Хотя практика работы с пользовательскими данными Windows 10 вызвала критику в прессе и Госдуме, российские эксперты в области ИБ не усмотрели в новой ОС Microsoft нарушения законодательства о персональных данных. Интерес к проблеме сбора и хранения пользовательских данных россиян в Windows 10 возник в начале недели, когда депутат от КПРФ и главный юрист этой фракции Вадим Соловьев отправил запрос генеральному прокурору Юрию Чайке. В нем депутат рассказал прокуратуре, что Windows 10 собирает и хранит историю посещенных веб-страниц, пароли к сайтам, названия и пароли точек доступа, к которым подключался пользователь, координаты пользователя, данные о совершенных звонках, данные из адресной книги и др. В запросе прокурору Вадим Соловьев назвал практику сбора пользовательских данных Windows 10 "шпионажем". Комментируя критические выступления в адрес Widnows 10, пресс-служба российского представительства Microsoft отмечает, что "Windows 10 позволяет пользователям самим выбирать, как будет использована их информация, чтобы они получали максимально персонализированные сервисы. В новой ОС им предлагается несколько вариантов настроек управления данными пользователя, от общих настроек до прав доступа к информации различных приложений и устройств, и пользователь может регулировать их в любое время". Известна официальная позиция Microsoft в отношении защиты персональных данных, изложенная в официальном блоге генерального советника и исполнительного вице-президента корпорации по юридическим и корпоративным делам Бреда Смита (Brad Smith). Он писал: "мы не предоставляем каким бы то ни было правительствам прямой доступ к электронной почте и мгновенным сообщениям. И точка. Как и все прочие поставщики коммуникационных сервисов, мы иногда обязаны соблюдать законные требования правительств по предоставлению информации по конкретным учетным записям в соответствии с ордерами на обыск или постановлениями суда". Сторонние эксперты подчеркивают возможность настроек Windows 10 как главный способ ограничить внимание Microsoft к данным пользователя. Директор РАЭК (Российской ассоциации электронных коммуникаций) Сергей Плуготаренко вспоминает, что гибкая персонализация это одна из главных заявленных Microsoft характеристик новой ОС. Он говорит, что для пользователя это означает "возможность самостоятельно контролировать доступ к личным данным в зависимости от предпочтений, индивидуальных сценариев использования ПО и т.п". Плуготаренко считает, это "полностью соответствует принципам, установленным российским законом". Возможно, уполномоченным органам стоило бы подумать о выработке рекомендаций по таким настройкам для различных категорий пользователей, как это уже сделано в некоторых странах, - говорит управляющий партнер консалтингового агентства "Емельянников, Попова и партнеры" Михаил Емельянников. По опыту CNews, перекрыть Microsoft доступ к пользовательским геоданным можно с помощью переключателя "Отключить определение расположения" (меню "Пуск", разделы "Параметры", "Конфиденциальность", вкладка "Расположение"). На этой же вкладке можно найти "журнал сведений о расположении", в который вносятся данные о перемещении устройства, и кнопку для его очистки. Доступ приложений к камере и микрофону ПК можно запретить на соответствующих вкладках меню "Конфиденциальность". При голосовом общении, использовании рукописного ввода и при печати на фирменной клавиатуре Microsoft, Windows 10 собирает данные о почерке, особенностях произношения и набора. Управление функциями изучения речи, рукописного ввода и клавиатурного набора осуществляется двумя параметрами. На вкладке "Речь, рукописный ввод и ввод текста" меню "Конфиденциальность" можно нажать кнопку "Остановить изучение", чтобы отключить службы изучения особенностей ввода и кнопку "Познакомьтесь со мной", чтобы их включить. На той же вкладке "Речь, рукописный ввод и ввод текста" имеется ссылка "Откройте Bing", перейдя по которой можно очистить свои данные, сохраненные в облаке Microsoft. На вкладке "Общие" меню "Конфиденциальность" можно запретить отправку особенностей написания в Microsoft. Интересно, что в защиту политик конфиденциальности Windows 10 выступили эксперты в сфере ИБ. Гендиректор компании Group-IB Илья Сачков считает, что "корпорация хранит личные данные столько, сколько это необходимо для предоставления услуг и выполнения запрашиваемых вами транзакций или для других важных целей. Это один из основных принципов и российского закона о персональных данных", - говорит эксперт. По мнению Сачкова, в политике конфиденциальности Microsoft "нет никаких новаций, и эти случаи давно прописаны многими, в том числе российскими провайдерами онлайн-услуг. В частности, любая компания обязана раскрывать данные пользователя по законным запросам правоохранительных органов и судебных запросов. В России это также обязательно, в соответствии с законом о полиции и об оперативно-розыскной деятельности. Microsoft, как многие онлайн провайдеры, используют обезличенные данные для статистики, а также для развития услуг Big Data". Интерес к пользовательскому соглашению Microsoft, проявившийся в российском медиа-пространстве, Сачков назвал "искусственно преувеличенным". "Нет никаких оснований говорить о том, что Microsoft не гарантирует конфиденциальность данных своих пользователей. Более того, корпорация свою приверженность защиты данных пользователя демонстрировала не раз, как правовыми, так и организационными и техническими способами", - полагает эксперт. Партнер компании Ernst&Young Алексей Марков считает, подход Microsoft к обеспечению конфиденциальности информации "совсем не оригинален". Аналогичные положения содержатся в политиках других онлайн компаний как российских, так и иностранных. Цели использования пользовательских данных провайдерами также примерно одинаковые - для развития своих существующих интернет-сервисов, предоставление персонализированных сервисов и внедрения инноваций. На его взгляд, это лежит в рамках принципов российского законодательства. Передача данных по запросу государственных органов предусмотрена и российским, и иностранным законодательством в рамках установленной законодательством процедуры и является общепринятой практикой. Управляющий партнер "Емельянников, Попова и партнеры" Михаил Емельянников подверг критике юридическую сторону претензий к Microsoft. Обезличенные данные, привязанные к IP-адресу (а не к фамилии, имени и отчеству) персональными данными вообще не являются, и закон фактически приравнивает обезличивание к уничтожению, не требуя согласия субъекта на их обработку. Программное обеспечение Microsoft, распространяемое онлайн, и другие онлайн-сервисы, предоставляются на основе договора с пользователем в форме публичной оферты, которая акцептуется принятием условий лицензии, в которой оговорены все действия с данными пользователя, в том числе возможность и условия их предоставления третьим лицам, - рассказывает Емельянников. В соответствии с Гражданским кодексом РФ, акцепт оферты может быть только полным и безоговорочным. Поэтому пользователь должен самостоятельно принять решения о согласии с предлагаемыми условиями и решить, будет ли он пользоваться предлагаемыми ему программой или сервисом.
CNews