Security Week 19: великий и ужасный GDPR

    Представьте себе на минуту идеальный мир, в котором все ваши данные хранятся в облачной системе, в зашифрованном виде, и доступ к этому хранилищу имеете только вы. «Учетная запись» используется для синхронизации данных на домашнем ПК, смартфоне и планшете. Для доступа к файлам, сообщениям мессенджера и почтовой переписке требуется дополнительное согласие владельца. Еще более строго ограничивается доступ к вашим данным со стороны третьих лиц и компаний. Одной большой красной кнопкой можно отключить доступ сразу всем сторонним сервисам. Социальные сети теперь обязаны каждый раз запрашивать ваше разрешение на использование данных для таргетирования рекламных объявлений. Законодательно закреплен и поддержан технологиями режим инкогнито, когда компаниям прямо запрещено отслеживать вашу активность — для любых целей. Стоимость персональных данных растет и становится публичной: желающим свободно делиться своими данными предлагают солидные компенсации. За персональное хранилище данных тоже приходится платить, но гораздо меньше.

    Ничего из вышеперечисленного НЕ произошло 25 мая, когда официально вступили в силу нормы европейского регламента о защите данных (General Data Protection Regulation). «День GDPR» по идее должен был пройти незаметно для большинства: это же законодательство, юридические тонкости и прочее. Но сказалась как сложность новых принципов защиты персональных данных, так и традиционное человеческое раздолбайство. Результат могли наблюдать все пользователи Интернета в своих почтовых ящиках. Обычно происходило это с комментарием: «Никогда бы не подумал, сколько компаний владеют информацией обо мне». Массово рассылая обереги от гнева европейских бюрократов, становятся ли компании ответственнее при обработке персональных данных? Пока скорее нет, чем да, но есть и позитивные примеры.

    Что может пойти не так?


    Да все что угодно! Разработчик плагина для блокировки рекламы в вебе Ghostery успешно расстрелял себе обе ноги, отправив сообщение о GDPR 500 пользователям, причем адрес каждого из них был открытым текстом записан в поле To.


    Напомню, основным принципом GDPR является не столько ответственная обработка персональных данных, сколько ответственное их хранение, причем особо оговаривается, что данные НЕ должны лежать в открытом виде. Или рассылаться всем клиентам.


    Большая часть корпоративных сообщений по поводу GDPR действительно больше похожа на прикрытие, так сказать, юридических тылов, нежели на попытки чуть более активно следовать духу закона. Предположу, что наибольшие проблемы новое законодательство принесло малому и среднему бизнесу, так или иначе подпадающему под действие европейских правил. Например, сервис klout прекратил работу, видимо, решив, что проще так, чем пытаться привести всю инфраструктуру в соответствие с новым законодательством. Сайт газеты Los Angeles Times всем посетителям из Европы показывает вот такую заглушку:


    Американское National Public Radio европейцев не отфутболивает, но показывает полностью текстовую версию сайта, лишенную всякого рекламного кода и вызывающую даже приятные ностальгические чувства. По аналогичным причинам временно закрыт для Европы сервис Instapaper.


    Газета USA Today сделала для жителей Европы отдельную версию сайта, где главная страница с идентичным контентом занимает в 10 раз меньше места! Честнее всего поступило издание Politico, демонстрирующее полный список компаний, собирающих информацию о посетителях сайта, с возможностью отключить каждого провайдера или всех скопом. В списке компаний, профилирующих пользователя для показа рекламы, — несколько десятков вендоров.


    А что насчет крупных компаний? С одной стороны, такие монстры, как Google и Facebook, имеют функциональность, отвечающую требованиям GDPR, уже довольно давно: в обоих случаях вы можете выгрузить абсолютно всю информацию, которую крупный интернет-сервис про вас «знает». С другой, нельзя сказать, что методы сбора и обработки информации стали намного прозрачнее. В первый же день работы GDPR австрийский борец за приватность Макс Шремс подал пусть и символические, но многомиллиардные иски к Facebook (в отношении Whatsapp и Instagram) и Google (по части Android). Основная претензия: сетевые гиганты вынуждают пользователей принимать все условия обработки информации скопом: или соглашайся, или лишишься доступа к сервису. Теоретически GDPR как раз должен предоставлять право более детального выбора.

    В общем, 25 мая тема GDPR не закончилась, а, скорее, только началась. Насколько эффективным будет законодательство, сможет ли оно остановить этот «мир дикого Запада» в отношении пользовательских данных и привести рынок информации к цивилизованному виду? Что насчет спамеров, фишеров и прочих киберпреступников, не связанных никаким законодательством? Посмотрим. Практика применения закона, инциденты с наказанием невиновных и награждением непричастных это покажут. В техническом мире хотелось бы, конечно, увидеть техническое же решение проблемы. Но увы, пока крупнейшие игроки на рынке IT скорее НЕ заинтересованы в строгом соблюдении прав пользователей, просто потому что это дешевле и выгоднее. Законодательство с более жесткими требованиями приватности в этом контексте точно не помешает.

    Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
    «Лаборатория Касперского»
    351,62
    Ловим вирусы, исследуем угрозы, спасаем мир
    Поделиться публикацией

    Похожие публикации

    Комментарии 10

      0
      Меня больше интересует ситуация, когда GDPR вступит в прямое противоречие с нашими локальными законами. Что будет тогда происходить и что будут делать компании и регуляторы.
        0
        Запасаюсь поп-корном и с нескрываемым интересом жду, когда появятся первые коллизии между GDPR и CLOUD Act.
          –2
          А «нашими» это какой страны? У РФ свой ФЗ о Персональных данных и закон ЕС ее граждан, в общем случае, не касается.
            –2
            Вот здесь один умный дядька даёт анализ GDPR в т.ч. в разрезе российских реалий
            0

            Уже вступил. Вы попадаете под действие. GDRP если регулярно собираете данные людей, находящихся в ЕС, т.е. у вас есть сайт на английском языке, и вы грубо его нарушаете, если обработка данных происходит за пределами ЕС. Т.е. ваш веб-сервер или почтовый сервер находятся в России.


            Регуляторы ничего не будут делать, т.к. решения административных органов ЕС в России не действуют, а решения судов взаимно не признаются.

              0
              Если посмотрите видео по ссылке выше, то там товарищ как раз разъясняет подобные моменты. Если вы занимаетесь обработкой ПД за пределами ЕС, то у вас должен быть официальный представитель(юрлицо) на территории ЕС, к которому в случае чего можно будет обратиться. Если юрлица нет, а обработка ПД происходит, то вам впаяют штраф до 10 млн. евро или до 2% от глобального дохода, в зависимости от того, что больше.
              А если юрлицо есть и вы нарушаете GDPR, то штраф уже до 20 млн. или 4% глобального дохода.
                0

                Вам может и попытаются впаять штраф, но заинфорсить его не смогут, пока вы юридически не появитесь на территории ЕС. Российское правосудие не будет обеспечивать исполнение чужого закона(регламента). (мой уровень: диванный юрист)

            0

            http://gdprhallofshame.com/ — если хочется посмотреть, как компании извиваются.

              +1

              У Роба Пайка есть проект-протопип github.com/upspin/upspin, цель которого похожа на идеальный мир, описанный в первом абзаце.

                0

                Это из-за этого закона теперь на каждом сайте пояаляется окошко, что сайт использует куки?

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое