О каком законопроекте идет речь?
Правительство РФ внесло в Госдуму законопроект, обязывающий владельцев технологических сетей связи, имеющих номер автономной системы, хранить и предоставлять информацию правоохранительным органам. Текст документа в понедельник размещен в электронной базе данных нижней палаты.
Речь идет о хранении на территории России в течение трех лет «информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений лиц, использующих технологические сети связи».
Инициатива также обязывает предоставлять указанные данные «органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации».
Проект федерального закона содержит обязательные требования, оценка соблюдения которых осуществляется в рамках государственного контроля (надзора), муниципального контроля, при рассмотрении дел об административных правонарушениях.
Текст пояснительной записки
Как законодательно в России регламентируется хранение данных сейчас?
1 июля 2018 года вступила в силу последняя часть антитеррористического пакета законов депутата Ирины Яровой и сенатора Виктора Озерова.
- Что хранят?
- Текстовые сообщения
- Голосовую информацию
- Изображения
- Звуки
- Видео
- Иные электронные сообщения
Данные хранят не больше полугода. В этих границах закон позволяет правительству России самостоятельно определять сроки хранения сообщений пользователей. В итоге правила выглядят так:
- интернет-компании должны будут хранить сообщения пользователей все шесть месяцев,
- операторы связи, обслуживающие пользователей стационарных, мобильных и спутниковых телефонов, пейджеров и таксофонов — тоже шесть месяцев,
- интернет-провайдеры с 1 октября 2018 года — от одного до шести месяцев.
В реестр организаторов распространения информации пока вошли чуть больше 100 интернет-компаний: крупнейшие российские (Яндекс, Mail.ru, Rambler), некоторые зарубежные (WeChat, Opera) и множество небольших сайтов, где пользователи могут оставлять комментарии. Минкомсвязь посчитала, что наличие комментариев — достаточное основание для регистрации в реестре.
При этом в реестре нет многих крупных зарубежных социальных сетей (Facebook, Twitter, Instagram) и мессенджеров (WhatsApp, Viber).
Неизвестно, собираются ли они исполнять «закон Яровой» или нет. Единственной иностранной компанией, заявившей, что не будет сотрудничать со спецслужбами, оказался Telegram, хотя формально его и включили в российский реестр.
Как данные хранят в США?
В стране принято два уровня правового регулирования любых значимых отношений: на уровне федерации и на уровне штатов, чьи полномочия в области законотворчества по Конституции США очень широки.
На общегосударственном уровне системное регулирование права на защиту персональных данных как таковое отсутствует. Приняты два нормативных акта, которые определяют обязанности государственных органов в этой сфере, не касаясь норм, регулирующих деятельность по обработке персональных данных граждан компаний-операторов.
Privacy Act of 1974 и Privacy Protection Act of 198 должны применяться только федеральными органами. Поскольку они содержат технические нормы, регулирующие режим конфиденциальности данных, компании могут воспользоваться ими в качестве рекомендаций по организации своей деятельности. В случае возникновения споров, связанных с защитой персональных данных, суд, скорее, обратится не к ним, а к прецедентному праву.
Законодательство штатов США, полностью автономных в своем правовом творчестве, зачастую оказывается существенно конкретнее и жестче, чем федеральное.
Один из самых ярких нормативных актов, регулирующих эту сферу и неприкосновенность частной жизни, принят в штате Калифорния. Он касается только компаний-операторов, осуществляющих сбор персональных данных пользователей сети интернет.
Теперь каждое лицо, пользующееся их услугами, имеет право знать:
- какую именно информацию о нем собирают провайдеры и другие интернет-компании;
- с какой целью собираются эти сведения;
- каким образом они будут использованы.
Пользователи интернет-услуг получили право требовать уничтожения этих данных или запрещать передачу их третьим лицам в любых целях.
Эта норма является в какой-то мере аналогом российской, разрешающей физическим лицам отзывать согласие на обработку персональных данных, за одним исключением. Американские субъекты данных такие согласия не предоставляли, а информация, собираемая компаниями, связана по большей мере с интернет-активностью пользователей.
Такой жесткий уровень регулирования в случае массового применения закона жителями Калифорнии способен причинить серьезные убытки интернет-компаниям. Дополнительно закон Калифорнии минимизирует права операторов на сбор и передачу третьим лицам персональных данных несовершеннолетних.
- Применяемые в США стандарты в области защиты персональных данных
Законы, действующие в Америке, не могут полностью закрыть все правовое поле, связанное с регулированием защиты персональных данных. В России действует та же модель, применение закона обеспечивается принятием множества подзаконных актов на уровне правительства и ФСТЭК.
В Америке в сферу действия двух федеральных актов не попали стандарты и параметры, регулирующие требования к автоматизации систем защиты персональных данных.
Поскольку это направление обеспечения безопасности информации при ее хранении и обработке требует дополнительного серьезного регулирования, аналогичного тому, которое в России осуществляют ФСБ и ФСТЭК, американским операторам предписано пользоваться рекомендациями, издаваемыми Национальным институтом стандартов и технологий (NIST — National Institute of Standards and Technology). Эта организация издает нормативно-правовую документацию, носящую характер российских ГОСТов.
Как собирают данные компании?
- Пентагон
Объединенный центр искусственного интеллекта Пентагона нанимает компании для подготовки военных данных для использования с ИИ. Заявление Пентагона свидетельствует о переходе роли центра ИИ от разработчика продукта к поставщику услуг по обеспечению готовности ИИ для нужд Министерства обороны США.
Базовое соглашение позволит различным отделам министерства и федеральным партнерам выдавать заказы на выполнение услуг по обработке данных для работы с ИИ, что может включать все: от сбора данных до их сортировки для хранения и моделирования того, как сотрудники будут использовать их с ИИ.
Соглашение о заказе услуг по обеспечению готовности данных для разработки искусственного интеллекта (DRAID) «поможет Министерству обороны США и правительственным организациям подготовить данные для использования в приложениях искусственного интеллекта, предоставив легкий доступ к передовым коммерческим сервисам, необходимым для решения сложных технических задач», — говорится в заявлении Пентагона.
Среди направлений, которыми займется Пентагон вместе с гражданскими партнерами, — сбор и курирование данных, генерация синтетических данных и анонимизация данных, разработка, модификация и настройка программного обеспечения и так далее.
- iOS и Android
Исследователи из Ирландии изучили, в каком объеме данные iOS и Android отправляются Apple и Google. Например, Apple и Google получают IMEI устройств, серийный номер оборудования, серийный номер SIM-карты и IMSI, номер телефона и другие данные.
Более того, Android и iOS продолжают передавать телеметрию своим компаниям-производителям, даже если пользователь специально не раскрывает эти данные. Фактически как только пользователь вставляет SIM-карту в любое устройство, соответствующие данные передаются родительским компаниям каждого из них.
У пользователей нет возможности избежать того, чтобы устройства iOS сообщали Apple MAC-адреса ближайших устройств, а также данные о местоположении по GPS. Действительно, этим пользователям даже не нужно входить в систему, чтобы устройство могло поделиться данными. С другой стороны, Google собирает гораздо больший объем данных с ближайших устройств, чем Apple.
Для сравнения: Google получает около 1 МБ данных по сравнению с 42 КБ для Apple. В режиме ожидания Android Pixel отправляет около 1 МБ каждые 12 часов, а iOS — 52 КБ. Google собирает примерно в 20 раз больше данных с мобильных телефонов, чем Apple.
Такие дополнительные функции, как iCloud, Safari и Siri, отправляют пользовательские данные в Apple независимо от того, разрешает ли пользователь это действие или даже знает, что его данные передаются.
В Google Android такие приложения передают Chrome, YouTube, Google Docs, Google Messaging, Clock, Safetyhub и Google Searchbar. Основная причина, по которой эти устройства в конечном итоге отправляют так много данных, связана с подключением к внутреннему серверу, который автоматически обновляется по IP-адресу.
Как только у компании есть IP-адрес, они обычно могут определить соответствующее географическое местоположение.
Представители компании Google заявили о создании технологии FLoC (Federated Learning of Cohorts): она позволит отказаться от таргетинга рекламы на основе cookie-файлов. Утверждается, что FLoC повысит приватность серфинга и позволит не прибегать к сбору персональных данных пользователей.
Растущий страх перед отслеживанием местоположения с помощью cookie побудил компанию поддержать законодательство о правах интернета и разработать способ эффективно таргетировать рекламу без сбора всей доступной информации о пользователе.
Суть технологии в том, что подбор рекламных объявлений по FLoC не требует доступа к данным конкретного пользователя, а объединяет людей с похожими интересами в группы. Таким образом, рекламное объявление видит группа пользователей.
Помимо этого, использование FLoC позволит бороться с мошенническим рекламным трафиком.
Google анонсировала технологию в 2019 году. Тестирование проведут в 2021 году. Дата внедрения технологии неизвестна, потому что в компании еще не решили юридические вопросы. Тестирование пройдет на базе Chrome.
Читать далее
Создана первая точная карта мира. Что не так со всеми остальными?