OSINT — занятие для любопытных, а любопытство — штука такая, которую государство и все причастные, стремятся ограничить всеми доступными мерами. Давайте прикинем, как совать свой любопытный нос так, чтобы его не прищемили.
Возникает закономерный вопрос: OSINT — на то и OSINT, что все открыто. Чего же тут опасаться? Но не все так просто. В большинстве стран и регионов мира есть законы, ограничивающие любопытство. Законы о персональных данных (далее пд).
Чтобы потом не рассказывать дяде в погонах, что ты не знал или они "сами выложили", давай сверим по основным юрисдикциям, в которых зарегистрированы самые нашумевшие инциденты с утечками пд этого десятилетия, — РФ, ЕС и США.
Определимся сразу, что правопримение всех этих палок в колеса может определяться по следующим пунктам:
1. по твоему местонахождению
2. по месту субъекта данных
3. по месту сервера — места хранения данных
4. по юрисдикции заказчика
То есть, если ты находишься в ЕС, но парсишь китайцев, данные которых находятся на российском сервере, по заказу дяди Сэма, то риски у тебя возрастают на 400%
— Ну а как работать тогда?
Пойдем по юрисдикциям:
В РФ жестко регулируется обработка персональных данных:
Закон 152-ФЗ «О персональных данных» требует согласия субъекта на сбор и обработку его данных, даже если они доступны в интернете.
Новые поправки (30.11.2024) усилили ответственность:
─ административные штрафы,
─ уголовная ответственность до лишения свободы до 5 лет за незаконный сбор/хранение/передачу персональных данных.
Подводный камень: случайно собранные через OSINT телефоны, адреса, ИНН, профили соцсетей — если они содержат персональные данные, могут подпадать под закон о персональных данных без одобрения субъекта, если ты планируешь их хранить, использовать или передавать кому‑то ещё.
Практика:
✔ можно просматривать данные из открытых источников, при этом нельзя собирать/хранить/группировать персональные данные без правового основания.
То есть, смотреть можно, хранить, систематировать, и (упаси Бог!) продавать/передавать третьим лицам - ни в коем случае!
А что у нас с коммерсами?
Даже если их данные публичны, их может защищать режим коммерческой тайны.
Это значит, что даже открытые документы компаний (базы, API, отчёты) нельзя использовать способами, нарушающими права владельцев, например:
парсить скрытые разделы (защищённые паролем),
обходить ограничения доступа (CAPTCHA, API-ключи),
массово скачивать материалы с сайтов.
Если твой сбор можно квалифицировать как посягательство на доступ к данным, превышение прав использования, это уже не OSINT, а нарушение.
Тут есть скользкий момент. Если какая-то компания на открытом месте положила документ с пометкой "Для служебного пользования" и не ограничила его использование, то насколько ты нарушаешь закон определяется конкретными людьми, в конкретном месте. Конечно, нет такого слова "потерял", есть слово - "прощелкал" (ну вы поняли).
То есть, если эта контора заявила, что ты злобно злоумышляя, исхитил у нее совсекретный документ, то практика показывает, что уже от того, кто тобой будет заниматься зависит как сильно тебе будут выкручивать руки. Ст. 17 Конституции — в слабую, но помощь.
А что же у "прогрессивных" народов?
Там тоже весело. Самые строгие нормы у ЕС, полиберальнее и дяди Сэма. Европейский GDPR — можно назвать самым строгим законом о защите персональных данных. Их бюрократия, как всегда, - на высоте.
GDRP распространяется на любую обработку данных о лицах в ЕС, независимо от того, граждане они стран членов ЕС или нет. То есть, просто «гуглить» компании/вещи/людей допустимо, но «собирать телефоны, адреса людей и хранить в базе» — уже риск нарушения GDPR. Основные требования:
✔ легальная база для обработки данных (согласие, законные интересы)
✔ прозрачность обработки
✔ минимизация данных
✔ права субъекта (доступ, исправление, удаление)
⚠ Если твоя OSINT-работа включает сбор имен, фото, контактов людей из ЕС — GDPR могут применить без объявления войны. Даже если информация публична, — это обработка пд, и ты обязан иметь правовое основание. Страшно, аж жуть.
Едем дальше. Страна за прекрасным большим океаном:
В США нет одного федерального закона как в ЕС. Вместо этого есть отдельные законы в отдельных штатах (например, CCPA/CPRA в Калифорнии). Но есть специфичные федеральные законы для определённых данных/секторов.
На практике это значит:
✔ в США можно собирать открытые данные, но нужно учитывать законы штатов и отраслевые правила (например, финансовые или медицинские данные).
Опять же, США, по сути, — конфедерация штатов. State это — государство и у них есть свои законы. Поэтому судебная практика по тем, кто пылесосит данные неоднородна. То есть, в каждом конкретном кейсе, нужно подходить индивидуально. В общем же случае, публичные данные разрешено анализировать, но доступ с преодоле��ием технических барьеров (авторизация, API с ограничением) может расцениваться как нарушение закона о мошенничестве и злоупотреблении (CFAA). То есть, применять автоматические OSINT-инструменты, обходить техническую защиту сайта (даже если она убого символическая), пылесосить персональные данные пользователей без правого обоснования — юридически рискованно.
Так что же делать?! Поскольку мы - публика ленивая, то сведем все в следующие пункты:
✔ Не применять обход защиты (взлом) данных
✔ Не парсить биометрию
✔ Не торговать результатами своей работы на ярмарке
✔ Не опубличивать материал, помеченный как коммерческая тайна
✔ Гуглить людей можно - создавать базы и торговать нельзя.Остальное, по большому счету, легально. Пока что.Ну и, обращаем внимание на юрисдикцию и конкретные законы, в чернуху не лезем...Мы же - ленивые люди. Зачем нам хлопоты?
