Мне очень понравился ваш комментарий, спасибо! С озвученным соглашусь, но оставлю 2 ремарки: Первая по поводу GA и каптчи. В ваших словах резон есть, но он перекрывается одним нюансом - необходимостью импортозаместить технологию. Причем, конкретную. Мои мысли о ГА идут напрямую из требований РКН, который также прямо говорил о недопустимости использования этой технологии. При этом эти требования очень конкретные. Тот же самый ГТМ уже не попадает под ограничения и может использоваться свободно. Причина такого конкретного толкования в том, что задача вполне конкретная - перевести рынок с одной технологии на другую Вторая про сбор кука для дальнейшего сбора кука. Тут вопрос отнесения кука к ПДн не так важен, поскольку есть разные основания для сбора ПД. Опять же вернусь к своей идее, высказанной выше по комментам. Я в вопросе ПДн достаточно идеалистичен и склонен толковать ПД расширительно как все цифровые следы живого юзера. Поэтому в мое представлении приватности куки=пд. А потом уже идут вопросы легализации их сбора. Вот как раз в этот момент и можно задаваться техническим вопросом того, какие это куки и на каком основании их можно собирать. А так поддержу, что строго-технические куки не всегда ПДн. Но тот же ГА используют не только и не столько для них. Поэтому и такой вывод в статье
А вот с телефоном - это подход роскомнадзора, который считает, что телефон привязан к симке, а не к человеку. Подход странный. Кстати про отшутиться не совсем понял - в статье прямо указано, что куки - ПДн уже точно. Как минимум, после этого дела уж точно - №А70-21190/2025. там прямо указано, что вся производная инфа и идентификаторы относятся к ПДн
Вечный вопрос. Последнее, что сказал РКН в середине прошлого года: общие почтовые ящики - ПДн (info@company.ru), частные - ilyabashkirov@company.ru - ПДн). Ответ по практике такой: Дело №А40-201075/2025 ("Дело DLBI") - о том, являются данные или нет персональными или нет свидетельствует то, могут ли они использоваться для опознания личности. Если по ящику можно конкретно предположить, что это за человек - это ПДн. И я не только про имя.фамилия@почта, я и про ситуацию регистрации на сайте только по почте. Если почта имеет название hesoyam@mail.ru, но есть вход в систему по ней - то уже можно говорить, что она принадлежит конкретному лицу. Это ПДн Но это мое мнение. Я так считаю, потому что такой подход более требователен к защите данных, а я это люблю
Факт, но. У меня лично есть маленькая надежда на практику, которая сейчас есть у банков. Недавно было дело, где человек взыскал 46 миллионов с банка после утечки. Основа это суммы - это то, что мошенники увели у него со счета в результате утечки. Но сверх суд дал ему 30к морального вреда и 15 миллионов штрафа по защите прав потребителей (в ТГ об этом был пост прямо сегодня). В сфере антифрода таких дел становится все больше. Но они во-первых, требуют колоссальных усилий от человека на работу в суде, во-вторых, в банке есть видимый ущерб - списание денег. Как перекинуть эту практику на простую компенсацию за утечку - вопрос, потому что пока максимальная выплата - 150к, что рекорд. А обычно это 1-5 тысяч рублей. Копейки, которые и расходов не покроют. Главное, чтобы сейчас обязательное страхование выплат от утечек не ввели. А то такие предложения уже есть
Приветствую! 511 приказ сфокусирован на достоверности информации. При этом, как вы правильно указали, сделана оговорка о конфиденциальности. В законе о коммерческой тайне сказано, что коммерческая тайна может быть предоставлена (конкретным лицам, например, регулятору) в предусмотренных законом случае, а не раскрыта всем желающим лицам. Пока дополнительных разъяснений нет, можно найти баланс в размещении порядка получения точной цены. Например, что она формируется индивидуально и исходя из определенной совокупности факторов. Для получения коммерческого предложения... Это подойдёт для по сегмента B2B, где цена защищена режимом конфиденциальности. В B2C сегменте рекомендуется указывать строгую цену. И рекомендую перепроверить актуальность закрепления режима КТ в локальных нормативных актах)
Охотно! Если взять все действия по ИБ за 100%, то юридическая составляющая это, ну, процентов 10. Ни у меня, ни у других ИБ юристов нет иллюзии о том, что утвержденный документ может остановить утечку или атаку. У юриста должна быть другая функция. Он должен помогать выстроить процессы таким образом, чтобы они соответствовали, скажем так, правовой реальности. Иначе компании может «прилететь» (например, штраф за нарушение обработки персональных данных, обвинение в слежке за сотрудником, проверка). Второе - это закрепление процессов и действий «организаторов» и «технарей», чтобы компания потом могла эффективно ссылаться на их действия при проверках или в судах. Но, кстати, отмечу, что в текущей практике суды очень пристально смотрят именно на реальные действия (установили СЗИ, провели расследование), а не на бумажную безопасность. Хотя за отсутствие бумажек все еще штрафуют)
Если упрощать, то все данные взялись от какого-то пользователя, который может быть установлен и в конечном итоге он будет являться живым человеком. Возможно, анонимным, но вполне себе живым. Да, присутствует презумпция того, что, передавая данные, человек не играет с нами в шпиона и передает именно свои данные. Есть даже советы так не поступать, если мы хотим получить настоящую конфиденциальность, а не ее имитацию - например, шэрить аккаунты с товарищами или регистрировать несколько аккаунтов с разными данными. Но это касается только потребительских приложений по типу игр, календариков и тому подобного. А в более серьезных сервисах работает следующее: 1) Номер телефона выдается по паспорту РФ, большая часть аккаунтов так или иначе привязана к телефону через почту. Так что при анализе базы с телефонами мы скорее имеем отношения с людьми, нежели с ботами. Плюс теперь передавать телефонный номер можно только внутри семьи. 2) При выдаче банковской карты мы должны подтвердить личность паспортом. Аналогично - с устройством на работу (если мы дадим работодателю подделанные документы - он может нас уволить). Так что вот - и у нас уже 3 разных достоверных базы, где точно есть живые люди: базы сотрудников, абонентов и счетов. А еще, если уж юридически, то большая часть сервисов использует презумпцию аккаунт=человек. Это вписано в пользовательские соглашения. Теоретически, чтобы данные были ценны, нам и не нужно знать то, как зову человека - достаточно знать, какие товары он положит в корзину)
Мне очень понравился ваш комментарий, спасибо! С озвученным соглашусь, но оставлю 2 ремарки:
Первая по поводу GA и каптчи. В ваших словах резон есть, но он перекрывается одним нюансом - необходимостью импортозаместить технологию. Причем, конкретную. Мои мысли о ГА идут напрямую из требований РКН, который также прямо говорил о недопустимости использования этой технологии. При этом эти требования очень конкретные. Тот же самый ГТМ уже не попадает под ограничения и может использоваться свободно. Причина такого конкретного толкования в том, что задача вполне конкретная - перевести рынок с одной технологии на другую
Вторая про сбор кука для дальнейшего сбора кука. Тут вопрос отнесения кука к ПДн не так важен, поскольку есть разные основания для сбора ПД. Опять же вернусь к своей идее, высказанной выше по комментам. Я в вопросе ПДн достаточно идеалистичен и склонен толковать ПД расширительно как все цифровые следы живого юзера. Поэтому в мое представлении приватности куки=пд. А потом уже идут вопросы легализации их сбора. Вот как раз в этот момент и можно задаваться техническим вопросом того, какие это куки и на каком основании их можно собирать.
А так поддержу, что строго-технические куки не всегда ПДн. Но тот же ГА используют не только и не столько для них. Поэтому и такой вывод в статье
А вот с телефоном - это подход роскомнадзора, который считает, что телефон привязан к симке, а не к человеку. Подход странный.
Кстати про отшутиться не совсем понял - в статье прямо указано, что куки - ПДн уже точно. Как минимум, после этого дела уж точно - №А70-21190/2025. там прямо указано, что вся производная инфа и идентификаторы относятся к ПДн
Вечный вопрос. Последнее, что сказал РКН в середине прошлого года: общие почтовые ящики - ПДн (info@company.ru), частные - ilyabashkirov@company.ru - ПДн). Ответ по практике такой: Дело №А40-201075/2025 ("Дело DLBI") - о том, являются данные или нет персональными или нет свидетельствует то, могут ли они использоваться для опознания личности. Если по ящику можно конкретно предположить, что это за человек - это ПДн. И я не только про имя.фамилия@почта, я и про ситуацию регистрации на сайте только по почте. Если почта имеет название hesoyam@mail.ru, но есть вход в систему по ней - то уже можно говорить, что она принадлежит конкретному лицу. Это ПДн
Но это мое мнение. Я так считаю, потому что такой подход более требователен к защите данных, а я это люблю
Я не знал, что у этой фразы есть продолжение. И автор. И источник. Думал, переходящий из уст в уста фольклор
Факт, но. У меня лично есть маленькая надежда на практику, которая сейчас есть у банков. Недавно было дело, где человек взыскал 46 миллионов с банка после утечки. Основа это суммы - это то, что мошенники увели у него со счета в результате утечки. Но сверх суд дал ему 30к морального вреда и 15 миллионов штрафа по защите прав потребителей (в ТГ об этом был пост прямо сегодня). В сфере антифрода таких дел становится все больше. Но они во-первых, требуют колоссальных усилий от человека на работу в суде, во-вторых, в банке есть видимый ущерб - списание денег. Как перекинуть эту практику на простую компенсацию за утечку - вопрос, потому что пока максимальная выплата - 150к, что рекорд. А обычно это 1-5 тысяч рублей. Копейки, которые и расходов не покроют.
Главное, чтобы сейчас обязательное страхование выплат от утечек не ввели. А то такие предложения уже есть
Приветствую!
511 приказ сфокусирован на достоверности информации. При этом, как вы правильно указали, сделана оговорка о конфиденциальности. В законе о коммерческой тайне сказано, что коммерческая тайна может быть предоставлена (конкретным лицам, например, регулятору) в предусмотренных законом случае, а не раскрыта всем желающим лицам. Пока дополнительных разъяснений нет, можно найти баланс в размещении порядка получения точной цены. Например, что она формируется индивидуально и исходя из определенной совокупности факторов. Для получения коммерческого предложения... Это подойдёт для по сегмента B2B, где цена защищена режимом конфиденциальности. В B2C сегменте рекомендуется указывать строгую цену.
И рекомендую перепроверить актуальность закрепления режима КТ в локальных нормативных актах)
Охотно! Если взять все действия по ИБ за 100%, то юридическая составляющая это, ну, процентов 10. Ни у меня, ни у других ИБ юристов нет иллюзии о том, что утвержденный документ может остановить утечку или атаку. У юриста должна быть другая функция. Он должен помогать выстроить процессы таким образом, чтобы они соответствовали, скажем так, правовой реальности. Иначе компании может «прилететь» (например, штраф за нарушение обработки персональных данных, обвинение в слежке за сотрудником, проверка). Второе - это закрепление процессов и действий «организаторов» и «технарей», чтобы компания потом могла эффективно ссылаться на их действия при проверках или в судах. Но, кстати, отмечу, что в текущей практике суды очень пристально смотрят именно на реальные действия (установили СЗИ, провели расследование), а не на бумажную безопасность. Хотя за отсутствие бумажек все еще штрафуют)
Если упрощать, то все данные взялись от какого-то пользователя, который может быть установлен и в конечном итоге он будет являться живым человеком. Возможно, анонимным, но вполне себе живым. Да, присутствует презумпция того, что, передавая данные, человек не играет с нами в шпиона и передает именно свои данные. Есть даже советы так не поступать, если мы хотим получить настоящую конфиденциальность, а не ее имитацию - например, шэрить аккаунты с товарищами или регистрировать несколько аккаунтов с разными данными.
Но это касается только потребительских приложений по типу игр, календариков и тому подобного. А в более серьезных сервисах работает следующее:
1) Номер телефона выдается по паспорту РФ, большая часть аккаунтов так или иначе привязана к телефону через почту. Так что при анализе базы с телефонами мы скорее имеем отношения с людьми, нежели с ботами. Плюс теперь передавать телефонный номер можно только внутри семьи.
2) При выдаче банковской карты мы должны подтвердить личность паспортом. Аналогично - с устройством на работу (если мы дадим работодателю подделанные документы - он может нас уволить).
Так что вот - и у нас уже 3 разных достоверных базы, где точно есть живые люди: базы сотрудников, абонентов и счетов. А еще, если уж юридически, то большая часть сервисов использует презумпцию аккаунт=человек. Это вписано в пользовательские соглашения. Теоретически, чтобы данные были ценны, нам и не нужно знать то, как зову человека - достаточно знать, какие товары он положит в корзину)