Эти и другие вопросы я задал во время интервью Александру Барышникову, специалисту компании «Информзащита». Если вы хотите разобраться в том, как всё устроено в мире персональных данных, то потратьте 5 минут. Эти минуты вернуться к вам знаниями.
Полную версию интервью с Александром Барышниковым слушайте в подкасте «Ценная инфа». Ниже — текстовая версия.
Пальцы, уши и… стопы — это персональные данные. Кот Матроскин был прав
— Александр, давайте начнем с азов. Мы привыкли, что персональные данные — это прежде всего ФИО, место жительства, телефон. А что ещё?
— Да, всё так, но не забывайте про ИНН, СНИЛС, данные медицинской карты, свидетельство о браке, и так далее. Практически все документы. Но в законе также указано, что, например, персональными данными являются IP-адрес вашего устройства, название браузера, операционная система, и еще много других вещей.
— Это не шутка? Браузер, который я использую, тоже является персональными данными?
— При определенных условиях обработки данных — является.
— А биометрические данные — это голос и пальчики?
— Не только. Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности субъекта. Это может быть фотография, видеозапись, голос, отпечаток пальца, отпечаток уха, размер стопы.
— А где можно использовать размер стопы?
— Зная размер стопы, вы можете определить субъекта, если он работает, например, на заводе или в воинской части.
— Понятно. А тембр голоса является биометрическими данными?
— Вопрос интересный. Да, его, в принципе, можно отнести к биометрическим персональным данным, потому что это всё-таки особенность человека.
— Один из самых спорных видов персональных данных — так называемые обезличенные данные.
— Это очень интересная категория персональных данных, которая в настоящее время отсутствует в законодательстве РФ. Эта категория существовала до 2012-ого года, но после внесения изменений в законодательство она пропала.
Сейчас обезличивание персональных данных допустимо только для государственных и муниципальных органов, когда это прямо им прописано федеральным законом или внутренним актом.
Все остальные организации, по мнению Роскомнадзора, не имеют права заниматься обезличиванием персональных данных, либо такие персональные данные в случае проверки Роскомнадзора признаются им как иные категории персональных данных.
— Звучит как сенсация. То есть, когда Яндекс. Станция нас слушает, она может идентифицировать нас. Вернее, даже обязана. Правильно?
— Вы сейчас употребили очень специфичное слово «идентифицировать». Ни в российских законах, ни в регламенте GDPR, ни в европейской конвенции нигде нет слова «идентифицировать». Персональные данные — это информация, относящаяся прямо или косвенно к определяемому, но никто не говорит, что к точно идентифицируемому субъекту персональных данных.
Купить Яндекс. Станция по скидкой
— Задам вопрос по-другому. Верите ли вы в то, что обезличенные данные вообще существуют, или это юридическая оговорка для того, чтобы успокоить людей?
— Обезличенные персональные данные существуют. Сейчас Роскомнадзор по центральному федеральному округу ведёт работу над внесением изменений в законодательство, как раз с точки зрения обезличенных персональных данных. Мы прорабатываем вопрос методик обезличивания и определения случаев, когда такое обезличивание будет допустимо.
— А когда я ищу, например, кофеварку в Интернете, то сайт, на котором я её нашёл, он собирает обезличенные данные, или знает в этот момент мой телефон и почту, и, соответственно, может меня вычислить. ?
— Есть технологии Big Data, которые собирают в себе множество данных, систематизируют и анализируют их. И любой заход пользователя на сайт, данные с которого передаются в эту систему, может практически с высокой вероятностью определён даже для конкретного субъекта. Нельзя всё-таки считать это обезличенными персональными данными.
Грязные секреты TikTok, Instagram*, Facebook* и WhatsApp
— Основатель Telegram Павел Дуров неоднократно называл WhatsApp «дырявым». Я приведу его цитату: «Если вы не хотите, чтобы все ваши фотографии и сообщения в один прекрасный день стали общедоступными, вы должны удалить WhatsApp со своего телефона». Почему Павел Дуров рекомендует удалить WhatsApp со своего телефона?
— Весной 2019 года стало известно о том, что спецслужбы Израиля взломали WhatsApp и удалённо установили на контролируемые устройства специальное ПО для чтения сообщений, прослушивания аудиосообщений и так далее. WhatsApp достаточно быстро отреагировал на это и устранил уязвимость, оповестив пользователей об обязательной переустановке приложения. Выводы делайте сами.
— А Telegram можно взломать?
— Такие случаи мне неизвестны, но теоретически, конечно же, можно. Любое программное обеспечение имеет уязвимости, о которых мы уже знаем либо пока ещё не знаем. Специальные группировки занимаются изучением этих приложений и выявляют уязвимости, чтобы в дальнейшем эксплуатировать их.
— Популярную среди подростков соцсеть TikTok недавно обвинили в слежке за пользователями. Здесь я процитирую газету Wall Street Journal: «С помощью MAC-адресов приложение отслеживало пользователей в интернете без возможности отключить эту функцию». О чём здесь идёт речь, где здесь правда, а где — лапша?
— Действительно, приложение TikTok собирает очень большое количество информации о пользователе приложения. Если посмотреть, что передаёт TikTok в сторону азиатских серверов, то там будет и конфигурация смартфона, и список установленных у вас приложений, и сетевые данные, включая IP-адрес, MAC-адрес, название точки доступа Wi-FI, через которую вы в данные момент подключены к интернету.
MAC — адрес — это уникальная комбинация цифр и букв длиной 48 символов, которая присваивается сетевой карте устройства еще на фабрике, в момент производства.
Также TikTok собирает информацию о геолокации, логи смс-сообщений, список контактов, историю звонков. Микрофон смартфона регулярно включается даже тогда, когда пользователь смартфона не пользуется приложением TikTok.
ВНИМАНИЕ! TikTok включает микрофон и подслушивает, даже если приложение не запущено!
— А запрет TikTok в США через 90 дней, если они не прекратят сбор данных, повлиял на владельцев TikTok?
— Нет, приложение по-прежнему собирает эти данные. Разработчики могут что-то временно отключать, потому что это уже не первый раз, когда выявляют сбор данных со стороны TikTok’а, но никто не исключает того, что позже они снова все будут включены.
— И я бы хотел уточнить вопрос по поводу MAC-адресов. Можно всё-таки следить за пользователями или нельзя? На одном популярном ресурсе эту тему обсмеяли, сказали, что невозможно следить за пользователями с помощью MAC-адресов.
— Если я буду собирать исключительно MAC-адреса устройств, и не буду получать дополнительной информации, то, скорее всего, это будет неинтересная информация, с помощью которой я не смогу сделать никаких выводов из аналитики. Но, как я уже перечислил, TikTok помимо MAC-адресов собирает ещё достаточно много информации.
Собирая информацию от пользователей через приложение TikTok и передавая её в какую-либо глобальную Big Data, тот или иной заказчик может получить дополнительную информацию об этом пользователе, исключительно благодаря сверке MAC-адресов по этой базе.
— Понятно. Ещё одна соцсеть — Instagram* - попала под критику за то, что распознаёт лица на фотографиях. Это превращает обычную соцсеть в спецслужбу. Что делать — смириться со слежкой или удалить Instagram?
— Сама соцсеть отрицает распознавание, но мы знаем, что Facebook*, которому Instagram* принадлежит, уже опробовал эту технологию. Не исключаю, что Instagram* действительно передаёт какую-то информацию Facebook’у*, который дальше занимается аналитикой. Что касается слежки — вы готовы вернуться к кнопочным телефонам вроде знаменитой Nokia с фонариком?
ТОП-5 советов по защите персональных данных от Александра Барышникова
- Изучите закон о персональных данных, чтобы точно представлять, о чём идёт речь. Защита ваших прав начинается именно с этого.
- Всегда читайте текст согласия на обработку персональных данных, которые вам показывают при посещении сайтов, при заполнении карт лояльности, при покупке сотовых тарифов, то есть везде, где хотят получить ваши данные для обработки. Обязательно задавайте вопросы — зачем вы хотите получить те или иные данные?
- Не стесняйтесь писать заявления в Роскомнадзор в случае выявления незаконной и неправомерной обработки ваших персональных данных. Это можно сделать онлайн.
- Используйте специальный плагин для браузеров, которые покажет, какую информацию собирает о вас посещаемый сайт, и плагин, который блокирует сбор такой информации.
- Заведите привычку работать в браузере в режиме «инкогнито».
Полную версию интервью с Александром Барышниковым слушайте в подкасте «Ценная инфа».
Читайте также:
✔️ Хотите поменять свой смартфон на другой? Вот мой обзор Realme 6, он вам точно подойдёт.
✔️ Как простой парень из Тулы стал знаменитостью в США, и заработал кучу денег
✔️ Как я выбирал электронную читалку, и почему выбрал Onyx Boox Livingstone
*соцсеть признана экстремистской и запрещена в России.