 |
|
 |
|
Унижаев Николай Владимирович (Институт безопасности бизнеса МЭИ (Технический университет)
Прежде всего, хотелось бы, в очередной раз, выразить свою признательность организаторам данной конференции, продолжающим искать точки пересечения при решении задач, связанных с деловой разведкой.
Тема моего выступления: «Особенности поиска информации в социальных сетях в свете требований закона "О персональных данных"
Закону «О персональных данных» более трех лет, выполнение его мне напоминает поправку в правилах дорожного движения «О включении ближнего света вне населенных пунктов». Кто включил, кто не включил, кто-то включил подфарники, а при езде по Московской кольцевой дороге вообще не понятно, следует включать или нет. Да и ГАИ как-то к этому относится с прохладцей. Можно и без поправок обойтись, но тогда отстанем от Европы. Вот и закон «О персональных данных» следует выполнять, но по некоторым позициям выполнить невозможно.
Дадим определение, что следует понимать под термином «социальные сети»? Термин "социальная сеть" был введен в 1954 году социологом Джеймсом Барнсом. Он исследовал связи между людьми с помощью социограмм, то есть визуальных диаграмм, в которых отдельные лица представлены в виде фигур, а связи между ними - в виде линий. Первые социальные сети (иногда их называют «Социальные сети 1.0») в том виде, к которому мы сейчас привыкли, появились в середине 90-х годов и предоставляли пользователям сети интернет начальные возможности для общения, подобно ICQ. На сегодняшний день такие сетевые сервисы, как правило, не рассматриваются в качестве социальных сетей.
К современным Интернет сервисам, имеющим отношение к социальным сетям, можно отнести несколько наиболее распространенных форм организации общения с помощью веб-технологий:
1) Гостевые книги.
2) Форумы.
3) Блоги (от англ. web log — web-журнал, web-протокол).
С появлением новых технологий глобальная сеть Интернет стала способна объединить миллионы пользователей, к социальным сетям стали относить только такие крупные Интернет-ресурсы как «Одноклассники», «В контакте», «Мой мир». Их принято называть «Социальные сети 2.0». С нашей точки зрения, сюда же следует добавить и современные Интернет-игры, такие как The Sims 3, TimeZero, Perfect World, имеющие возможность формирования ролей, событий и диалогов. Сюда же следует отнести и новые ресурсы, такие как Skype. В общем можно сказать, что социальная сеть это интерактивный многопользовательский веб-сайт, контент которого наполняется самими участниками сети.
По данным аналитической службы РБК, более 75% российских пользователей интернета, входящих в данную сеть ежедневно, зарегистрированы, как минимум, в одной социальной сети. Треть активных пользователей в возрасте 15-40 лет зарегистрированы в двух и более социальных сетях. Мотивацией регистрации в социальных сетях становится, прежде всего, общение с друзьями, а также поиск утраченных контактов. В более редких случаях причинами регистрации в социальных сетях могут быть поиск работы или поиск романтических отношений. Следует также отметить, что более половины граждан России в настоящий момент не знают, что такое социальные сети Можно сказать, что социальные сети второго поколения появились в начале этого века, когда стали понятны широчайшие возможности, которые предоставляют социальные сети для всех сфер деятельности. О том, что социальные сети являются неисчерпаемым источником, сотрудникам «коммерческой разведки» известно. Я не буду рассматривать методы и способы добычи данных в социальных сетях, об этом надо говорить отдельно, возможно, посвятив данному вопросу целый семинар. Попытаюсь посмотреть на сбор информации через призму Федерального закона Российской Федерации «О персональных данных».
Использование социальных сетей для проведения аналитических исследований в области безопасности началось с момента их создания. Из четырнадцати опрошенных нами сотрудников экономической безопасности, работающих в банковской сфере, более половины сказали, что используют социальные сети для сбора того или иного рода информации, связанной с незаконной деятельностью. Данные, которые получают в свое распоряжение аналитики - самые разные, начиная с обсуждений незаконных действий и заканчивая фотосвидетельствами. Понятно, что никто не станет обсуждать в социальной сети ограбление банка. Но информацию о том, как можно обмануть, или уже обманывали сотрудников банка, найти возможно. Хотелось бы напомнить, что в соответствии с Законом под персональными данными следует понимать любую информацию, относящуюся к определенному физическому лицу. В том числе - его фамилия, имя, отчество, год, месяц, имущественное положение, образование, профессия, доходы.
Социальные сети в свои базы данных собирают самую разнообразную информацию. Мы отпустим рассуждения о том, с какой целью они это делают. Хотя зная, кто за океаном финансирует проекты социальных сетей, о целях сбора информации в социальных сетях второго поколения не сложно догадаться. Само размещение персональных данных в социальных сетях не противоречит российскому законодательству, так как, согласно статьи 8 пункта 1, с письменного согласия субъекта персональных данных такие данные могут быть размещены и в социальных сетях, попадающих в перечень общедоступных ресурсов. При регистрации каждый участник социальной сети активирует электронный флажок, трактующийся как письменное согласие субъекта. Однако не все так однозначно. Например, в социальной сети «В контакте» наш президент зарегистрирован более 90 раз и судя по размещенной там информации, вряд ли хотя бы одна запись принадлежит непосредственно нашему президенту.
Согласно статьи 9 закона о персональных данных письменное согласие на обработку персональных данных должно в частности включать:
- фамилия и номер основного документа;
- адрес;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Очевидно, все это нарушается при сборе и хранении информации в социальных сетях. Информация, представленная в социальных сетях, может быть частично правильной. Например, при правильных персональных данных с использованием данного механизма вас вместо официального портала http://kremlin.ru/ перенаправят на сайт http://www.medvedev-da.ru, кстати, имеющем свой подконтрольный форум. Работая с информацией, размещенной в социальной сети, оператор не попадает под действия закона «О персональных данных» до момента обработки или использования персональных данных. Под обработкой персональных данных в Законе понимаются действия с персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, использование, распространение, обезличивание, блокирование, уничтожение персональных данных. А под использованием персональных данных следует понимать действия с персональными данными, совершаемые в целях принятия решений.
В Законе оставлена маленькая лазейка, прописанная в статье 2, которая позволяет производить, обрабатывать и использовать персональные данные без ограничения для личных целей. Закон не регламентирует сбор информации, размещенной в социальных сетях с использованием автоматизированных систем. Раз не запрещено, значит, можно считать, что разрешено. Регламентировано только принятие решения на основе исключительно автоматизированной обработки. Другими словами, оператор обязан разъяснять субъекту персональных данных, почему принято то или иное решение. Хранение персональных данных в социальных сетях также не противоречит Закону, так как чаще всего они хранятся в СУБД Oracle или MySQL, имеющих защитные функции, требуемые законом «О персональных данных»
Попробую кратко изложить проблемы, связанные с обязанностями оператора немедленно прекратить по требованию субъекта персональных данных их обработку и удалить информацию из общедоступных источников.
Ситуация первая. Данные в социальной сети появились после регистрации самого субъекта персональных данных. Для удаления данных следует поискать механизм удаления. Именно искать, так как во всех социальных сетях заложен бандитский принцип «За вход рубль, за выход два». Например, для того, чтобы найти кнопку «Удалить Мой Мир» из ресурсов Mail, необходимо выбрать страницу «Настройки» и, выбрав закладку «Мои настройки», перейти к нижней части страницы, где и расположена кнопка. Примерно такие же действия следует произвести для удаления записи в сети «Одноклассники». Дальше всех в вопросе удаления информации зашли авторы сети «В контакте». В данной сети вообще нет возможности для удаления собственной записи. Удалить ее возможно, только последовательно изменяя записи. Причем, данный механизм, по мнению авторов, предназначен для того, чтобы исключить возможность случайного удаления. Даже после того, когда вы последовательно выберите пункты «Мои настройки» - «Приватность» - «Кто может смотреть мою старицу» - «Только я» - «Сохранить», информация будет удалена только через месяц.
Ситуация вторая. Персональные данные размещены не субъектом персональных данных. Единственная рекомендация в этом случае: обратиться к системным администраторам. Но ответа вы не получите. Несколько месяцев назад с трибуны Государственной Думы прозвучало предложение возложить ответственность за ложную и экстремистскую информацию не только на авторов Интернет-порталов, но и на руководителей хостинга, где размещен данный контент. Так что теоретически можно обратиться к хостеру об удалении информации. Но быстрее всего хостер вам сможет оказать такую услугу, только если у вас имеется решение суда. Фактически тупиковая ситуация, если и портал, и хостинг зарегистрированы вне территории России. Что в этой ситуации делать, я хотел бы спросить у вас.
Подведем итог. Автоматизированный или ручной сбор информации размешенной в «Социальных сетях» не противоречит закону «О персональных данных». Собранные и обрабатываемые оператором данные должны быть зашифрованы и защищены от неправомерного доступа с целью изменения или копирования. Обработка таких данных должна вестись с согласия субъекта персональных данных.
Емельянов
Вопрос: владельца социальной сети можно отнести к оператору ПД?
Унижаев
Насчет владельца я вам не скажу, так же как директор не обязательно будет оператором, но обязательно должно быть должностное лицо, являющееся оператором.
Емельянов
Когда у нас Закон обретет полную силу, займутся, наконец, сетями?
Унижаев
Вряд ли.
Казакевич.
Я объясню почему. Потому, что регулятор сетей – кто?
Емельянов
Там (показывая наверх).
Казакевич.
Вот именно. Не разрешат.
Унижаев
Не разрешат, но этим Законом пользуются. Я вам приведу еще один маленький пример. Недавно был репортаж из Ивановской области о том, как грамотно простой мужчина, совсем не юрист, воспользовался. Коллекторы пришли выбивать долги в какой-то поселочек: продавайте квартиры, всех выгоняем, в общем, достали всех, как у нас говорят. Нашелся один мужчина, который обратился в Следственный комитет при Прокуратуре РФ с вопросом о том, на каком основании управляющая компания передала ПД людей в коллектор. В результате – поселковый начальник с должности снят, в управляющей компания все начальники сняты, коллекторная компания подлежит ликвидации и т.д. Так что здесь две стороны одной медали, с одной стороны – мы Закона боимся, а с другой стороны он нам нужен.
|
вернуться назад
