Комиссия по защите данных Ирландии объявила о присуждении штрафа компании Twitter в размере €450 тыс. (примерно $546 тыс. или более 40 млн рублей) из-за утечки данных пользователей. Примечательно, что с момента вступления в силу общего регламента по защите данных (GDPR) на территории Евросоюза в середине 2018 году штрафом впервые была наказана крупная американская технологическая компания.

Изображение: Getty Images

Информация об инциденте, связанном с утечкой данных пользователей Twitter, была раскрыта в январе 2019 года. В соответствии с GDPR, компания должна была задокументировать и должным образом уведомить регулятора об инциденте в течение 72 часов, но этого сделано не было. В результате этой утечки опубликованные в закрытых аккаунтах твиты стали общедоступными.

«Мы берём на себя ответственность за эту ошибку и остаёмся приверженными защите конфиденциальности данных наших пользователей», — сказал представитель Twitter, добавив, что несвоевременное уведомление регулятора об инциденте стало «непредвиденным последствием укомплектования персонала», который работал в период рождественских каникул в конце 2018 года.

Расследование данного инцидента фактически было завершено ещё в мае этого года, но регуляторам стран ЕС после этого потребовалось несколько месяцев, чтобы определиться с размером штрафа. Согласно GDPR, из-за утечки данных компанию могли оштрафовать на сумму до 2 % от выручки, а её объём у Twitter в 2018 году составил $60 млн. Ирландский регулятор решил не выносить максимальный штраф, поскольку утечка данных была признана не преднамеренной и не систематической. После долгих обсуждений было принято решение о вынесении штрафа в размере €450 тыс.

Компания Google планирует вывести учётные записи своих британских пользователей из-под контроля регуляторов конфиденциальности Евросоюза, поместив их под юрисдикцию США. Об этом сообщает информационное агентство Reuters со ссылкой на собственные источники.

В сообщении говорится, что Google хочет заставить пользователей принять новые условия из-за выхода Великобритании из Евросоюза. Это сделает конфиденциальные пользовательские данные десятков миллионов человек менее защищёнными и доступными правоохранительным органам. Однако пока остаётся неясным, продолжит или нет Великобритания следовать Общему регламенту по защите данных (GDPR) после выхода из ЕС.

Ирландия, где располагаются штаб-квартиры американских технологических компаний, таких как Google, входит в состав Евросоюза, где действуют одни из самых агрессивных в мире правил по защите конфиденциальных данных. Если Google решит вывести данные британских пользователей из-под ирландской юрисдикции, то они будут регулироваться в соответствии с законами США. Такой подход позволит британским властям и правоохранительным органам получать доступ к пользовательским данным, поскольку американские законы о конфиденциальности значительно более мягкие по сравнению с европейскими.

В распоряжении Google находится одна из крупнейших баз пользовательских данных, которая используется компанией для адаптации услуг и заработка на рекламе. Представители Google пока отказываются от официальных комментариев касательно данного вопроса. В ближайшие месяцы другие американские технологические компании должны будут сделать аналогичный выбор касательно дальнейшего регулировании конфиденциальных пользовательских данных.

В мае прошлого года Европейский Союз официально перешёл на новые правила обработки персональных данных GDPR (Общий регламент по защите данных ЕС 2016/679 от 27 апреля 2016 года). Они крайне строго относятся к вопросу обработки пользовательских данных. Конфиденциальность в индустрии высоких технологий в последние годы оказалась под большим вопросом. Даже некоторые ведущие компании вроде Facebook и Google, зарабатывающие преимущественно на рекламе, время от времени попадают в скандалы. При этом все участники рынка уверяют, что относятся к приватности очень серьёзно, но споры возникают уже вокруг базового вопроса: какие именно данные считать конфиденциальными?

Чтобы разрешить проблему, ряд компаний, включая Cisco и Apple, выступили с призывом к правительству США разработать общенациональный закон о конфиденциальности данных (вместо разрозненных законов штатов) и указали в качестве ориентира на действующий в Европейском Союзе GDPR. Стоит отметить, что оба упомянутых производителя получают основные свои доходы не за счёт рекламы или монетизации информации о пользователях, так что их GDPR коснулся меньше, а вот конкурентам подобные законы могут заметно усложнить жизнь.

GDPR требует от компаний среди прочего не только информировать пользователей о любом сборе данных, который может произойти (от самого простого и мелкого файла cookie на сайте до крупных интернет-сервисов), но и предоставлять все собранные данные о гражданине ЕС по его запросу (выполнять закон должны все компании, предоставляющие услуги в странах Евросоюза).

В то время как в целом закон хвалили за защиту личных данных пользователей на самом высоком уровне, GDPR не обошёлся без критики и недостатков. Одни пункты закона выглядят крайне трудно выполнимыми, а другие сформулированы очень расплывчато и могут быть широко интерпретированы. Однако наибольшую обеспокоенность вызвали расходы на полноценное внедрение правил GDPR: не все компании технически способны обработать запросы пользователей на отправку им данных или на удаление о них информации с серверов.

Кстати, главный юрисконсульт Cisco Марк Чендлер (Mark Chandler) отметил, что у граждан США сейчас нет права на удаление своих данных из поисковых систем. Сторонники конфиденциальности в США предлагают использовать законодательство ЕС как ориентир, сделав при этом будущий федеральный закон более подходящим для Америки. Впрочем, когда подобное будет принято, пока не ясно.

Кстати, Apple в последнее время взяла курс на отказ от использования личных данных конкретных пользователей и старается проводить все персонализированные операции локально на устройстве, без применения облака. Более того, компания даже шутит над проблемами конфиденциальности Google Android и Amazon Alexa.

Сервис отложенного чтения Instapaper после двухмесячного перерыва снова стал доступен жителям стран Евросоюза. Разработчики заявили, что теперь продукт соответствует требованиям Общего регламента по защите данных ЕС 2016/679 от 27 апреля 2016 года (GDPR).

Компания заблокировала пользователям из ЕС доступ к Instapaper в мае, всего за несколько дней до вступления закона в силу. GDPR установил более жёсткие правила касательно сбора пользовательских данных, и многим компаниям пришлось сильно постараться, чтобы начать соответствовать новому регламенту.

«За прошедшие два месяца мы предприняли ряд мер касательно Общего регламента по защите данных, и теперь рады сообщить о возвращении в Европейский Союз», — написали в блоге Брайан Донохью (Brian Donohue) и Родион Гусев, которые отвечают за Instapaper с тех пор, как в июле сервис отделился от Pinterest.

Разработчики обновили политику конфиденциальности платформы, но до сих пор не ясно, почему на это потребовалось так много времени. Тем не менее, политика доступна на GitHub, где можно просмотреть все вносившиеся в неё изменения.

Также Instapaper перезапустила премиум-подписку, чтобы остаться на плаву после отделения от Pinterest. За $3 в месяц или $30 в год вас ждут такие преимущества, как полноценный поиск по тексту, неограниченное число заметок, функция отправки контента на Kindle и отсутствие рекламы. Всем жителям ЕС, которых затронуло отключение сервиса, дадут шесть месяцев подписки бесплатно.

На днях настойчивый австрийский разработчик по имени Питер Штейнбергер (Peter Steinberger) сумел получить весь архив своих данных от компании Spotify. Выяснилось, что компания проводит максимально детализированное отслеживание всех взаимодействий пользователя с клиентом службы, вплоть до изменения размеров окна приложения.

«Попробовал осуществить экспорт данных GDPR из Spotify. По умолчанию пользователь получает 6 файлов JSON, которые почти ничего не содержат. Но после многих писем и жалоб, а также месяца ожидания мне предоставили архив в 250 Мбайт, который содержал данные буквально о каждом моём взаимодействии с любыми клиентами Spotify, всю историю моего поиска. Всё.

Они даже хранят марку наушников, которыми я пользуюсь. Как они это выяснили? Копались глубоко в CoreBluetooth?» — написал он.

Поскольку GDPR был принят в мае, теперь технические компании обязаны отвечать на запросы пользователей из числа граждан ЕС об их личных данных. Отслеживание данных — обычное дело. Как правило, компании собирают информацию с целью изучения своей пользовательской базы и улучшения окружения, разработки новых продуктов, целевой рекламы и так далее.

Вполне логично, что Spotify отслеживает, например, как долго пользователь слушает песню, сколько песен пропускает и тому подобные действия. Но компания, видимо, придерживается принципа: чем больше знаешь о пользователе, тем лучше, а потому собирала все возможные данные вплоть до того, в каком месте музыкальной композиции человек решил повысить громкость.

Как отметил господин Штайнбергер, собранные Spotify данные ничем особенным не примечательны, разве что обширностью интересов компании. Хотя законодательство GDPR предназначено для противодействия подобным практикам широкого сбора данных, оно вполне может сильно усложнить IT-компаниям жизнь, ведь порой в обмен на бесплатность служб монетизируются именно собранные о пользователях данные.

25 мая Европейский союз официально перешёл на новые правила обработки персональных данных GDPR (Общий регламент по защите данных ЕС 2016/679 от 27 апреля 2016 года). Важной особенностью GDPR является экстерриториальный принцип действия, так что он затрагивает американские и российские компании, обслуживающие потребителей в ЕС. Штрафы могут достигать €20 млн или 4 % дохода компании на мировом рынке за год. Для обычных пользователей внешне мало что изменится: как правило, придётся снова принять различные соглашения об обработке своих персональных данных, зато защита последних предусмотрена на гораздо более серьёзном уровне.

Под персональными данным в GDPR подразумевается любая информация, относящаяся к физическому лицу, по которой можно прямо или косвенно его идентифицировать. То есть речь может идти об имени, данных о местоположении, онлайн-идентификаторе и прочих факторах вроде IP-адреса, помогающих установить личность. Есть и особые конфиденциальные персональные данные: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, генетическая и биометрическая информация, сведения о состоянии здоровья, сексуальной жизни.

В качестве основных принципов обработки персональных данных по GDPR выступают:

• персональные данные должны обрабатываться законно, справедливо и прозрачно, причём любую информацию о целях, методах и объёмах обработки персональных данных компании обязаны излагать максимально доступно и просто;
• данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией или службой;
• нельзя собирать личные данные в большем объёме, чем необходимо для целей обработки;
• неточные личные данные должны быть удалены или исправлены по требованию пользователя;
• личные данные должны храниться только в той форме и на тот срок, который позволяет идентифицировать человека в заявленных целях обработки;
• при обработке персональных данных компании обязаны обеспечить их защиту от несанкционированного или незаконного доступа, уничтожения и повреждения.

GDPR требует, чтобы согласие пользователя на обработку его персональных данных было выражено в форме утверждения или в форме чётких активных действий. Кроме того, согласие может считаться недействительным, если у пользователя не было возможности отозвать его без ущерба для себя. Согласие на обработку данных ребёнка (в зависимости от государств ЕС — до 13–16 лет) должно быть авторизовано родителями или законными представителями.

О любых нарушениях, связанных с персональными данными, компании должны сообщать в течение 72 часов после обнаружения проблемы регулирующим органам. В случае дополнительных задержек или попыток скрыть факт утечек штрафа компаниям не избежать.

Граждане и резиденты ЕС в рамках GDPR получают расширенные права, касающиеся их персональных данных. Они имеют возможность запрашивать подтверждение факта обработки их данных, период, место и цель обработки, категории информации, название третьих сторон, которым раскрываются персональные данные, уточнять источник получения организацией данных и требовать внесения поправок. Также пользователь имеет право требовать прекращения обработки своих данных.

Любопытное новшество GDPR — право на перенос личных данных (right to data portability), которое обязывает компании по запросу пользователя передавать бесплатно личные данные последнего другой компании. То есть пользователь может попросить, например, передать всю историю своих запросов от одной поисковой системы другой или предпочтения покупок из одного магазина в другой.

Многие пользователи готовились к 25 мая всерьёз, так что как только правила GDPR вступили в силу, на ряд крупнейших компаний вроде Facebook, Google и Instagram посыпались судебные иски на миллионы евро. Истцы среди прочего обвинили компании в принудительном согласии: то есть им было предложено подтвердить согласие с GDPR без ясного объяснения сути всех новшеств или же новое пользовательское соглашение компания назвала изменением внутреннего регламента якобы с целью запутать людей.

Правила GDPR обсуждались четыре года, регулирующие органы дали компаниям два года на приведение своей политики и инфраструктуры в соответствие с GDPR. Многие сделали это заранее, но большинство оказалось не готово к новшествам.

По мнению адвоката и главного сотрудника по конфиденциальности в United Lex Джейсона Стрэйта (Jason Straight), немного компаний, особенно американских, полностью соответствуют требованиям GDPR. В опросе более 1000 предприятий, проведённом Институтом Понемона в апреле, половина компаний заявила, что они не смогут соответствовать к сроку. Если говорить о технологическом секторе, таковых оказалось 60 %.

«На протяжении многих лет компании работали по принципу: „Сколько персональных данных мы можем заполучить от пользователей? А уж как использовать этот массив информации, мы выясним позже!“ Это не будет приемлемым способом работы при GDRP, — сказал господин Стрэйт. — Есть некоторые компании, с которыми мы разговаривали, которые возмущаются: „Вы шутите? Если бы мы рассказали людям, как используем их данные, они никогда бы не дали их нам!“. А я говорю в ответ что-то такое: „Да, отчасти, в этом и цель новых правил“».

Для компаний, которые действовали по принципу извлечения максимума информации о пользователях для последующего возможного анализа, реорганизация в рамках GDPR во многом может оказаться пыткой: ведь нужно удалить лишнюю информацию, оставив лишь самую необходимую для текущих задач.

Но, возможно, самым серьёзным требованием GDPR, которое приводит в ужас компании, является право на запросы доступа к персональным данным. Пользователи из ЕС могут запрашивать удаление информации, исправлять её, если она неверна, и даже получать её в удобном для переноса виде. Но эти данные могут быть на пяти разных серверах в массе различных форматов. Другими словами, переход на стандарты GDPR требует создание внутренней инфраструктуры, позволяющей эффективно обрабатывать запросы пользователей.

Кроме того, персональные данные — размытая категория. Имена, адрес электронной почты, номера телефонов, данные о местоположении — это очевидно. Но есть более двусмысленные данные вроде непрямых отсылок: «Высокий лысый парень, который живёт на правой стороне улицы Ленина». По словам Джейсона Стрэйта, если кто-то написал подобное в письме, формально в рамках GDPR компания должна предоставить эту информацию по запросу.

Переход на GDPR — болезненная процедура. Например, год назад 61 % мировых компаний даже не начинали работу по адаптации новых правил. Понятно, что европейские предприятия, особенно в странах вроде Германии и Великобритании, где и ранее существовали довольно жёсткие законы о неприкосновенности частной жизни, лучше подготовлены. Тем не менее, опрос в январе 2018 года показал, что четверть лондонских компаний даже не знает, что такое GDPR.

Профессор антропологии и информатики Университета Колорадо в городе Боулдере Элисон Кул (Alison Cool) написала в The New York Times, что закон ошеломляюще сложен и непонятен для людей, которые пытаются его соблюдать. Учёные и менеджеры данных, с которыми она говорила, сомневаются в том, что полное соответствие правилам вообще возможно. Это тревожный звонок, учитывая тот факт, что штрафы могут достигать 4 % мировых доходов (то есть могут легко лишить всей прибыли).

Принятие правил GDPR заставило американского бизнесмена Питера Тиля (Peter Thiel), сооснователя PayPal и президента хедж-фонда Clarium Capital, во время беседы на Экономическом клубе Нью-Йорка в марте обвинить ЕС в злодейском протекционизме: «В Европе нет успешных технологических компаний, и они ревностно относятся к США, поэтому они и наказывают нас».

Поскольку во многом правила GDPR неоднозначны, их реализация на практике будет зависеть от действий регулирующих органов. В конечном итоге появятся нормы: кого будут преследовать власти, какие штрафы взимать с нарушителей и за какое поведение. Предполагается, что поначалу регуляторы не будут лютовать — дадут компаниям время привыкнуть к новой реальности. Но точно предсказать будущее сложно, ведь частично реализация GDPR зависит от активности пользователей.

Если резидент ЕС подаёт запрос на получение своих персональных данных, у компании есть 30 дней для ответа. Например, компания получает один из этих запросов, но всё ещё не полностью готова к GDPR и буквально неспособна реагировать. Если она не отвечает, субъект данных может подать жалобу местным органам. GDPR требует от регулятора действий для претворения закона в жизнь. Штраф может и не достигать 4 %, но чиновники не могут просто отправить жалобы в корзину. А если запросов будут тысячи, начнутся проблемы. 17 из 24 регуляторов ЕС, опрошенных Reuters в этом месяце, сказали, что не готовы к новому закону, потому что не имеют финансирования или законных полномочий выполнять свои обязанности.

Другая ситуация связана с информированием об утечках: компании обязаны сообщать органам о проблемах в течение 72 часов, но какова должна быть реакция последних — не вполне ясно. Регуляторы могут быть не готовы к аудиту безопасности компании или иным мерам по защите частной жизни резидентов ЕС. Правила GDPR должны применяться только к жителям Евросоюза, но ведь большинство интернет-компаний занимаются бизнесом в ЕС, так что им нужно быть готовым реагировать на требования GDPR. Постепенно принятие такого законодательства может стать нормой и в других странах. Тем временем появляются новости о том, что новый регламент ЕС по защите персональных данных вынуждает компании отказываться от европейского трафика.

С начала 2017 года киберпреступники похитили криптовалют на сумму, эквивалентную порядка $1,2 млрд, сообщается в отчёте антифишинговой рабочей группы (Anti-Phishing Working Group, APWG). В исследование были включены как зарегистрированные, так и незарегистрированные кражи. «Кроме оборота наркотиков и отмывания денег с помощью криптовалют мы видим ещё одну проблему — воровство токенов», — заявил в интервью Reuters генеральный директор компании CipherTrace и председатель APWG Дэйв Джеванс (Dave Jevans).

По оценкам Джеванса, из украденных $1,2 млрд возвращены были лишь около 20 %. При этом эксперт считает, что в будущем ситуация не только не улучшится, но даже осложнится. В этом он винит постановление Европейской комиссии о защите данных (GDPR), которое вступает в силу 25 мая 2018 года. «GDPR негативно отразится на безопасности в Интернете и непреднамеренно сыграет на руку киберпреступникам. Ограничивая доступ к важной информации, новый закон значительно затруднит расследование киберпреступлений — кражи криптовалют, фишинга, вымогательства, распространения вредоносных программ, взломов», — уверен Джеванс.

Дело в том, что GDPR запрещает компаниям публиковать информацию, с помощью которой можно было бы идентифицировать пользователей Интернета. Согласно постановлению, использование протокола WHOIS является незаконным, так как он позволяет установить имя, адрес электронной почты и номер телефона того, на чьё имя зарегистрирован тот или иной домен во Всемирной паутине. Но именно WHOIS был одним из важнейших инструментов правоохранительных органов в борьбе с преступлениями в киберпространстве.

Условно-бесплатная MOBA Super Monday Night Combat прекратит своё существование в следующем месяце из-за новых законов о конфиденциальности ЕС. Игра уже исчезла из магазина Steam, а у обладающих ею пользователей она перестанет запускаться 24 мая.

Общий регламент по защите данных (GDPR) направлен на то, чтобы гарантировать безопасность пользователей и заставить компании соблюдать требования по обработке и хранению данных. Тех, кто к 25 мая не изменит инфраструктуру в соответствии с законом, ждут огромные штрафы.

Как сообщили в беседе с Polygon разработчики из Uber Entertainment, в нынешнем виде мультиплеерная составляющая не соответствует требованиям GDPR. А на её переделывание уйдёт значительно больше денег, чем было потрачено на создание проекта. В качестве компенсации всем активным пользователям раздадут 10000 единиц игровой валюты.

Серверы Super Monday Night Combat уже давно не набивались битком, поэтому вряд ли кто-то сильно расстроится из-за их закрытия. В то же время будет интересно посмотреть, скольких разработчиков и издателей коснётся эта проблема. На днях, к примеру, компания WarpPortal сообщила об отключении европейских серверов своих игр (в том числе Ragnarok Online) по той же причине. Россию и страны СНГ это не затронуло.