Privacy Advocates

⚡Вред от утечек снижается – ПД уже разграблены
🔸Количество утечек растёт, объём украденных данных тоже, «а их опасность для пользователей падает», сообщает в понедельник сервис разведки утечек данных и мониторинга даркнета DLBI по итогам трёх кварталов 2024 года.
🔸Вывод о том, что теперь утечки стали менее опасны, DLBI основывает на том, что «…сейчас чаще всего утекают телефонные номера или e-mail, не сопровождаемые критичными данными и пригодные в основном для спама и для обогащения других баз, основная часть таких утечек – данные небольших интернет-магазинов или даже данные, собранные парсингом, которые можно рассматривать как открытые».

💡ВЦИОМ: более трети россиян относятся к биометрии положительно
🔸Более трети (41%) участников опроса, проведенного Всероссийским центром изучения общественного мнения (ВЦИОМ), относятся к подтверждению личности по биометрии положительно.
🔸Если в 2023 г. в обществе преобладал нейтрально-негативный настрой, то сегодня - позитивный. Четверо из десяти россиян относятся к подтверждению личности по биометрии в той или иной степени положительно (41%, 2023 г. - 27%), трое из десяти - отрицательно (29%, 2023 г. - 32%), каждый четвертый - нейтрально (25%, 2023 г. - 34%).
🔸Опрос показал, что в вопросах хранения и обработки биометрии респонденты в большей степени доверяют государственным, нежели коммерческим учреждениям (42% против 2%), никому не доверяют 44%. По мнению 40% опрошенных, кража биометрии столь же опасна, как и утечка традиционных персональных данных (паспорт, ИНН, СНИЛС и др).

🌎 Сегодня говорим о трансграничной передаче персональных данных

❓ Что к ней относится?
❓ Как правильно организовать процесс?
❓ Кто должен сообщать о передаче персональных данных пользователей за рубеж?

Рассказывает Екатерина Ефимова, руководитель направления персональных данных Главного радиочастотного центра.

Смотрите ролик и будьте уверены, что данные ваших пользователей путешествуют по миру безопасно 😉

💡На Finopolis обсудили конфиденциальные вычисления и приватность данных
🔸Разработчики, поставщики и заказчики технологий конфиденциальных вычислений обсудили, где они применяются уже сейчас, что необходимо для их развития и каким будет будущее приватности данных. Эксперты видят потенциал конфиденциальных вычислений в разных областях, но пока соглашаются с тем, что технология требует доработки.
🔸На сегодняшний день конфиденциальные вычисления активно тестируются в финансовом секторе и здравоохранении. Первый пример – скоринговая межбанковская инфраструктура на дебетовых счетах. К проекту подключились уже шесть банков. Они могут совместно использовать данные друг друга, кратно увеличивая их аналитический потенциал. При этом банки не обмениваются данными между собой, не консолидируют их у третьих сторон и неукоснительно следуют всем коммерческим и регуляторным ограничениям, рассказал Емельянов.
🔸Второй проект, где уже сегодня используются конфиденциальные вычисления, – зарплатная аналитика. Bloomtech решила построить систему зарплатной аналитики, к которой также будут подключаться компании и контрибутить зарплатные данные. Основополагающие принципы системы – оперативность, автоматизация и конфиденциальность. «Последнее, конечно, самое интересное, потому что компании, которые подключаются к системе и предоставляют в нее свои данные, должны быть уверены, что эти данные не будут использованы, например, для адресного хантинга. Решать эту проблему мы будем с помощью алгоритма конфиденциального вычисления, причем похожего на тот, который мы использовали в нашем банковском проекте», – объяснил генеральный директор Bloomtech.
🔸Третий проект – статистические исследования медицинских данных. Медицинские данные охраняются достаточного строго, так как существует врачебная тайна. Однако конфиденциальные вычисления на них позволяют делать выводы и открытия, важные для человечества в целом, не затрагивая эту тайну.

⚡В 2024-м в Сеть попало 286 млн номеров россиян
🔸С начала 2024-го в интернет утекло 286 млн телефонных номеров и 96 млн имейл-адресов — вдвое больше, чем за такой же период в прошлом году. Об этом говорится в исследовании сервиса разведки утечек данных DLBI.
🔸Лидерами по числу «сливов» в этом году стал сектор электронной коммерции (39%). На втором месте по числу скомпрометированной информации — аптеки и медицинские сервисы (10%). Третье место заняли финансовые услуги (9%), а четвертое — ритейлеры (8%).
🔸Вместе с тем, как сообщили в Роскомнадзоре, число инцидентов снизилось — со 145 случаев в январе–сентябре 2023 года до 110 случаев за тот же период нынешнего.

#privacy #dataprotection #пд #152фз #duralex #юмор

🏛️Управлением Роскомнадзора по Тюменской области, ХМАО-ЮГРЕ и ЯНАО в III квартале 2024 года проведено 12 мероприятий по контролю без взаимодействия с контролируемыми лицами в отношении следующих категорий операторов:
- образовательные учреждения;
- МФЦ;
- образовательные учреждения;
- финансово-кредитные организации;
- интернет-магазины;
- организации в сфере ЖКХ;
- платформы дистанционной торговли в сети «Интернет» (маркетплейсы);
- организации по перевозке пассажиров легковым такси;
- организации, осуществляющие туроператорскую и турагентскую деятельность;
- предприятия общественного питания;
- фитнес-центры;
- медицинские организации;
- органы государственной власти субъектов РФ и муниципальные органы;
- организации, оказывающие услуги парикмахерских и салонов красоты;
- транспортные компании.

🔸В рамках мероприятий произведена оценка соответствия информации 50 сайтов операторов в сети «Интернет» требованиям законодательства Российской Федерации о ПД. В действиях 42 операторов выявлены признаки нарушений требований Федерального закона от 27.07.2006 № 152-ФЗ «О ПД». Наиболее частыми выявляемыми нарушениями являются:
- обработка ПД в случаях, не предусмотренных Федеральным законом «О ПД»;
- несоблюдение контролируемым лицом обязательных требований по наличию согласия субъекта ПД, разрешенных субъектом ПД для распространения, отдельно оформленного от иных согласий на обработку его ПД;
- непринятие оператором мер по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
- неуведомление оператором уполномоченного органа по защите прав субъектов ПД о своем намерении осуществлять обработку ПД;
- непредставление в уполномоченный орган сведений о прекращении обработки ПД или об изменении информации, содержащейся в уведомлении об обработке ПД.

🏛️Управление Роскомнадзора по Приволжскому федеральному округу с начала 2024 года провело 237 профилактических визитов с подконтрольными субъектами — операторами персональных данных, операторами связи и средствами массовой информации, отметившими пользу такой формы взаимодействия проверяемого лица с надзорным органом.
🔸Однако 46% (200) контролируемых лиц воспользовались своим правом и отказались от проведения профилактических визитов.

🏛️Персональные данные идущих на выборы участников СВО просят закрыть
🔸Избирательная кампания в единый день голосования 8 сентября 2024 года привела немало бывших участников СВО на выборы разного уровня по всей стране. Кандидатами стали люди, чьи лица и адреса начиная с февраля 2022 года тщательно скрывались. Но, баллотируясь в депутаты, по закону они были обязаны указать все свои персональные данные и сведения о доходах и имуществе. Некоторым это создало проблемы, когда сведения «утекли».
🔸Петербургские депутаты хотят предупредить подобные ситуации на будущее. Они разработали поправки в закон о гарантиях избирательных прав и предлагают закрыть персональные данные кандидатов, которые еще недавно защищали интересы России на новых территориях. В Госдуме к инициативе относятся с уважением, но считают, что ее нужно серьезно обсудить с ЦИК, юристами и ветеранскими организациями.

🏛️ ФСБ сможет получать сведения о гражданах из ЗАГСов
🔸ФСБ разработала проект постановления правительства о получении сведений о гражданах из ЗАГСов. Речь идет о государственной регистрации рождения и смерти, расторжении брака, смене имени, установлении отцовства и о внесении иных изменений в записи актов гражданского состояния. Доступ ФСБ к данным ЗАГСов о гражданах планируют добавить в постановление правительства № 1746 от 29 декабря 2018 года.

🏦 Гражданам разрешат сдавать данные через банковские приложения
🔸Российские власти согласились разрешить банкам собирать биометрические данные клиентов через мобильные приложения — сейчас это можно сделать только при визите в банк. Для того чтобы нововведение состоялось, придется подкорректировать законодательство и доработать банковские приложения по жестким стандартам. Проблемой может стать то, что клиентам ряда санкционных банков приходится использовать web-приложения, которые могут не обеспечивать криптографическую защиту российскими алгоритмами.
🔸По данным ЦБ, в настоящее время семь банков имеют собственные коммерческие биометрические системы (КБС), аттестованные Минцифрой. При этом любой банк может создать собственную КБС при условии, что система будет соответствовать требованиям законодательства.

💡Вопрос: В соответствии с п.8 приказа Роскомнадзора №179 от 28.10.2022 акт об уничтожении ПД и выгрузка из журнала регистрации событий в ИСПД подлежат хранению в течение 3 лет с момента уничтожения ПД. Перечень ТУАД (утв. приказом Росархива №236 от 20.12.2019) не упоминает таких документов.
🔸Следует ли рассматривать установленный приказом Роскомнадзора №179 срок в 3 года как срок архивного хранения?
🔸Если указанный срок в 3 года не является сроком архивного хранения, то в течение какого срока следует хранить вышеупомянутые документы по истечении указанных 3 лет?

🏛️ Росархив: Приказ Роскомнадзора №179 не распространяется на документы, подлежащие архивному хранению (см. п.2 ч.2 152-ФЗ от 27.07.2006 «О персональных данных»). При определении сроков хранения актов об уничтожении ПД и выгрузки из журнала регистрации событий в ИСПД следует руководствоваться п.8 приказа Роскомнадзора №179, что не противоречит ч.1 ст.21.1 125-ФЗ об архивном деле.

🏛️ ВСС: страхование операторов персданных от утечек должно быть добровольным
🔸Операторы персданных должны нести финансовую ответственность в случае утечек, заявил на форуме ITSEC 2024 заместитель генерального директора, директор по рискам СК «Сбербанк страхование» Владимир Новиков.
🔸По его словам, каждый гражданин должен быть защищен и мог получить финансовую компенсацию за потерю данных. Поэтому владелец персональных данных должен иметь возможность выбрать защиту из: банковской гарантии, собственных средств или страхования.
🔸«Однако в разработке такого страхового продукта есть сложности. Как оценить стоимость персданных и как обеспечить объективный механизм фиксации фактов утечки и последствий для физ. лица?» — отметил эксперт.
🔸По его словам, Всероссийский союз страховщиков (ВСС) занимается созданием удобного и современного механизма урегулирования убытков, получения страховой выплаты и защиты от мошенников с обеих сторон. Результаты создания такого продукта будут представлены в конце 2024 года.

⚡В РФ хотят запретить использование российскими операторами сервиса SpeedTest
🔸В России могут запретить использование американского измерителя скорости интернета SpeedTest. В Госдуме и ФСБ поддержали предложение Международной академии связи (МАС). Компания Ookla, которой принадлежит сервис, делится информацией о сетях связи, на которых работает, с иностранными спецслужбами, что повышает риск кибератак, полагают эксперты.
🔸SpeedTest позволяет собирать информацию о сетях связи, которая впоследствии может быть использована для организации кибератак против информационных ресурсов в любой стране, отмечается в документе.

🏦«Сбер» и НСПК прорабатывают способы соединения сервисов по биоэквайрингу
🔸Сбербанк совместно с Национальной системой платежных карт (НСПК) прорабатывают возможность того, чтобы клиенты банка могли платить с помощью биометрии в инфраструктуре, которую на решении НСПК создают другие банки, и наоборот.
🔸Переговоры о сотрудничестве и возможности совместить сервисы по биоэквайрингу велись с весны и сейчас по многим принципиальным пунктам организации смогли договориться, рассказал Малых. Сторонам осталось уладить несколько технических моментов, но они уже договорились, что Сбербанк подключится к платформе и как банк-эквайер (проводит платеж по карте), и как банк-эмитент (тот, кто выпустил карту).
🔸Это значит, что клиенты «Сбера» смогут оплачивать биометрией покупки через терминалы других банков-эквайеров, а клиенты других банков – через терминалы, где эквайером выступает «Сбер».

🏛️ ГД приняла в I чтении поправки в ГК, направленные на легализацию "белых" хакеров
🔸Поправки вносятся в статью 1280 Гражданского кодекса (ГК) РФ, которая регламентирует право пользователя программы для электронных вычислительных машин (ЭВМ) и базы данных. Так, предлагается установить, что пользователь, правомерно владеющий экземпляром такой программы, может без разрешения автора и без выплаты дополнительного вознаграждения изучать, исследовать или испытывать ее функционирование в целях выявления недостатков для их безопасного использования. Эти действия также разрешается поручить другим лицам.
🔸При этом уточняется, что изучение, исследование или испытание программы могут проводиться только в отношении экземпляров программ для ЭВМ или базы данных, функционирующих на технических средствах пользователя. Кроме того, указывается, что выявленная пользователем информация о недостатках не может быть передана третьим лицам, за исключением правообладателя. Законопроект также уточняет, что при выявлении недостатков безопасного использования программы для ЭВМ необходимо сообщить о них правообладателю в течение пяти рабочих дней.
🔸По действующим нормам, пользователь, правомерно владеющий экземпляром программы для ЭВМ, без разрешения автора и без выплаты вознаграждения может лишь осуществлять действия, необходимые для функционирования этой программы, а также изготовлять копию программы при условии, что она предназначена для архивных целей.

⚖️ Конституционный суд России: сведения о несовершеннолетних псевдохулиганах не могут храниться бессрочно
🔸Полиция вправе накапливать персональные данные состоящих на профилактическом учете, но они должны уничтожаться по достижению поставленных целей. К такому выводу пришел Конституционный суд России.
🔸В нанесении граффити в подъезде в сентябре 2020 года уличили 16-летнего подростка. Полиция составила протокол об административном правонарушении, но из-за задержки в передаче документов дело было прекращено за истечением срока давности. Вместе с тем районная комиссия по делам несовершеннолетних предписала провести в отношении подростка индивидуальную профилактическую работу и поставить его на профилактический учет.
🔸Оспаривая это постановление, отец подозреваемого указывал на нарушение презумпции невиновности. Рассматривая этот иск, суд по сути проанализировал события предполагаемого проступка: при составлении протокола подросток отрицал свою причастность к нанесению граффити, фотоматериалы и объяснения заявивших в полицию об этом деянии также однозначно не свидетельствовали о виновности подростка. Суд признал постановление о проведении профилактической работы незаконным. Также необоснованной признали и постановку подростка на профилактический учет. Но кассационная коллегия отменила обязанность полиции удалить сведения о подозреваемом из соответствующих информационных банков данных.
🔸Отказывая в рассмотрении жалобы отца подростка, Конституционный суд России не усмотрел нарушений прав его сына на неприкосновенность частной жизни, защиту своей чести и доброго имени. Правоохранительные органы законно ведут базы данных, в том числе о состоящих на профилактическом учете. «Состав, а следовательно, и полнота указанной информации обусловлены функциями полиции и целями исполнения возложенных на нее обязанностей. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, то есть во всяком случае не могут храниться бессрочно», – констатировал КС РФ.

🏛️ Минюст предложил обрабатывать биометрические персональные данные осужденных, подозреваемых и обвиняемых
🔸Сейчас указанная процедура возможна при осуществлении правосудия и в случаях, предусмотренных законодательством о безопасности, противодействии терроризму и коррупции и об оперативно-разыскной деятельности. Но в Уголовно-исполнительном кодексе и нормативных актах, регулирующих содержание фигурантов под стражей, не предусмотрена возможность без их согласия собирать и обрабатывать биометрию, характеризующую физиологические и биологические особенности, и позволяющую установить личность человека.
🔸Поэтому в Минюсте предлагают дополнить УИК и ряд законов соответствующими нормами. Реализовать нововведение планируется в рамках цифровой трансформации уголовно-исполнительной системы, предусмотренной концепцией ее развития до 2030 года.
🔸Программа предусматривает внедрение цифровых технологий во все сферы деятельности учреждений и органов УИС, в том числе создание единого защищенного управляемого информационного пространства ФСИН с обработкой конфиденциальной информации, включая персональные данные и сведения о заключенных. Указанная система также будет использоваться для межведомственного электронного взаимодействия с властями, силовыми структурами и судами.

🏛️ Хинштейн: Предложения Минэкономразвития лишают сути закон о персональных данных
🔸Так председатель комитета Государственной Думы по информационной политике, информационным технологиям и связи Александр Хинштейн реагирует на представление Министерством экономического развития предложений к законопроекту об ужесточении ответственности за утечки персональных данных. В ведомстве хотят кратно снизить штрафы, предусматриваемые прошедшей первое чтение в Госдуме законодательной инициативой, а также дополнить её обстоятельствами, смягчающими вину за нарушение конфиденциальности.
🔸Депутат утверждает, что предложенный им и его коллегами законопроект сталкивается с серьёзным сопротивлением со стороны бизнеса, который стремится избежать вложений в собственные системы информационной безопасности, предпочитая откупаться штрафами.

Эксперт разъяснил принципы надлежащей обработки персданных

Юрист рассказал о новых требованиях Роскомнадзора к операторам персональных данных.

Компаниям следует минимизировать перечень собираемых и обрабатываемых персданных, сообщил основатель Privacy Advocates Алексей Мунтян на форуме ITSEC 2024: информационная и кибербезопасность России.

"Хранить идентификаторы, указывающие на человека, такие как ФИО, адрес, телефон, и данные о взаимодействии с ними (оказанные услуги, проданные товары, переписка) следует в разных базах данных",- отметил юрист.

По его словам, необходимо отказаться от практики накопления персональных данных "на всякий случай" и от формирования профилей клиента, если это не жизненно нужно для организации.

И, наконец, минимизировать количество эпизодов поручения обработки персданных третьим лицам, которое не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности.

Изображение: RSpectr