Персональная информация

Все мы пользуемся телефоном, ходим на работу или на собеседования, пользуемся банковскими картами или просто путешествуем по просторам интернета. Зачастую даже не задумываясь о том, что оставляем след из персональных данных. Оставлять свои данные стало настолько привычно, что большинство из нас уже не читает соглашения или другие документы, с которыми соглашается на автомате. При этом наши данные могут быть использованы для разных целей: для показа определенной рекламы, спам-рассылок, фишинга и т.д. В этой статье хотелось бы рассказать о правах субъектов персональных данных, т.е. нас с вами. Какие законы регулируют работу с персональными данными и как действовать в непростых ситуациях, как отстоять свои честь и достоинство и право на личное пространство, которого и так почти не осталось.

Что такое персональные данные?

Итак, начнем с самого простого, что же такое персональные данные? Согласно определению, приводимому в ст. 3 ФЗ-152 О персональных данных это: любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. Другими словами это ФИО, номер телефона, электронная почта, паспортные данные, фотография и т.д. С этого момента уже начинаются вопросы, например, может ли ФИО считаться Персональными данными? Для ответа на этот вопрос обратимся к разъяснениям Роскомнадзора, в данном случае именно это ведомство выступает Регулятором.

Фамилия и инициалы гражданина это, несомненно, персональные данные субъекта. Однако, без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. ФИО (фамилия, имя, отчество) наряду со многими другими способами используется для идентификации отдельного человека среди других. По своей природе это составной ключ, идентификатор, основанный на комбинациях трёх параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать

Таким образом, только работа с комбинацией данных позволяющих определить конкретного человека может считаться обработкой персональных данных. Например, ФИО в комплексе с номером телефона и паспортными данными несомненно позволят идентифицировать человека.

ФЗ-152 О персональных данных

Основной документ, который регулирует отношения в сфере персональных был принят, еще в 2006 году и называется Федеральный закон О персональных данных. В него уже не раз вносились правки, но сейчас хотелось бы упомянуть о проекте нового КОАП, в данный момемнт активно обсуждается новый Кодекс административных правонарушений. В проект добавлена новая статья, которая предусматривает штрафы до 500 т.р. за утечку персональных данных. Раньше такой статьи не было, но не будем забегать вперед.

Сосредоточим внимание на 3-й Главе вышеупомянутого закона она так и называется Права субъекта персональных данных. И начнем со статьи 14. И первое на что имеет право субъект персональных данных доступ к своим персональным данным. Другими словами Вы можете в любой момент отправить любому оператору (не важно является ли он Государственным органом или нет) запрос на предоставление сведений касающихся Ваших ПД, и оператор обязан предоставить такую информацию. Сроки обработки такого запроса могут быть разными, но не превышать 30 дней. Например, если вы обнаружили в сети интернет, данные о себе, которые не соответствуют действительности, то владелец такого ресурса должен в срок не более 7-ми дней с момента получения Вашего запроса внести необходимые корректировки или вовсе удалить их.
Данный момент закреплен в статье 20 Федерального закона О персональных данных.

Как сформировать запрос оператору персональных данных?

При формировании такого запроса нужно соблюсти ряд требований, но они не очень сложны. Такой запрос должен содержать паспортные данные субъекта (Номер паспорта, дату выдачи, кем и когда он был выдан). Помимо этого Вы должны приложить подтверждение того, что оператор ведет обработку Ваших данных, это может быть номер и дата договора, скриншот или любые подтверждающие факт обработки сведения. Допускается даже словесное обозначение, т.е. просто описание того факта, что обработка Ваших персональных данных ведется конкретным оператором. Ну и конечно потребуется поставить подпись.
Допускается направлять запрос и в форме электронного документа, но в таком случае он должен быть подписан электронной подписью.

Если оператор предоставил Вам запрашиваемые сведения, то Вы имеете право запросить их повторно, но не ранее чем через 30 дней. Отсчет ведется с даты направления предыдущего запроса.

Если же оператор предоставил Вам не все сведения, которые Вы запрашивали, то ждать 30 дней не обязательно, в таком случае формировать повторный запрос можно сразу же. Но не забудьте обосновать свое обращение.



Какие сведения имеет право запросить субъект персональных данных?

На самом деле, оператор персональных данных должен соблюсти достаточно много условий для того, что бы иметь возможность работать с Вашей персональной информацией и поэтому список сведений, которые вы можете запросить достаточно большой. Давайте разберем их по порядку:

• 1) подтверждение факта обработки персональных данных оператором;
• 2) правовые основания и цели обработки персональных данных;

Правовыми основаниями могут выступать договор, устав, лицензия или норма закона, в памятке операторам РКН приводит следующий пример:

ст. 86-90 Трудового кодекса РФ; ст. 53, ч. 2 ст. 54 Федерального закона от 07.07.2003г. 126-ФЗ О связи; п. 4.5 Лицензии _____от______ ., выдана ООО _________ Федеральной службой по надзору в сфере связи на осуществление деятельности по оказанию услуг связи; п.1 Устава ООО _________, утверждённого на общем собрании акционеров 01.01.0000г., протокол 1.

Цели обработки персональных данных должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется.

Цели оператор определяет заранее, при подаче заявления в Роскомнадзор, подробнее про определение целей и подготовке уведомления в Роскомнадзор можно прочитать в этой статье.

• 3) цели и применяемые оператором способы обработки персональных данных;

Способы обработки могут быть автоматизированными, т.е. с применением средств вычислительной техники и неавтоматизированными или смешанными. Причем цели для разных способов обработки данных одного и того же человека могут быть разными.

• 4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• 6) сроки обработки персональных данных, в том числе сроки их хранения;
• 7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом О персональных данных;
• 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

Трансграничная передача, это передача Ваших данных на территорию другого государства. Для такой передачи оператору необходимо иметь Ваше письменное согласие.

• 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• 10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Когда могут отказать в доступе к персональным данным?

Несомненно каждый человек имеет право запросить у оператора сведения об обработке собственных персональных данных. Но есть и ряд исключений, когда оператор может отказать. Как правило все эти случаи связаны с работой силовых ведомств. Это может быть оперативно-розыскная или разведывательная и контрразведывательная деятельность. Доступ к ПД может быть ограничен, если в отношении субъекта возбуждено уголовное дело или если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации( отмыванию) доходов, полученных преступным путем.
Ограничение доступа может возникнуть, если нарушаются права и законные интересы третьих лиц.

СПАМ, персональные данные и закон о рекламе

Многие компании используют персональные данные для направления сообщений, которые рекламируют услуги или товары оператора. Все мы периодически получаем на почту информацию о скидках, акциях и специальных предложениях, но зачастую такие сообщения нам не интересны, докучают и мы даже не помним когда согласились на это заманчивое предложение.

В данном случае, помимо федерального закона О персональных данных стоит обратиться еще и к закону О рекламе. Но давайте разбираться по порядку.

В ст. 15 ФЗ-152 говориться, что обработка персональных данных в целях продвижения товаров, работ и услуг при помощи средств связи может осуществляться только при условии согласия физического лица. Очень интересный момент заключается в том, что в случаях рекламы собственных работ и услуг, компания должна доказать, что такое согласие было получено.
В случае, если Вы все таки дали оператору такое согласие( путем проставления галочки в чек-боксе на сайте или заключая с ним договор), то в любой момент можете его отозвать. Для этого достаточно написать обращение в компанию, которая забрасывает Вас письмами и оператор обязан немедленно прекратить обработку Ваших персональных данных для целей носящих рекламный характер.
Более того, если сообщения Вы получаете на электронную почту, в письме должна быть ссылка для автоматического отказа и исключения Ваших контактов из рекламной рассылки.


Что же такое реклама, обратимся к определению информация, распространяемая любым способом и адресованная неопределенному кругу лиц направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижению на рынке

Как и в ситуации с законом О персональных данных в законе О рекламе, в главе 2, ст. 18 написано, что распространение рекламы по сетям электросвязи допускается только при условии, что абонент дал на это предварительное согласие. Так же рекламодатель обязан доказать наличие такого согласия, как и в случае с требованиями 152-ФЗ. Требования законов сходятся и части того, что рекламораспостранитель обязан немедленно прекратить процесс распространения рекламы получив соответствующее требование от физического лица.

Если регулятором в области персональных данных выступает Роскомнадзор, то в случае закона О рекламе это Федеральная Антимонопольная Служба (ФАС). Требования к оформлению жалобы, размещены на сайте регулятора. Выполнить их достаточно просто, во многом механизм подачи схож с требованиями к подачи обращения в РКН, нужно указать:

• ФИО заявителя и его место жительства
• Наименование рекламодателя

В случае если заявитель не может самостоятельно предоставить доказательства правонарушения, то он вправе указать на юридическое или физическое лицо, от которого такие доказательства могут быть получены.

• Требования заявителя

Срок рассмотрения не должен превышать 1 месяц со дня его поступления, за исключением случаев когда доказательств не достаточно. При таком варианте развития событий ФАС должен уведомить Вас и может продлить срок рассмотрения жалобы, но так же не более чем на 1 месяц.

ПО результатам обращения ФАС может инициировать проверку. Результатом которой, вполне возможно, окажется штраф рекламораспространителю. Сумма штрафа в данном случае довольно существенная. Размер штрафов регламентирует ст. 14.3. КОАП РФ и достигать они могут 500 000р.

Пример из жизни, Сбербанк опять не на высоте

В качестве примера разберем случай произошедший с ПАО Сбербанк в 2018г. Суть данного судебного разбирательства состоит в том, что ПАО Сбербанк заключил с одним из своих клиентов договор на выпуск международной карты. При этом договор присоединения был составлен таким образом, что подразумевал отправку сообщений рекламного характера. Клиент не мог получить необходимую ему карту и при этом отказаться от навязанной банком услуги. В данной ситуации потребитель банковской услуги не растерялся и отозвал ранее данное согласие.
Когда же он получил очередную рассылку с рекламой услуг банка он обратился в Федеральную антимонопольную службу.
Не смотря на ряд доводов представителей банка, суд постановил Сбербанк выплатить штраф в размере 250 000р. В соответствии с ч.1 ст. 14.3. КОАП РФ.

Самое важное в одном абзаце

Физические лица достаточно хорошо защищены законодательством, в частности ФЗ-152 О персональных данных. Имеют право на доступ, изменение и уничтожение своей личной информации. В любой момент могут отозвать данное ранее согласие на обработку персональных данных. Имеют выигрышную позицию по отношению к оператору, который в свою очередь, должен доказывать, что получил вышеуказанное согласие. И как сказано в ст. 17 закона О персональных данных: Субъект имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке

От Selectel: это вторая часть перевода статьи про отпечатки браузера (тут можно прочитать первую). Сегодня поговорим о законности сбора сторонними сервисами и сайтами отпечатков браузеров разных пользователей и о том, как можно защититься от сбора информации.

Так что насчет законности сбора отпечатков браузеров?

Мы детально изучили эту тему, но не смогли найти конкретных законов (речь о законодательстве США прим. ред). Если вы можете указать статьи законов, которые регулируют сбор отпечатков браузеров в вашей стране, дайте нам знать, пожалуйста.

Зато в Европейском Союзе действуют законы и директивы (в частности, GDPR и ePrivacy Directive), которые регулируют использование отпечатков браузеров. Это вполне законно, но только в том случае, если организация может доказать необходимость выполнения такой работы.

Кроме того, для использования информации требуется согласие пользователя. Правда, есть два исключения из этого правила:

• Когда отпечаток браузера требуется для единственной цели осуществления передачи сообщения по сети электронной связи.
• Когда сбор отпечатков браузеров требуется для адаптации пользовательского интерфейса определенного устройства. Например, когда вы серфите в сети с мобильного устройства, задействуется технология сбора и анализа отпечатка браузера для того, чтобы вы получили адаптированную версию.

Скорее всего, похожие законы действуют и в других странах. Так что ключевой момент здесь в том, что сервис или сайт нуждаются в согласии пользователя для работы с отпечатками браузеров.

Но есть проблема не всегда вопрос явный. Чаще всего пользователю показывают лишь баннер Я согласен с условиями использования. Да, на баннере всегда есть ссылка на сами условия. Но кто их читает?

Так что обычно пользователь сам дает разрешение на сбор отпечатков браузера и анализ этой информации, когда кликает по кнопке согласен.

Тест отпечатка своего браузера

Окей, выше мы обсудили, какие данные могут собираться. Но что насчет конкретной ситуации собственного браузера?

Для того чтобы понять, какую информацию можно с его помощью собрать, проще всего воспользоваться ресурсом Device Info. Он покажет, что может получить сторонний наблюдатель с вашего браузера.


Видите этот список слева? Это далеко не все, остальная часть списка появится по мере прокрутки страницы. Город и регион на скрине не отображаются из-за использования VPN авторами.

Есть и еще несколько сайтов, которые помогают провести тест отпечатка браузера. Это Panopticlick от EFF и AmIUnique, open-source сайт.

Что такое энтропия отпечатка браузера?

Это оценка уникальности отпечатка вашего браузера. Чем выше значение энтропии, тем выше уникальность браузера.

Измеряется энтропия отпечатка браузера в битах. Проверить этот показатель можно на сайте Panopticlick.

Насколько точны эти тесты?

В целом, им можно доверять, поскольку собирают они ровно те же данные, что и сторонние ресурсы. Это если оценивать сбор информации по пунктам.

Если же говорить об оценке уникальности, то здесь не все так же хорошо, и вот почему:

• Сайты для тестирования не учитывают рандомные отпечатки, которые можно получить, например, при помощи Brave Nightly.
• У сайтов наподобие Panopticlick и AmIUnique огромные архивы данных, в которых содержится информация о старых и устаревших браузерах, пользователи которых проходили проверку. Так что если вы проходите тест с новым браузером, скорее всего, получите высокую оценку уникальности своего отпечатка, несмотря на то, что сотни других пользователей работают с тем же браузером той же версии, что и вы.
• Наконец, они не учитывают разрешение экрана или изменения размера окна браузера. Например, шрифт может быть слишком велик или мал или же из-за цвета текст сложно читать. Какой бы ни была причина, тесты этого не учитывают.

В целом, тесты на уникальность отпечатков не являются бесполезными. Их стоит опробовать для того, чтобы узнать свой уровень энтропии. Но лучше всего просто оценить, какую информацию вы отдаете наружу.

Как защититься от сбора отпечатков браузера (простые методы)

Сразу же стоит сказать, что полностью блокировать формирование и сбор отпечатка браузера не получится это базовая технология. Если хотите оградить себя на 100%, нужно просто не пользоваться интернетом.

Но количество информации, которая собирается сторонними сервисами и ресурсами, можно снизить. Здесь помогут такие инструменты.

Браузер Firefox с модифицированными настройками

Этот браузер неплох в вопросе защиты пользовательских данных. Недавно разработчики защитили пользователей Firefox от сбора отпечатков третьей стороной.

Но уровень защиты можно повысить. Для этого требуется зайти в настройки браузера, путем ввода в адресной строке about:config. Затем выбираем и меняем следующие опции:

• webgl.disabled выбираем true.
• geo.enabled выбираем false.
• privacy.resistFingerprinting выбираем true. Эта опция дает базовый уровень защиты против сбора отпечатков браузера. Но наиболее эффективна она при выборе и других опций из списка.
• privacy.firstparty.isolate меняем на true. Эта опция позволяет блокировать cookies от first-party доменов.
• media.peerconnection.enabled необязательная опция, но, если вы работаете с VPN, ее стоит выбрать. Она дает возможность предотвратить утечку WebRTC и демонстрацию своего IP.

Браузер Brave

Еще один браузер, дружественный к пользователю и дающий серьезную защиту персональных данных. Браузер блокирует разного рода трекеры, использует HTTPS везде, где можно, и блокирует скрипты.

Кроме того, Brave дает возможность блокировать большую часть инструментов для сбора отпечатков браузера.


Мы использовали Panopticlick для оценки уровня энтропии. По сравнению с Opera получилось 16.31 бит вместо 17.89. Разница не огромная, но она все же есть.

Пользователи Brave предложили массу способов защиты от сбора отпечатков браузера. Подробностей настолько много, что в рамках одной статьи их не перечислить. Все детали доступны на Github проекта.

Специализированные расширения для браузера

Расширения щепетильная тема, поскольку они порой повышают уникальность отпечатка браузера. Использовать их или нет выбор пользователя.

Вот что можно рекомендовать:

• Chameleon модификация значений user-agent. Можно установить периодичность раз в 10 минут, например.
• Trace защита от разных вариантов сбора отпечатков.
• User-Agent Switcher делает примерно то же, что и Chameleon.
• Canvasblocker защита от сбора цифровых отпечатков с canvas.

Используйте лучше одно расширение, а не сразу все.

Tor браузер без Tor Network

На Хабре не нужно объяснять, что такое Tor браузер. По умолчанию он предлагает ряд инструментов для защиты персональных данных:

• HTTPS везде и всюду.
• NoScript.
• Блокирование WebGl.
• Блокирование canvas image extraction.
• Изменение версии ОС.
• Блокирование информации о часовом поясе и настройках языка.
• Все прочие функции по блокированию инструментов слежки.

Но вот сеть Tor не впечатляет настолько, насколько сам браузер. Вот почему:

• Работает она медленно. Все потому, что серверов около 6 тыс., а вот пользователей порядка 2 млн.
• Многие сайты блокируют трафик Tor например, Netflix.
• Бывают утечки персональной информации, одна из самых серьезных случилась в 2017 году.
• У Tor странные взаимоотношения с правительством США их можно назвать тесным сотрудничеством. Кроме того, правительство финансово поддерживает Tor.
• Можно подключиться к ноде злоумышленника.

В общем, есть возможность использовать Tor браузер без сети Tor. Сделать это не так просто, но способ вполне доступный. Задача создать два файла, которые отключат сеть Tor.

Лучше всего это делать в Notepad++. Открываем его и добавляем в первую вкладку такие строки:

pref(general.config.filename, firefox.cfg);
pref(general.config.obscure_value, 0);


Затем идем в Edit EOL Conversion, выбираем Unix (LF) и сохраняем файл как autoconfig.js в директорию Tor Browser/defaults/pref.

Потом открываем новую вкладку и копируем эти строки:

//
lockPref(network.proxy.type, 0);
lockPref(network.proxy.socks_remote_dns, false);
lockPref(extensions.torlauncher.start_tor, false);


Название файла firefox.cfg, его нужно сохранить в Tor Browser/Browser.

Теперь все готово. После запуска браузер покажет ошибку, но на это можно не обращать внимания.


И да, отключение сети никак не повлияет на отпечаток браузера. Panopticlick показывает уровень энтропии в 10.3 бита, это гораздо меньше, чем с браузером Brave (было 16,31 бит).

Файлы, о которых говорится выше, можно загрузить отсюда.

В третьей, заключительной части поговорим о более хардкорных методах отключения слежки. Обсудим также вопрос защиты персональных данных и прочей информации при помощи VPN.