Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Защита персональных данных в социальных сетях

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Защита персональных данных в социальных сетях

Сегодня я предлагаю поговорить о защите персональных данных в соцсетях – тема очень актуальная, набирающая все большую популярность. В нашем мире уже невозможно обойтись без социальных сетей. Каждый человек, независимо от пола и возраста, зарегистрирован хотя бы в одной. Соцсети стали тем миром, который способен, хоть и условно, заменить собой реальный, давая человеку возможность получить желаемое здесь и сейчас.
Павел Манык
Юрист, управляющий партнер, ООО
“Юридическая компания “БЕЛЫЙ КВАДРАТ"
Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" устанавливает, что обработка допускается только с согласия субъекта персональных данных на обработку его персональных данных (ст. 6). Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7). При этом согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме (ст. 9).

Вовлекаясь в этот увлекательный процесс, каждый человек раскрывает для неограниченного круга лиц персональную информацию о себе. Многие могут не согласиться, сказав, что соцсети дают возможность ограничений, оставляя доступ только для выбранной категории пользователей. Это, безусловно, так, но любой без исключения сайт требует от нас ввода личной информации, от простейшей – в виде имени, номера телефона или почты – до подробной, включая ФИО, дату рождения и т.д. Мы подчас не задумываемся о том, что происходит с нашими данными потом. Должны ли мы заботиться об этом? Безопасность персональных данных пользователей должна обеспечиваться оператором, который осуществляет их обработку, независимо от того, знают ли пользователи или субъекты персональных данных о последствиях уязвимости. На первый план выходят требования Федерального закона "О персональных данных".

Так, Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" устанавливает, что обработка допускается только с согласия субъекта персональных данных на обработку его персональных данных (ст. 6). Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7). При этом согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме (ст. 9). Получается, что если пользователь дает согласие использовать его данные в одном ресурсе, это не значит, что их можно использовать для сопряженной социальной сети, что является проблемой для связанных между собой сервисов.

Сообщая о себе лишние подробности, человек становится уязвимее. Располагая достаточной информацией о человеке, злоумышленники могут выдать себя за вас. Возможность настройки пользовательского доступа в соцсетях решает проблему только отчасти, поскольку существуют и другие пути утечки данных.

Нацеленность хакеров обусловлена прежде всего тем, что данные – очень востребованный товар. Помимо крупных интернет-компаний, таких как "Яндекс", Facebook, "ВКонтакте", Google, которые зарабатывают на таргетированной рекламе, есть целый ряд других игроков этого рынка, которых может интересовать персональная информация. Все больше экспертов уверены, что бесконтрольным этот рынок оставаться не может, необходимо государственное регулирование в этом вопросе.


Сами госорганы уделяют этому вопросу должное внимание, обеспечивая безопасность персональных данных при оказании электронных услуг, отличающихся использованием большого объема чувствительной информации, которая нуждается в защите. Зачастую это не только логины и пароли, которые могут совпадать с логинами и паролями пользователей, которые они используют в других социальных сетях, но и платежная информация.

Проблемы защиты персональных данных

Исследования выявили, что многие пользователи предоставляют доступ к большему объему сведений, чем им изначально хотелось бы. И речь не только о случаях, когда, заполняя анкету на получение бонусной карты торговой сети, предлагается указать значительное количество информации. Например, я никогда не указываю в таких анкетах адрес места жительства, потому как уверен, что для понимания географии своих покупателей магазину достаточно знать город проживания, ну или в крайнем случае район. Сообщая о себе лишние подробности, человек становится уязвимее. Располагая достаточной информацией о человеке, злоумышленники могут выдать себя за вас.


Возможность настройки пользовательского доступа в соцсетях решает проблему только отчасти, поскольку существуют и другие пути утечки данных. Общедоступные данные, размещаемые пользователями в социальных сетях, могут быть обработаны сторонними сервисами. Не нужно забывать, что у физического лица всегда есть право на исключение этих данных путем направления соответствующего требования, по которому оператор обязан немедленно прекратить обработку персональных данных лица.

Политика конфиденциальности в социальных сетях

Информация о применяемой политике конфиденциальности размещается на сайте каждой социальной сети, т.к. все они обязаны осуществлять обработку ПДн пользователей в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных".

Законодательный надзор, или Кто защищает пользователей?

Роскомнадзор осуществляет госконтроль и надзор за исполнением принимаемых законодательных актов в области персональных данных. Деятельность ведомства регулируется Конституцией Российской Федерации от 12 декабря 1993 г.; Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных"; Федеральным законом от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"; Федеральным законом от 19 декабря 2005 г. № 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных"; а также рядом подзаконных нормативных правовых актов.

Успевает ли закон за ростом и трансформацией социальных сетей и в полной ли мере он отражает все потребности этой сферы?

Нередко из СМИ можно услышать об утечках данных пользователей из различных баз данных, некоторые из сообщений за 2016 г:

  • В мае 2015 г. электронное издание tjournal.ru сообщило об утечке 6,7 млн паролей пользователей сервиса анонимных мнений "Спрашивай.ру".
  • В июне 2016 г. электронное издание Geektimes опубликовало новость, что ресурс LeakedSource сообщил об утечке в Сеть данных примерно 100 млн аккаунтов социальной сети "ВКонтакте". Эти данные не выложены в свободный доступ, но продаются. На продажу их выставил хакер с ником Peace.
  • Также в июне 2016 г. электронное издание asmo.ru сообщило об утечке паролей Twitter-аккаунтов.

По мнению некоторых экспертов, ряд требований ФЗ-152 ставит интернет-коммерцию вне закона, в том числе социальные сети в части реализации технических средств, используемых для обработки персональных данных пользователей соцсети. Например, обсуждается необходимость иметь согласие субъекта ПДн на обработку персональных данных в таком виде, чтобы это позволяло в любой момент времени подтвердить наличие такого согласия. Стоит отметить, что, на мой взгляд, юридическими методами чаще решаются последствия каких-либо действий. В качестве примера можно привести требование субъекта персональных данных об удалении его персональных данных с Интернет-ресурса или направление заявления об отзыве согласия на обработку персональных данных. Недопустимость этих последствий должна обеспечиваться техническими решениями, направленными на защиту ПДн пользователей. Прогресс остановить нельзя, и вопрос является актуальным и многогранным.

Можно, конечно, говорить о том, что закон не успевает за современными тенденциями, но в таком случае каждый сам вправе определять степень раскрытия информации о себе, и даже при таком сценарии мы всегда будем вынуждены оглядываться на закон, поскольку возможность нашей защиты обеспечивается, исходя из его требований и положений.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2016
Посещений: 7176


  Автор
Павел Манык

Павел Манык

Ведущий юрист ЮК “Зарцын и партнеры"

Всего статей:  7

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.