На минувшей неделе случились 3 нашумевшие утечки, которые общественность и сами виновники поспешили переквалифицировать в «легальный датасет» и в открытые данные. Давайте разбираться.
3 апреля в сети появились персональные данные более 533 000 000 пользователей Facebook из 106 стран. Данные включают контактные данные (номера телефонов, емейлы), Facebook ID, полное имя, пол, город, страну, дату рождения, семейное положение, род занятий, и иную информацию, размещенную пользователями в своих профилях.
В числе этих данных были и те, которые пользователи обычно не делают публичными, например контактные данные. Среди них обнаружен и телефонный номер Марка Цукерберга.
Парой дней позже в сети появились 4 файла с персональными данными о 500 000 000 пользователях LinkedIn, включая их полные имена, адреса электронной почты, номера телефонов, информацию о рабочем месте и многое другое.
А еще чуть позднее произошла публикация персональных данных 1 300 000 пользователей сети Clubhousе, которые включают их имена, названия профилей и другие детали.
Как отреагировали сами соцсети на эти события?
Facebook, LinkedIn и Clubhouse как по шпаргалке утверждают одно и то же: утечки не было, нарушения безопасности персональных данных не было.
У себя на странице Facebook официально заявил: «Важно понимать, что злоумышленники получили эти данные не путем взлома наших систем, а путем вэб-скрейпинга их с нашей платформы до сентября 2019 года.»
Как бы оправдывая нарушителей приватности своих пользователей, Product Manager Facebook Майк Кларк увещевает: «Вэб-скрейпинг—это распространенная тактика, которая часто использует автоматизированное программное обеспечение для извлечения общедоступной информации из Интернета, которая в конечном итоге может быть распространена на онлайн-форумах, подобных этому.
О методах, использованных для получения этого набора данных, сообщалось ранее в 2019 году. Это еще один пример продолжающегося противостояния технологических компаний с мошенниками, которые намеренно нарушают политики платформы для скрейпинга интернет-сервисов».
Однако тут же он рассказывает, что данные были собраны с помощью их же собственного инструмента (а не вэб-скрепера) — импортера контактов, который позволял злоумышленникам получать телефонные номера пользователей Facebook.
Данную уязвимость они устранили в 2019 году и у них есть команды по всей компании, работающие над выявлением и пресечением такого поведения. То есть, получается, что нарушение безопасности персональных данных все-таки было допущено и устранено в 2019 году?
По некоторым сведениям опубликованная 3 апреля база данных отличается от той, на которую пытается ссылаться Facebook от 2019 года, то есть 3 апреля произошла, возможно, уже другая утечка.
LinkedIn же у себя на странице заявили: «Мы исследовали предполагаемый набор данных LinkedIn, которые были размещены для продажи, и определили, что на самом деле это совокупность данных с ряда веб-сайтов и компаний. Он действительно включает общедоступные данные профиля участника, которые, похоже, были извлечены из LinkedIn. Это не было утечкой данных LinkedIn, и в то, что мы смогли проверить, не было включено никаких данных из частных аккаунтов LinkedIn. Любое неправомерное использование данных наших участников, например сбор данных, нарушает условия обслуживания LinkedIn».
Но вот нестыковка, прямо здесь же LinkedIn приводит ссылку на страницу, где выгрузка данных профилей пользователей LinkedIn явным образом квалифицируется как нарушение требований безопасности LinkedIn: запрещено использовать программные продукты, устройства, скрипты, программы-роботы или другие способы и процессы, а также любые иные технологии для извлечения данных или копирования профилей и других данных.
Clubhouse заявили в Twitter, что «Clubhouse не был взломан. Упомянутые данные — это вся общедоступная информация профиля из нашего приложения, к которой любой может получить доступ через приложение или наш API (интерфейс прикладного программирования)».
И тут ребята покривили душой: конечно же не любой может получить доступ к данным 1 300 000 пользователей Clubhouse и запросто выгрузить их себе на компьютер. Но и запрета на такие действия в условиях пользовательского соглашения и иных документах сети не обнаружено.
В политике приватности гордо сказано, что «мы принимаем коммерчески разумные технические, административные и организационные меры для защиты персональных данных как в сети, так и в автономном режиме от потери, неправомерного использования и несанкционированного доступа, раскрытия, изменения или уничтожения».
Но тут же пишут такой дисклеймер: «мы не можем контролировать действия пользователей на платформе, которые могут стремиться использовать сторонние приложения или устройства для записи, хранения или обмена контентом или общением без предварительного согласия других пользователей.
Помните об этом при использовании Сервиса».
Окей, мы запомним.
Утечка или нет?
Согласно ст. 4 (12) GDPR «нарушение безопасности персональных данных» — это нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному разглашению пересылаемых, хранимых или иным образом обрабатываемых персональных данных или к несанкционированному доступу к ним.
Согласно ст. 32 (1 (b)) GDPR контролер и процессор персональных данных обязаны обеспечивать уровень безопасности данных, соответствующий рискам для субъектов, в частности обеспечивать постоянную конфиденциальность систем и сервисов обработки.
То есть, как минимум, если пользователи не сделали свои профили или номера телефонов, емейлы публичными, то контролер обязан сохранять их конфиденциальность, обеспечивать достаточный уровень безопасности.
Более того, контролер персональных данных обязан исключить доступ, копирование и выгрузку данных неавторизованными лицами: теми, кого контролер не упомянул в своих политиках, с кем у контролера нет заключенных договоров, уполномочивающих неких третьих лиц на доступ, копирование, выгрузку.
Итак, Facebook, LinkedIn, Clubhouse так или иначе признали, что персональные данные их пользователей были получены неавторизованными лицами, в нарушение их мер и политик безопасности.
Значит, во всех трех случаях произошло нарушение безопасности данных, ведущее к несанкционированному разглашению персональных данных или к несанкционированному доступу к ним.
Если верить ст. 4 (12) GDPR, то все-таки у всех трех компаний произошло нарушение безопасности персональных данных, то есть data breach, то есть утечка.
Иной вывод означал бы, что все 3 соцсети умышленно оставили данные доступными к подобному копированию любым третьим лицом, а Facebook не должен был бы устранять такую возможность в 2019 году, а LinkedIn запрещать ее в своих политиках и правилах.
Уведомлять ли субъектов о нарушении?
Product Manager Facebook Майк Кларк не считает необходимым уведомлять субъектов или надзорных орган, потому что утекшая информация якобы была публичной, не включала финансовую информацию, информацию о здоровье или пароли. Это, видимо, должно убедить нас в незначительности риска для субъектов и в отсутствии необходимости уведомлять их об этом нарушении безопасности их данных.
Согласно статье 33 GDPR контролер персональных данных без неоправданной задержки — по возможности не позднее чем через 72 часа после обнаружения нарушения безопасности персональных данных (data breach) — обязан уведомить о нем надзорный орган, за исключением случаев, когда контролёр может подтвердить, в соответствии с принципом подотчетности, что нарушение безопасности персональных данных с малой вероятностью может представлять риск нарушения прав и свобод физических лиц.
Согласно Преамбуле 75 GDPR риск для прав и свобод физических лиц разной степени вероятности и серьезности может возникать в результате обработки персональных данных, которая может привести: а) к физическому, материальному или нематериальному ущербу, б) лишению субъектов прав и свобод или возможности осуществлять контроль над своими персональными данными, в) в случаях, когда обработка охватывает большое количество персональных данных и затрагивает большое количество субъектов данных.
Безотносительно содержания данных, во всех рассматриваемых нами случаях количество затронутых субъектов персональных данных исчисляется миллионами и сотнями миллионов. Кроме того, субъекты утратили возможность осуществлять контроль над своими персональными данными, поскольку не знают, кто стал их новым оператором и как остановить эту новую обработку.
Поскольку третьим лицам стали доступны контактные данные, то по ним могут быть совершены нежелательные или назойливые коммуникации с субъектами данных, фишинг. Остальной объем данных может быть использован для психологического манипулирования субъектами с целью совершения определенных действий или разглашения конфиденциальной информации – социальная инженерия.
Таким образом, рассматриваемые инциденты должны быть квалифицированы как повлекшие за собой риск для прав и свобод, согласно Преамбуле 75 GDPR. А, следовательно, Facebook, LinkedIn и Clubhouse обязаны уведомить как надзорный орган, так и самих субъектов о нарушении безопасности данных.
Зачем каждый повторяет, что данные общедоступны?
Многие блогеры в Telegram наперебой утверждают, что данные были открытыми, и что датасет легальный:
Но могут ли персональные данные утратить свою защиту, будучи опубликованными? В GDPR таких положений нет.
Напротив, там явно подчеркивается, что даже опубликованные данные подлежат обработке в соответствии с правилами GDPR. Никаких поблажек.
Согласно ст. 25 (2) GDPR технические и организационные меры защиты персональных данных, принятые контролером, должны гарантировать, что по умолчанию персональные данные не будут доступны для неопределенного круга лиц, помимо воли субъекта персональных данных.
Согласно п. 56-59 «Руководства по 25 статье GDPR Защита персональных данных: проектируемая и по умолчанию в соответствии с Регламентом 2016/679» контролер должен умолчанию ограничивать доступность и давать субъекту данных возможность вмешаться перед публикацией или иным предоставлением его данных неопределенному кругу лиц.
Предоставление личных данных неограниченному кругу лиц может привести к еще большему распространению данных, чем планировалось изначально. Это особенно актуально в контексте Интернет и поисковых систем. Даже в том случае, если персональные данные предоставляются публично с разрешения и согласия субъекта данных, это не означает, что любой другой контролер, имеющий доступ к персональным данным, может свободно обрабатывать их самостоятельно для своих целей — он должен иметь собственное правовое основание.
Судебная практика
27 июня 2017 года Большая палата Европейского суда по правам человека вынесла решение по делу Satakunnan Markkinapörssi Oy и Satamedia Oy против Финляндии, которым признала незаконным сбор и публикацию публичной информации о налогах 1 200 000 жителей Финляндии в СМИ и мессенджере.
25 марта 2019 года Польский орган по защите данных оштрафовал компанию Bisnode на сумму около EUR 230 415 за нарушение ст. 14 GDPR при сборе и агрегации персональных данных более 7 500 000 субъектов из общедоступных документов и реестров, которые компания в дальнейшем предлагала своим клиентам в рамках предоставления услуг проверки компаний.
Каждый новый контролер собранных из публичных источников данных обязан выполнять все обязанности контролера по GDPR: иметь законное основание для обработки (например, согласие) и предоставить полную информацию субъекту о себе и обработке до начала обработки.
Появившиеся в сети персональные данные пользователей трех соцсетей никак не подпадают под определение легальных датасетов, ведь нарушены все принципы GDPR, ст.ст. 6, 14, 25 GDPR.
В данный момент, субъекты состоят в правоотношениях обработки их данных с новыми контролерами, о которых никогда не слышали и у которых нет правового основания на обработку в форме публикации или продажи персональных данных.
Опубликованные данные можно будет назвать «легальным датасетом» только тогда, когда им не будут нарушаться права и интересы субъектов, а также принципы и нормы GDPR.
Какие нарушения приватности были допущены?
Обратите внимание, помимо того, что случившиеся инциденты нарушили политики и правила самих соцсетей, нарушили принципы и правила GDPR, являются нарушениями безопасности персональных данных, они также повлекли многочисленные нарушения приватности, согласно таксономии нарушений приватности Даниэля Солове.
Ввиду необеспечения необходимого уровня безопасности данных соцсетями Facebook, LinkedIn и Clubhouse, произошли такие нарушения приватности как агрегация, вторичное использование, небезопасное использование, раскрытие и повышение доступности. Также есть угроза вторжения, вмешательства, слежки, шантажа, присвоения личности и прочих нарушений в отношении миллионов пользователей этих соцсетей.
Что ж, утечки происходят. Говорят, они неизбежны, поскольку и технологии, и люди не совершенны.
Но вот отрицать суть произошедшего, избегать своей ответственности, скрывать возможные риски и последствия от своих пользователей, затягивать с уведомлением субъектов и надзорных органов – не просто недобросовестно по отношению к пользователям, но и чревато проверками и максимальными штрафами для этих компаний.
Не говоря уже о том, что субъекты персональных данных, лишенные информации, не в состоянии предпринять превентивные меры по защите своей приватности или сделать выводы об отношении этих соцсетей к покою, границам и безопасности своих пользователей.
Ну и почему вы взяли _авторский_ (т.е. сделанный мной) материал (скриншот) из моего телеграм канала, замазали его (канала) название, попытались точно также замазать вотермарк на скриншоте?
И с остальными каналами поступили точно так же.
Ашот, ждем вашего решения, чтобы уладить этот вопрос.
Ашот, вы хотите, чтобы мы раскрыли ваше авторство и вотермарк? Мы не были уверены, что авторы пожелают раскрываться, более того, времени на согласование скриншотов не было. Но если вы настаиваете, то мы ваш скриншот укажем в оригинале (если еще возможно).
Когда утечки у FB нет, а class action уже есть: «Facebook users whose data was compromised by a massive data leak are being urged to take legal action against the tech giant.
A digital privacy group is preparing to take a case to the Irish courts on behalf of EU citizens affected.
DRI said individual users who take part in the legal action could be offered compensation of up to €12,000 (£10,445) if it is successful - based on what it says are similar cases in other countries.»
@Bbc news