Европейский совет по защите данных запрещает использование «стены cookie»

Некоторые сайты предлагают пользователям согласиться на обработку своих данных в обмен на доступ к контенту, что нарушает положения «Общего регламента по защите данных» (General Data Protection Regulation, GDPR).

Согласно европейскому законодательству, наличие разрешения пользователя является одним из шести обязательных условий при обработке персональных данных:

➡️ https://roskomsvoboda.org/58098

В сети появилась Концепция регулирования цифровой экономики. Очень много общих слов. Среди целей, относящихся к темам нашего канала:
- создание правовых условий для повышения доверия и безопасности участников оборота в цифровой среде.
«Ключевым является четкое законодательное отграничение информации, относящейся к категории персональных данных, и иной информации. К примеру, содержащиеся в законодательстве понятия и режимы для обезличенных данных не в полной мере отвечают современному уровню развития технологий. Ведь такие данные могут подразделяться на псевдоанонимизированные данные, которые сохраняют связь с физическим лицом и могут быть деобезличены, и анонимные данные, которые необратимо утратили связь с физическим лицом. В последнем случае данные могут обрабатываться свободно вне правового режима персональных данных при условии применения приемлемых методов анонимизации».
При определении направлений модернизации регулирования персональных данных в РФ необходимо учитывать Конвенцию о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28.01.1981). Принимая во внимание неоднозначную судебную практику в части толкования понятия персональных данных, возможно уточнение данного понятия, отвечающее его общеевропейскому пониманию. Кроме того, нуждаются в определении понятия обезличенных и общедоступных персональных данных. Режим специальных категорий персональных данных следует распространить и на генетическую (геномную) информацию.
Любопытны инициативы и на согласия в обработке ПД
«Правоприменительная практика ставит под сомнение возможность получения согласий посредством информационно-коммуникационных технологий, что предполагает необходимость прямо предусмотреть такую возможность в законодательстве. Также следует уточнить требования к согласию на обработку персональных данных, а именно:
- упростить процедуру предоставления согласия граждан на обработку данных в письменной форме (например, согласие на передачу персональных данных работников);
- закрепить варианты предоставления согласий дистанционно в электронной форме (смс-сообщения, электронная почта, заполнение формы на сайте и др.), на несколько целей, нескольким операторам или нескольким лицам, обрабатывающим персональные данные по поручению оператора;
- предусмотреть возможность применения платформы управления согласиями на обработку персональных данных, банка пользовательских соглашений;
- предусмотреть конклюдентную форму предоставления согласия при условии предварительного информирования о целях и условиях обработки;
- установить, что письменные согласия не должны содержать избыточных данных по отношению к целям обработки данных, составу обрабатываемых данных;
- закрепить возможность использования идентификаторов, отличных от паспортных данных;
- использовать понятные для пользователя визуальные средства описания совершаемых действий с персональными данными.»
Также расширяется функционал ЕБС.
Полный текст концепции в следующем посте.

Сервис видеоконференций Zoom купил блокчейн-стартап Keybase, который работает над технологией сквозного шифрования, говорится в блогах обеих компаний. Условия сделки не раскрываются.
Zoom отмечает, что намерен внедрить технологии сквозного шифрования в свои видеозвонки. Когда именно это произойдет, не уточняется. Защищенные от взлома звонки будут доступны только пользователям платной версии сервиса. https://www.vedomosti.ru/technology/news/2020/05/07/829777-kiberbezopasnosti

Технология сегментирования аудиопотока (диаризации) и распознавания речи, созданная группой компаний ЦРТ, признана лучшей на международном конкурсе CHiME Speech Separation and Recognition Challenge (CHiME-6). Участники должны были предложить решение для так называемой проблемы коктейльной вечеринки - ситуации, при которой на речь нескольких говорящих накладывается шум окружающей обстановки https://nauka.tass.ru/nauka/8417931

Владимир Путин подписал указ, приравнивающий использование военнослужащими гаджетов и передачу СМИ или в интернет информацию, позволяющую идентифицировать ведомство, к которому они относятся, часть или место несения службы, к дисциплинарным проступкам. Изменения внесены в ряд уставов ВС России и вступили в силу 6 мая 2020 г. https://www.cnews.ru/news/top/2020-05-07_putin_priravnyal_ispolzovanie

Спустя месяц после того, как ЦБ разрешил дистанционно открывать счета для социально значимых платежей, крупнейшие банки так и не начали предоставлять услугу.
Основная причина — у банков нет четкого понимания процедуры удаленной идентификации и точной категоризации социально значимых платежей.
https://www.rbc.ru/finances/08/05/2020/5eb40e6e9a794717c29c4803?from=center

На днях ДИТ разослал всем, болеющим COVID дома, смс с указанием поставить приложение «Социальный мониторинг». Напомним, что предыдущая версия приложения, выпущенная в конце марта, не прожила и дня, и была «снесена» из-за скандала –оказалось, что приложение передаёт собранную информацию (https://news.1rj.ru/str/itsorm/1561) на серверы мэрии в открытом виде (https://news.1rj.ru/str/itsorm/1562) без какого-либо шифрования. Для распознавания лиц, приложение использует эстонский сервис — то есть, передаёт фотографии в эстонскую юрисдикцию и на серверы, расположенные в Германии. Обе страны входят в НАТО.
Нынешняя версия 1.1 запрашивает доступ к камере, постоянный доступ к геопозиции, обязывает сделать фото. Затем приложение по 15 раз за сутки шлет уведомления с ТРЕБОВАНИЕМ сделать свое фото и отослать. То, что больному человеку трудно бывает сделать фото, создателям приложения неведомо.
Какая-либо политика конфиденциальности отсутствует. В описании приложения говорится, что согласие на передачу личных данных пользователь дает, когда подписывает согласие на лечение на дому. Действительно, согласие берется врачом, который приходит домой к пациенту, но больной человек даже не успевает прочитать эти 4 страницы убористым шрифтом, копии ему никто не оставляет.
А где же хранятся ПД? В описании приложения говорится, что на защищенных серверах ДИТ. Как это проверить –не ясно. Про защищённость каналов передачи данных и применяемых алгоритмах распознавания в описании приложения не упоминается.
Оценка пользователей в AppStore – 1.2 из пяти.

Вид приложения "Социальный мониторинг"

Пациенты называют приложение «издевательством над больными», жалуясь на успешную регистрацию в системе лишь с «седьмого-восьмого раза», невозможность отправки фото, отсылку уведомлений им ночью и получение целой серии штрафов по 4 тыс. руб. по непонятным причинам. https://www.kommersant.ru/doc/4341485?fbclid=IwAR1JY5xQTIvprCnVf4KwrjvoUiYXx5Tq0uJvkccxsyVbYgs9_xFP8IYvvtA

Рубрика "Циничная бигдата"
Позиция компании Wheely по поводу передачи данных геолокации в Единую региональную навигационно-информационную систему Москвы (ЕРНИС), созданную и эксплуатируемую Дептрансом Москвы:
ЧТО ПРЕДСТАВЛЯЕТ СОБОЙ ЕРНИС
По сути дела, это «режим бога» для департамента транспорта. Система, которая в реальном времени показывает местоположение всех городских служб: скорой помощи, муниципального транспорта, ЖКХ, транспортировщиков опасных грузов и т.п. С 2017 года в ЕРНИС передаются и данные служб такси — с телефонов водителей.
О КАКИХ ДАННЫХ ИДЁТ РЕЧЬ
Информация об автомобиле: марка, модель, цвет, номер.
Информация о водителе: фамилия, имя, отчество, дата рождения, водительский стаж, телефон.
Статус: машина с пассажиром или нет.
Геолокация: местоположение каждой машины в реальном времени.
Эти данные дают возможность постоянно следить за любым водителем и косвенно — за пассажиром. Если известен адрес пассажира — а это может быть и адвокат, и журналист, и политик, — то не составляет труда отследить все поездки из этой точки и установить, когда и куда он поехал, с кем встречался.
ПОЧЕМУ МЫ НЕ СОГЛАСНЫ С ТРЕБОВАНИЕМ ДЕПАРТАМЕНТА ТРАНСПОРТА
ЭТО НЕЗАКОННО
Мы работаем в разных странах мира и везде соблюдаем закон, нравится он нам или нет. Сейчас ни один закон Российской Федерации не устанавливает обязанность передавать геолокацию машин, занятых перевозкой пассажиров — тем более, в реальном времени. Эта обязанность закреплена только для регулярных перевозок по нерегулируемым тарифам — то есть для автобусов.
Без федерального закона нельзя ограничивать права водителей и пассажиров на неприкосновенность частной жизни и защиту персональных данных. Подобная норма не должна вводиться без предварительного обсуждения, участия профильной комиссии, голосования. И полномочия местных властей (города или региона) на это не распространяются.
ЭТО ОПАСНО
Для Wheely очень важна безопасность — это одно из ключевых преимуществ сервиса. Многие выбрали нас именно по этим соображениям.
При передаче геолокации должно использоваться шифрование данных. ЕРНИС сейчас шифрование не поддерживает, то есть геолокация от всех компаний передаётся в открытом виде. Злоумышленникам достаточно перехватить данные, чтобы получить информацию о местоположении каждой машины.
Передача геолокации при таких условиях делает сервис менее безопасным и ставит под угрозу наших клиентов.
ЭТО НЕ РЕШАЕТ НИКАКУЮ ПРОБЛЕМУ
Цели сбора геолокации всех водителей неизвестны. Также неизвестно, как эта информация используется, и у кого есть к ней доступ. Прецедентов передачи такого количества данных нет — ни в других регионах России, ни в других мировых мегаполисах.
Apple и Google запретили использование геолокации даже в приложениях для отслеживания контактов с больными коронавирусом — чтобы не передавать точное местоположение людей и защитить их приватность.

Комментарий Циникса: Древние римляне две с лишним тысячи лет назад всё предвидели про Дептранс Москвы, ДИТ Москвы и все прочие депы Москвы. И не только депы, и не только Москвы.
Поэтому и придумали фразу: "Quis custodiet ipsos custodes?" - "Кто устережет самих сторожей?"
Русский народ перевел ее более точно: "Что охраняешь - то и имеешь".
ЕРНИС - это одна из более чем полутора сотен государственных ИС Москвы.
Федеральных ГИС по разным оценкам - от 500 до 800+. Всех региональных ГИС - порядка 10 тысяч.
Большинство из них собирает информацию от граждан и о гражданах. Создали и развивают их такие же рукожопые погромисты, как и те, что косячат сейчас с цифровыми пропусками и приложениями-надсмотрщиками.
Комментировать дальше Циникс не видит необходимости. Sapienti sat.
PS. За наводку на обращение руководства Wheely спасибо Ивану Бегтину.

​​Мошенники, пользуясь проблемами людей с обслуживанием долга, завлекают их на фальшивые сайты для получения кредитной истории. Эту информацию гражданам обещают предоставить после заполнения анкеты и оплаты в размере 299 рублей. Однако люди не только не получают желаемого, но и предоставляют злоумышленникам свои персональные данные, которые можно использовать для хищений средств со счетов. Более продвинутые мошенники даже предлагают жертвам улучшить рейтинг платежеспособности. В марте по сравнению с февралем число обращений на подобные фальшивые сайты выросло почти на 70%. @banksta

Путин велел к 1 июня подготовить план по ускоренному расширению банковских дистанционных услуг. Речь, в частности, идет "об услугах, связанных с заключением ипотечных кредитных договоров, а также услугах, связанных с идентификацией клиентов с использованием государственных информационных систем и информационных систем кредитных и иных финансовых организаций, с подтверждением согласия граждан на получение этими организациями информации о них из государственных баз данных". https://tass.ru/ekonomika/8444663

Госдума отложила второе чтение законопроекта о расширении использования биометрии при получении финансовых услуг. Интерессанты не согласовали позиции. https://rg.ru/2020/05/12/priniatie-zakonoproekta-o-predostavlenii-finuslug-po-biometrii-otlozheno.html

Разработанный налоговиками законопроект о едином федеральном информационном регистре, содержащем сведения о населении не прошел сегодня третье чтение в Госдуме. Его решили вернуть во второе. Против закона было много писем в комитеты, в том числе коллктивных. Противники законопроекта считают, что он нарушает положения Конституции РФ, гарантирующие соблюдение тайны информации о частной жизни граждан России,

https://newdaynews.ru/moscow/691685.html

Главконтроль сливает в сеть персональные данные оштрафованных за попытку побега из Цифрового концлагеря. По УИН штрафа можно получить полные ФИО и номер паспорта оштрафованного. https://ezhick.online/2020/05/12/10808/

Минкомсвязь России рекомендовала аккредитованным удостоверяющим центрам использовать способы идентификации клиентов, которые позволят выдавать электронную подпись удаленно https://digital.gov.ru/ru/events/39814/

Данные, якобы принадлежащие 9 млн клиентов службы экспресс-перевозки СДЭК, выставили на продажу в интернете за 70 тыс. руб. Это самая крупная утечка персональных данных в российских службах доставки, интерес мошенников к которым связан с ростом спроса на их услуги на фоне самоизоляции из-за коронавируса, отмечают эксперты. В самой компании настаивают, что из нее утечек не было, а источником данных мог стать другой ресурс.
https://www.kommersant.ru/doc/4342653

Мошенники начали использовать тему с возвратом денег за ваучеры на авиабилеты, чтобы получить доступ к персональным данным и картам банковских клиентов
https://www.rbc.ru/finances/13/05/2020/5eba921a9a7947684c4bfe2f

Законопроект об упрощенном переходе на онлайн-собрания собственников жилья прошел третье чтение — предполагается, что для этого гражданам больше не нужно будет проводить предварительное «бумажное» собрание. https://sozd.duma.gov.ru/bill/487583-7 Причем решать вопросы по управлению домом не только через ГИС ЖКХ, которая работает плохо, но и «иные системы», включая региональные. https://www.kommersant.ru/doc/4342652?query=собрание%20жильцов

Законопроект, разрешающий россиянам для получения банковских услуг сдавать биометрию через личные смартфоны и компьютеры, не предусматривает защиту от злоумышленников, предупредил Национальный совет финансового рынка (НСФР), куда входят многие крупные российские банки. Этим могут воспользоваться мошенники.
Соответствующий законопроект был внесен на рассмотрение в Госдуму в конце апреля группой депутатов во главе с председателем комитета по финансовому рынку Анатолием Аксаковым. Согласно документу физлица смогут самостоятельно сдавать свои биометрические данные (изображение лица и образец голоса) в ЕБС в случаях, определенных правительством по согласованию с ЦБ. Порядок сдачи биометрии в законопроекте не прописан: предполагается, что власти утвердят его впоследствии.
В документе недостаточно проработаны механизмы противодействия мошенничеству при самостоятельной регистрации в ЕБС: принадлежность биометрических персональных данных вносящему их лицу никак не удостоверяется, из-за чего банк впоследствии можно будет ввести в заблуждение.
Законопроект не устанавливает ответственности за внесение недостоверных данных в ЕБС. Проверка клиента по недостоверным данным служит прямым нарушением антиотмывочного закона и меры будут применяться в отношении самих банков, опасаются в НСФР
https://www.rbc.ru/finances/14/05/2020/5ebbb5899a7947df318af46e