Все побежали, и я побежал: колонка будет про недавний инцидент с "Яндексом", который "слил данные пользователей" и все такое. Ну, вы знаете.
Кто виноват и что делать?
Вообще-то говоря, бойан этот ваш "Яндекс". То, что правильно сформулированным запросом можно найти что-нибудь интересное, но для публикации не предназначенное – это секрет Полишинеля. Одна из первых статей на эту тему, которую я читал, называлась "
А если вы внимательно посмотрите на предыдущую ссылку, то можете узнать о моем браузере и операционной системе: эти сведения содержатся в URLе поискового запроса. Для того, чтобы их удалить без прекращения работоспособности ссылки, нужно представлять, хотя бы примерно, как она формируется. Впрочем, это знаю даже я, гуманитарий, а подавляющее большинство читатетелей "Вебпланеты" – знают и подавно. И, надеюсь, представляют, что в такую ссылку может попасть и еще какая-нибудь информация, в том числе приватная...
Кстати, самый мой большой эпикфейл в этой области случился лет семь назад, когда пароль к одной из моих почтовых рассылок попал на скриншот, иллюстрирующий обзор почтовых клиентов. Скриншот ушел в редакцию журнала, для которого я эту статью писал, и был благополучно опубликован тиражом в пятьдесят тысяч экземпляров. Но это простительно мне, гуманитарию. А вот тем, кто настраивал злополучные сайты, надо бы прописать базовый курс информационной безопасности. Принудительно...
С другой стороны, работа крупнейших поисковиков может служить хорошей иллюстрацией к диалектическому закону перехода количества в качество: полнота индексации в них, а также нетривиальные ее способы, позволяют получать в поисковой выдаче страницы, которые при иных обстоятельствах никто никогда бы не увидел. Правильно сформулированный поисковый запрос становится потихоньку таким же способом доступа к информации, как и ввод URLа в поисковую строку.
В общем, случай с мегафоновскими эсэмэсками стал еще одним поводом поспорить о том, не стало ли наше "зеркало Рунета" приобретать черты телевизора. И наиболее часто в этом споре звучит утверждение о том, что "Яндекс"-де нарушил закон "О персональных данных". Вот об этом мы сейчас и поговорим.
Тем более что совсем недавно Президент подписал
Пересмотр закона о ПД
Да и с самим проектом тоже был связан скандал: изначально в него были включены изменения, вносящие значительные послабления в режим защиты персональных данных. Обязательные требования устанавливались только для государственных и муниципальных учреждений. В остальном – оператору персональных данных предоставлялось право самому определять, как он эти данные будет защищать, выбор средств защиты должен был определяться тем, какие последствия может повлечь утечка данных.
Но в процессе принятия закона вмешалась ФСБ, после чего вся либеральщина из него куда-то делась: во втором чтении рассматривали уже другой вариант текста. Несколько экспертов в области защиты данных попытались как-то повлиять на Президента при помощи "открытого письма", но усилия их были тщетны: сейчас проект уже вступил в силу.
Положительные нововведения в нем все же есть: например, более четко определена сфера его действия.
Новая редакция вносит ясность в этот вопрос, раскрывая понятие "средств автоматизации" – это обработка данных, которая "позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным".
То есть, теперь закон в явной форме распространен на "систематизированные собрания". Это очень важно потому что бытует мнение, будто под его действие попадает чуть ли не любое упоминание чужой фамилии. Теперь для носителей такого мнения должно стать ясно, что они неправы.
Вдобавок, в законе расширен перечень оснований для обработки данных без согласия тех лиц, к которым эти данные относятся. В число таких оснований включено, например, "достижение общественных интересов", под которыми можно понимать довольно многое. Например, "черные списки" с информацией о недобросовестных работниках, водителях-идиотах и тому подобных социальных группах наших граждан.
"Яндекс" и чужие SMS
Ну, а теперь – давайте наложим закон о ПД на ситуацию с "Яндексом", который сует свой нос куда попало, и посмотрим, что же ему за это будет.
Прежде всего напомню, что к ответственности нарушителя можно привлечь только при наличии его вины. Исключение – это
Кроме того, стоит вспомнить еще одну статью-отмазку, которую должен знать каждый, кто владеет хотя бы одним сайтом. Это –
Вдобавок, новая редакция статьи 18 закона "О персональных данных" освобождает лицо, занимающееся обработкой ПД от необходимости извещать об этом лицо, чьи данные обрабатываются, в случаях, когда они получены "из общедоступного источника". Именно такая ситуация имеет место здесь, и общедоступной эту информацию сделал вовсе не "Яндекс"...
И не имеет значения даже то, как поисковик нашел и проиндексировал "приватные" страницы. Под "общедоступной" в законодательстве традиционно понимается информация, с которой может быть ознакомлено неопределенное количество лиц. То, насколько сложный URL эти лица должны набрать, и каким образом они могут узнать о странице, законодательство совершенно не учитывает. Поэтому претензии Роскомнадзора, главного контролирующего органа в области защиты персональных данных,
Вдобавок, сильно ограничены и возможности Роскомнадзора по контролю поисковиков с целью превентивного недопущения попадания в их кэш персональных данных. В свое время я описывал историю с его судебным иском к владельцам сайта "Всероссийское генеалогическое древо". Там, как вы помните, в суде выяснилось, что Роскомнадзор просто не может защищать права неопределенного количества лиц, поскольку персональные данные – это то, что по определению относится к конкретному человеку.
Так что шансы признать "Яндекс" "оператором персональных данных", о которых он даже не знает, либо привлечь к какой-либо ответственности – весьма призрачные.