Міжнародний пакет Яровий: як в Росії і за кордоном зберігають дані користувачів?

Про який законопроект йде мова?

Уряд РФ вніс до Держдуми законопроект, що зобов'язує власників

технологічних мереж зв'язку, що мають номеравтономної системи, зберігати і надавати інформацію правоохоронним органам. Текст документа в понеділок розміщений в електронній базі даних нижньої палати.

Йдеться про зберігання на території Росії вПротягом трьох років «інформації про факти прийому, передачі, доставки та (або) обробки голосової інформації, текстових повідомлень, зображень, звуків, відео-або інших повідомлень осіб, що використовують технологічні мережі зв'язку».

Ініціатива також зобов'язує надавати зазначені дані «органів, що здійснюють оперативно-розшукову діяльність або забезпечення безпеки Російської Федерації».

Проект федерального закону містить обов'язковівимоги, оцінка дотримання яких здійснюється в рамках державного контролю (нагляду), муніципального контролю, при розгляді справ про адміністративні правопорушення.

Текст пояснювальної записки

Як законодавчо в Росії регламентується зберігання даних зараз?

1 липня 2018 року набула чинності остання частина антитерористичного пакету законів депутата Ірини Ярової та сенатора Віктора Озерова.

  • Що зберігають?
  • текстові повідомлення
  • голосова інформація
  • зображення
  • звуки
  • відео
  • інші електронні повідомлення

Дані зберігають не більше півроку. У цих межах закон дозволяє уряду Росії самостійно визначати терміни зберігання повідомлень користувачів. В результаті правила виглядають так:

  • інтернет-компанії повинні будуть зберігати повідомлення користувачів все шість місяців
  • оператори зв'язку, які обслуговують користувачів стаціонарних, мобільних та супутникових телефонів, пейджерів і таксофонів - теж шість місяців
  • інтернет-провайдери з 1 жовтня 2018 року - від одного до шести місяців

До реєстру організаторів поширення інформаціїпоки увійшли трохи більше ста інтернет-компаній: найбільші російські ( «Яндекс», Mail.ru, Rambler), деякі зарубіжні (WeChat, Opera) і безліч невеликих сайтів, де користувачі можуть залишати коментарі. Мінкомзв'язку порахував, що наявність коментарів - достатня підстава для реєстрації в реєстрі.

При цьому в реєстрі немає багатьох великих зарубіжних соціальних мереж (Facebook, Twitter, Instagram) і месенджерів (WhatsApp, Viber).

Невідомо, чи збираються вони виконувати «законЯровий »чи ні. Єдиною іноземною компанією, що заявила, що не буде співпрацювати зі спецслужбами, виявився Telegram, хоча формально його і включили в російський реєстр.

Як дані зберігають у США?

У країні прийнято два рівня правового регулювання будь-яких значущих відносин: на рівні федерації і на рівні штатів, чиї повноваження в сфері законотворчості за Конституцією США дуже широкі.

На загальнодержавному рівні системнерегулювання права на захист персональних даних як таке відсутнє. Прийнято два нормативні акти, які визначають обов'язки державних органів у цій сфері, не торкаючись норм, що регулюють діяльність з обробки персональних даних громадян компаній-операторів.

Privacy Act of 1974 і Privacy Protection Act of198 повинні застосовуватися тільки федеральними органами. Оскільки вони містять технічні норми, що регулюють режим конфіденційності даних, компанії можуть скористатися ними в якості рекомендацій з організації своєї діяльності. У разі виникнення суперечок, пов'язаних із захистом персональних даних, суд, скоріше, звернеться ні до них, а до прецедентної практики.

Законодавство штатів США, повністю автономних в своєму правовому творчості, часто виявляється істотно конкретніше і жорсткіше, ніж федеральний.

Один з найяскравіших нормативних актів,регулюють цю сферу і недоторканність приватного життя, прийнятий в штаті Каліфорнія. Він стосується лише підприємств-операторів, які здійснюють збір персональних даних користувачів мережі Інтернет.

Тепер кожну особу, яка користується їх послугами, має право знати:

  • яку саме інформацію про них збирають провайдери та інші інтернет-компанії;
  • з якою метою збираються ці відомості;
  • яким чином вони будуть використані.

Користувачі інтернет-послуг отримали право вимагати знищення цих даних або забороняти передачу їх третім особам в будь-яких цілях.

Ця норма є в якійсь мірі аналогомросійської, роздільною фізичним особам відкликати згоду на обробку персональних даних, за одним винятком. Американські суб'єкти даних такі згоди не надавали, а інформація, яку збирають компаніями, пов'язана більшою мірою з інтернет-активністю користувачів.

Такий жорсткий рівень регулювання в разімасового застосування закону жителями Каліфорнії здатний завдати серйозних збитків інтернет-компаніям. Додатково закон Каліфорнії мінімізує права операторів на збір і передачу третім особам персональних даних неповнолітніх.

  • Застосовувані в США стандарти в області захисту персональних даних

Закони, що діють в Америці, не можуть повністюзакрити всі правове поле, пов'язане з регулюванням захисту персональних даних. У Росії діє та ж модель, застосування закону забезпечується прийняттям безлічі підзаконних актів на рівні уряду і ФСТЕК.

В Америці в сферу дії двох федеральних актів не потрапили стандарти і параметри, що регулюють вимоги до автоматизації систем захисту персональних даних.

Оскільки цей напрямок забезпеченнябезпеки інформації при її зберіганні та обробці вимагає додаткового серйозного регулювання, аналогічного тому, яке в Росії здійснюють ФСБ і ФСТЕК, американським операторам наказано користуватися рекомендаціями, які видаються Національним інститутом стандартів і технологій (NIST - National Institute of Standards and Technology). Ця організація видає нормативно-правову документацію, що носить характер російських ГОСТів.

Як збирають дані компанії?

  • Пентагон

Об'єднаний центр штучного інтелектуПентагону наймає компанії для підготовки військових даних для використання з ІІ. Заява Пентагону свідчить про перехід ролі центру ІІ від розробника продукту до постачальника послуг із забезпечення готовності ІІ для потреб Міністерства оборони США.

Базова угода дозволить різним відділамміністерства і федеральним партнерам видавати замовлення на виконання послуг по обробці даних для роботи з іноземними інвестиціями, що може включати всі: від збору даних до їх сортування для зберігання і моделювання того, як співробітники будуть використовувати їх з ІІ.

Угода про замовлення послуг по забезпеченнюготовності даних для розробки штучного інтелекту (DRAID) «допоможе Міністерству оборони США і урядовим організаціям підготувати дані для використання в додатках штучного інтелекту, надавши легкий доступ до передових комерційним сервісів, необхідним для вирішення складних технічних завдань», - йдеться в заяві Пентагону

Серед напрямків, якими займеться Пентагонразом з цивільними партнерами: збір та курирування даних, генерація синтетичних даних і анонімізація даних, розробка, модифікація та налаштування програмного забезпечення і так далі.

  • iOS і Android

Дослідники з Ірландії вивчили, в якому обсязідані iOS і Android відправляються Apple і Google. Наприклад, Apple і Google отримують IMEI пристроїв, серійний номер обладнання, серійний номер SIM-карти і IMSI, номер телефону та інші дані.

Більш того, Android і iOS продовжують передаватителеметрію своїм компаніям-виробникам, навіть якщо користувач спеціально не розкриває ці дані. Фактично як тільки користувач вставляє SIM-карту в будь-який пристрій, відповідні дані передаються батьківським компаніям кожного з них.

У користувачів немає можливості уникнути того,щоб пристрої iOS повідомляли Apple MAC-адреси найближчих пристроїв, а також дані про місцезнаходження по GPS. Дійсно, цим користувачам навіть не потрібно входити в систему, щоб пристрій міг поділитися даними. З іншого боку, Google збирає набагато більший обсяг даних з найближчих пристроїв, ніж Apple.

Для порівняння:Google отримує близько 1 МБ даних в порівнянні з 42 КБ для Apple. У режимі очікування Android Pixel відправляє близько 1 МБ кожні 12 годин, а iOS - 52 КБ. Google збирає приблизно в 20 разів більше даних з мобільних телефонів, ніж Apple.

Такі додаткові функції, як iCloud, Safariі Siri, відправляють призначені для користувача дані в Apple незалежно від того, чи дозволяє користувач це дія або навіть знає, що його дані передаються.

В Google Android такі додатки передаютьChrome, YouTube, Google Docs, Google Messaging, Clock, Safetyhub і Google Searchbar. Основна причина, по якій ці пристрої в кінцевому підсумку відправляють так багато даних, пов'язана з підключенням до внутрішнього сервера, який автоматично оновлюється по IP-адресою.

Як тільки у компанії є IP-адреса, вони зазвичай можуть визначити відповідне географічне розташування.

  • Google

Представники компанії Google заявили про створеннятехнології FLoC (Federated Learning of Cohorts): вона дозволить відмовитися від орієнтування реклами на основі cookie-файлів. Стверджується, що FLoC підвищить приватність серфінгу і дозволить не вдаватися до збору персональних даних користувачів.

Зростаючий страх перед відстеженням розташуванняза допомогою cookie спонукав компанію підтримати законодавство про права інтернету і розробити спосіб ефективно зорієнтувати рекламу без збору всієї доступної інформації про користувача.

Суть технології в тому, що підбір рекламнихоголошень по FLoC не вимагає доступу до даних конкретного користувача, а об'єднує людей зі схожими інтересами в групи. Таким чином, рекламне оголошення бачить група користувачів.

Крім цього, використання FLoC дозволить боротися з шахрайським рекламним трафіком.

Google анонсувала технологію в 2019 році.Тестування проведуть в 2021 році. Дата впровадження технології ще невідома, тому що в компанії ще не вирішили юридичні питання. Тестування пройде на базі Chrome.

Читати далі:

Створено першу точна карта світу. Що не так з усіма іншими?

Вертоліт Ingenuity успішно злетів на Марсі

У НАСА розповіли, як вони доставлять зразки Марса на Землю