Объём утечек персональных данных россиян приблизился к 40 млн записей с начала текущего года, сообщил Роскомнадзор. Причём для этого понадобилось всего лишь 35 инцидентов, то есть за один раз допускалась утечка в среднем более 1 млн записей.

Источник изображения: Arif Riyanto/unsplash.com

«За первые шесть месяцев 2025 года Роскомнадзор зафиксировал 35 фактов утечек персональных данных, в результате которых оказались скомпрометированы более 39 млн записей», — передает ТАСС со ссылкой на пресс-службу Роскомнадзора.

В ведомстве добавили, что за последние два месяца в Роскомнадзор поступила информация об инцидентах от пяти операторов. В этом году по факту утечек персональных данных было составлено шесть протоколов об административных правонарушениях по статье 13.11 КоАП РФ. Некоторые дела еще находятся в суде, а по некоторым уже вынесены решения о предупреждениях и взыскании штрафов.

Напомним, 30 мая вступил в силу Федеральный закон № 420-ФЗ, которым предусмотрено ужесточение административной ответственности за нарушения обработки персональных данных. Штраф за утечку пользовательских данных теперь составляет от 3 до 20 млн рублей.

После того, как суд обязал OpenAI сохранять все чаты пользователей ChatGPT, включая удалённые и анонимные, несколько пользователей в США попытались оспорить это решение в судебном порядке, ссылаясь на нарушение приватности. Но суд отклонил жалобу, в которой утверждалось, что судебный запрет на удаление переписки создаёт угрозу массовой слежки за миллионами людей.

Источник изображения: AI

Как сообщает издание Ars Technica, решение о бессрочном хранении чатов было вынесено Окружным судом Соединённых Штатов Южного округа Нью-Йорка в рамках иска о нарушении авторских прав, поданного медиакомпаниями, включая издание The New York Times. OpenAI обязали сохранять все данные на случай, если они понадобятся как доказательство в текущем деле.

Однако пользователь Эйдан Хант (Aidan Hunt) подал протест, заявив, что чаты могут содержать личную и коммерческую тайну. Хант утверждал, что компания OpenAI ранее обещала не хранить удалённые чаты и не предупредила об изменениях. «Клиентам не объяснили, что их данные останутся бессрочно в системе, что нарушает право на приватность и четвёртую поправку Конституции США», — сказал он. Хант в своём ходатайстве предлагал исключить из хранения на серверах OpenAI анонимные чаты, медицинские вопросы, обсуждение финансов и права. Судья Она Ван (Ona Wang) отклонила его протест, посчитав вопрос приватности второстепенным в деле об авторском праве.

Также была подана жалоба от лица консалтинговой компании Spark Innovations, в которой указывалось на недопустимость хранения чатов, содержащих коммерческую тайну и обсуждение рабочих процессов. Одновременно Коринн Макшерри (Corynne McSherry), юрист из Фонда электронных рубежей (EFF) по защите цифровых прав, поддержала опасения: «Этот прецедент угрожает приватности всех клиентов OpenAI. ИИ-чаты становятся новым инструментом корпоративной слежки, особенно если люди не контролируют свои данные [после их удаления]».

Но пользователи задаются вопросом, насколько активно OpenAI будет отстаивать их интересы, так как есть опасения, что компания может пожертвовать защитой личных данных ради экономии средств или репутационных выгод. Представители OpenAI пока не ответили на запрос Ars Technica, но ранее заявляли, что намерены оспаривать судебное решение.

Правозащитники, в свою очередь, призывают все ИИ-компании не только обеспечивать реальное удаление данных из чатов, но и своевременно информировать пользователей о требованиях со стороны судебных инстанций. «Если компании ещё этого не делают, им стоит начать публиковать регулярные отчёты о таких запросах», — добавила юрист Макшерри.

30 июня в 12:00 компания Sendsay проведёт бесплатный вебинар с участием регулятора, профильного юриста и эксперта по работе с персональными данными. Мероприятие ответит на самый острый вопрос бизнеса: как избежать оборотных штрафов по 152-ФЗ и не сломать маркетинг. Модератор мероприятия — руководитель отдела телекоммуникаций лидирующего федерального СМИ.

С 30 мая 2025 года в России вступили в силу самые масштабные изменения в законе о персональных данных (152-ФЗ). Теперь любые компании, ИП и даже физлица, обрабатывающие персональные данные, обязаны уведомить Роскомнадзор и пересмотреть внутренние процессы работы с ПД — обновить документы, формы, проверить маркетинговые активности. За нарушения предусмотрены оборотные штрафы, а реальные проверки и наказания начнутся с 30 июня.

При этом большинство представителей бизнеса не до конца понимают, что именно изменилось и как теперь работать с клиентскими базами без риска. Поэтому Sendsay, как сооснователь Ассоциации компаний по защите и хранению персональных данных, собрала свою экспертизу и пригласила на неформальный диалог основного регулятора этого закона — Роскомнадзор, а также профильного юриста по 152-ФЗ, чтобы доступным языком ответить представителям бизнеса, как действовать в новых условиях.

Тема вебинара: «Как избежать оборотных штрафов по 152-ФЗ и не сломать маркетинг: объясняют эксперты рынка, регуляторы и юристы».

Эксперты обсудят:

1. Что изменилось в 152-ФЗ: кого касается, что грозит, и как бизнесу не попасть под штраф;
2. Почему перед подачей уведомления в Роскомнадзор необходимо провести большую подготовку бизнеса: привести в порядок данные и проверить сервисы, которые их хранят и обрабатывают;
3. Как изменения повлияют на отделы маркетинга и продаж, например, кого касается запрет на ведение коммуникации с клиентами в зарубежных мессенджерах;
4. Почему «серые базы» и зарубежные сервисы — зона риска: как проверить надёжность сервиса;
5. Что делать в случае утечки персональных данных.

Спикеры:

• Представитель Роскомнадзора (спикер уточняется, ожидание подтверждения);
• Ангелина Балакина, руководитель практики юридической компании «Орлова\Ермоленко»;
• Глеб Кащеев, генеральный директор омниканальной CDP (Customer Data Platform) Sendsay. Сооснователь Ассоциации компаний по защите и хранению персональных данных;
• Ожидаются подтверждения представителей крупного e-commerce на дискуссионную пост-панель.

Модератор:

• Анна Балашова, руководитель отдела телекоммуникаций РБК.

Программа мероприятия

Вебинар пройдёт онлайн, 30 июня 2025 года в 12:00. У всех зарегистрировавшихся участников будет возможность задать свои вопросы. Ссылку на трансляцию пришлём на почту после регистрации на сайте вебинара: https://webinar.sendsay.ru/

Запись вебинара будет доступна всем зарегистрировавшимся. Если у вас остались вопросы, можете их задать по почте pr@sendsay.ru или телефону +79299872044 (Елена Петрякова, PR-директор CDP Sendsay)

Генеральный партнер мероприятия: РАЭК
Генеральный информационный партнер: TenChat

Недавно стало известно о намерениях компании Meta✴, владеющей мессенджером WhatsApp, внедрить рекламу на отдельных вкладках IM-клиента с целью монетизации сервиса, а также ввести подписку для ряда клиентов. Европейским регуляторам в Ирландии было сообщено, что данные изменения не коснутся региональной политики WhatsApp до следующего года.

Источник изображения: Unsplash, Grant Davies

Об этом сообщили западные СМИ со ссылкой на заявления руководства ирландской Комиссии по защите данных (DPC), которая отвечает за соблюдение региональных норм в данной сфере на территории Евросоюза. Все дальнейшие нюансы реализации новой политики WhatsApp в юрисдикции этого геополитического блока будут обсуждаться с представителями компании в ходе последующих встреч, как отмечается в заявлении регулятора. Нововведения, предлагаемые WhatsApp, на территории Евросоюза в текущем году реализованы не будут, поскольку потребуют согласования с региональными чиновниками различных уровней. Пока, по их словам, рано говорить что-либо конкретное относительно рекламной бизнес-модели, предложенной WhatsApp.

При этом представители WhatsApp признали, что планируемые изменения, связанные с внедрением рекламы и подписки, являются частью глобальной политики компании, и будут внедряться поэтапно по всему миру. История просмотров может быть использована Meta✴ для таргетированной рекламы только в том случае, если пользователь WhatsApp, Instagram✴ и Facebook✴ добровольно свяжет свои учётные записи во всех трёх приложениях. Остановить внедрение ИИ-функций в своих социальных сетях Meta✴ на территории Евросоюза также была вынуждена после вмешательства местных регуляторов, которые выразили озабоченность недостаточной защищённостью персональных данных пользователей.

Гонка чат-ботов с искусственным интеллектом накаляется, и теперь Google собирается дать Gemini возможность понять пользователя как, возможно, никто другой. Gemini сможет не только запоминать предыдущие разговоры с человеком, но также учиться на его действиях в других приложениях: Gmail, «Google Календарь» и YouTube, сообщил президент Google Labs и Gemini Джош Вудворд (Josh Woodward).

Источник изображения: blog.google

В апреле OpenAI объявила, что значительно расширит память ChatGPT, позволит помощнику обращаться к прошлой переписке с пользователем и использовать эту информацию для персонализации последующих ответов. Такие ответы, по мнению компании, будут в большей степени соответствовать его интересам, привычкам и предпочтениям, обеспечивая более комфортное и полезное взаимодействие.

В Google решили на этом не останавливаться. В ближайшее время компания откроет Gemini доступ к истории прошлых чатов пользователя и ИИ, а после этого развернёт функцию pcontext, что означает «персонализированный контекст». Пока эта функция тестируется внутри компании. Она предназначена для извлечения информации из учётной записи пользователя в экосистеме Google, что обеспечит Gemini глубокое понимание жизни пользователя: упоминаются, в частности, Gmail, «Google Фото», «Google Календарь», «Google Поиск» и YouTube. Компания намеревается сделать Gemini более активным, но не уточнила, что именно имеется в виду. Возможно, помощник с ИИ будет по собственной инициативе выдвигать полезные предложения с учётом расписания, истории веб-поиска и активности в почтовом ящике пользователя.

Настолько глубокая интеграция, конечно, поднимает вопрос о конфиденциальности. Google и без того хранит чрезвычайно много информации о пользователях, а открытие её системе ИИ и возможность совершать операции с этими данными — очередной шаг вперёд. Поэтому в компании заверили, что будут запрашивать у пользователей явное разрешение, прежде чем Gemini получит доступ к этим данным. Это шаг к тому, чтобы сделать Gemini более «личным, проактивным и мощным», уверен господин Вудворд. И намекнул, что скоро появится новая информация.

ГК «Гарда» провела исследование, посвящённое работе российских компаний с персональными данными. Оказалось, что ручной поиск и удаление таких данных из баз, файловых хранилищ и с отдельных рабочих мест практикуются в 39 % компаний. В 25 % компаний применяются шредеры и сжигание наряду со специализированным программным обеспечением, в 10 % — только механическое уничтожение, и ещё в 10 % — иные способы.

Источник изображения: FlyD / Unsplash

Также было установлено, что только 3 % компаний используют сертифицированное программное обеспечение для удаления персональных данных, а 12 % компаний вовсе не удаляют такую информацию. Напомним, операторы персональных данных обязаны удалять сведения по запросу субъекта или по истечении срока их хранения.

Представитель Роскомнадзора сообщил, что неудаление записей персональных данных является неправомерным, и лицо, осуществляющее такую деятельность, может быть привлечено к административной ответственности. Отмечается, что неудаление персональных данных в сроки, установленные ч. 1 ст. 13.11 КоАП РФ, влечёт ответственность в виде штрафа: для физических лиц — от 2 тыс. до 6 тыс. рублей, для должностных лиц — от 10 тыс. до 20 тыс. рублей, для юридических лиц — от 60 тыс. до 100 тыс. рублей.

Руководитель продуктового направления по защите баз данных ГК «Гарда» Дмитрий Ларин считает, что высокий показатель неудаления персональных данных связан с отсутствием у компаний инструментов автоматизации. В компании «Код безопасности» такую тенденцию объясняют тем, что информация хранится в различных базах данных. Специалисты сходятся во мнении, что эти причины подчёркивают необходимость стандартизации и внедрения эффективных решений для работы с персональными данными. Кроме того, не во всех организациях налажен процесс учёта данных, из-за чего оператор может не знать, что именно необходимо удалить и откуда.

В ГК «Гарда» отметили, что для регулятора не имеет значения, каким образом удаляются персональные данные, однако из-за сжатых сроков этот процесс в компаниях либо вовсе не выполняется, либо проводится «спустя рукава». Помимо этого, отсутствие автоматизации создаёт риски утечки данных по причине человеческого фактора.

По данным экспертно-аналитического центра InfoWatch, несмотря на некоторое снижение общего количества утечек данных в мире, их частота и масштабы «по-прежнему остаются угрожающими». В 2024 году на российские компании и государственные органы пришлось 8,5 % известных мировых случаев компрометации данных, что обеспечило РФ второе место среди исследуемых стран. Кроме того, по утечкам персональных данных Россия переместилась с седьмого на пятое место.

Источник изображения: InfoWatch

Рейтинг по количеству утечек возглавляют США с 36,1 % зарегистрированных инцидентов, третье место у Индии (5,4 %), четвёртое — у Великобритании (3,8 %), пятое — у Канады (2,9 %).

По итогам 2024 года в мире были зарегистрированы 9 175 утечек информации из государственных организаций и коммерческих компаний. Это на 25,2 % меньше, чем в 2023 году, когда произошло 12 265 утечек информации.

По мнению авторов исследования, основные причины общего снижения количества утечек объясняется следующими факторами:

• Снижение результативности вредоносного ПО в результате масштабных инвестиций компаний в защиту информации.
• Перенасыщение чёрного рынка данных — требуется время, чтобы обработать огромные массивы украденной информации.
• Активность правоохранительных органов — закрыты несколько площадок по продаже данных, арестованы члены крупных хакерских группировок.
• Снижение активности киберпреступников с целью скрыться из поля зрения правоохранительных органов.

По мнению специалистов InfoWatch, реальный масштаб проблем с утечками данных значительно больше, чем отражено в статистике, так как «всё чаще при крупных утечках не удаётся установить реальное количество скомпрометированных данных».

Британский регулятор открывает расследование в отношении таких интернет-платформ, как видеосервис TikTok, форум Reddit и сайт обмена изображениями Imgur. Растущие опасения по поводу ненадлежащего использования этими социальными сетями персональных данных несовершеннолетних побудили Управление комиссара по информации (ICO) пристально исследовать, предоставляют ли их алгоритмы подросткам неподходящий или вредный контент.

Источник изображений: unsplash.com

Расследование изучит использование платформой TikTok персональной информации 13–17-летних подростков при предоставлении им рекомендаций по контенту. Регулятора также интересует, как Reddit и Imgur оценивают и проверяют возраст пользователя, чтобы оградить несовершеннолетних от опасного или вредного контента.

ICO представила «Детский кодекс конфиденциальности в интернете» в 2021 году, который определяет меры по защите личной информации несовершеннолетних в интернете. Нынешнее расследование ICO будет направлено на выявление нарушений законодательства о защите данных. В случае обнаруженных нарушений регулятор сначала передаст информацию о них интернет-платформам и будет принимать окончательное решение лишь на основе их реакции.

Комиссар по информации Джон Эдвардс (John Edwards) сообщил, что регулятор не сомневается в самом факте наличия элементов защиты информации на всех платформах, но хочет убедиться, что эти процедуры достаточно надёжны. «Вопрос в том, что они собирают, и в том, как они работают, — пояснил Эдвардс. — Я ожидаю, что в их рекомендательных системах будет много доброкачественных и позитивных способов использования данных детей. Меня беспокоит, достаточно ли они надёжны, чтобы не допустить, чтобы дети подвергались вреду, будь то вызывающие привыкание практики, или контент, который они видят».

Эдвардс подчеркнул, что регулятор «не придирается к TikTok» и надеется глубоко изучить алгоритмы рекомендаций и больше узнать о «широком ландшафте» социальных сетей с помощью расследования. Выбор объектом расследования именно TikTok «был сделан на основе направления роста в отношении молодых пользователей, доминирования на рынке и потенциального вреда». К тому же в процессе расследования регулятор не может позволить себе слишком распылять усилия. Больше всего регулятора интересуют ключевые технологии цифровых платформ, которые используются в борьбе за посещаемость и просмотры.

В начале года TikTok был заблокирован (с отсрочкой на 75 дней) в США из-за опасений, что китайское правительство может получить доступ к данным, собираемым приложением. Тогда же министр технологий Великобритании Питер Кайл заявил, что он «искренне обеспокоен их [TikTok] использованием данных, связанных с моделью собственности».

Роскомнадзор за январь 2025 года зафиксировал десять фактов утечек личных данных граждан, что привело к попаданию 6,9 млн записей о россиянах в открытый доступ. В 2024 году регулятор выявил в общей сложности 135 случаев утечек баз данных, содержавших свыше 710 млн записей о гражданах России.

Источник изображения: unsplash.com

По данным отчёта компании InfoWatch «Утечки конфиденциальной информации из финансовых организаций», общее число утечек из российских финансовых компаний снизилось в прошлом году почти на 60 %. Но это снижение отнюдь не свидетельствует о резком повышении уровня информационной безопасности — просто в 2023 году произошёл всплеск утечек до 170,3 млн записей, что в 3,2 раза больше результата 2022 года и в 57 (!) раз превышает уровень 2021 года.

В отчёте InfoWatch утверждается, что в 2024 году из банков, микрофинансовых организаций и страховых компаний в открытый доступ попало 68 млн записей с персональными данными. Из них 40 % утечек допустили банки, 28 % – микрофинансовые организации, а 20 % – страховые компании. Общее число утечек снизилось на 58,8 % по сравнению с 2023 годом, количество утечек из финансовых организаций сократилось на 68,3 %, составив 25 инцидентов. Доля утечек данных, содержащих коммерческую тайну, резко возросла с 8,9 % в 2023 г. до 20 % в 2024 г.

88 % случаев утечек стали результатом кибератак, а в восьми процентах случаев персональные данные попали в открытый доступ в результате умышленных действий персонала, причём доля кибератак повысилась на 7 п.п., а доля умышленных действий снизилась на 4,6 п.п. Эксперты объясняют это повышением уровня систем безопасности, а также сложностью выявления внутренних нарушений: «Речь прежде всего идёт о реализации сложных, многоступенчатых схем кражи информации с участием как внутренних нарушителей, так и внешних (так называемый гибридный вектор атак)».

28 ноября 2024 года в России был принят закон, ужесточающий ответственность за утечки персональных данных, вплоть до уголовной. Штрафы для компаний составляют от 5 до 15 млн рублей за первый инцидент и до 3 % от годового оборота компании за повторные нарушения. Максимальная сумма штрафа достигает 500 млн рублей. В то же время предусмотрены послабления: компании, которые в течение трёх лет инвестировали в информационную безопасность не менее 0,1 % от своей выручки и соблюдали требования регулятора, смогут рассчитывать на снижение штрафов.

Тем не менее бизнес, по мнению экспертов, не готов к ужесточению требований. Вице-президент по информационной безопасности ПАО «ВымпелКом» Алексей Волков заявил, что компании не успеют адаптироваться к нововведениям до 2025 года. Он подчеркнул, что создание системы информационной безопасности требует не только значительных ресурсов, но и долгосрочного изменения организационной культуры. «Безопасность нельзя купить или построить – её можно только взрастить», — отметил Волков.

Таганский районный суд Москвы признал мессенджер Telegram и видеохостинг YouTube виновными в совершении административного правонарушении, выразившемся в отказе удалить персональные данные, размещённые без согласия человека, в связи с чем был назначен штраф в размере 80 тыс. руб. каждому из них.

Источник изображения: Rubaitul Azad/unsplash.com

«Мировой судья судебного участка N 422 Таганского района города Москвы признал "Телеграм Мессенджер Инк" (Telegram Messenger Inc.) виновным в совершении административного правонарушения, предусмотренного ч. 5 ст. 13.31 КоАП РФ (неисполнение обязанностей организатором распространения информации в сети интернет). Назначено административное наказание в виде штрафа в размере 80 тыс. рублей», — сообщается в официальном Telegram-канале судов общей юрисдикции Москвы. Аналогичное правонарушение вменяется в вину и платформе YouTube с назначением судом аналогичного штрафа.

Ранее в этом месяце мессенджер Telegram был оштрафован на 80 тыс. руб. из-за отказа выполнить обязательства по локализации персональных данных россиян. Это уже второй административный штраф за подобное правонарушение. Первый штраф в размере 50 тыс. руб. был назначен в августе 2023 года. Согласно закону «О персональных данных» сведения о россиянах должны храниться компаниями только на территории страны. Требование о локализации также применяется к иностранным компаниям, не имеющим физического присутствия в РФ и осуществляющим деятельность на территории страны.

Ещё в начале месяца стало известно, что правительственным учреждениям Южной Кореи власти начали блокировать доступ к китайскому ИИ-приложению DeepSeek. Теперь запрет на скачивание этого приложения распространился на всех пользователей на территории Южной Кореи, поскольку методы работы DeepSeek с персональными данными не соответствуют требованиям местных законов.

Источник изображения: Unsplash, Solen Feyissa

Об этом сообщает Reuters со ссылкой на Комиссию по защите персональных данных Южной Кореи (PIPC). Расследование комиссию выявило, что DeepSeek не соблюдает ряд требований южнокорейских властей к обработке и хранению персональных данных, а также их защите. Как только китайская компания приведёт свои методы работы в соответствие с требованиями южнокорейского законодательства, запрет на скачивание приложения DeepSeek будет снят. Даже сейчас непосредственно доступ к инфраструктуре DeepSeek для большинства пользователей в Южной Корее не ограничен, нельзя лишь заново скачивать приложение.

На прошлой неделе в Южной Корее начали работать законные представители DeepSeek, у них-то местные регуляторы и выяснили, что китайская компания пренебрегает рядом требований южнокорейского законодательства в части защиты персональных данных. Как известно, Италия заблокировала работу DeepSeek на своей территории ещё в прошлом месяце. При этом представители МИД КНР утверждают, что власти страны не принуждают частные компании или физических лиц собирать или хранить информацию в обход законов других стран, и никогда не стали бы этого делать. Власти Китая с большим уважением относятся к приватности данных и защищают их с помощью местных законов.

Apple уже три года является объектом антимонопольного разбирательства в Германии из-за непрозрачной работы функции App Tracking Transparency Framework (ATTF). Эта функция позволяет владельцам iPhone отправлять приложениям запрос на запрет отслеживания. Федеральное ведомство по картелям (Bundeskartellamt) обвиняет Apple в том, что ATTF применяется только к сторонним приложениям, и не распространяется на приложения Apple, что нарушает антимонопольную политику.

В сегодняшнем пресс-релизе немецкое антимонопольное ведомство утверждает, что Apple применяет к сторонним приложениям иной стандарт конфиденциальности, чем к собственным, особенно когда речь идёт об отслеживании активности пользователей для рекламы. С момента внедрения ATTF в апреле 2021 года iOS-приложения, распространяемые в App Store, должны запросить дополнительное согласие пользователей, чтобы отслеживать их действия и получить доступ к определённым данным.

Однако, судя по информации Bundeskartellamt, строгие требования ATTF применяются только к сторонним поставщикам приложений, а не к самой Apple. Антимонопольное ведомство полагает, что такой подход должен быть запрещён в соответствии со специальными положениями о контроле за злоупотреблениями для крупных цифровых компаний «Закона о конкуренции Германии» (GWB) и общими положениями о контроле за злоупотреблениями статьи 102 «Договора о функционировании Европейского союза» (TFEU).

Между тем, ATTF, по сути, не является проблемой для крупных рекламных приложений, таких как Facebook✴. Meta✴ даже улучшила свои рекламные возможности, получив от ATTF, частично с помощью ИИ, возможность более точного таргетинга пользователей.

Китайская лаборатория DeepSeek, которая обрела популярность благодаря выпуску революционных моделей искусственного интеллекта, предлагающих возможности, аналогичные американским, но при более скромных затратах на обучение, привлекла внимание итальянских властей — они обеспокоены «возможной угрозой для данных миллионов людей» в стране. Приложение DeepSeek уже исчезло из итальянских разделов App Store и Google Play.

Источник изображения: Solen Feyissa / unsplash.com

Приложение DeepSeek стало самым популярным на платформе Apple App Store, и итальянское Управление по защите данных (Garante) обратилось к китайской компании с просьбой предоставить информацию о чат-боте, который может представлять угрозу конфиденциальности жителей страны. Надзорный орган отвечает за применение норм «Общего регламента по защите данных» (GDPR) в Италии.

Garante сообщило, что связалось с офисами DeepSeek в Ханчжоу и Пекине и запросило информацию о том, какие персональные данные собирает чат-бот с ИИ. Ведомство поинтересовалось, каковы цели сбора данных и хранятся ли они на серверах, физически расположенных на территории Китая. В «Политике конфиденциальности» DeepSeek действительно указано, что сервис передаёт персональные данные, связанные со страной проживания пользователя, и хранит их «на защищённых серверах, расположенных в Китайской Народной Республике». Однако отмечается, что «это будет делаться в соответствии с требованиями применимых законов о защите данных».

Итальянский регулятор также запросил, какие данные используются для обучения системы искусственного интеллекта DeepSeek. Если производится сканирование веб-страниц, то каким образом зарегистрированные и незарегистрированные пользователи информируются об обработке персональных данных. DeepSeek дали 20 дней на ответ Garante. Расследование в отношении китайской лаборатории уже проводят Microsoft и OpenAI; изучать вопрос начали и американские власти.

Любопытно, что спустя несколько часов после того, как Garante запросило у DeepSeek информацию об обработке персональных данных, приложение исчезло из итальянских разделов магазинов Apple App Store и Google Play. Официальных комментариев от Apple и Google по этому вопросу не последовало.

Таганский районный суд Москвы признал американского хостинг-провайдера Namecheap виновным в нарушении неприкосновенности частной жизни, личной и семейной тайны российских граждан в связи с публикацией на сайте виртуальной блокчейн-игры Age of Mars, которую контролирует ответчик, персональных данных граждан без их согласия, пишет ТАСС со ссылкой на постановление суда, вступившее в силу 25 января.

Источник изображения: Tingey Injury Law Firm/unsplash.com

«Признать деятельность интернет-страницы https://ageofmars.io незаконной и нарушающей права граждан <...>. Признать информацию, распространяемую посредством сети интернет на соответствующем интернет-ресурсе, а равно её распространение иными интернет-ресурсами информацией, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, — цитирует ТАСС судебный документ. — Решение суда является основанием для включения следующей интернет-страницы https://ageofmars.io в реестр нарушителей прав субъектов персональных данных».

Иск Роскомнадзора (РКН) к американскому хостинг-провайдеру NameCheap в защиту персональных данных россиян был зарегистрирован 28 ноября 2024 года, а решение по этому делу было вынесено 24 декабря. В ходе судебного разбирательства было установлено, что на сайте игры публикуются персональные данные российский гражданин, включая фамилию, имя, отчество, фотографии и дату рождения, без их согласия. «На сайте отсутствует информация, подтверждающая наличие согласия гражданина на обработку его персональных данных, включая распространение, либо иных законных оснований на обработку указанных персональных данных», — указано в судебных документах.

Немецкий поставщик облачных услуг мог непреднамеренно раскрыть персональные данные всех жителей Грузии, обнаружили исследователи в области кибербезопасности. Они выявили две доступные без паролей базы данных с записями о жителях страны.

Источник изображения: Growtika / unsplash.com

Открытие сделал эксперт в области кибербезопасности Боб Дьяченко (Bob Dyachenko) из компании SecurityDiscovery.com. Он рассказал, что обнаружил индекс Elasticsearch без защиты паролем, который содержал «обширный набор персональных данных», принадлежащих жителям Грузии. Индекс был составлен из двух баз: в одной было около 5 млн, в другой — более 7 млн записей. Учитывая, что население Грузии составляет менее 4 млн человек, есть основания предположить, что даже при наличии дубликатов записей в результате инцидента риску кражи данных, фишинга и другим угрозам подвержены все жители страны.

В архивах содержались идентификационные номера граждан (возможно, номера социального страхования), их полные имена, даты рождения, пол, номера телефонов и прочая конфиденциальная информация. «Данные, видимо, были собраны или агрегированы из нескольких источников, предположительно из правительственных или коммерческих баз и служб идентификации», — рассказали эксперты. Сервер, на которым были размещены базы, принадлежал немецкому поставщику облачных услуг, и вскоре после предания инцидента огласке его отключили.

Многие вопросы остались без ответа: был ли осведомлен об инциденте облачный провайдер, успели ли киберпреступники похитить данные перед отключением ресурса, и была ли перемещена база в другое место. Наконец, не удалось установить, по чьей вине произошла эта утечка, а значит, едва ли получится привлечь это лицо к ответственности.