С принятием нового Закона о конфиденциальности личных данных (Personal Information Privacy Law) Китай стал вторым после Европы крупным игроком, сформулировавшим собственные правила в данной отрасли. Не у всех технологических компаний сейчас есть понимание того, как соблюдать новый закон.

Источник изображения: F8_f16 / pixabay.com

Закон, рассматриваемый как китайская версия Общего регламента защиты персональных данных (GDPR) в Европе, представляет собой набор норм, которые регулируют правила сбора, использования, обработки, обмена и передачи персональных данных организациями. Законодательная инициатива направлена на защиту китайских граждан от субъектов частного сектора, в то время как у правительственных структур доступ к персональным данным сохраняется. В мае представители американского бизнеса направили во Всекитайское собрание народных представителей комментарии, в которых выразили протест против нечётких формулировок в законопроекте, а также предусмотренных денежных штрафов и уголовной ответственности. Чрезмерно предписывающие и обременительные правила, по мнению американских бизнесменов, станут сдерживающим фактором для инноваций.

С учётом того, что сейчас в США вообще нет федерального закона о конфиденциальности данных, европейские и китайские нормы могут стать определяющими на мировой арене. А технологическим компаниям, ведущим бизнес в Китае, придётся придерживаться новых расплывчатых правил, что может оказаться дорогостоящим делом. Любая компания, которая в своей деятельности предполагает обработку данных китайских пользователей, должна пройти проверку безопасности соответствующим регулятором в КНР, назначить местных представителей для решения вопросов о конфиденциальности и управлении рисками — за нарушение закона предусмотрены штрафы в размере до 5 % от годовой выручки, отзыв лицензии, а также персональная ответственность руководства.

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры) организовало электронный аукцион на выполнение работ по проекту «Оказание услуг по предоставлению информации об утечках персональных данных в сети Интернет».

Источник изображения: pixabay.com / Pexels

Информация о новой инициативе обнародована на портале госзакупок. Главной целью проекта является своевременное выявление информации об утечках персональных данных. Кроме того, должна формироваться статистика по услугам, связанным с покупкой и продажей персональных данных, их объёму и спросу.

Перед исполнителем ставятся следующие задачи: мониторинг объявлений и сообщений, указывающих на факт утечки персональных данных; анализ найденных объявлений и сообщений с целью присвоения уровня критичности; подготовка экспертных записок об особо критичных утечках; отправка ежедневных и еженедельных уведомлений о новых утечках.

Источник изображения: pixabay.com / TheDigitalArtist

На работы планируется выделить более 68 млн рублей. Исполнителю предстоит осуществлять мониторинг как открытых, так и закрытых (darknet) источников: это форумы киберкриминальной тематики, блоги и веб-сайты злоумышленников, различные Telegram-каналы IT-тематики, веб-приложения для обмена текстом и исходным кодом. Обязательному мониторингу должны подлежать русскоязычные и англоязычные ресурсы, при этом допускается дополнительный мониторинг иностранных ресурсов. 

На следующей неделе в Брюсселе ожидается новый раунд переговоров между американской делегацией и представителями Европейского союза. Американскую делегацию возглавят чиновники из Совета национальной безопасности, что подчёркивает важность встречи. Стороны попытаются продвинуться в решении давнего конфликта о передаче данных европейцев в США, где они становятся лёгкой добычей американских спецслужб и не только.

Июньский саммит в Брюсселе по вопросам безопасности с президентом США Джозефом Байденом (крайний справа). Источник изображения: Olivier Hoslet/Shutterstock

Европейское законодательство намного серьёзнее относится к защите персональных данных, чем американские законы. Тем более что в США в связи с событиями сентября 2001 года (сегодня как раз исполняется 20 лет трагедии) американские спецслужбы получили разрешение на весьма вольное обращение с данными граждан. В конце 90-х годов прошлого века ЕС согласилось на упрощённую схему договора по передаче данных о своих гражданах на ту сторону Атлантики. Подчеркнём: речь идёт о хранении данных европейцев на серверах на территории США.

Через несколько лет стало понятно, что американские компании и спецслужбы в массе не придерживаются установленного договора и в 2015 году Высший европейский суд признал договор об обмене данными с США недействительным. По прежнему договору страны ЕС не имели механизмов защиты своих граждан и их данных в США, а упрощённая схема так и не стала механизмом сдерживания аппетитов американцев. Этот демарш ЕС поставил под угрозу нормальную работу американских техногигантов в Европе, таких как Google, Facebook, Twitter и тысяч компаний поменьше.

По понятным причинам, американский бизнес это не устроило, и власти США взялись урегулировать ситуацию на политическом уровне. Тем временем данные европейцев продолжали течь через Атлантику. Летом прошлого года Европейский суд вынес очередной запрет на передачу персональных данных своих граждан на серверы в США. Опираясь на новое постановление, Ирландия начала судебную войну с Facebook. Последняя даже опубликовала предостережение, что подобные действия сделают невозможной работу компании в ЕС, что приведёт к проблемам бизнеса также в США. Если опыт Ирландии окажется успешным, его могут взять на вооружение другие страны Союза. Для американцев важно не создать прецедента, поэтому Facebook прибегла к апелляции.

Очередные переговоры о способах решения конфликта уже прошли этим летом в США и через неделю возобновятся в Брюсселе. Но источники считают, что даже в случае некоторого прогресса, намёки на который якобы есть, переговоры придётся продолжить в будущем.

«Пока неясно, какие уступки или юридические права американские переговорщики готовы предоставить европейцам в ходе переговоров на следующей неделе, и пройдёт ли это предложение проверку в суде, который, как ожидают официальные лица обеих стран, будет третьим по счету. Некоторые юристы говорят, что решение этого вопроса может потребовать внесения изменений в американские законы о слежке», — сообщает издание The Wall Street Journal.

Китайские разработчики популярных мобильных игр под Android раскрыли персональные данные пользователей через незащищённый сервер. О проблеме сообщили специалисты группы vpnMentor, в свободном доступе оказались 134 Гбайт информации.

Источник: freepik.com

Компания EskyFun, допустившая утечку, является разработчиком множества игр под Android. Под угрозой оказались пользователи следующих приложений: Rainbow Story: Fantasy MMORPG, Metamorph M и Dynasty Heroes: Legends of Samkok. В общей сложности они были загружены более 1,6 млн раз. По данным vpnMentor, в открытом доступе оказались 365 630 387 записей, внесённых с июня 2021 года. Что усугубляет проблему, разработчики игр навязывали пользователям такие настройки, в результате которых приложения собирали слишком много данных — намного больше, чем требуется для стандартных мобильных игр.

В частности, собирались IP-адреса пользователей, IMEI-номера и другая информация об устройствах, телефонные номера, версии ОС, логи событий на устройствах вне зависимости от наличия root-доступа, информация о приобретении игр и отчёты о транзакциях, адреса электронной почты, пароли от аккаунтов в системе EskyFun (сохранённые открытым текстом), а также запросы в службу поддержки. По оценкам vpnMentor, в опубликованной базе находятся данные примерно миллиона пользователей.

Утечка была обнаружена 5 июля, через два дня специалисты vpnMentor попытались связаться с разработчиком, однако не получили ответа. Осуществив повторную попытку связаться с EskyFun 27 июля и снова не получив ответа, специалистам пришлось обратиться в группу реагирования CERT в Гонконге 28 июля, после чего игровой сервер всё-таки был переведён в безопасный режим. «Большая часть этих данных была конфиденциальной, и у компании, разрабатывающей видеоигры, не было необходимости хранить настолько детализированные данные о пользователях. Более того, не защитив данные, EskyFun подвергла более миллиона человек потенциальной опасности мошеннических действий, взлома и многому другому», — прокомментировали инцидент в vpnMentor.

Американский оператор мобильной связи T-Mobile заявил о том, что были похищены персональные данные ещё 5,3 млн абонентов. Утечка коснулась бывших, настоящих и потенциальных клиентов компании.

Источник: reuters.com

Похищенные данные включают адреса, даты рождения и номера телефонов клиентов. Нет никаких признаков того, что взлом затронул финансовую информацию клиентов, включая номера кредитных карт, уточнили в T-Mobile. «Наше расследование продолжается и будет продолжаться в течение какого-то времени, но на текущий момент мы уверены, что закрыли доступ злоумышленникам», — говорится в официальном докладе оператора профильному государственному ведомству.

Два дня назад третий по величине оператор мобильной связи США сообщил о взломе. В руки злоумышленников попали данные 40 млн бывших и потенциальных абонентов, а также 7,8 млн активных клиентов. Сегодня компания дополнила информацию о недавнем инциденте, обнаружив, что удалось идентифицировать аккаунты ещё 667 тыс. бывших абонентов, у которых также были похищены персональные сведения (имена, номера телефонов, адреса и даты рождения). Относительно новой информации T-Mobile также заверила, что данные о 5,3 млн абонентов на постоплатных тарифах не включали номеров социального страхования или водительских удостоверений.

Всекитайское собрание народных представителей приняло новый закон, направленный на защиту пользовательских данных, он вступит в силу 1 ноября. Документ регламентирует нормы деятельности местных компаний в киберпространстве и описывает дополнительные требования, предъявляемые при обработке данных.

Источник: reuters.com

Компаниям технологической сферы предписывается обеспечить надёжное хранение пользовательских данных. Эта мера стала ответом на многочисленные жалобы относительно неправомерного сбора и хранения информации, что приводит к нарушению конфиденциальности граждан.

По новым нормам обработка персональных данных должна иметь чёткую и обоснованную цель, при этом её надлежит ограничить «минимальным объёмом, необходимым для достижения целей обработки». В документе перечисляются условия, на основании которых компании могут собирать персональную информацию, включая получение согласия от каждого пользователя. Кроме того, приводятся инструкции по защите данных при их передаче за пределы страны.

Согласно новому закону, на предприятиях назначается лицо, ответственное за защиту персональной информации. Компании также обязываются проводить регулярные проверки на соответствие процедур обработки данных требованиям нормативов.

Работа в интернете на территории Китая, таким образом, регламентируется двумя основными документами: Законом о защите личной информации и Законом о безопасности данных. Первый по целям и содержанию напоминает европейский Общий регламент защиты персональных данных (GDPR), второй устанавливает рамки для классификации данных компаниями, основываясь на экономической ценности информации, а также её значимости для национальной безопасности Китая. По мнению экспертов, теперь китайские компании технологического сектора будут должны подробно изучить свои методы хранения и обработки данных на предмет их соответствия требованиям законодательства.

Китайские власти намереваются усилить контроль над персональными данными граждан и продавать их на внутреннем рынке. Это, вероятно, окажется подспорьем для притормозившей в развитии экономики Китая, но создаст угрозу для работы местных IT-компаний на глобальных рынках.

Источник: freepik.com

Как отметило агентство Reuters, намерение создать рынок данных пользователей зародилось несколько лет назад. И активность Пекина на протяжении последних месяцев — действия против гигантов Alibaba, Tencent, Didi и других участников рынка IT — могут говорить о реализации данного намерения. В частности, речь идёт о рынке больших данных (Big Data), включающих персональные данные, которые накапливают и правительственные, и коммерческие организации. Состав таких персональных данных включает практически все сведения о гражданах: от медицинских карт и судебной документации до банковских операций и предпочтений потребителя.

Это может открыть полноценное новое направление в экономике Китая, не менее значимое, чем трудовые ресурсы, технологии и прочие факторы. Продажа информации, согласно плану правительства, обеспечит рост экономики, который в последние годы сильно замедляется. Краеугольным камнем в реализации плана станет принятие Закона о безопасности данных ориентировочно в сентябре этого года. Согласно этой правовой норме, на организации, которые производят обработку критически важных данных, будет возложена обязанность просчитывать риски и предоставлять властям отчёты о своей деятельности. Если же обрабатываемая компанией информация может коснуться вопросов национальной безопасности Китая, то ей нужно будет готовиться к ежегодным проверкам.

Как отметила Кендра Шефер (Kendra Schaefer) из консалтинговой компании Trivium China, КНР получит возможность не только контролировать значительные информационные активы, но и сделать их полноценным товаром для контроля IPO фирм за границей, трансграничных переводов и прямого доступа к некоторым категориям информации.

Планомерная политика Китая относительно IT-компаний вызвана не только соображениями нацбезопасности, уверен эксперт по киберполитике из аналитического центра New America Сэм Сакс (Sam Saks). По его мнению, это гораздо более продуманный план, отвечающий на вопрос ценности данных с экономической точки зрения.

В марте 2021 года Госсовет КНР обнародовал план изменений цифровой экономики, где говорится о создании пробных рынков персональных данных, а также об усилении контроля над интернет-платформами. Одну такую пробную платформу к концу года может запустить китайский город Гуандун, это комплексное решение позволит контролировать динамику пользовательских данных, в том числе международные денежные переводы.

Впрочем, отметил господин Сакс, данный план может оказаться рискованным, поскольку в новом законопроекте понятие критически важных данных дано в несколько размытых формулировках, а это может насторожить клиентов и инвесторов китайского бизнеса, что, в свою очередь, затруднит местным компаниям выход на международные рынки.

Аналитики заявили, что новая политика прозрачности Apple (App Tracking Transparency) привела к падению доходов рекламодателей. По словам руководителя отдела мобильного маркетинга Consumer Acquisition Брайана Боумана (Brian Bowman), сокращение доходов у некоторых клиентов достигает 40 %. Об этом пишет Apple Insider.

Источник: Apple Insider

Боуман рассказал, что изменение правил iOS оказало разрушительное влияние на сферу. Рекламодатели заметили не только снижение доходов, но и рост неорганического трафика. Это говорит о том, что заказчики больше не могут адаптировать рекламу под конкретную аудиторию.

При этом пока сложно определить полный масштаб случившегося, потому что достоверно неизвестно количество пользователей, принявших новые условия. Эксперт утверждает, что более ощутимый эффект будет заметен через месяц, когда ОС обновят более 80 % пользователей.

Предположительно, изменения не коснутся крупных компаний, владеющих популярными сервисами, так как они способны самостоятельно отслеживать интересы пользователей. В основном перемены затронут малый и средний бизнес, который не может вкладывать много средств в рекламу.

Правила App Tracking Transparency начали действовать прошедшей весной. Вскоре после их вступления в силу, аналитики отметили, что расходы рекламодателей на iOS сократились на треть. Кроме этого, спрос на рекламу в ОС Android увеличился на 46 %, а её стоимость на треть.

Стало известно, что компании Facebook, Google и Twitter в частном порядке предупредили правительство Гонконга о возможности прекращения предоставления услуг на территории города. Такое решение может быть принято, если вступит в силу новый закон о защите персональных данных, предусматривающий уголовную ответственность для сотрудников компаний за действия пользователей, публикующих в интернете данные других людей с целью нанесения им вреда.

Изображение: Roy Liu / Bloomberg News

Речь идёт о законопроекте, который направлен на борьбу с доксингом (doxing) — практикой сбора и размещения в интернете данных о людях без их согласия с целью нанесения вреда. IT-гиганты выразили обеспокоенность тем фактом, что их сотрудники могут подвергаться уголовному преследованию из-за публикуемых пользователями сообщений.

Напомним, в мае этого года Бюро по конституционным и материковым делам Гонконга предложило внести поправки в закон о защите данных, которые, по мнению ведомства, необходимы для борьбы с доксингом. Такая практика была распространена во время протестов в 2019 году, когда в интернете публиковались данные силовиков, участвующих в стычках с протестующими. В соответствии с изменениями, наказание за доксинг предусматривает штраф в размере 1 млн гонконгских долларов (приблизительно $129 тыс.) и до пяти лет тюремного заключения.

Управляющий директор Азиатской интернет-коалиции Джефф Пейн (Jeff Paine) в письме уполномоченному Гонконга по конфиденциальности персональных данных заявил, что члены коалиции выступают против доксинга, но расплывчатые формулировки в поправках к законодательству допускают, что компании и их сотрудники могут стать участниками судебных разбирательств и подвергаться уголовному преследованию за действия пользователей социальных сетей, что, по его мнению, несправедливо.

Представители Facebook, Google и Twitter отказались от комментариев по данному вопросу, но подтвердили, что соответствующее письмо было отправлено от имени Азиатской интернет-коалиции. Поправки для борьбы с доксингом будут представлены Законодательному совету Гонконга позднее в этом году, и ожидается, что законопроект будет одобрен к концу года.

Роскомнадзор составит новые административные протоколы о нарушениях на Twitter, Facebook и WhatsApp. Компании не предоставили подтверждения локализации данных россиян. Об этом сообщается на сайте регулятора.

Источник: Денис Шарле, AFP

«Роскомнадзор потребовал от ряда иностранных компаний предоставить документы, подтверждающие, что хранение и обработка персональных данных российских пользователей осуществляется на территории РФ. Сервисы Facebook, WhatsApp и Twitter такие данные своевременно не предоставили», — пишет РКН.

Ведомство уже вызвало представителей компаний для составления документов. Протоколы будут оформлены по статье 13.2 КоАП РФ за нарушение правил обработки персональных данных. Для WhatsApp это первое нарушение, за что мессенджеру грозит до 6 миллионов рублей штрафа. У Twitter и Facebook это повторный протокол по данной статье, поэтому им могут назначить от 6 до 18 миллионов рублей наказания.

Это уже не первый случай, когда иностранные компании штрафуют за отказ локализовать данные россиян. Днем ранее по аналогичной причине Роскомнадзор составил протокол на Google. IT-гиганту теперь грозит шестимиллионный штраф.

Таганский суд Москвы удовлетворил иск Роскомнадзора о блокировке клона Telegram-бота «Глаз бога». Причиной наложения ограничений стало нарушение закона о персональных данных, пишет «МБХ Медиа».

Источник: The Moscow Times

По словам адвоката пресс-секретаря оригинального Telegram-канала «Глаз бога» Сергея Каленика, решение суда не относится к их проекту. Он подчеркнул, что заблокированный канал, который нарушал российские законы, не имеет к ним отношения.

Адвокат Фёдор Сирош рассказал, что изначально иск подавался к администратору оригинального «Глаза бога» Евгению Антипову. Когда он пришёл на процесс, выяснилось, что это другой бот-клон, и его клиенту не грозят никакие санкции. Издание уточняет, что проверило гиперссылку в решении суда, и заблокированный канал действительно является клоном.

«Глаз бога» — один из Telegram-ботов, который собирает информацию о россиянах на основе открытых и закрытых источников. В марте Роскомнадзор выступил против подобного рода сервисов, потребовав заблокировать нарушителей. После этого мессенджер ограничил работу пяти крупных Telegram-ботов.

Стало известно, что Роскомнадзор направил международным компаниям, занимающимся обработкой и хранением персональной информации россиян, запросы о выполнении требований о локализации данных на территории страны. Об этом пишет РБК со ссылкой на данные представителей некоторых участников рынка, которые уже получили запросы от Роскомнадзора. Отмечается, что подобные запросы получили компании из разных отраслей.

Изображение: Michael Bocchieri / Getty Images

Согласно имеющимся данным, Роскомнадзор запрашивает подтверждение выполнения требований российского законодательства, для чего компании должны предоставить ведомству заверенную схему размещения серверов, используемых для хранения данных российских пользователей, а также договор купли-продажи серверов и справку о их постановке на учёт. В случае, если компания не имеет собственных мощностей и арендует серверы в российских дата-центрах, Роскомнадзор требует предоставление копии договора аренды. Представитель Роскомнадзора подтвердил, что ведомство направило соответствующие запросы «ряду организаций в целях уточнения размещения баз персональных данных российских граждан».

Напомним, требование хранить персональные данные россиян, в том числе получаемые через интернет, на расположенных на территории страны серверах вступило в силу 1 сентября 2015 года. Несоблюдение этого закона привело к блокировке социальной сети LinkedIn в 2016 году. В мае этого было объявлено о том, что Роскомнадзор ждёт выполнения требований по хранению данных россиян от социальных сетей, в том числе Facebook и Twitter. Согласно имеющимся данным, более 600 иностранных компаний уже локализовали данные российских пользователей.

Президент США Джо Байден может подписать закон о защите персональных данных американцев, который усилит регулирование работы китайских приложений. Разработчиков обяжут соблюдать более строгие нормы хранения информации, если они продолжат работать на американском рынке. В случае нарушений их продукт могут заблокировать. Об этом Reuters рассказали осведомлённые источники.

Источник: Roll Call

Закон коснётся приложений для смартфонов, планшетов и компьютерного ПО. Предположительно, главная цель закона — ограничить доступ России и Китая к сведениями американцев.

За контроль приложений будет отвечать глава Министерства торговли США Джина Рэймондо (Gina Raimondo). Согласно представленным сведениям, изменения затронут программные продукты и сервисы, которые соответствуют определённым критериям. Ключевым из них являются страна, в которой произведено ПО, и репутация компании-разработчика. В случае наличия подозрений Министерство пометит софт как «представляющий неприемлемый риск» и уведомит об этом разработчиков. У последних будет 30 дней на возражение в свою защиту. 

Вероятно, из-за роста напряжённости, китайские приложения окажутся под прицелом регулятора. По словам источников, власти планируют применять закон к сервисам из банковского сектора, телекоммуникаций и потребительской сферы.

Мобильные сервисы для фитнеса и отслеживания состояния здоровья недостаточно хорошо защищают персональные данные своих пользователей. Около 88 % таких продуктов имеют доступ к конфиденциальным сведениям и могут обмениваться ими. К такому выводу пришли исследователи British Medical Journal.

Источник: University of California San Francisco

Анализ 23 тысяч приложений показал, что недостаточное информирование о политике конфиденциальности не позволяет пользователям принимать осознанные решения касательно использования их данных. Около трети проверенных сервисов собирают адреса электронной почты и ряд других сведений, которые они могут передавать рекламодателям.

Среди проанализированных сервисов 28 % не предлагали к прочтению никаких текстов с правилами конфиденциальности и как минимум 25 % нарушали описанные условия. Эксперты утверждают, что до 88 % подобных приложений получают доступ к личной информацией и могут обмениваться ею.

Авторы подчеркнули, что в исследовании участвовали только сервисы из Google Play, и результаты являются лишь общим наблюдением. Будет ли проведена аналогичная экспертиза программных решений из App Store, не уточняется.

Мессенджер WhatsApp объявил об очередных изменениях, связанных с переменами в политике конфиденциальности. Компания заявила, что не станет ограничивать функциональные возможности тех, кто откажется принять новые правила платформы. Об этом пишет The Verge.

The Verge

Компания объяснила, что приняла это решение после консультаций с рядом экспертов и государственных регуляторов. Тем не менее, она продолжит предлагать пользователям принять новые правила, чтобы пользоваться дополнительными функциями. Какие опции появятся у согласившихся, не уточняется.

В начале года WhatsApp анонсировала изменения в политике конфиденциальности. Эти изменения предполагают беспрепятственный обмен пользовательскими данными с Facebook. Объявление вызвало большую шумиху среди пользователей мессенджера. Из-за этого компании пришлось перенести внедрение изменений.

В мае представители сервиса заявили, что пользователи, отказавшиеся принять новую политику конфиденциальности, столкнутся с ограничением функциональности в WhatsApp. В частности, компания намеревалась заблокировать звонки и сообщения противникам изменений.