May 8th, 2018

В уанете обнаружили Telegram-бота, который выдает ФИО человека по номеру телефона – AIN.UA



Пользователи уанета обнаружили на просторах Telegram бота, который позволяет узнать личность человека по номеру его телефона. В описании бота сообщается, что в базе — более 30 млн украинских номеров. Источниками данных бота указаны Work.ua, Rabota.ua, а также данные из приложений на Android. Редакция AIN.UA проверила работу бота — и он безошибочно определил абонентов.

Бот выдает имя и фамилию владельца номера телефона. Чтобы получить такую информацию, достаточно ввести номер в формате 380ххххххххх и нажать ввод. Результат выдается мгновенно.

Примечательно, что бот позволяет беспрепятственно получить сведения только по трем номерам в день. Однако лимит снимается очень просто — бот просит пользователя о нехитрой услуге: предоставить ему новый контакт из вашей телефонной книги.

Кто разработал бота — выяснить не удалось. Его владельцем указан аккаунт @bot_creaters. Запрос AIN.UA люди, стоящие за этим аккаунтов, проигнорировали. Однако едва ли можно назвать этичным сбор данных пользователей, как и их распространение.

На Work.ua и Rabota.ua номера телефонов и ФИО украинцев часто доступны через базы резюме, как удалось получить сведения из Android-приложений — неизвестно. Кроме того, пользователи обнаружили, что их имена выдает с опечатками, допущенными при регистрации в конкретных украинских компаниях. Например, «Ярослав Андреевич» может быть записан как «Ярослава Андреевич». Как сообщил AIN.UA один из пользователей бота, похожую опечатку в его имени допустили в «ПриватБанке», из-за чего он предположил, что в распоряжении бота имеется скомпрометированная база банка. В «ПриватБанке» AIN.UA заявили, что в последние годы утечек не было.

Аналогичная функция ранее была доступна в Facebook — если ввести в строку поиска номер телефона, социальная сеть выдавала профиль его владельца. Это было возможно благодаря идентификации пользователей через Messenger, установленный на их смартфонах. Однако многие раскритиковали данную функцию, после чего Facebook ее деактивировала.


https://ain.ua/2018/05/07/bot-vydaet-fio-po-nomeru

ИБ: Зачем нужна Privacy Policy и что в ней меняет GDPR


Владислав Некрутенко

Недавно мы рассказывали о нашумевшем GDPR (General Data Protection Regulation) — общем регламенте по защите персональных данных, который вот-вот вступит в силу в ЕС и который придется соблюдать украинским предпринимателям, если они хотят вести бизнес с европейскими гражданами.

Юрист практики Juscutum Владислав Некрутенко в своей колонке рассказал о том, что на самом деле меняет GDPR, каким он должен быть и какую информацию должен раскрывать интернет-пользователям.

Наверное, каждый человек хоть раз давал согласие на обработку персональных данных при регистрации на веб-сайте. При этом указывается, что обработка будет осуществляться согласно «Политике Конфиденциальности» сайта. Что это значит?

За последние годы персональные данные стали эффективным экономическим активом. Их грамотное использование приносит компаниям коммерческое преимущество и прибыль.

С другой стороны, злоупотребление выгодой с персональных данных и незнание пользователей об этом приводят к государственным ограничениям в этой сфере. Поэтому законодательство развитых стран требует, чтобы компания:

  • в полной мере проинформировала пользователя о характере и деталях использования его данных;

  • после чего получила от него согласие на их сбор и обработку.

Нужна ли для этого политика конфиденциальности (Privacy Policy)? Определенно, так как это лучший способ информирования пользователей о сборе персональных данных на веб-сайте.

Privacy Policy – это внутренний документ, который устанавливает правила сбора и обработки персональных данных пользователей на определенном веб-ресурсе.

Пользователь должен ознакомиться с Privacy Policy во время первого визита на сайт либо при регистрации. Кроме того, этот документ размещается публично на сайте с постоянным доступом к нему. Прежде чем дать согласие на обработку данных, пользователь должен прочитать Privacy Policy (или хотя бы поставить галочку, что прочитал). На сегодня это одна из самых распространенных практик по информированию на веб-ресурсах.

Требования GDPR к информированию пользователя
Само требование оповестить пользователей веб-сайта об использовании их данных – не ново. Тем не менее, при его реализации возникают проблемы.

Можно часто встретить длинные версии Privacy Policy ресурсов, написанные на непонятном языке, которые описывают лишь отдельные аспекты обработки персональных данных. Такая политика не несет информационной функции для пользователей, а служит скорее формальным соблюдением законодательства. Соответственно, пользователь не в состоянии понять, на что он соглашается.

Из-за этого и других введений пользователя в заблуждение, Европейский союз принял новый акт по защите персональных данных — General Data Protection Regulation (GDPR). GDPR ставит требования по обработке персональных данных на территории Европейского союза. Кроме того, действие документа распространяется на компании вне ЕС, если те обрабатывают персональную информацию европейских граждан.

Основные нововведения – открытость и прозрачность сбора персональных данных, информированность субъекта, а также свобода согласия на их сбор и обработку. В связи с этим, GDPR ставит более высокие требования по объему и качеству информирования пользователей об обработке их данных.

Например, статья 12 GDPR обязывает предоставлять информацию об обработке персональных данных в четкой, краткой и доступной форме, простым и понятным для обычного человека языком. Это значит, что Privacy Policy не должна содержать сложных формулировок, юридического жаргона, запутанных и размытых понятий. Напротив, процесс использования должен описываться понятно и открыто. Так, чтобы обычный человек понимал, о чем он читает. Для этого подойдут конкретные примеры использования информации, а также снижение формальности текста.

Кроме формы политики конфиденциальности, GDPR значительно расширяет требования к содержимому Privacy Policy. Поскольку один из главных принципов обработки персональных данных — это открытость и прозрачность, то документ требует детального описания процесса.

В первую очередь, субъект персональных данных должен знать, кто собирает и обрабатывает его информацию. Необходимо указать название контролера, его контактные данные и контактные данные его представителя (если необходимо). Также указываются контакты уполномоченного в компании по защите данных (Data Protection Officer), если таковой есть.

Более того, GDPR обязует раскрывать всех третьих лиц, которым контролер передает данные пользователей. Это обязательно независимо от того, данные передаются для целей контролера (данные передаются на хранение или для email-рассылок) либо для целей третьих лиц.

На ясность информации влияет и четкое разграничение в Privacy Policy типов информации и целей ее сбора. В политике следует выделять каждый источник и основание для сбора данных. Например, отдельно указывать информацию, полученную при регистрации пользователя (для предоставления услуг), и отдельно – информацию его веб-активности (по согласию субъекта).

Такая же ситуация и с целями. Следует выделить все цели обработки, так как на каждую потребуется отдельное согласие субъекта. Для каждой цели должен быть установлен срок использования данных, по истечению которого они удаляются.

Важным аспектом выделяется профайлинг пользователей и обработка персональной информации искусственным интеллектом. О применении таких технологий и принципах их работы необходимо указывать в Privacy Policy.

Кроме вышеуказанного, GDPR делает акцент на правах субъектов персональных данных. Privacy Policy должна предоставлять информацию о правах пользователя на:

  • доступ к собранной о себе информации;

  • исправление, ограничение, удаление информации о себе;

  • запрет на дальнейшее использование данных и отмена согласия на это (если обработка основывается на согласии);

  • передачу всей информации о себе третьим лицам (Data Portability);

  • запрет профайлинга и принятия решений искусственным интеллектом по поводу себя (если это используется компанией);

  • подачу жалобы на компанию в государственный орган по защите персональных данных.

Кроме перечисления прав пользователей, компания обязана указать и механизм их реализации – как оформить запрос и куда его направить.

GDPR обязует каждую компанию защищать данные, которые она собрала. Отдельно Privacy Policy должна указывать технические и организационные меры по защите персональных данных. То, каким образом это делается, должно указываться в политике. Например, как выполняется требование GDPR «Privacy by design and by default» (шифрование данных, псевдонимизация и т. д.).

У требований по защите данных есть и обратная сторона медали: при передаче данных в другую страну необходимо указывать такую страну. Для передачи должно быть отдельное основание – достаточная законодательная база, корпоративные правила или их альтернативы (ст. 46 GDPR), о чем тоже указывается в политике.

Обширность и разнообразность требований показывает, что невозможно создать универсальную GDPR-политику, которая бы соответствовала всем требованиям законодательного акта. Для написания документа необходим индивидуальный подход, с учетом размеров компании, объема собираемых данных и множества других факторов. Основной принцип — полное информирование пользователей ресурса о действиях с их персональными данными. Только в таком случае Privacy Policy будет выполнять свою функцию и составлять элемент GDPR compliance компании.

https://ain.ua/2018/05/07/zachem-nuzhna-privacy-policy-i-chto-v-nej-menyaet-gdpr

Автор: Владислав Некрутенко, младший юрист Практики ТМТ Juscutum