Поскольку с сегодняшнего утра невероятный бум публикаций, вначале со ссылкой на исследование о трекерах, потом с опровержениями со стороны Яндекса, Mail.ru и Минцифры и все пишут и комментируют что никаких данных не передаётся, всё это техническая информация просто для удобства разработчиков. Ребята, я не понимаю зачем Вы это делаете и вот так подставляетесь, честно. Я ведь всегда пишу по простому сценарию:
- вбрось достаточно информации, чтобы все обсуждали, но не всё
- подожди пока не начнут оправдываться
- предъяви дополнительные доказательства
- подожди пока не начнут оправдываться
- предъяви дополнительные доказательства

Я могу, безусловно, указать на конкретные условия использования конкретных сервисов, могу показать записи трафика со структурой передаваемых данных, могу показать на вполне конкретные результаты находок европейских и других регуляторов которые проводили анализ приложений включающих эти или аналогичные трекеры в рамках регулирования AdTech рынка.

Конечно же всё это есть и конечно же я не буду сразу это предъявлять, для всего нужен хороший момент. Вот к 1 апреля был хороший повод, я о нём предупреждал за 2 месяца. Я вообще веду себя даже черезчур предупредительно, не делаю ничего неожиданного, предупреждаю обо всё очень заранее. Даже непривычно как-то;)

Вот и тут ситуация такая же, будет свежий повод в течение ближайших месяцев, а я думаю он появится к июлю-августу, то и будет продолжение темы.

Только журналисты уже будут писать об этом в риторике: "Ранее Яндекс и Mail.ru отрицали передачу персональных данных" или "Ранее Минцифры отрицали передачу персональных данных россиян предустановленным ПО".

И снова я повторю одну и ту же мысль. Пока рынок AdTech существовал сам по себе - каждый гражданин сам нёс ответственность. Когда туда пришёл регулятор в лице Минцифры, то не надо увиливать, несите ответственность за то что вы требуете ставить на телефоны граждан. Не к Яндексу и не к Mail.ru и к другим претензии, а к тем кто обязал ставить их ПО на смартфоны в обязательном порядке.

#privacy #mobileapps

28 мая в 19:00 пройдут публичные дебаты "Тотальные данные: контроль или удобство" организованные Политехом [1]. Дебатировать буду я и исполнительный директор по исследованию данных Sber AI Михаил Степнов.

Мою позицию про приватность большинство давно знают, я её в каком-то более концентрированном виде подготовлю к дебатам.
Дебаты будут, также, транслировать на канале Политеха [2]. Не проходите мимо, приходите и смотрите.

Ссылки:
[1] https://polymus.ru/ru/museum/news/total-data/
[2] https://www.youtube.com/user/polytechnicum

#data #privacy #debates

Хуже утечек персональных данных у российских госорганов - это сотрудники органов власти и госучреждений публикующих списки людей с их паспортными данными, адресами, номерами СНИЛС и так далее в открытом доступе.

Вот к примеру в одном из муниципальных районов официально выложен на сайте "СПИСОК ГРАЖДАН СОСТОЯЩИХ НА УЧЁТЕ В КАЧЕСТВЕ НУЖДАЮЩИХСЯ В ЖИЛЫХ ПОМЕЩЕНИЯХ, ПРЕДОСТАВЛЯЕМЫХ ПО ДОГОВОРАМ СОЦИАЛЬНОГО НАЙМА" в виде Excel файла.

В других случаях выложены договора, паспортные данные ИП получившего лицензию на транспортные перевозки или граждан получающих социальные выплаты из муниципального бюджета или победителей спортивных соревнований.

Мало в каких странах в таких объёмах требуют персональные данные гражданина и одновременно так халатно к этому относятся.

#privacy #personaldata

Отмечаемая сегодня 15-я годовщина федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" - это повод задуматься не только о полноценной Privacy Impact Assessment как инструменту защиты прав граждан, но и о монетизированной оценке издержек операторов персональных данных на соблюдение все возрастающего объема обязательных требований
#PersonalData #privacy #PIA #ОТ

Главный радиочастотный центр (ФГУП при Роскомнадзоре) объявил закупку на "Выполнение работ по созданию автоматизированной системы мониторинга нарушений прав субъектов персональных данных в сети «Интернет» " [1] (АС МПДн)

Закупают они по 223-ФЗ, поэтому победителя торгов мы не узнаем, а вот на что точно можно и нужно обратить внимание так это на чрезвычайно детальное техническое задание с тщательным перечислением всех технических средств предполагаемых к использованию, что, чаще, бывает когда ТЗ пишет поставщик предопределенный госзаказчиком. Но, опять же, с сайта ЕИС мы о поставщике не узнаем.

Зато можно обратить внимание по каким ключевым словам Роскомнадзор собирается искать сайты распространяющие ПДн.

Как бы сказать помягче, система в будет совершенно бессмысленна. Её заказчики явно не понимают как устроено распространение персональных данных.

Ссылки:
[1] https://zakupki.gov.ru/223/purchase/public/purchase/info/common-info.html?regNumber=32110590564

#privacy #rkn #procurement

Сегодня в 15:00 я выступаю на Eurasian Data Protection Congress 2021 с докладом Слежка за гражданами через мобильные государственные приложения, а сам конгресс начнётся уже скоро, в 10:00 с трансляцией на сайте https://edpc.network

Будет много интересных спикеров, актуальных вопросов о приватности граждан, так что рекомендую даже тем кто пока ещё далек от тем приватности.

#privacy #events #surveillance

Моя презентация с конгресса EDPC о слежке через государственные мобильные приложения [1].
В презентации всё сказанное не передашь, так что задавайте вопросы/комментируйте в чате

Ссылки:
[1] https://www.beautiful.ai/player/-MmSXg4uXGoxpIGjBlSc

#privacy

🇷🇺✌️🏛️#роструд #кт #работники #privacy
Работодатель не может запретить сотрудникам разглашать размер зарплаты
🔸В трудовом договоре работодатель запретил сотруднику разглашать размер зарплаты под угрозой дисциплинарной ответственности. Причина – по мнению работодателя, сведения о зарплате являются информацией, содержащей персональные данные. Роструд спросили, вправе ли работодатель включать такое положение в трудовой договор (Письмо Роструда от 24 мая 2022 г. № ПГ/11476-6-1).
🔸В письме сообщается, что обязать работника скрывать размер собственной зарплаты работодатель не вправе. В связи с этим такое условие, даже если оно включено в трудовой договор, не подлежит применению как противоречащее трудовому законодательству и ограничивающее права работника.
🔸Сославшись на письмо Роскомнадзора от 7 февраля 2014 г. № 08 КМ-3681, чиновники пояснили, что сведения о заработной плате лица являются информацией, содержащей персональные данные субъекта.

#materials #rppa #research #privacy

💬Comply совместно с RPPA.ru провели опрос privacy-сообщества об отношении к новому 152-ФЗ.

Результаты опроса

❤️В опросе приняли участие 60+ респондентов.

🧸Благодарим каждого, кто прошел опрос – спасибо!

С уважением,
RPPA & Comply.

В The Markup очередная хорошая статья про приватность [1], на сей раз о компаниях которые собирают данные из автомобилей и о автомобилях.

В общей сложности это 37 компаний связанных с индустрией подключений к автомобилям, в оригинале - connected vehicle data industry. При том что этот рынок считают относительно молодым, его оценивают от 300 до 800 миллиардов долларов США к 2030 году [2].

Из автомобиля собирается самая разная информация: местонахождение, скорость, когда нажат тормоз, какая музыка играет, была ли открыта дверь, внутренняя температура и так далее. Всё это собирается, обрабатывается локально и передаётся, например, производителю автомобиля.

В статье немало примеров, особенно компаний создающих хабы данных перепродаваемых, например, страховым компаниям.

Выводы там оптимистичные, в том что производители автомобилей начинают идти по пути Apple и предлагать приватность как часть услуги, давая возможность ограничивать передачу данными другим компаниям. Например, так делает Porshe, в этой индустрии.

Лично я не столь оптимистичен, потому что целью Apple было перестроить рынок под себя и не только повысить приватность, но снизить возможности её нарушения для конкурентов и сохранить такую возможность для себя.

Тем не менее я бы зафиксировал следующее именно в отношении автомобилей:
1. Тренд на усиление сбора данных с автомобилей сохраняется и усиливается. Данных собирается всё больше и с большей частотой и гранулярностью.
2. Технологии позволяют собирать данные хоть со всех машин в мире, ограничения скорее в количестве машин выпускаемых основными вендорами и наличию чипов для них.
3. Учитывая значимость этих данных национальные регуляторы точно будут требовать их локализацию, а полиция захочет иметь к ним доступ.

Ссылки:
[1] https://themarkup.org/the-breakdown/2022/07/27/who-is-collecting-data-from-your-car
[2] https://www.documentcloud.org/documents/22120767-capgeminiinvent_vehicledatamonetization_pov_sep2020#document/p5/a2130948

#privacy #data

🌍💡📖 #privacy #digital #аналитика
Интересная статья Тиграна Оганесяна "Право на защиту персональных данных: исторический аспект и современная концептуализация в эпоху Big Data":
🔸Автор приходит к выводу, что право на защиту персональных данных сегодня находится в промежуточном состоянии: его уже нельзя в полной мере рассматривать ни как часть права на уважение частной жизни, ни в качестве полноценного и самостоятельного права.
🔸 Для повышения стандартов национальной правовой системы и установления достаточных гарантий в области защиты данных рекомендуется ратифицировать и имплементировать новые положения Конвенции о защите физических лиц при автоматизированной обработке персональных данных (Конвенции 108).
🔸Особое внимание следует уделить вопросу создания на национальном уровне должности комиссара (инспектора) по защите данных, а также системы независимых органов, осуществляющих эффективный надзор за деятельностью государственных органов и крупных корпораций в сфере сбора персональных данных.

Результаты свежего исследования Инфокультуры с анализом приватности (читай - слежки) 1014 мобильных приложений для Android опубликованных в магазине приложений RuStore.

Мы работали над ним около месяца, анализируя все опубликованные приложения на предмет тех разрешений которые затребуют на устройствах пользователей и наличия в них кода специальных библиотек (трекеров) используемых для слежки за потребителями.

Почему RuStore и приложения оттуда? Потому что усилиями Минцифры РФ и Правительства РФ именно этот магазин приложений стал официальным, фактически, нормативно закреплённым. Можно говорить о том что компания ВК и Правительство РФ теперь несут совокупную ответственность за то как приложения оттуда следят за нами.

Выводы [не]удивительные:
- большая часть приложения включает трекеры, требуют больше разрешений чем им реально может быть нужно, а сам магазин приложений не имеет стандартов верификации.
- большая часть приложений передают данные компаниям в юрисдикциях которые Правительство РФ называет "недружественными"
- даже госприложения включают трекеры, например компании Google, передающие данные о гражданах в другие страны и в BigTech корпорации

44 госприложения мы анализировали в прошлом году, но в этот раз решили подойти масштабнее и проанализировали 1014 приложений всех категорий. Было это дольше, но не менее увлекательно.

С результатами исследования мы публикуем все данные в CSV и исходный код по их подготовке [2].

Если будут сложности самостоятельного анализа данных в CSV и если Вы журналист или исследователь, хотите сделать собственную визуализацию или материал, свяжитесь с нами на infoculture@infoculture.ru, мы поможем․

Ссылки:
[1] https://rustoreprivacy.infoculture.ru
[2] https://github.com/infoculture/rustore-privacy/

#privacy #infoculture #android #mobileapps

🇷🇺⚡🏛️ #privacy #мнение #разглашение
🔸Москалькова считает смешным наказание за разглашение персональных данных.
🔸Каждый человек должен иметь возможность распоряжаться данными о себе, чтобы никто ни при каких условиях без его согласия не мог придавать публичности даже достоверные данные о нём. При этом на сегодняшний день в России ответственность за разглашение персональных данных смешная. Об этом на полях Восточного экономического форума уполномоченный по правам человека в России Татьяна Москалькова.

Если вам кажется что только в Вашей стране, где бы Вы ни были, всё делают через одно место и это не голова, то это не так. Например, Chaos Computer Club (CCC), старейшая хакерская команда в Германии, пишут о том что германская компания Gematik отвечающая за информатизацию здравоохранения плохо понимают в информационной безопасности того что они делают [1].

Текст на немецком языке, но легко переводится и смысл его в том что по номеру медицинской страховки сотрудник аптеки может получить о человеке всю информацию о его рецептах, без дополнительной авторизации и подтверждения самого человека. Учитывая что в Германии идёт цифровизация здравоохранения с переходом на электронные рецепты - то это становится актуально.

Я бы ещё обратил внимание на модель угроз которую они описывают. Сотрудник аптеки может продать таблоидам номера страховок знаменитостей и те могут узнать из рецептов от чего знаменитости лечатся.

Это не единственный "косяк" от Gematik, но достаточно яркий.

А если вернуться к российским реалиям, то для авторизации на российском портале ЕМИАС [2] достаточно номера карточки медицинского страхования и даты рождения. После этого доступны данные о записях к врачам, рецептам и направлениям (хорошо хоть не самой медкарты).

Это означает что любой врач в системе ОМС имеющий доступ к Вашему анамнезу может увидеть всю эту информацию на сайте ЕМИАС и Вы никогда об этом не узнаете. Но, всё интереснее. В медицинских полисах последние 6 цифр - это и есть дата рождения. Если у кого-то есть номер вашего мед полиса и даже если этот кто-то не знает даты Вашего рождения он/она может получить доступ к этому же личному кабинету.

Страны разные, проблемы похожие.

Ссылки:
[1] https://www.ccc.de/updates/2022/erezept-mangelhaft
[2] https://emias.info/

#security #privacy #germany #russia

🇷🇺🇮🇱⚖️ #фсб #сохнут #privacy #локализация
🔸Одной из причин требования Минюста РФ о ликвидации Еврейского агентство для Израиля ("Сохнут") стало нарушение закона о персональных данных.
🔸 Согласно справке УФСБ по Саратовской области о том, что отделения "Сохнут" используют нелицензированную информационную систему в своих отделениях в Саратове и Новосибирске.
🔸Организация обратилась за независимым аудитом в IT-компанию "Айдеко", чтобы понять, какие именно нарушения закона о персональных данных допущены и как устранить их.
🔸Суд отложил на 19 октября заседание по иску Минюста о ликвидации агентства "Сохнут".

#materials #privacy

Практический комментарий RPPA
к некоторым положениям Федерального закона от 14 июля 2022 года No 266-ФЗ "О внесении изменений в Федеральный закон «О персональных
данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»

🔹Председатели Европейской комиссии, Европейского парламента и Европейского совета 15.12.2022 подписали Европейскую декларацию о цифровых правах и принципах ("Декларация"), предложенную Комиссией в январе 2022 года и направленную на поддержку целей Цифрового компаса 2030 года. Декларация представляет собой обязательство ЕС по безопасной, надежной и устойчивой цифровой трансформации, которая ставит права человека во главу угла, ориентирует политиков и компании, работающие с новыми технологиями, и намерена направлять подход ЕС к цифровой трансформации в глобальном масштабе. Декларация предусматривает:
🔸неприкосновенность частной жизни и индивидуальный контроль над данными, отмечая, что каждый человек имеет право на неприкосновенность частной жизни и на защиту своих персональных данных, причем последнее включает контроль со стороны человека над тем, как используются его персональные данные и с кем они передаются;
🔸право каждого человека на конфиденциальность своих сообщений и информации на своих электронных устройствах и не подвергаться незаконному наблюдению в Интернете, незаконному повсеместному отслеживанию или мерам по перехвату;
🔸возможность для каждого человека определять свое цифровое наследие и решать, что произойдет с его личными счетами и информацией, которая его касается, после его смерти.
🇪🇺⚡🏛️ #privacy #digital #декларация

🔸На Всемирном экономическом форуме, ежегодном собрании глобалистской элиты в Давосе (Швейцария), в одной из презентаций была представлена технология мониторинга мозговых волн, которая позволит работодателям определить, насколько усердно работают их сотрудники, отвлекаются ли они и даже испытывают ли они «любовные чувства» к коллегам.
🔸В коротком видеоролике представлено рабочее место будущего, в котором сотрудница беспокоится о том, что её работодатель обнаружит «амурные чувства» к коллеге, считывая данные о её мозговых волнах, но приятно удивляется, когда получает премию за хорошие «мозговые метрики», показывающие её производительность. В следующей сцене правительство запрашивает данные о мозговых волнах сотрудников, чтобы найти в офисе соучастников схемы мошенничества.
🔸В презентации также рассматривались различные другие варианты использования технологии, включая пробуждение людей, в частности тактильный шарф, разработанный в Массачусетском технологическом институте, который дает людям «небольшой толчок» в виде жужжания, если их мысли начинают блуждать или если они задремали.
🔸Докладчик сказал, что целью демонстрации этого антиутопического будущего с чтением мыслей состояла в том, чтобы выделить «положительные варианты использования» технологии мониторинга мозга, потому что «я не хочу, чтобы реакция была такой: давайте запретим это».
🌐🧠🔦 #слежка #мониторинг #privacy #вэф

Authoritarian Privacy [1] свежая научная статья в открытом доступе о том как развиваются законы о приватности в авторитарных режимах. Нет, не в России, но в Китае.

Статья ориентирована на читателя знакомого с законами о приватности в демократических странах и рассказывает о разнице в регуляторных подходах, природе самого регулирования и в ней же хорошо систематизированы и множественно приведены примеры проблем с приватностью. Например, там наглядные примеры торговли биометрическими данными и госрегулирование распознавания лиц, но не только.

При этом, судя по примерам в статье, само китайское общество гораздо более активно чем российское, к примеру, самоорганизуется для защиты приватности. Например, история с профессором Guo Bing в 2019 году который потребовал чтобы его биометрические данные (изображение лица) были удалены из системы сафари-парка где от него потребовали такой идентификации и есть немало других подобных примеров.

Ссылки։
[1] https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4362527

#privacy #china #facerecognition