Международный пакет Яровой: как в России и за рубежом хранят данные пользователей?

О каком законопроекте идет речь?

Правительство РФ внесло в Госдуму законопроект, обязывающий владельцев технологических сетей связи, имеющих номер автономной системы, хранить и предоставлять информацию правоохранительным органам. Текст документа в понедельник размещен в электронной базе данных нижней палаты.

Речь идет о хранении на территории России в течение трех лет «информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений лиц, использующих технологические сети связи».

Инициатива также обязывает предоставлять указанные данные «органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации». 

Проект федерального закона содержит обязательные требования, оценка соблюдения которых осуществляется в рамках государственного контроля (надзора), муниципального контроля, при рассмотрении дел об административных правонарушениях. 

Текст пояснительной записки

Как законодательно в России регламентируется хранение данных сейчас?

1 июля 2018 года вступила в силу последняя часть антитеррористического пакета законов депутата Ирины Яровой и сенатора Виктора Озерова. 

• Что хранят?

• Текстовые сообщения
• Голосовую информацию
• Изображения
• Звуки
• Видео
• Иные электронные сообщения

Данные хранят не больше полугода. В этих границах закон позволяет правительству России самостоятельно определять сроки хранения сообщений пользователей. В итоге правила выглядят так:

• интернет-компании должны будут хранить сообщения пользователей все шесть месяцев,
• операторы связи, обслуживающие пользователей стационарных, мобильных и спутниковых телефонов, пейджеров и таксофонов — тоже шесть месяцев,
• интернет-провайдеры с 1 октября 2018 года — от одного до шести месяцев.

В реестр организаторов распространения информации пока вошли чуть больше 100 интернет-компаний: крупнейшие российские (Яндекс, Mail.ru, Rambler), некоторые зарубежные (WeChat, Opera) и множество небольших сайтов, где пользователи могут оставлять комментарии. Минкомсвязь посчитала, что наличие комментариев — достаточное основание для регистрации в реестре.

При этом в реестре нет многих крупных зарубежных социальных сетей (Facebook, Twitter, Instagram) и мессенджеров (WhatsApp, Viber).

Неизвестно, собираются ли они исполнять «закон Яровой» или нет. Единственной иностранной компанией, заявившей, что не будет сотрудничать со спецслужбами, оказался Telegram, хотя формально его и включили в российский реестр.

Как данные хранят в США?

В стране принято два уровня правового регулирования любых значимых отношений: на уровне федерации и на уровне штатов, чьи полномочия в области законотворчества по Конституции США очень широки.

На общегосударственном уровне системное регулирование права на защиту персональных данных как таковое отсутствует. Приняты два нормативных акта, которые определяют обязанности государственных органов в этой сфере, не касаясь норм, регулирующих деятельность по обработке персональных данных граждан компаний-операторов.

Privacy Act of 1974 и Privacy Protection Act of 198 должны применяться только федеральными органами. Поскольку они содержат технические нормы, регулирующие режим конфиденциальности данных, компании могут воспользоваться ими в качестве рекомендаций по организации своей деятельности. В случае возникновения споров, связанных с защитой персональных данных, суд, скорее, обратится не к ним, а к прецедентному праву.

Законодательство штатов США, полностью автономных в своем правовом творчестве, зачастую оказывается существенно конкретнее и жестче, чем федеральное.

Один из самых ярких нормативных актов, регулирующих эту сферу и неприкосновенность частной жизни, принят в штате Калифорния. Он касается только компаний-операторов, осуществляющих сбор персональных данных пользователей сети интернет.

Теперь каждое лицо, пользующееся их услугами, имеет право знать:

• какую именно информацию о нем собирают провайдеры и другие интернет-компании;
• с какой целью собираются эти сведения;
• каким образом они будут использованы.

Пользователи интернет-услуг получили право требовать уничтожения этих данных или запрещать передачу их третьим лицам в любых целях.

Эта норма является в какой-то мере аналогом российской, разрешающей физическим лицам отзывать согласие на обработку персональных данных, за одним исключением. Американские субъекты данных такие согласия не предоставляли, а информация, собираемая компаниями, связана по большей мере с интернет-активностью пользователей.

Такой жесткий уровень регулирования в случае массового применения закона жителями Калифорнии способен причинить серьезные убытки интернет-компаниям. Дополнительно закон Калифорнии минимизирует права операторов на сбор и передачу третьим лицам персональных данных несовершеннолетних.

• Применяемые в США стандарты в области защиты персональных данных

Законы, действующие в Америке, не могут полностью закрыть все правовое поле, связанное с регулированием защиты персональных данных. В России действует та же модель, применение закона обеспечивается принятием множества подзаконных актов на уровне правительства и ФСТЭК.

В Америке в сферу действия двух федеральных актов не попали стандарты и параметры, регулирующие требования к автоматизации систем защиты персональных данных.

Поскольку это направление обеспечения безопасности информации при ее хранении и обработке требует дополнительного серьезного регулирования, аналогичного тому, которое в России осуществляют ФСБ и ФСТЭК, американским операторам предписано пользоваться рекомендациями, издаваемыми Национальным институтом стандартов и технологий (NIST — National Institute of Standards and Technology). Эта организация издает нормативно-правовую документацию, носящую характер российских ГОСТов.

Как собирают данные компании?

• Пентагон

Объединенный центр искусственного интеллекта Пентагона нанимает компании для подготовки военных данных для использования с ИИ. Заявление Пентагона свидетельствует о переходе роли центра ИИ от разработчика продукта к поставщику услуг по обеспечению готовности ИИ для нужд Министерства обороны США.

Базовое соглашение позволит различным отделам министерства и федеральным партнерам выдавать заказы на выполнение услуг по обработке данных для работы с ИИ, что может включать все: от сбора данных до их сортировки для хранения и моделирования того, как сотрудники будут использовать их с ИИ.

Соглашение о заказе услуг по обеспечению готовности данных для разработки искусственного интеллекта (DRAID) «поможет Министерству обороны США и правительственным организациям подготовить данные для использования в приложениях искусственного интеллекта, предоставив легкий доступ к передовым коммерческим сервисам, необходимым для решения сложных технических задач», — говорится в заявлении Пентагона.

Среди направлений, которыми займется Пентагон вместе с гражданскими партнерами, — сбор и курирование данных, генерация синтетических данных и анонимизация данных, разработка, модификация и настройка программного обеспечения и так далее.

• iOS и Android

Исследователи из Ирландии изучили, в каком объеме данные iOS и Android отправляются Apple и Google. Например, Apple и Google получают IMEI устройств, серийный номер оборудования, серийный номер SIM-карты и IMSI, номер телефона и другие данные.

Более того, Android и iOS продолжают передавать телеметрию своим компаниям-производителям, даже если пользователь специально не раскрывает эти данные. Фактически как только пользователь вставляет SIM-карту в любое устройство, соответствующие данные передаются родительским компаниям каждого из них.

У пользователей нет возможности избежать того, чтобы устройства iOS сообщали Apple MAC-адреса ближайших устройств, а также данные о местоположении по GPS. Действительно, этим пользователям даже не нужно входить в систему, чтобы устройство могло поделиться данными. С другой стороны, Google собирает гораздо больший объем данных с ближайших устройств, чем Apple.

Для сравнения: Google получает около 1 МБ данных по сравнению с 42 КБ для Apple. В режиме ожидания Android Pixel отправляет около 1 МБ каждые 12 часов, а iOS — 52 КБ. Google собирает примерно в 20 раз больше данных с мобильных телефонов, чем Apple.

Такие дополнительные функции, как iCloud, Safari и Siri, отправляют пользовательские данные в Apple независимо от того, разрешает ли пользователь это действие или даже знает, что его данные передаются.

В Google Android такие приложения передают Chrome, YouTube, Google Docs, Google Messaging, Clock, Safetyhub и Google Searchbar. Основная причина, по которой эти устройства в конечном итоге отправляют так много данных, связана с подключением к внутреннему серверу, который автоматически обновляется по IP-адресу.

Как только у компании есть IP-адрес, они обычно могут определить соответствующее географическое местоположение.

• Google

Представители компании Google заявили о создании технологии FLoC (Federated Learning of Cohorts): она позволит отказаться от таргетинга рекламы на основе cookie-файлов. Утверждается, что FLoC повысит приватность серфинга и позволит не прибегать к сбору персональных данных пользователей.

Растущий страх перед отслеживанием местоположения с помощью cookie побудил компанию поддержать законодательство о правах интернета и разработать способ эффективно таргетировать рекламу без сбора всей доступной информации о пользователе.

Суть технологии в том, что подбор рекламных объявлений по FLoC не требует доступа к данным конкретного пользователя, а объединяет людей с похожими интересами в группы. Таким образом, рекламное объявление видит группа пользователей.

Помимо этого, использование FLoC позволит бороться с мошенническим рекламным трафиком.

Google анонсировала технологию в 2019 году. Тестирование проведут в 2021 году. Дата внедрения технологии неизвестна, потому что в компании еще не решили юридические вопросы. Тестирование пройдет на базе Chrome.

Читать далее

Создана первая точная карта мира. Что не так со всеми остальными?

Вертолет Ingenuity успешно взлетел на Марсе

В НАСА рассказали, как они доставят образцы Марса на Землю