Хабрахабр

[Из песочницы] Проблемы доступа к персональным данным от лица всех участников процесса

Приветствую дорогие хабровчане.

Лирическое отступление

На каждый ресурс я использую уникальный пароль, конечно, как у многих опытных пользователей этот пароль имеет общий корень, но всё же он не является примитивным.
Как пользователь одного из «высокоразвитых» ресурсов рунета, я обнаружил довольно распространённую картину в админке своего профиля: от моего имени рассылался спам.
Для меня это стало некоторым сигналом, так как за то время (активный пользователь интернет ресурсов с 1999-го) пока я использовал способы доступа к своим ресурсам в виде логина и пароля, у меня не было ни одного (по крайней мере зарегистрированного) случая взлома или утечки таких данных.

История о том как простой пользователь начал принимать меры

Лирическое отступление

По поводу кражи паролей с устройств существуют тысячи статей и столько же способов, но учитывая что пароль является уникальным, для меня это не стало сигналом к смене остальных, только создало тревогу и желание узнать, каким образом я утратил конфиденциальность пароля.

Первым делом я решил что одно из моих устройств может быть зомбировано. Так как я почти не использую VPN, а тем более в случае с этим ресурсом, то для проверки я решил сравнить логи доступа со своими данными. После непродолжительного поиска я выявил, что ресурс не обладает программной функцией для доступа пользователя к такой информации. Соответственно я написал в поддержку о просьбе предоставить мне эту информацию:

Нужно узнать с какого девайса это происходило, чтобы попытаться определить как злоумышленники получили пароль от моего аккаунта. Приветствую, я обнаружил что с моей учётной записи рассылаются спам-сообщения. Можно получить информацию о фактах доступа к моему профилю?

На что получил ответ:

Агент поддержки:
Здравствуйте, Пользователь.

Инструменты, с помощью которого был осуществлен взлом, нам неизвестны. Мы заметили признаки взлома в вашем профиле.

Как мы видим, вы уже изменили пароль от своего Личного кабинета, при этом рекомендуем изменить пароль и от электронной почты.

После входа в профиль проверьте, правильно ли указаны ваши имя, номер телефона и город в разделе Настройки (https://www.сервис.ru/profile/settings).

Как защитить профиль от взлома, можно прочитать здесь: (https://support.сервис.ru/articles/...)
Хорошего настроения и успешных сделок на Сервисе.

Как вы видите, на мой вопрос конкретного ответа не последовало, а последователи дружеские рекомендации. Что же, пришлось написать повторно:

Мне интересно, может это быть зомбирование одного из моих устройств? Спасибо за ответ, а ай-пи адреса или какие-то логи возможно увидеть?

И тут я получаю традиционный отказ:

Агент поддержки
Пользователь, мы не раскрываем детали, чтобы эту информацию нельзя было использовать во вред сервису и пользователям.
Надеемся на ваше понимание.

О том, как наше государство определяет термин персональные данные вы можете почитать в Федеральном законе, либо в этих постах: Что дает обычному человеку Федеральный Закон №152 О персональных данных?
Например, пост Как рядовой пользователь воевал за соблюдение закона «О персональных данных» содержит обычную просьбу об удалении персональных данных, которую нерадивые владельцы выполнили с трудом, после томительного прочтения закона «О персональных данных». Но как быть с потерями времени на решения этих вопросов, если «упрямый» оператор отказывается предоставлять данные субъекту? Безусловно, точно так же от моего лица мог сделать запрос и злоумышленник, поэтому ожидать мгновенной отдачи от оператора не стоит. В этом смысле такие поступки со стороны операторов являются более надёжным способом сохранить данные пользователя, тем более если аккаунт был взломан.
Настойчиво и вероятно довольно назойливо я пытаюсь надавить на сотрудника компании и выдаю следующее:

Во многих добропорядочных сервисах передача такой информации допустима и бывает находится в открытом для пользователя доступе.

К тому же, я спрашиваю информацию о злоумышленнике, так кто же получается использует эту информацию во вред?

В данном контексте я не являюсь третьим лицом и имею полное право потребовать от вас эту информацию на основании ваших же правил. Вы утаиваете информацию, которую от вас запрашивает пользователь, его персональную, потому что это «мой» аккаунт на вашем сервисе. Точно так же как вы требуете данные от своих пользователей.

Спасибо, надеюсь на понимание.

Конечно же, никто мне её «тут же» не предоставил и сотрудник даёт отработанный ответ:

Агент поддержки
Здравствуйте, Пользователь.

Мы можем предоставить ее только по официальному запросу уполномоченных государственных органов. Данная информация является закрытой.

Как Сервис обрабатывает и защищает данные пользователей, можно узнать из раздела №4 условий использования Сервис и политики в области обработки и безопасности данных пользователей Сервиса: (https://support.сервис.ru/articles/...) и (https://www.сервис.ru/safety/personal/company).

Вы можете обратиться за подробным разъяснением закона к специалистам в сфере права. Также мы выполняем требования федерального закона «О персональных данных» от 27 июля 2006 года. Служба поддержки Сервиса не консультирует по юридическим вопросам.

Желаем вам теплой осени!

Ну всё, тут я уже сижу в тёплых штанах, на тёплом стуле.

Что же, история продолжается:

Приветствую, Агент поддержки.

Данная информация является закрытой для меня, только если я так решу или мне ограничат доступ в соответствии с законом.

Ознакомьтесь самостоятельно с правами субъекта персональных данных.

07. Федеральный закон от 27. Право субъекта персональных данных на доступ к его персональным данным.
– Я вправе запросить любую информацию связанную с моими персональными данными.
– Вы нарушаете мои права пользователя.
– Вы собираете техническую информацию о моих устройствах, анализируете её и зарабатываете на этом. 2006 №152 ФЗ Статья 14.

Пользы для меня за годы эксплуатации вы принесли настолько мало, насколько это возможно в таких сервисах.
Если вы предоставите мне информацию в неудобном для меня виде или не систематизированном, я запрошу полную выгрузку информации для анализа. Я в свою очередь пользуюсь вашим сервисом, считайте работаю для вас.

Если вы планируете мне отказать повторно, предоставляйте доказательства.
Если вы не занимаетесь юридическими вопросами, направляйте к тем, кто занимается.
Спасибо за тёплую осень.

Тут в дело вступает персональный ассистент «разбушевавшегося» пользователя:

Агент поддержки

Добрый день.

Меня зовут Даниил, я специалист по работе с претензиями.

По результату проверки обязательно вернусь к вам с ответом. По вашей ситуации проверяю информацию дополнительно.

Спустя несколько часов он выдаёт следующее:

Агент поддержки
Здравствуйте.

Спасибо за ожидание: на ознакомление с ситуацией потребовалось время.

Безопасность ваших учетных данных имеет для нас высокий приоритет — все коммуникации с Сервисом проходят по защищенным каналам связи.

При этом нам необходима и помощь пользователей — мы всегда советуем:

Если вы все-таки зашли на сайт, где требуют ввести ваши логин и пароль, сразу закрывайте вкладку. 1) не сообщать никому свой пароль (даже нам);
2) надежный пароль включает в себя буквы, цифры, длина его составляет не менее 8 символов — так его будет сложно угадать посторонним, рекомендую менять пароль каждые 2-3 месяца.
3) регулярно проверять все устройства, с которых заходите в Интернет, на вирусы;
4) не переходить по подозрительным ссылкам.

Вместе с тем для предоставления подобных сведений нам требуются правовые основания. За защитой своих прав вы можете обратиться в контролирующие органы, со своей стороны мы готовы оказать содействие в решении этого вопроса. Это может быть запрос от сотрудников правоохранительных / судебных органов, либо от вашего адвоката.

У нас есть процедура, когда по официальному запросу (его могут отправить не только сотрудники правоохранительных / судебных органов, но и ваш адвокат) мы сообщаем ту или иную информацию.

Если это будет письмо от вашего представителя, то ему следует дополнительно предоставить скан-копию адвокатского удостоверения. Для получения таких сведений им необходимо направить в наш адрес официальный запрос на бланке организации с печатью и подписью уполномоченного лица, а также контактными данными исполнителя, по которым можно будет связаться в случае возникновения дополнительных вопросов, и номером факса организации (отправка ответа на запрос по электронной почте не предусмотрена).

по адресу: 123456, г. Сканированную копию запроса нужно обязательно отправить на электронную почту compliance@сервис.ru, оригинал запроса — почтой России в юридический отдел ООО «Сервис» на имя Руководителя отдела по работе с запросами Руководитель С.З. 1 Москва, ул.Улица, д.

Если вам понадобится помощь с Сервисом, пишите, мы всегда открыты к диалогу. Верю, что в дальнейшем вы не столкнетесь с подобными ситуациями.

И тут я пошёл открывать законы и тратить своё время, и «портить себе глаза»:

Спасибо за подробный ответ.

Могу предположить, что вы не заинтересованы в этом, вместо того чтобы защищать мои права, вы их узурпируете. Я понимаю вашу заинтересованность в защите клиентов, а так же вижу нежелание распространять закрытую для обычных пользователей информацию. Каков может быть риск, обычный это пользователь или известный блогер, будет ли он рассматривать информацию в поисках нарушения своих прав, или просто отстаивает свой интерес?

У меня за всю историю использования паролей (просто поверьте, что я внимательно отношусь к безопасности) ещё не было ни одного взлома или утечки пароля (по крайней мере зафиксированного). Скажу вам причину, почему я так заинтересован в решении этого вопроса. Поэтому мне важно узнать информацию об этом инциденте, желательно чтобы она была полная и без изменений (Часть 5 ст. В вашей системе отсутствует оповещение о входе с нового устройства, для клиента не ведётся открытый лог, как это делается в некоторых системах. 11 КоАП РФ). 13.

Если вам требуются правовые основания, то вот они: Для защиты моих прав законом не требуется обращаться в контролирующие органы.

07. Федеральный закон от 27. Право субъекта персональных данных на доступ к его персональным данным. 2006 №152 ФЗ Статья 14.

Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, а также принимать предусмотренные законом меры по защите своих прав.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных: Паспорт Выдан ТП№ отдела УФМС России по и области в районе; сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором: номер пользователя такой то, далее, как видите, я пользуюсь вашим сайтом, а согласно вашим правилам, это означает моё согласие с пользовательским соглашением. Сведения предоставляются субъекту персональных данных оператором при обращении. После заключения дополнительных соглашений я прикреплю электронную цифровую подпись, потому что этого достаточно для того, чтобы отправить вам запрос в цифровом виде.

Если вы нарушаете закон, значит должны нести ответственность за нарушение закона о персональных данных. Мои права защищает закон. Бюрократию оставьте при себе.
Вам лучше выполнить мою просьбу, так как вам уже фактически приписана Статья 5. Мне не обязательно прибегать к помощи адвоката, потому что меня совершенно не интересует ваша процедура. Время идёт, если подождать три недели и реакции не будет, вы попадёте под невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных Часть 4 ст. 39 КоАП РФ.
Имейте ввиду, что вам следует аккуратно относится к нашей переписке. 11 КоАП РФ. 13.

Спасибо. Надеюсь на вашу веру, что мне не придётся в этот раз столкнутся с подобной ситуацией.
Жду вашего решения.

От этого только интереснее, правда? p.s сочувствую вам как сотруднику компании, если вы пойдёте у меня на поводу это не пойдёт на пользу вашей карьере, но чем дальше мы заходим, тем выше ставки.

В данный момент я уверенно иду по пути, который описывал трудолюбивый товарищ в этой статье: Механизм реализации своих законных прав владельцами персональных данных
Война пользователей и операторов за обладание персональными данными идёт уже много лет.
Согласно паспорту правительственной программы «Цифровая экономика» (подробности в этой статье), на стороне российских пользователей скоро будет установлена тяжёлая артиллерия в виде простого и эффективного способа доступа к персональным данным без лишней бюрократии.

В ходе рассмотрения изменения в закон «Об информации, информационных технологиях и о защите информации». В наше время стал актуален вопрос о «защите больших данных», который больше похож на национализацию сильнейшего ресурса. Более подробно можно почитать в этой публикации.

Все участники процесса

Со стороны пользователя всё выглядит именно так, почти никто не знает своих прав и как их защищать. Но лично мне интересно посмотреть на это глазами других участников.

Какие программы защиты от подобных запросов существуют у крупных компаний и на сколько вероятно, что мой случай течёт по отработанной схеме, где меня будут «топить» в бюрократии? Что делает оператор, на какие средства он готов идти, будет ли он применять меры к назойливому пользователю и как часто он сталкивается с такими запросами? И возможно ли использовать? На сколько ценна та информация, которую запрашивает пользователь в данном случае и может ли содержаться в ней информация, которую возможно использовать против оператора?

Есть ли разница между малоизвестным и крупным ресурсом? Если писать жалобу Роскомнадзору, как он заинтересован в выполнении таких жалоб, на сколько они ценные для него?

Извините, если вопросы окажутся частыми (дайте ссылок на рассмотрение). Интересно мнение экспертов в этой области. Спасибо что обратили внимание.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть