Теги → личной
Быстрый переход

Минкомсвязь опровергает открытие персональных данных россиян для силовиков

Максут Шадаев, руководитель Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (Минкомсвязь), прокомментировал информацию о возможном расширении полномочий силовых структур по доступу к персональным данным граждан.

В Интернете появились сообщения о том, что Минкомсвязь предлагает открыть доступ к данным о россиянах различным силовым структурам без получения разрешения суда. Однако в самом ведомстве поспешили опровергнуть эту информацию.

Как говорится на сайте Министерства цифрового развития, связи и массовых коммуникаций, речь идёт о том, чтобы автоматизировать процесс предоставления доступа к информации о персональных данных физических и юридических лиц в рамках межведомственного взаимодействия.

«Важно понимать, что речь не идёт о дополнительных полномочиях для правоохранительных органов, как сообщил ряд СМИ, а только о принятии мер для повышения эффективности существующих», — заявил господин Шадаев.

Суть инициативы сводится к тому, что сотрудники правоохранительных органов, ведущие оперативно-разыскную деятельность, перейдут с бумажного на электронный документооборот с использованием системы межведомственного электронного взаимодействия. Это поможет ускорить работу и сократить количество ошибок. Кроме того, уменьшится вероятность того, что будет предоставляться доступ к смежной информации, на которую нет решения суда. 

Avast Software: «Мы не передаём личные данные пользователей третьим лицам»

Компания Avast Software выступила с официальным опровержением информации, касающейся сбора и обработки пользовательских данных. Ранее разработчика антивирусного ПО уличили в слежке и торговле сведениями о пользователях и их активности в Сети.

«Главный приоритет Avast — безопасность и конфиденциальность наших пользователей, поэтому мы всегда используем комплексные методы защиты данных. Все недавние сообщения, в которых шла речь о том, что Avast продает личные данные третьим лицам, не соответствуют действительности, — говорится в заявлении Avast Software. — Для того чтобы наши расширения браузера могли эффективно обнаруживать и блокировать угрозы, нам необходимо иметь возможность собирать данные URL. Так работают наши и другие антивирусные решения. Для этого нам не нужны никакие личные данные. Для защиты конфиденциальности наших пользователей, данные, которые мы собираем, лишены всей личной информации (PII), и хранятся в полностью неопознаваемом формате».

В сообщении Avast Software подчёркивается, что собранные данные передаются в собственную маркетинговую аналитическую компанию Jumpshot, которая получает только обезличенные агрегированные статистические данные. «Этот процесс всегда был прозрачным с момента его запуска», — утверждает разработчик защитного ПО.

«Мы всегда прислушиваемся к опасениям, внедряем новые решения по мере необходимости и вносим изменения в наши расширения в соответствии с новой политикой конфиденциальности Mozilla. Мы собираем только те данные, которые необходимы для предоставления наших услуг. Avast соблюдает регламент GDPR — лучшего отраслевого стандарта. Все правила описаны в нашей политике конфиденциальности. У Avast также есть портал конфиденциальности, где наши клиенты могут авторизоваться и проверить, какие именно данные о них хранятся», — говорится в тексте заявления компании.

Ранее, напомним, в СМИ со ссылкой на слова генерального директора Avast Software Ондрея Влчека (Ondrej Vlcek) появилась информация о продаже личных данных пользователей как минимум с 2013 года. Сбор информации происходил не через сам антивирус, а при помощи его расширения для браузеров. Согласно словам Влчека, компания зарабатывает на продаже данных около 5 % от общей выручки. За период первого полугодия Avast заработала 430 млн долларов, следовательно доходы от продажи данных составили более 20 млн долларов.

Google собирает личные данные о здоровье миллионов людей в рамках проекта «Соловей»

Как сообщает ресурс The Wall Street Journal, Google сотрудничает с одной из крупнейших систем здравоохранения США в рамках проекта по сбору и анализу подробной информации о личном здоровье миллионов людей в 21 штате. Инициатива с кодовым названием Project Nightingale (проект «Соловей»), по-видимому, является самой большой попыткой поискового гиганта завоевать позиции в отрасли здравоохранения посредством обработки медицинских данных пациентов. Amazon, Apple и Microsoft тоже активно продвигают функции, связанные со здравоохранением, хотя пока ещё не заключили столь крупных сделок в этой области.

David Paul Morris/Bloomberg News

David Paul Morris/Bloomberg News

Google начала проект «Соловей» тайно в прошлом году с базирующейся в Сент-Луисе Ascension — католической сети из 2600 больниц, врачебных кабинетов и других учреждений, причём, согласно попавшим в руки журналистов внутренним документам, обмен данными с поисковым гигантом быстро нарастает с лета этого года. Информация, включённая в инициативу, включает в себя результаты лабораторных исследований, диагнозы врачей и записи о госпитализации наряду с другими категориями, — речь идёт о полной истории болезни вместе с именами пациентов и датами их рождения. Технический гигант сотрудничает с Ascension в амбициозном проекте по получению данных о пациентах для лечения и управления информацией.

Ни пациенты, ни врачи не были уведомлены о таком масштабном обмене медицинскими данными. По словам информатора WSJ, по крайней мере 150 сотрудников Google уже имеют доступ к бо́льшей части данных о десятках миллионов пациентов. В пресс-релизе, выпущенном после того, как в понедельник The Wall Street Journal сообщила о проекте «Соловей», обе компании заявили, что эта инициатива соответствует федеральному закону о здравоохранении и предусматривает надёжную защиту данных пациентов.

По словам источников, у некоторых сотрудников Ascension возникает недоумение по поводу способа сбора и передачи данных, как с технической, так и с этической точек зрения. Но эксперты по конфиденциальности сказали, что такая практика действительно допустима в соответствии с федеральным законом. Речь идёт о «Законе о перемещении и подотчётности данных медицинского страхования» от 1996 года — он позволяет больницам обмениваться данными с деловыми партнёрами без уведомления пациентов, при условии, что эта информация используется только для того, чтобы помочь организации выполнять свои функции в области здравоохранения.

В данном случае Google использует данные частично для разработки нового программного обеспечения, основанного на машинном обучении, которое обещает индивидуальный подход и сможет советовать отдельным пациентам внести изменения в их процесс лечения. Внутренние документы свидетельствуют о том, что сотрудники Alphabet (родительская компания Google), имеют доступ к информации о пациентах, в том числе некоторые сотрудники Google Brain, исследовательского научного подразделения, которому приписывают самые крупные достижения компании.

Президент Google Cloud Тарик Шаукат (Tariq Shaukat) заявил, что цель компании в области здравоохранения заключается в том, чтобы в конечном счёте улучшить результаты, сократить расходы и спасти жизни. Исполнительный вице-президент Ascension Эдуардо Конрадо (Eduardo Conrado) добавил: «Поскольку область здравоохранения продолжает быстро развиваться, мы должны меняться, чтобы лучше соответствовать потребностям и ожиданиям тех, кому служим, а также наших врачей и поставщиков медицинских услуг».

Как показывают документы, конечной целью Google является создание универсального поискового инструмента для агрегирования разрозненных данных о пациентах и ​​размещения их в одном месте. Проект разрабатывается в облачном подразделении Google, которое уступает конкурентам вроде Amazon и Microsoft по доле рынка. Ascension в свою очередь нацелена не только на улучшение ухода за пациентами: документы показывают, что компания надеется получить данные, которые укажут на необходимость проведения дополнительных анализов или позволят другими способами получать больше денег от пациентов. Ascension также стремится получить систему, которая бы работала быстрее, чем существующий децентрализованный электронный учёт.

В этом месяце Google объявила о поглощении за $2,1 миллиарда компании Fitbit, которая производит часы и браслеты, отслеживающие информацию о состоянии здоровья (например частоту сердечных сокращений). Компания заявила, что будет прозрачна в отношении любых данных Fitbit, которые собирает. А в сентябре Google объявила о 10-летней сделке с Mayo Clinic для получения генетической, медицинской и финансовой документации этой системы лечебных учреждений. В то время официальные лица Mayo заявили, что любые личные данные будут удалены прежде чем смогут быть использованы для разработки нового программного обеспечения в недрах Google.

Роскомнадзор может заблокировать Facebook в РФ из-за невыплаты штрафа в 3000 рублей

25 июня вступило в силу постановление о том, что Facebook должен выплатить Роскомнадзору штраф в размере 3000 рублей за отказ выдать информацию о локализации личных данных пользователей Рунета. Компания должна была заплатить в течение 60 дней. Теперь за дело должны взяться судебные приставы, но пока не известно, каким образом они будут взыскивать деньги с компании, которая не имеет российского представительства.

Фото: Jeff Chiu / AP

Фото: Jeff Chiu / AP

Кодекс об административных правонарушениях предусматривает возможность взыскания штрафа с иностранного лица, у которого нет активов в России, на основе международного договора, но сейчас РФ не состоит в подобных договорах, отмечает управляющий партнер коллегии «Барщевский и партнеры» Анастасия Расторгуева.

Если ничего не получится, то останется только один вариант — блокировка соцсети.

Российские регуляторы не выглядят либеральными в глазах мировой общественности, поэтому, по мнению интернет-омбудсмена Дмитрия Мариничева, выполнение их требований может повредить имиджу Facebook. Этой социальной сетью в России пользуются около 1 % её мировой аудитории, так что более достойным решением будет добровольный уход Facebook с российского рынка.

«[Однако] думаю, всё проще: до компании, у которой даже нет российского офиса, требование просто не дошло», — рассуждает он. 

Ранее Марк Цукерберг, основатель Facebook, выступил против хранения данных пользователей на территории стран, нарушающих права человека, — даже под угрозой блокировки.

В начале августа Twitter по решению суда выплатила Роскомнадзору 3 тысячи рублей за отказ предоставить заверенную блок-схему размещения мест, где хранятся данные, договор купли-продажи серверных мощностей или копию договора аренды центра обработки данных в РФ. Однако в конце августа соцсеть попыталась обжаловать решение в Верховном суде РФ. Суд всё ещё рассматривает жалобу.

Почти каждый второй россиянин видел личные данные своих коллег

Исследование, проведённое «Лабораторией Касперского», говорит о том, что сотрудники компаний зачастую беспечно относятся к защите своих личных данных от любопытных глаз коллег.

Выяснилось, что практически каждый второй россиянин — примерно 44 % — видел конфиденциальные данные людей, с которыми он работает. Речь идёт о такой информации, как размер заработной платы, начисленные бонусы, банковские реквизиты, пароли и пр.

Специалисты отмечают, что утечка подобных сведений может обернуться как неприятностями, так и серьёзными проблемами — от ухудшения взаимоотношений в коллективе до киберинцидентов.

Исследование показало, что лишь около четверти (28 %) сотрудников в России регулярно проверяют, кто ещё имеет доступ к документам и сервисам, с которыми они работают, и вносят необходимые изменения.

Нужно, впрочем, отметить, что в утечке личных данных зачастую виноваты не только сами сотрудники, но и работодатели. Нехватка политик, необходимых для регулирования прав доступа, приводит к тому, что документы хранятся и перемещаются внутри и вне компании без должного контроля. 

Panasonic тестирует систему платежей на базе распознавания лиц

Компания Panasonic в партнерстве с японской сетью магазинов FamilyMart запустила пилотный проект по тестированию технологии биометрических бесконтактных платежей на основе распознавания лиц.

Магазин, где проводится испытание новой технологии, расположен рядом с заводом Panasonic в Йокогаме, городе на юге от Токио, и управляется непосредственно производителем электроники по договору франшизы с FamilyMart. На данный момент  новая система платежей доступна только для сотрудников Panasonic, которым для этого необходимо пройти процедуру регистрации, включающую в себя сканирование лица и добавление информации о банковской карте.

The Jiji Press, Ltd.

The Jiji Press, Ltd.

Технология реализована с применением разработок Panasonic в области анализа изображений и при помощи специального терминала с набором камер для сканирования покупателя. Дополнительно в рамках сотрудничества  FamilyMart и Panasonic была разработана автоматизированная система учёта и уведомления о наличии товаров на складе. Президент FamilyMart Такаси Савада высоко оценил нововведения и надеется, что вскоре данные технологии получится внедрить во всех магазинах сети.

Тем не менее, будущее биометрических платежей пока что вызывает определенные сомнения. Так, например, опрос, проведённый компанией Oracle, показал, что значительный число потребителей относятся настороженно к тому, чтобы торговые сети получали их биометрические данные. И, по-видимому, это является главной причиной, почему на развитых рынках крупные торговые сети пока не делают никаких шагов в этом направлении, в то время как на развивающихся рынках интерес к новым технологиям постоянно растёт и их будущее оценивается достаточно оптимистично.

Обнаружена база данных с более чем 800 млн адресов email и других записей

Исследователь безопасности недавно обнаружил общедоступную базу данных MongoDB, которая содержала более 808 миллионов адресов электронной почты и других записей в виде простого текста. Размер базы данных составлял 150 Гбайт, так что масса сведений, включая некоторую личную информацию, была открыта для всех. Утечка связана со службой проверки электронной почты, которая подключила свой сайт к Сети.

База данных была обнаружена Бобом Дьяченко (Bob Diachenko) из Security Discovery (в ноябре он же выявил открытую базу с 9,5 млн подробных записей о людях, собранных компанией Adapt) и Винни Троем (Vinny Troya) из NightLion Security. Согласно отчёту, рассказывающему об утечке, база данных была обнаружена 25 февраля. В своём сообщении господин Дьяченко сказал: «После проверки я был шокирован огромным количеством email-адресов, которые были общедоступны для всех, кто подключён к Интернету».

Утечка состояла из 798 млн записей с адресами email, более 4 млн адресов были дополнены номерами телефонов и ещё более 6 млн записей были обозначены как businessLeads. В общей сложности в базе данных сайта Verification.io содержится более 808 миллионов записей. Среди прочей информации, в этих записях включены такие вещи, как email, IP-адрес пользователя, дата рождения, почтовый индекс, адрес, пол и номер телефона.

О находке было сообщено Verification.io, которая затем отключила свой сайт. Согласно скриншоту службы, она специализировалась на проверке электронных адресов предприятий: по-видимому, услуга заключалась в том, что клиенты загружали списки адресов электронной почты для проверки. Служба поддержки ответила исследователям, что доступ к базе данных компания закрыла. В своём письме Verification.io среди прочего сообщила, что весь этот массив информации был собран из общедоступных источников, а не данных клиентов.

Однако господин Дьяченко выразил сомнение по поводу такого утверждения, отметив в своей публикации: «Зачем закрывать базу данных и переводить сайт в автономный режим, если данные действительно были общедоступными? В дополнение к профилям электронной почты эта база данных также включала реквизиты доступа к FTP-серверу и список пользователей (130 записей) для загрузки и скачивания списков email-адресов (размещённых на одном IP-адресе с MongoDB). Эти данные наверняка не должны были быть общедоступными».

500px взломана полгода назад — данные о пользователях скомпрометированы

Платформа для обмена фотографиями 500px сообщила о выявленной бреши в системе безопасности, которая раскрыла данные её пользователей и информацию из профилей. Инженеры компании обнаружили несанкционированный вход только сейчас, хотя взлом произошёл ещё 5 июля прошлого года — всего через несколько дней после того, как был закрыт внутренний магазин, помогавший фотографам продавать свои работы.

Как сообщает компания, скомпрометированы были такие обязательные пользовательские данные, как имена и фамилии, названия учётных записей, адреса электронной почты, хеш паролей и даты рождения. Под угрозу поставлены и другая информация, которую пользователи были готовы предоставить, включая пол и полный адрес проживания. К счастью, помимо доступа к общей базе данных 500px не нашли доказательств просмотра отдельных учетных записей, так что сведения кредитных карт, очевидно, остались нетронутыми.

Сейчас компания проводит проверку исходных кодов, чтобы предотвратить дальнейшие проблемы безопасности, и обещает модернизировать меры защиты и сетевую инфраструктуру. 500px начала рассылать электронные письма пользователям с просьбой сменить пароли и готова предоставить им личные данные в файле в течение 72 часов, если последуют такие запросы на адрес службы поддержки.

Cisco и Apple призывают к принятию в США аналога европейского закона GDPR

В мае прошлого года Европейский Союз официально перешёл на новые правила обработки персональных данных GDPR (Общий регламент по защите данных ЕС 2016/679 от 27 апреля 2016 года). Они крайне строго относятся к вопросу обработки пользовательских данных. Конфиденциальность в индустрии высоких технологий в последние годы оказалась под большим вопросом. Даже некоторые ведущие компании вроде Facebook и Google, зарабатывающие преимущественно на рекламе, время от времени попадают в скандалы. При этом все участники рынка уверяют, что относятся к приватности очень серьёзно, но споры возникают уже вокруг базового вопроса: какие именно данные считать конфиденциальными?

Чтобы разрешить проблему, ряд компаний, включая Cisco и Apple, выступили с призывом к правительству США разработать общенациональный закон о конфиденциальности данных (вместо разрозненных законов штатов) и указали в качестве ориентира на действующий в Европейском Союзе GDPR. Стоит отметить, что оба упомянутых производителя получают основные свои доходы не за счёт рекламы или монетизации информации о пользователях, так что их GDPR коснулся меньше, а вот конкурентам подобные законы могут заметно усложнить жизнь.

GDPR требует от компаний среди прочего не только информировать пользователей о любом сборе данных, который может произойти (от самого простого и мелкого файла cookie на сайте до крупных интернет-сервисов), но и предоставлять все собранные данные о гражданине ЕС по его запросу (выполнять закон должны все компании, предоставляющие услуги в странах Евросоюза).

В то время как в целом закон хвалили за защиту личных данных пользователей на самом высоком уровне, GDPR не обошёлся без критики и недостатков. Одни пункты закона выглядят крайне трудно выполнимыми, а другие сформулированы очень расплывчато и могут быть широко интерпретированы. Однако наибольшую обеспокоенность вызвали расходы на полноценное внедрение правил GDPR: не все компании технически способны обработать запросы пользователей на отправку им данных или на удаление о них информации с серверов.

Кстати, главный юрисконсульт Cisco Марк Чендлер (Mark Chandler) отметил, что у граждан США сейчас нет права на удаление своих данных из поисковых систем. Сторонники конфиденциальности в США предлагают использовать законодательство ЕС как ориентир, сделав при этом будущий федеральный закон более подходящим для Америки. Впрочем, когда подобное будет принято, пока не ясно.

Кстати, Apple в последнее время взяла курс на отказ от использования личных данных конкретных пользователей и старается проводить все персонализированные операции локально на устройстве, без применения облака. Более того, компания даже шутит над проблемами конфиденциальности Google Android и Amazon Alexa.

Facebook: хакеры украли подробные личные данные 14 млн человек

Facebook сообщила, что частная информация, включая результаты поиска, недавние местоположения и родные города, была похищена злоумышленниками у 14 миллионов пользователей в результате серьёзного взлома социальной сети, раскрытого две недели назад. Компания заявила, что кибератака, одна из самых крупных в истории Facebook, затронула 30 миллионов человек, а не 50–90 миллионов, о которых компания сообщила 28 сентября. Хотя общее количество затронутых учётных записей оказалось меньше, чем предполагалось первоначально, личные данные примерно половины из них были украдены.

news.yahoo.com

news.yahoo.com

Среди информации, к которой получили доступ хакеры, упоминается следующая: последние 10 мест, из которых люди выходили в социальную сеть, их текущий город, 15 последних поисковых запросов. Кибератака также позволила открыть доступ к именам и контактной информации ещё 15 миллионов аккаунтов. Нападавшие не получили никакой информации от примерно 1 млн человек, чьи учётные записи оказались уязвимы.

Небольшая часть людей была затронута наиболее сильно. Около 400 000 человек служили отправной точкой для хакеров при взломе 30 млн других пользователей Facebook. У этих 400 000 человек злоумышленники могли видеть всё, что доступно пользователям в собственных профилях, включая сообщения в ленте новостей и имена последних контактов из Facebook Messenger.

Этот скандал происходит на фоне попыток социальной сети восстановить доверие со стороны пользователей. В начале года стало известно, что персональная информация из Facebook через стороннее приложение была передана в политическую консалтинговую фирму Cambridge Analytica, которая работала на президентскую кампанию Дональда Трампа (Donald Trump) в 2016 году.

Facebook пока отказывается сообщать мотивы последней атаки. «Мы сотрудничаем с ФБР по этому вопросу. ФБР попросили нас не озвучивать тех, кто может стоять за нападением», — сказал журналистам вице-президент по управлению продуктами в Facebook Гай Розен (Guy Rosen).

Пользователи, которые хотят проверить, задела ли их эта атака, могут посетить соответствующую страницу.

Google Assistant теперь поддерживает более 10 000 устройств

В дни становления смартфонов, когда речь шла не только о двух платформах iOS и Android, компании изо всех сил пытались привлечь разработчиков к своим платформам. Хотя многие канувшие в лету мобильные ОС не были плохими, отсутствие поддержки со стороны сторонних разработчиков сыграло с этими платформами злую шутку, и пользователи в итоге остановились лишь на двух вариантах: iOS или Android.

Это показывает, насколько важно иметь стороннюю поддержку, с которой у Google, похоже, нет проблем. Ранее в этом году поисковый гигант хвастался, что персональный помощник Google Assistant поддерживался более чем на 1500 устройствах, но теперь, похоже, этот показатель существенно вырос. По последним данным, Google Assistant поддерживается более чем 10 000 интеллектуальными домашними решениями, созданными более чем 1000 производителями.

Однако можно отметить, что этот впечатляющий показатель всё ещё выглядит бледно на фоне успехов помощника Amazon Alexa, который может похвастать поддержкой более чем 20 000 устройств. Да и в целом буму выхода цифровых помощников за пределы смартфонов мы обязаны Amazon с её динамиками Echo, которые побудили другие компании вроде Google, Apple и Samsung выпустить аналогичные продукты.

Сложно сказать, сможет ли Google Assistant когда-нибудь обойти Amazon Alexa, но уже сейчас показатель в 10 000 поддерживаемых устройств внушает уверенность в светлом будущем технологии. Желающие узнать, какие виды устройств поддерживаются, могут перейти на соответствующий сайт Google для получения более подробной информации.

Помощник Alexa доступен более чем на 20 тысячах разных устройств

Во время пресс-конференции Amazon на выставке IFA 2018 в Берлине была озвучена свежая статистика по развитию голосового помощника Alexa. Учитывая, что компания в начале года хвасталась «лишь» четырьмя тысячами совместимых устройств, за прошедшее время был достигнут впечатляющий прогресс.

«Только в этом году, — сказал руководитель подразделения Alexa в компании Amazon Даниэль Рауш (Daniel Rausch), — Alexa спела „С днём рождения“ миллионы раз для пользователей, и рассказала более 100 миллионов шуток». Многовато шуток, но будем надеяться, что хотя бы несколько из них были хорошими.

Компания подтвердила, что персональный ассистент Alexa доступен в настоящее время уже более чем на 20 тысячах устройств от более чем 3500 компаний. Разумеется, собственные продукты Amazon составляют лишь небольшую часть этого громадного парка. Так много разных динамиков Echo, планшетов Fire и приставок Fire TV попросту нет. Amazon очень агрессивно продвигает свою технологию, желая, чтобы она была доступна на максимальном количестве сторонних устройств.

Во многих случаях речь идёт о тесном сотрудничестве с производителями по интеграции ИИ-ассистента, как в рамках партнёрства, так и посредством фонда Alexa Fund, предназначенного для инвестиций в аппаратные стартапы. В эти дни список категорий продуктов с поддержкой Alexa уже огромен и продолжает расширяется: от телефонов до термостатов, от телевизоров до автомобилей. На IFA 2018 Huawei и Netgear сообщили о появлении Alexa на их домашних маршрутизаторах.

Google тоже активно продвигает стороннюю интеграцию своего персонального помощника, хотя поисковый гигант всё же не может похвастаться такими достижениями, как Alexa. В мае Google сообщила, что 5000 устройств поддерживают Assistant против 1500 в январе.

Telegram запустил единую систему хранения документов

Число сервисов, которые перед регистрацией требуют предоставить паспорт или ещё какой-нибудь документ, стремительно растёт. Раньше отсканированные изображения приходилось по отдельности загружать в каждую новую службу. Теперь Telegram предложил единую систему для хранения таких документов — Telegram Passport.

Telegram Passport представляет собой унифицированный метод авторизации в сервисах, которые требуют идентификации личности. Достаточно один раз загрузить документы, и затем их можно будет быстро предоставлять в разные интернет-платформы.

Личные данные хранятся в облачном пространстве Telegram и защищены сквозным шифрованием. Для разработчиков мессенджера эта информация — просто бессмысленный набор символов, они не имеют к ней никакого доступа. Когда пользователь отправляет документ, он попадает напрямую в нужный сервис. В будущем компания обещает перенести все данные Telegram Passport в децентрализованное облако.

Посмотреть, как работает Telegram Passport, можно уже сейчас — авторизация с помощью него доступа в системе электронных платежей ePayments. С помощью нового продукта в ней можно зарегистрироваться и подтверждать различные операции. Также существует возможность опробовать Telegram Passport на странице-образце.

Для доступа к загруженным документам нужна последняя версия Telegram. На Android функцию можно будет найти в настройках конфиденциальности, а на iOS — просто на главной странице параметров приложения.

Компания призывает разработчиков встраивать Telegram Passport в свои сервисы. Это бесплатно и требует минимум усилий.

Дыра в безопасности могла привести к утечке данных всех взрослых американцев

Согласно недавно опубликованному отчёту, малоизвестная компания из Флориды могла сделать достоянием злоумышленников личные данные почти каждого взрослого жителя США. Компания по маркетингу и сбору данных Exactis из городка Палм-Кост опубликовала на общедоступном сервере базу данных, содержащую почти 2 терабайта данных. База включала записи 230 миллионов граждан и 110 миллионов предприятий США.

«Похоже, что база данных содержит сведения почти о каждом гражданине США, — сказал исследователь Винни Троя (Vinny Troia), который обнаружил утечку ранее в этом месяце. — Я не знаю, откуда были взяты данные, но речь идёт об одной из самых полных коллекций, которые я когда-либо видел».

Хотя база, по-видимому, не включает данные кредитных карт или номера социального страхования, она содержит телефонные номера, адреса электронной почты, почтовые адреса, а также более 400 персональных характеристик. Например: является ли человек курильщиком, владеет ли он собакой или кошкой, какого он вероисповедания и множество личных интересов. Несмотря на то, что в базу не была включена никакая финансовая информация, объём личных данных может предоставить в руки мошенников весьма сильные инструменты.

Господин Троя сообщил, что смог легко получить доступ к базе данных в Интернете, и, теоретически, многие другие люди тоже могли это сделать. Он сказал, что предупредил Exactis и ФБР об уязвимости, и данные перестали быть общедоступными.

На своём веб-сайте Exactis заявляет, что имеет в распоряжении 3,5 миллиарда потребительских, деловых и цифровых записей, в том числе информацию о демографии, географии, бизнесе, образе жизни, интересах, потребительских товарах, а также автомобильные, корпоративные и поведенческие данные людей. Компания заявила, что располагает данными о 218 миллионах людей и 110 миллионах американских домохозяйств.

По данным Бюро переписи населения США, в стране насчитывается около 126 миллионов домохозяйств и 325 миллионов жителей, из которых около 244 миллионов взрослых. Если утечка действительно произошла, речь может идти об одном из крупнейших подобных случаев в истории.

GDPR вступил в силу: компании оказались не готовы

25 мая Европейский союз официально перешёл на новые правила обработки персональных данных GDPR (Общий регламент по защите данных ЕС 2016/679 от 27 апреля 2016 года). Важной особенностью GDPR является экстерриториальный принцип действия, так что он затрагивает американские и российские компании, обслуживающие потребителей в ЕС. Штрафы могут достигать €20 млн или 4 % дохода компании на мировом рынке за год. Для обычных пользователей внешне мало что изменится: как правило, придётся снова принять различные соглашения об обработке своих персональных данных, зато защита последних предусмотрена на гораздо более серьёзном уровне.

Под персональными данным в GDPR подразумевается любая информация, относящаяся к физическому лицу, по которой можно прямо или косвенно его идентифицировать. То есть речь может идти об имени, данных о местоположении, онлайн-идентификаторе и прочих факторах вроде IP-адреса, помогающих установить личность. Есть и особые конфиденциальные персональные данные: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, генетическая и биометрическая информация, сведения о состоянии здоровья, сексуальной жизни.

В качестве основных принципов обработки персональных данных по GDPR выступают:

  • персональные данные должны обрабатываться законно, справедливо и прозрачно, причём любую информацию о целях, методах и объёмах обработки персональных данных компании обязаны излагать максимально доступно и просто;
  • данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией или службой;
  • нельзя собирать личные данные в большем объёме, чем необходимо для целей обработки;
  • неточные личные данные должны быть удалены или исправлены по требованию пользователя;
  • личные данные должны храниться только в той форме и на тот срок, который позволяет идентифицировать человека в заявленных целях обработки;
  • при обработке персональных данных компании обязаны обеспечить их защиту от несанкционированного или незаконного доступа, уничтожения и повреждения.

GDPR требует, чтобы согласие пользователя на обработку его персональных данных было выражено в форме утверждения или в форме чётких активных действий. Кроме того, согласие может считаться недействительным, если у пользователя не было возможности отозвать его без ущерба для себя. Согласие на обработку данных ребёнка (в зависимости от государств ЕС — до 13–16 лет) должно быть авторизовано родителями или законными представителями.

О любых нарушениях, связанных с персональными данными, компании должны сообщать в течение 72 часов после обнаружения проблемы регулирующим органам. В случае дополнительных задержек или попыток скрыть факт утечек штрафа компаниям не избежать.

Граждане и резиденты ЕС в рамках GDPR получают расширенные права, касающиеся их персональных данных. Они имеют возможность запрашивать подтверждение факта обработки их данных, период, место и цель обработки, категории информации, название третьих сторон, которым раскрываются персональные данные, уточнять источник получения организацией данных и требовать внесения поправок. Также пользователь имеет право требовать прекращения обработки своих данных.

Любопытное новшество GDPR — право на перенос личных данных (right to data portability), которое обязывает компании по запросу пользователя передавать бесплатно личные данные последнего другой компании. То есть пользователь может попросить, например, передать всю историю своих запросов от одной поисковой системы другой или предпочтения покупок из одного магазина в другой.

Многие пользователи готовились к 25 мая всерьёз, так что как только правила GDPR вступили в силу, на ряд крупнейших компаний вроде Facebook, Google и Instagram посыпались судебные иски на миллионы евро. Истцы среди прочего обвинили компании в принудительном согласии: то есть им было предложено подтвердить согласие с GDPR без ясного объяснения сути всех новшеств или же новое пользовательское соглашение компания назвала изменением внутреннего регламента якобы с целью запутать людей.

Правила GDPR обсуждались четыре года, регулирующие органы дали компаниям два года на приведение своей политики и инфраструктуры в соответствие с GDPR. Многие сделали это заранее, но большинство оказалось не готово к новшествам.

По мнению адвоката и главного сотрудника по конфиденциальности в United Lex Джейсона Стрэйта (Jason Straight), немного компаний, особенно американских, полностью соответствуют требованиям GDPR. В опросе более 1000 предприятий, проведённом Институтом Понемона в апреле, половина компаний заявила, что они не смогут соответствовать к сроку. Если говорить о технологическом секторе, таковых оказалось 60 %.

«На протяжении многих лет компании работали по принципу: „Сколько персональных данных мы можем заполучить от пользователей? А уж как использовать этот массив информации, мы выясним позже!“ Это не будет приемлемым способом работы при GDRP, — сказал господин Стрэйт. — Есть некоторые компании, с которыми мы разговаривали, которые возмущаются: „Вы шутите? Если бы мы рассказали людям, как используем их данные, они никогда бы не дали их нам!“. А я говорю в ответ что-то такое: „Да, отчасти, в этом и цель новых правил“».

Для компаний, которые действовали по принципу извлечения максимума информации о пользователях для последующего возможного анализа, реорганизация в рамках GDPR во многом может оказаться пыткой: ведь нужно удалить лишнюю информацию, оставив лишь самую необходимую для текущих задач.

Но, возможно, самым серьёзным требованием GDPR, которое приводит в ужас компании, является право на запросы доступа к персональным данным. Пользователи из ЕС могут запрашивать удаление информации, исправлять её, если она неверна, и даже получать её в удобном для переноса виде. Но эти данные могут быть на пяти разных серверах в массе различных форматов. Другими словами, переход на стандарты GDPR требует создание внутренней инфраструктуры, позволяющей эффективно обрабатывать запросы пользователей.

Кроме того, персональные данные — размытая категория. Имена, адрес электронной почты, номера телефонов, данные о местоположении — это очевидно. Но есть более двусмысленные данные вроде непрямых отсылок: «Высокий лысый парень, который живёт на правой стороне улицы Ленина». По словам Джейсона Стрэйта, если кто-то написал подобное в письме, формально в рамках GDPR компания должна предоставить эту информацию по запросу.

Переход на GDPR — болезненная процедура. Например, год назад 61 % мировых компаний даже не начинали работу по адаптации новых правил. Понятно, что европейские предприятия, особенно в странах вроде Германии и Великобритании, где и ранее существовали довольно жёсткие законы о неприкосновенности частной жизни, лучше подготовлены. Тем не менее, опрос в январе 2018 года показал, что четверть лондонских компаний даже не знает, что такое GDPR.

Профессор антропологии и информатики Университета Колорадо в городе Боулдере Элисон Кул (Alison Cool) написала в The New York Times, что закон ошеломляюще сложен и непонятен для людей, которые пытаются его соблюдать. Учёные и менеджеры данных, с которыми она говорила, сомневаются в том, что полное соответствие правилам вообще возможно. Это тревожный звонок, учитывая тот факт, что штрафы могут достигать 4 % мировых доходов (то есть могут легко лишить всей прибыли).

Принятие правил GDPR заставило американского бизнесмена Питера Тиля (Peter Thiel), сооснователя PayPal и президента хедж-фонда Clarium Capital, во время беседы на Экономическом клубе Нью-Йорка в марте обвинить ЕС в злодейском протекционизме: «В Европе нет успешных технологических компаний, и они ревностно относятся к США, поэтому они и наказывают нас».

Поскольку во многом правила GDPR неоднозначны, их реализация на практике будет зависеть от действий регулирующих органов. В конечном итоге появятся нормы: кого будут преследовать власти, какие штрафы взимать с нарушителей и за какое поведение. Предполагается, что поначалу регуляторы не будут лютовать — дадут компаниям время привыкнуть к новой реальности. Но точно предсказать будущее сложно, ведь частично реализация GDPR зависит от активности пользователей.

Если резидент ЕС подаёт запрос на получение своих персональных данных, у компании есть 30 дней для ответа. Например, компания получает один из этих запросов, но всё ещё не полностью готова к GDPR и буквально неспособна реагировать. Если она не отвечает, субъект данных может подать жалобу местным органам. GDPR требует от регулятора действий для претворения закона в жизнь. Штраф может и не достигать 4 %, но чиновники не могут просто отправить жалобы в корзину. А если запросов будут тысячи, начнутся проблемы. 17 из 24 регуляторов ЕС, опрошенных Reuters в этом месяце, сказали, что не готовы к новому закону, потому что не имеют финансирования или законных полномочий выполнять свои обязанности.

Другая ситуация связана с информированием об утечках: компании обязаны сообщать органам о проблемах в течение 72 часов, но какова должна быть реакция последних — не вполне ясно. Регуляторы могут быть не готовы к аудиту безопасности компании или иным мерам по защите частной жизни резидентов ЕС. Правила GDPR должны применяться только к жителям Евросоюза, но ведь большинство интернет-компаний занимаются бизнесом в ЕС, так что им нужно быть готовым реагировать на требования GDPR. Постепенно принятие такого законодательства может стать нормой и в других странах. Тем временем появляются новости о том, что новый регламент ЕС по защите персональных данных вынуждает компании отказываться от европейского трафика.

window-new
Soft
Hard
Тренды 🔥