Зашита персональных данных в социальных сетях.

Привет.

Сегодня я бы хотел предложить Вам поговорить о защите персональных данных в социальных сетях. Тема очень актуальная во все времена, и набирающая еще большую популярность каждый день.

Современному обществу невозможно обойтись без социальных сетей.  Каждый человек, независимо от пола и возраста, который хоть немного связан  с компьютером, зарегистрирован хотя бы в одной социальной сети. Социальные сети стали тем миром, который способен, хоть пока и условно, заменить собой реальный мир, давая человеку возможность получить желаемое здесь и сейчас. Вовлекаясь в этот невероятно увлекательный процесс, каждый человек, так или иначе, раскрывает для неограниченного круга лиц персональную информацию о себе. Конечно, многие могут не согласиться с этим, сказав, что социальные сети дают возможность ограничить доступ к своим персональным данным для всех, оставив доступ только для выбранной категории пользователей.  Это, безусловно, так, но речь сейчас не только об этом. Дело в том, что любой без исключения сайт требует от нас ввода личной информации. От простейшей, в виде имени и номера телефона или почты, до подробной, включая ФИО, дату рождения, и.т.д.  Привыкая к подобному положению вещей, мы подчас не задумываемся о том, что происходит с нашими данными потом. Наверняка многие даже задаются вопросом, а должны ли мы заботиться о том, в безопасности ли наши персональные данные, исходя из собственных представлений о защите своих интересов. И тут я считаю не должно быть место для частного мнения пользователей, поскольку безопасность персональных данных пользователей должна обеспечиваться оператором, который осуществляет их обработку, независимо от того знают ли пользователи или субъекты персональных данных о последствиях уязвимости. И тут на первый план выходят требования закона. Разумеется речь идет о Федеральном законе 27.07.2006 г. № 152-ФЗ «О персональных данных». Говоря о безопасности персональных данных мы подразумеваем  состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных. Понимание этого термина как нельзя лучше характеризует векторы защиты данных пользователей.

Так Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» устанавливает, что:

- обработка персональных данных допускается только с согласия субъекта персональных данных на обработку его персональных данных (статья 6).

- операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (статья 7).

- При этом согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме (статья 9). Таким образом, получается, что если пользователь дает согласие использовать его данные в одном ресурсе или социальной сети, это не значит, что их можно использовать для сопряжённой социальной сети, что является проблемой для связанных между собой сервисов.

Дело еще в том, социальная сеть, как оператор персональных данных, вынуждена обрабатывать все персональные данные, которые передает ей пользователь, в том числе специальные, поскольку  пользователь может выложить абсолютно любые данные, которые посчитает нужным. Именно по этому, такие объемы информации необходимо тщательно защищать от несанкционированного завладения.

Нередко из СМИ можно услышать об утечках данных пользователей из различных баз данных.
Вот только небольшой список таких сообщений за 2016 г.

- В мае 2015 г. электронное издание tjournal.ru сообщило об утечке 6,7 миллиона паролей пользователей сервиса анонимных мнений «Спрашивай.ру».

- В июне 2016 г. электронное издание geektimes опубликовало новость о том, что ресурс LeakedSource, занимающийся мониторингом и анализом утечек, сообщил об утечке в Сеть данных примерно 100 млн аккаунтов социальной сети «Вконтакте». Эти данные не выложены в свободный доступ, но продаются. На продажу их выставил хакер с ником Peace.;

- Также а июне 2016 г. электронное издание asmo.ru сообщило об утечке паролей Twitter-аккаунтов.

И это лишь небольшая часть. Все чаще слышны мнения экспертов о незащищённости систем и баз данных.

Нацеленность хакеров со всего мира на получения доступа к персональным данным пользователей обусловлена, прежде всего, тем, что это очень востребованный на рынке товар. Помимо крупных интернет-компаний, таких как Яндекс , Facebook, ВКонтакте , Google , которые зарабатывают на таргетированной рекламе, есть целый ряд других игроков этого рынка, которых также может интересовать такая информация. Все больше экспертов уверены, что бесконтрольным этот рынок оставаться не может, необходимо государственное регулирование в этом вопросе. Стоит заметить, что сами государственные органы уделяют этому вопросу должное внимание, обеспечивая безопасность персональных данных при оказании электронных услуг, что является весьма оправданным, поскольку инфокоммуникационные услуги отличаются использованием большого объема чувствительной информации, которая нуждается в защите. Зачастую это не только логины и пароли, которые могут совпадать с логинами и паролями пользователей, которые они используют в других социальных сетях, но и платежная информация.

Проблемы защиты персональных данных.

Проведенные исследования выявили, что многие пользователи  предоставляют доступ к большему объему сведений, чем им изначально хотелось бы. И речь не только о случаях, когда, например, заполняя анкету на получение бонусной карты торговой сети магазинов, в анкете предлагается указать столько информации о себе, что невольно задаешься вопросом, а зачем столько? Например, я никогда не указываю в таких анкетах адрес места жительства, потому как уверен, что для понимания географии своих покупателей, магазину достаточно знать город проживания, ну или, в крайнем случае, район. Сообщая о себе «лишние подробности» человек становиться уязвимее, а его жизнь более открытой. Чрезмерное раскрытие персональной информации о себе способно существенно навредить, и, конечно же, в первую очередь на ум приходит ситуация со всякими фотографиями в сети, которые стали в последующем компрометирующими.  Но даже не общественный резонанс Важен в этом вопросе. Располагая достаточной информацией о человеке, злоумышленники могут выдать Вас за себя, а это уже очень большая проблема. Возвращаясь к возможностям настойки пользовательского доступа в соцсетях, нельзя не отметить, что это решает проблему только от части, поскольку существуют и другие пути утечки персональных данных в общий доступ. Поскольку данные, размещаемые пользователями в социальных сетях — это общедоступные данные, они могут быть обработаны сторонними сервисами, но у физического лица всегда есть право на исключение этих данных из использования, путем направления соответствующего требования об этом. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.

 

Политика конфиденциальности в социальных сетях.

Как правило, каждая социальная сеть обязана информировать пользователей о применяемой политике конфиденциальности. Информация об этом размещается на сайте социальной сети. Мы не будем подробно останавливаться на описании политики конфиденциальности отдельно взятых социальных сетей, скажу лишь, что все они обязаны осуществлять обработку  персональных данных пользователей в соответствии с законодательством РФ  -  Федеральным законом от 27 июля 2006 г. N 152-ФЗ „О персональных данных“. Согласно ст. 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Законодательный надзор или кто защищает пользователей?

С вступлением в законную силу Федерального закона "О персональных данных" полномочия по защите прав субъектов персональных данных были возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор). На сегодняшний день Роскомнадзор является федеральным органом, осуществляющим государственный контроль и надзор за исполнением принимаемых законодательных актов в области персональных данных. Деятельность ведомства регулируется: Конституцией Российской Федерации от 12 декабря 1993 г.; Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных"; Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"; Федеральным законом от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных";
А также рядом подзаконных нормативных правовых актов:
Постановление Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" и др.

Успевает ли закон за ростом и трансформацией социальных сетей, и в полной ли мере он отражает все потребности этой сферы?

По мнению некоторых экспертов, ряд требований ФЗ-152  ставит интернет-коммерцию вне закона, в том числе социальные сети, в части реализации технических средств, используемых для обработки персональных данных пользователей социальной сети. Например, особо горячо обсуждается необходимость иметь согласие субъекта персональных данных на обработку персональных данных в таком виде, чтобы это позволяло в любой момент времени подтвердить наличие такого согласие. Стоит отметить, что, на мой взгляд, юридическими методами чаще решаются последствия каких либо действий. В качестве примера можно привести требование субъекта персональных данных об удалении его персональных данных с Интернет-ресурса, или направление заявления об отзыве согласия на обработку персональных данных. Недопустимость этих последствий должна обеспечиваться техническими решениями, направленными на защиту персональных данных пользователей. Прогресс остановить нельзя, но вопрос является настолько многогранным, что, на мой взгляд, только неукоснительное соблюдение требований закона и применение современных средств защиты может повысить процент защиты персональных данных в социальных сетях. Однако не стоит забывать, что  вероятность риска прямо пропорциональна динамике и темпам роста объемов передачи информации посредством социальных сетей. Таким образом, вопрос защиты персональных данных в социальных сетях всегда является актуальным. Можно конечно говорить о том, что закон не успевает за современными тенденциями и не поспевает за современным миром, но в таком случае каждый сам в праве определять степень раскрытия информации о себе, но даже при таком сценарии, мы всегда будем вынуждены оглядываться на закон, поскольку возможность нашей защиты обеспечивается исходя из его требований и положений.

Павел Манык.
Юрист, Управляющий партнер «Юридической компании «БЕЛЫЙ КВАДРАТ».