https://ru.sputnik.kg/20230525/personalnye-dannye-sotsseti-prilozheniya-kiberprestupnost-kyrgyzstan-1075628142.html
Соцсети знают о нас больше супругов — кто и как собирает наши личные данные
Соцсети знают о нас больше супругов — кто и как собирает наши личные данные
Sputnik Кыргызстан
Не секрет, что социальные сети и приложения, которые мы устанавливаем на свои устройства, собирают о нас личные данные порой без нашего ведома. Какую... 25.05.2023, Sputnik Кыргызстан
2023-05-25T13:43+0600
2023-05-25T13:43+0600
2023-10-17T12:13+0600
персональные данные
пользователь
соцсети
киберпреступность
безопасность
кыргызстан
клим омельченко
мобильные приложения
https://sputnik.kg/img/07e7/05/19/1075630505_0:435:2867:2048_1920x0_80_0_0_54073a4e331d9fbb8afa6312efe932fa.jpg
Соцсети знают о нас больше супругов — кто и как собирает наши личные данные
Sputnik Кыргызстан
Соцсети знают о нас больше супругов — кто и как собирает наши личные данные
Государственное агентство по защите персональных данных провело исследование об уровне защиты этих данных граждан Кыргызстана. Выяснилось, что многие привычные нам мобильные приложения получают гораздо больше личной информации о клиентах, чем нужно для их работы. Сотрудник ведомства, заведующий отделом законодательной экспертизы защиты персональных данных Клим Омельченко рассказал нам подробности.— Давайте для начала разберемся, что вообще можно считать персональными данными.— К персональным данным относятся Ф. И. О., дата рождения, место жительства, номер мобильного телефона… То есть вся информация, по которой можно определить конкретного человека.Персональные данные делят на несколько категорий. В европейских странах, например, есть такое понятие, как "чувствительные данные", — это биометрический профиль, информация о геноме человека, сетчатка глаза. То есть та информация, которую мы не сможем изменить. Существует также "особо чувствительная информация". К ней могут относиться данные о специфических заболеваниях человека, их огласка может повлечь как моральный, так и материальный ущерб.То есть необходимо понимать, что персональные данные — это то, что идентифицирует нас как личность и что можно использовать или против нас, или для того, чтобы улучшить нашу жизнь.— Могут ли приложения собирать персональные данные человека, если он специально их туда не вписывает?— Конечно. Есть понятие "профилирование человека". Приложение собирает о вас различные данные, вроде уровня заработка или ваших личных предпочтений. В 2022 году ученые провели исследование и установили, что за несколько часов использования социальных сетей алгоритмы этих приложений узнают о человеке больше, чем, например, его супруга или супруг за 5-10 лет совместной жизни.Это нужно для того, чтобы продвигать вам конкретную рекламу. Но при этом мы можем представить, что будет, если это попадет, например, в руки недоброжелателей.— Давайте представим.— Приведу несколько цифр: в 2018 году ущерб от киберпреступности, в том числе от "слива" персональных данных по всему миру, составил 3 триллиона долларов, в 2022-м эта цифра составила больше 6 триллионов, а к 2027 году прогнозируется ущерб в 18 триллионов.Масштабы преступности поражают, правда? Раньше целью мошенников были данные крупных компаний, которые сейчас стараются усилить свою киберзащиту, соответственно целью становятся в первую очередь обычные люди.Приведу пример: сегодня взять кредит можно удаленно. Люди, которые неосторожно относятся к своим персональным данным, иногда страдают от рук мошенников: на их имя берут займы. Подобные злоумышленники, как правило, работают группами. Зачастую это осужденные люди. В прошлом году в Кыргызстане официально зарегистрировали два таких случая. Мы начали расследование, и выяснилось, что на самом деле их гораздо больше.— Зачастую, когда мы скачиваем приложения, нас просят согласиться с некой "политикой конфиденциальности". Что это такое?— Политика конфиденциальности — это правила обработки персональных данных в конкретной организации. У нас в законе четко написано, что держатель персональных данных — это тот, кто их собирает и обрабатывает. К примеру, мы пользуемся приложением по вызову такси. Приложение собирает наши персональные данные: по отношению к нам оператор такси является держателем.Держатель по закону должен заявить, какие конкретно персональные данные он собирает и для чего. Этот список не может включать такие пункты, как "и другое", или "и так далее". Приложения могут собирать только ту информацию, которая нужна им для оказания конкретной услуги, и ничего больше. То есть можно понять, когда тот же сервис такси просит информацию о вашем местоположении и номере банковской карты, если вы оплачиваете ею проезд, но если это же приложение вдруг начнет интересоваться, например, вашим семейным положением, это уже незаконно.Еще утечки могут произойти, когда компании не определяют границы собираемых персональных данных, сроки их хранения и то, кто имеет право доступа к этой информации. Это, к слову, не отвечает действующим нормативным документам. С 2017 года в Кыргызстане действует постановление, которое описывает требования к обеспечению безопасности персональных данных в информационных системах. В документе четко сказано, что, если вы обрабатываете информацию, то у вас должно быть ответственное лицо, которое отвечает за эти персональные данные. Все оборудование, которое занимается обработкой персональных данных, должно быть четко зафиксировано: не может любой сотрудник хранить базу на флешке и вставлять ее в любой компьютер. Это оборудование должно быть определено, у него должна быть определенная степень защищенности, должны стоять обновленное программное обеспечение, защита доступа к базе…Вообще, основной принцип обработки персональных данных — это открытость. То есть человек должен знать, какая конкретно информация о нем обрабатывается данным ресурсом. Сейчас мы работаем над тем, чтобы человек имел возможность отозвать личные данные из организации, с которой больше не хочет сотрудничать. Например, если вы закрыли счет в банке, чтобы вы могли настоять на удалении из базы данных касающейся вас информации.— Во время презентации исследования директор Государственного агентства по защите персональных данных при кабмине Нурия Кутнаева рассказала, что у 162 из 228 сайтов Кыргызстана отсутствует политика конфиденциальности. Речь идет о сайтах госорганов или частных организаций?— Во время исследования мы взяли статистику популярных сайтов в зоне KG. Мы не стали отдельно останавливаться на государственных интернет-страницах, с ними у нас будет отдельная работа, а сосредоточили внимание на сайтах частных организаций.— Согласно вашему исследованию "О защите персональных данных", есть три приложения, незаконно собирающих избыточные персональные данные. Одно осуществляет трансграничную передачу данных пользователей, другое — принудительную передачу данных в кредитное бюро, а третье запрашивает у пользователей фото паспорта с двух сторон, что является грубым нарушением Закона "Об информации персонального характера". Также это приложение собирает излишнюю информацию о пользователях ‒ номер телефона, доступ к SMS, доступ к фото и видео, местоположению. Эти приложения принадлежат крупному мобильному оператору и двум крупным коммерческим банкам….— Что показательно, после этой презентации частные структуры связались с нами, их представители приехали, мы провели консультации. Они обещали внести изменения и снова обратиться к нам за консультацией. Мы, конечно, только за такую работу.— Хорошо, предположим, приложение просит меня отправить фото паспорта с двух сторон. Я понимаю, что это незаконно, но пользоваться приложением хотелось бы. Есть какие-то рычаги воздействия, благодаря которым я могла бы и персональные данные сохранить, и приложение успешно использовать?— Конкретно это приложение банка не собирает ваши персональные данные. Они связываются с удостоверяющим государственным центром, в котором содержатся все биометрические данные кыргызстанцев, и этот сервис в режиме соотношения говорит: "Да, это он".Мы не можем им запретить этого делать, потому что у нас нет запрета на обработку биометрических данных. И ввести его мы тоже не можем, потому что в таком случае не будем иметь возможности поставить на рынок львиную долю современных технологий. Они-то как раз и завязаны на биометрике.Но что касается конкретного случая, нарушение здесь в том, что организация просит отправить фото через мессенджер. Это нарушает как минимум три статьи Закона "Об информации персонального характера". Первое — происходит трансграничная передача персональных данных, потому что серверы этих мессенджеров находятся вне Кыргызстана. Кто-то брал разрешение на трансграничную передачу персональных данных? Второе — данное приложение принадлежит той компании, которую часто на ее же родине обвиняли в распространении конфиденциальных данных. Третье — согласно закону, у держателя персональных данных должно быть соглашение с обработчиком. В данном случае мессенджер будет обработчиком по отношению к банку. Есть ли соглашение с этим мессенджером? Если ли границы ответственности? Может ли держатель гарантировать, что эта информация не собирается и наши граждане не профилируются?— С этим можно что-то сделать?— Мы можем запретить использовать мессенджер, однако наказать в рамках Кодекса о правонарушениях не можем, потому что изменения в него еще не приняты.И вообще, мы стараемся решить вопросы, что называется, полюбовно и находить общий язык с участниками рынка предоставления электронных услуг. Мы даже специально разработали конструктор конфиденциальности для бизнеса. Если нанимать специалиста и разрабатывать систему конфиденциальности затратно, можно просто зайти в этот конструктор и собрать для себя нужные функции. И это, кстати, бесплатно.— Насколько мы знаем, в прошлом году мошенники, используя так называемые фишинговые сайты, то есть страницы, выдающие себя за сайты госорганов, банков и прочих структур, "увели" у россиян несколько миллиардов рублей. Мы привыкли, что если в России появляется какая-то тенденция, то рано или поздно она приходит в Кыргызстан. У нас такая проблема тоже появилась?— В последнее время мы наблюдаем, что, пытаясь что-то купить или продать на известных маркетплейсах, люди становятся жертвами вот таких фишинговых сайтов. Происходит это так: человеку направляют ссылку, говорят: я вам ваучерами заплачу какими-нибудь, на карту вам переведутся деньги, вам только карту надо указать. Жертва открывает ссылку, а там, вроде бы, все очень похоже на официальную страницу: и логотипы соответствующие, и шрифт похожий… Такие предложения, кстати, поступали даже мне.Мы связались с фискальными и правоохранительными органами и договорились вести совместную работу по пресечению подобного рода кибермошенничества. Сейчас работаем над планом, по которому будем двигаться дальше. Вопрос в технической реализации мер: думаю, к этой работе стоит привлечь или операторов связи, или орган по надзору за ними, чтобы иметь возможность оперативно блокировать контент.— А у нас вообще есть возможность по закону наказать за киберпреступность?— Упоминания о ней есть и в Уголовном, и в Кодексе о правонарушениях. Уголовная ответственность в части персональных данных не предусмотрена. Сороковая глава Уголовного кодекса — это киберпреступления, то есть, например, киберсаботаж — это когда кто-то пытается сорвать работу ключевых информационных систем. А вот в Кодексе о правонарушениях две статьи — 228-я и следующая, 228-я прим. 1. Они предусматривают ответственность за неправомерный доступ к персональным данным и за разглашение персональных данных, в том числе коммерческой тайны. Там предусмотрен штраф в 20 тысяч сомов, но ответственность распространяется только на физлица, привлечь по этой статье юридическое лицо невозможно.— Но мы ведь пользуемся цифровыми услугами не только в поле ответственности нашего законодательства. В частности, смартфон в моей руке, напрямую задействует мои биометрические данные, в то время как, настолько я понимаю, заставить мировых гигантов IT-индустрии обратить на себя внимание и подчиняться нашим правилам практически невозможно. Как быть?— В данной ситуации, когда мы пока не можем воздействовать на иностранные компании с помощью административных рычагов, надо просто учить наших людей цифровой гигиене.— Как думаете, пришло время, чтобы у нас создали единый основополагающий документ, который регулировал бы вообще все цифровые взаимоотношения?— Министерство цифрового развития недавно представило проект Цифрового кодекса — это всеобъемлющий документ, который касается практически всех отраслей экономики, в том числе персональных данных. Наше ж агентство работает более детально и адресно прорабатывает тот закон, который есть сейчас: из практики мы знаем, что кодексы принимаются долго и тяжело.
https://ru.sputnik.kg/20220825/kyrgyzstan-gosagentstvo-zapros-bank-prilozhenie-1067190701.html
https://ru.sputnik.kg/20230123/kakie-dannye-sobiraet-smartfon-o-khozyaine-1072225235.html
https://ru.sputnik.kg/20230211/kyrgyzstan-onlayn-igra-prilozhenie-preduprezhdenie-1072788892.html
https://ru.sputnik.kg/20221205/deti-internet-kiber-moshennichestvo-tsifrovaya-gigiena-1070687562.html
Sputnik Кыргызстан
media@sputniknews.com
+74956456601
MIA „Rosiya Segodnya“
2023
Наталия Князева
https://sputnik.kg/img/104599/49/1045994972_1140:143:2643:1646_100x100_80_0_0_eef237bd5f660494b8129a63ab91403e.jpg
Наталия Князева
https://sputnik.kg/img/104599/49/1045994972_1140:143:2643:1646_100x100_80_0_0_eef237bd5f660494b8129a63ab91403e.jpg
Новости
ru_KG
Sputnik Кыргызстан
media@sputniknews.com
+74956456601
MIA „Rosiya Segodnya“
Sputnik Кыргызстан
media@sputniknews.com
+74956456601
MIA „Rosiya Segodnya“
Наталия Князева
https://sputnik.kg/img/104599/49/1045994972_1140:143:2643:1646_100x100_80_0_0_eef237bd5f660494b8129a63ab91403e.jpg
персональные данные, пользователь, соцсети, киберпреступность, безопасность, кыргызстан, клим омельченко, мобильные приложения
персональные данные, пользователь, соцсети, киберпреступность, безопасность, кыргызстан, клим омельченко, мобильные приложения
Государственное агентство по защите персональных данных провело исследование об уровне защиты этих данных граждан Кыргызстана. Выяснилось, что многие привычные нам мобильные приложения получают гораздо больше личной информации о клиентах, чем нужно для их работы. Сотрудник ведомства, заведующий отделом законодательной экспертизы защиты персональных данных Клим Омельченко рассказал нам подробности.
— Давайте для начала разберемся, что вообще можно считать персональными данными.
— К персональным данным относятся Ф. И. О., дата рождения, место жительства, номер мобильного телефона… То есть вся информация, по которой можно определить конкретного человека.
Персональные данные делят на несколько категорий. В европейских странах, например, есть такое понятие, как "чувствительные данные", — это биометрический профиль, информация о геноме человека, сетчатка глаза. То есть та информация, которую мы не сможем изменить. Существует также "особо чувствительная информация". К ней могут относиться данные о специфических заболеваниях человека, их огласка может повлечь как моральный, так и материальный ущерб.
То есть необходимо понимать, что персональные данные — это то, что идентифицирует нас как личность и что можно использовать или против нас, или для того, чтобы улучшить нашу жизнь.
— Могут ли приложения собирать персональные данные человека, если он специально их туда не вписывает?
— Конечно. Есть понятие "профилирование человека". Приложение собирает о вас различные данные, вроде уровня заработка или ваших личных предпочтений. В 2022 году ученые провели исследование и установили, что за несколько часов использования социальных сетей алгоритмы этих приложений узнают о человеке больше, чем, например, его супруга или супруг за 5-10 лет совместной жизни.
Это нужно для того, чтобы продвигать вам конкретную рекламу. Но при этом мы можем представить, что будет, если это попадет, например, в руки недоброжелателей.
— Приведу несколько цифр: в 2018 году ущерб от киберпреступности, в том числе от "слива" персональных данных по всему миру, составил 3 триллиона долларов, в 2022-м эта цифра составила больше 6 триллионов, а к 2027 году прогнозируется ущерб в 18 триллионов.
Масштабы преступности поражают, правда? Раньше целью мошенников были данные крупных компаний, которые сейчас стараются усилить свою киберзащиту, соответственно целью становятся в первую очередь обычные люди.
Приведу пример: сегодня взять кредит можно удаленно. Люди, которые неосторожно относятся к своим персональным данным, иногда страдают от рук мошенников: на их имя берут займы. Подобные злоумышленники, как правило, работают группами. Зачастую это осужденные люди. В прошлом году в Кыргызстане официально зарегистрировали два таких случая. Мы начали расследование, и выяснилось, что на самом деле их гораздо больше.
— Зачастую, когда мы скачиваем приложения, нас просят согласиться с некой "политикой конфиденциальности". Что это такое?
— Политика конфиденциальности — это правила обработки персональных данных в конкретной организации. У нас в законе четко написано, что держатель персональных данных — это тот, кто их собирает и обрабатывает. К примеру, мы пользуемся приложением по вызову такси. Приложение собирает наши персональные данные: по отношению к нам оператор такси является держателем.
Держатель по закону должен заявить, какие конкретно персональные данные он собирает и для чего. Этот список не может включать такие пункты, как "и другое", или "и так далее". Приложения могут собирать только ту информацию, которая нужна им для оказания конкретной услуги, и ничего больше. То есть можно понять, когда тот же сервис такси просит информацию о вашем местоположении и номере банковской карты, если вы оплачиваете ею проезд, но если это же приложение вдруг начнет интересоваться, например, вашим семейным положением, это уже незаконно.
Еще утечки могут произойти, когда компании не определяют границы собираемых персональных данных, сроки их хранения и то, кто имеет право доступа к этой информации. Это, к слову, не отвечает действующим нормативным документам. С 2017 года в Кыргызстане действует постановление, которое описывает требования к обеспечению безопасности персональных данных в информационных системах. В документе четко сказано, что, если вы обрабатываете информацию, то у вас должно быть ответственное лицо, которое отвечает за эти персональные данные. Все оборудование, которое занимается обработкой персональных данных, должно быть четко зафиксировано: не может любой сотрудник хранить базу на флешке и вставлять ее в любой компьютер. Это оборудование должно быть определено, у него должна быть определенная степень защищенности, должны стоять обновленное программное обеспечение, защита доступа к базе…
Вообще, основной принцип обработки персональных данных — это открытость. То есть человек должен знать, какая конкретно информация о нем обрабатывается данным ресурсом. Сейчас мы работаем над тем, чтобы человек имел возможность отозвать личные данные из организации, с которой больше не хочет сотрудничать. Например, если вы закрыли счет в банке, чтобы вы могли настоять на удалении из базы данных касающейся вас информации.
— Во время презентации исследования директор Государственного агентства по защите персональных данных при кабмине Нурия Кутнаева рассказала, что у 162 из 228 сайтов Кыргызстана отсутствует политика конфиденциальности. Речь идет о сайтах госорганов или частных организаций?
— Во время исследования мы взяли статистику популярных сайтов в зоне KG. Мы не стали отдельно останавливаться на государственных интернет-страницах, с ними у нас будет отдельная работа, а сосредоточили внимание на сайтах частных организаций.
— Согласно вашему исследованию "О защите персональных данных", есть три приложения, незаконно собирающих избыточные персональные данные. Одно осуществляет трансграничную передачу данных пользователей, другое — принудительную передачу данных в кредитное бюро, а третье запрашивает у пользователей фото паспорта с двух сторон, что является грубым нарушением Закона "Об информации персонального характера". Также это приложение собирает излишнюю информацию о пользователях ‒ номер телефона, доступ к SMS, доступ к фото и видео, местоположению. Эти приложения принадлежат крупному мобильному оператору и двум крупным коммерческим банкам….
— Что показательно, после этой презентации частные структуры связались с нами, их представители приехали, мы провели консультации. Они обещали внести изменения и снова обратиться к нам за консультацией. Мы, конечно, только за такую работу.
— Хорошо, предположим, приложение просит меня отправить фото паспорта с двух сторон. Я понимаю, что это незаконно, но пользоваться приложением хотелось бы. Есть какие-то рычаги воздействия, благодаря которым я могла бы и персональные данные сохранить, и приложение успешно использовать?
— Конкретно это приложение банка не собирает ваши персональные данные. Они связываются с удостоверяющим государственным центром, в котором содержатся все биометрические данные кыргызстанцев, и этот сервис в режиме соотношения говорит: "Да, это он".
Мы не можем им запретить этого делать, потому что у нас нет запрета на обработку биометрических данных. И ввести его мы тоже не можем, потому что в таком случае не будем иметь возможности поставить на рынок львиную долю современных технологий. Они-то как раз и завязаны на биометрике.
Но что касается конкретного случая, нарушение здесь в том, что организация просит отправить фото через мессенджер. Это нарушает как минимум три статьи Закона "Об информации персонального характера". Первое — происходит трансграничная передача персональных данных, потому что серверы этих мессенджеров находятся вне Кыргызстана. Кто-то брал разрешение на трансграничную передачу персональных данных? Второе — данное приложение принадлежит той компании, которую часто на ее же родине обвиняли в распространении конфиденциальных данных. Третье — согласно закону, у держателя персональных данных должно быть соглашение с обработчиком. В данном случае мессенджер будет обработчиком по отношению к банку. Есть ли соглашение с этим мессенджером? Если ли границы ответственности? Может ли держатель гарантировать, что эта информация не собирается и наши граждане не профилируются?
— С этим можно что-то сделать?
— Мы можем запретить использовать мессенджер, однако наказать в рамках Кодекса о правонарушениях не можем, потому что изменения в него еще не приняты.
И вообще, мы стараемся решить вопросы, что называется, полюбовно и находить общий язык с участниками рынка предоставления электронных услуг. Мы даже специально разработали конструктор конфиденциальности для бизнеса. Если нанимать специалиста и разрабатывать систему конфиденциальности затратно, можно просто зайти в этот конструктор и собрать для себя нужные функции. И это, кстати, бесплатно.
— Насколько мы знаем, в прошлом году мошенники, используя так называемые фишинговые сайты, то есть страницы, выдающие себя за сайты госорганов, банков и прочих структур, "увели" у россиян несколько миллиардов рублей. Мы привыкли, что если в России появляется какая-то тенденция, то рано или поздно она приходит в Кыргызстан. У нас такая проблема тоже появилась?
— В последнее время мы наблюдаем, что, пытаясь что-то купить или продать на известных маркетплейсах, люди становятся жертвами вот таких фишинговых сайтов. Происходит это так: человеку направляют ссылку, говорят: я вам ваучерами заплачу какими-нибудь, на карту вам переведутся деньги, вам только карту надо указать. Жертва открывает ссылку, а там, вроде бы, все очень похоже на официальную страницу: и логотипы соответствующие, и шрифт похожий… Такие предложения, кстати, поступали даже мне.
Мы связались с фискальными и правоохранительными органами и договорились вести совместную работу по пресечению подобного рода кибермошенничества. Сейчас работаем над планом, по которому будем двигаться дальше. Вопрос в технической реализации мер: думаю, к этой работе стоит привлечь или операторов связи, или орган по надзору за ними, чтобы иметь возможность оперативно блокировать контент.
— А у нас вообще есть возможность по закону наказать за киберпреступность?
— Упоминания о ней есть и в Уголовном, и в Кодексе о правонарушениях. Уголовная ответственность в части персональных данных не предусмотрена. Сороковая глава Уголовного кодекса — это киберпреступления, то есть, например, киберсаботаж — это когда кто-то пытается сорвать работу ключевых информационных систем. А вот в Кодексе о правонарушениях две статьи — 228-я и следующая, 228-я прим. 1. Они предусматривают ответственность за неправомерный доступ к персональным данным и за разглашение персональных данных, в том числе коммерческой тайны. Там предусмотрен штраф в 20 тысяч сомов, но ответственность распространяется только на физлица, привлечь по этой статье юридическое лицо невозможно.
— Но мы ведь пользуемся цифровыми услугами не только в поле ответственности нашего законодательства. В частности, смартфон в моей руке, напрямую задействует мои биометрические данные, в то время как, настолько я понимаю, заставить мировых гигантов IT-индустрии обратить на себя внимание и подчиняться нашим правилам практически невозможно. Как быть?
— В данной ситуации, когда мы пока не можем воздействовать на иностранные компании с помощью административных рычагов, надо просто учить наших людей цифровой гигиене.
— Как думаете, пришло время, чтобы у нас создали единый основополагающий документ, который регулировал бы вообще все цифровые взаимоотношения?
— Министерство цифрового развития недавно представило проект Цифрового кодекса — это всеобъемлющий документ, который касается практически всех отраслей экономики, в том числе персональных данных. Наше ж агентство работает более детально и адресно прорабатывает тот закон, который есть сейчас: из практики мы знаем, что кодексы принимаются долго и тяжело.
