан, по замыслу режиссера , снова должна впасть в истерику. Тем же, кто истерить не собирается, должно быть давно понятно: в Интернете нет и не может быть никакого прайвэси, и потому никакими мерами и средствами нельзя защитить то, чего нет по определению.
Следим за реакцией и ждем новых утечек.
UPD: И в преддверии подписания поправок президентом они не заставили себя долго ждать :)
