Безопасное общение в интернете: как защитить себя? Спрашиваем у юриста
В эпоху, когда все привыкли общаться, знакомиться, делать покупки в интернете, нетрудно забыть про элементарную безопасность: написать незнакомцу свой номер телефона, сообщить адрес, чтобы получить цветы, или отправить фотографию паспорта для покупки билетов в отпуск. Как избежать рисков, каким образом защитить персональные данные и для чего это нужно делать — спросили у бизнес-юриста, специалиста по коммуникациям, управляющего партнера и руководителя корпоративной практики компании Key Consulting Group Анастасии Кучерены.
— Что такое персональные данные?
В Федеральном законе «О персональных данных» под этим понятием подразумевается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Федеральный Закон «О персональных данных», Статья 3 «Основные понятия»
Чтобы понять, что именно попадает под определение персональных данных, нужно задать один вопрос: «Можно ли через эту информацию определить конкретное лицо, которому она принадлежит?». То есть персональными данными будут ваши фамилия, имя и отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, сведения о вашем образовании, профессии, доходах и другие (например, данные паспорта или номер ИНН). Все это так или иначе связано с частной жизнью, неприкосновенность которой — неотъемлемое право каждого человека, гарантируемое Статьей 23 Конституции РФ.
Использование этих данных называется обработкой. Любое действие с такой информацией — сбор, запись, хранение, передача, то есть распространение и предоставление доступа, систематизация и оборот — в соответствии с Статьей 6 Закона «О персональных данных» должно осуществляться только с нашего согласия.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Федеральный Закон «О персональных данных», Статья 3 «Основные понятия»
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Федеральный Закон «О персональных данных», Статья 6 «Условия обработки персональных данных»
— Где следует быть осторожнее, пользуясь интернетом?
Личная переписка
Цифровое пространство изменяет наше восприятие собеседника: у нас нет реальной точки опоры на опыт живого диалога, поэтому некоторые из вопросов не кажутся резкими и нарушающими личные границы.
Например, у вас могут спросить адрес, чтобы прислать цветы или доставить подарок курьером. Эта просьба на первый взгляд безобидна и может польстить, но впоследствии лишает вас безопасного ощущения даже в пределах дома. Особенно это актуально, когда знакомство по итогу ограничилось одной встречей, после которой вы решили не продолжать общение.
То же самое касается номера телефона: человек может предложить отправить вам денежный подарок. Большинство людей недооценивает номер как ценный ресурс, хотя на него у вас наверняка привязаны почти все социальные сети, почтовый адрес и даже Госуслуги. Получить через него доступ, с одной стороны, практически невозможно, но как минимум найти другие непубличные страницы или способы для связи, которыми вы вряд ли хотели делиться, просто.
Вместо звонка отдайте предпочтение мессенджерам. Их функционал позволяет сохранять контактные данные в тайне и спокойно созваниваться в том числе по видео без риска. В конце концов, вы можете настроить приватность так, чтобы новые знакомые не видели ваш номер в первое время.
Еще одна возможная ситуация — получение паспортных данных, чтобы купить билеты на отдых. Последствия от предвкушения отпуска на берегу моря по итогу могут обернуться неожиданным микрозаймом или еще чем похуже.
Публичная деятельность в социальных сетях
Коммуникация с подписчиками — тоже своеобразный диалог. Правда, в этом случае ваше сообщение направлено не к одному конкретному человеку, а сразу ко всем, у кого есть доступ в ваш профиль. Это не только подписчики, но и все те, кто может случайно (или нет) наткнуться на вас.
Снизить этот риск стороннего наблюдателя помогает функция закрытого профиля, благодаря которой вы заметите новых людей. Тем не менее, даже в закрытом аккаунте публиковать фотографию паспорта или указывать в комментариях точный адрес проживания — не лучшая идея.
Персональные данные, которые не нужно сообщать незнакомцам или публиковать в социальных сетях:
- номер телефона
- дата рождения
- место жительства
- адрес электронной почты
- фотографии проездных билетов, где видна информация о вас
- данные паспорта или водительского удостоверения
- номер ИНН
- платежные данные и сведения о доходах
— Если даже называть имя или рассказывать о своей жизни опасно, то как вообще пользоваться социальными сетями без страха?
Несомненно, синоним абсолютной безопасности в интернете — полная анонимность и тотальное игнорирование этого инструмента. Но предлагать вам удалить все социальные сети и выкинуть телефон никто не собирается. Во-первых, такие радикальные меры тоже нужно принимать правильно: вы вряд ли когда-нибудь сможете полностью удалить свой цифровой след. Во-вторых, вместе с киберпреступностью развивается и законодательная база, стремящаяся обеспечить пользователей всеми необходимыми инструментами для комфортного общения в социальных сетях.
Существует ряд нормативно-правовых документов, направленных на то, чтобы ваше пребывание в интернет-пространстве было под максимальной защитой со стороны государства. Среди них как внутренние документы соцсетей, так и федеральные законы. И то, и другое охраняет ваши данные.
— Зачем сайты просят меня дать согласие на обработку персональных данных?
Прежде давайте разберемся с тем, что такое конфиденциальность. Конфиденциальными данными называется вся та информация, которую компания не может раскрыть без того самого «Согласия на обработку персональных данных». Таким образом, данные находятся под охраной закона. Например, такое соглашение компания получает, когда мы заполняем регистрационную анкету. Это нужно для того, чтобы та информация, которую мы указываем во время создания аккаунта — имя, номер телефона, электронная почта и так далее, — могли использоваться для верификации личности или настроек рекламы.
Многие думают, что все данные, указанные в социальных сетях, являются общедоступными и компания, получившая согласие, может делать с этой информацией что угодно. В действительности это не так. У любой политики конфиденциальности есть цель обработки персональных данных, которую реализует компания. Например, у VK это обеспечение надлежащей защиты информации о пользователях, в том числе их персональных данных, от несанкционированного доступа и разглашения. Следовательно, ничего, кроме того, что указано в целях, компания делать не будет.
Если вдруг при чтении пользовательского соглашения вы видите, что в целях обработки персональных данных указаны какие-то общие слова, прямо не соответствующие вашему пониманию реальной цели предоставления данных, лучше откажитесь от регистрации на этом ресурсе. Чем лучше и четче составлена политика приватности, тем выше уровень ответственности, которую на себя берет ресурс.
Политика конфидециальности — это специальный документ, в котором раскрываются некоторые или все причины сбора персональных данных, способы, с помощью которых сайт или приложение собирает, использует и раскрывает персональные данные (личную информацию) посетителей сайта.
Кроме политики конфиденциальности обращайте внимание на способы осуществления хранения, использования, раскрытия и передачи персональных данных, то есть обработки. В социальных сетях, давно существующих на рынке, в этих пунктах нет ничего лишнего — поэтому они и существуют так долго. Но на всякий случай лучше прочитать.
Если вы уже дали пользовательское соглашение сомнительному сайту, то в этом нет ничего критичного — согласие на использование данных можно отозвать. В соответствии со Статьей 9 Закона «О персональных данных» это можно сделать в любое время, после чего оператор (лицо, которому дано разрешение использовать персональные данные) обязан прекратить их обработку. Более того, такое заявление об отзыве составляется в свободной форме, без указания причины, и его возможно подать в электронной форме.
Еще существуют файлы cookie. С их помощью сайт запоминает информацию о ваших посещениях. Это упрощает взаимодействие с сайтом и делает его полезнее для вас. Но их существенный недостаток — низкий уровень безопасности, так что не соглашайтесь на все, для работы большинства сайтов нужно всего 2-3 обязательных пункта. Есть и другие технологии, включая уникальные идентификаторы (они нужны, чтобы различать браузеры, приложения или устройства), пиксели и локальное хранилище.
— Какие еще законы действуют в сфере личной безопасности в интернете?
Кроме Конституции и Закона «О персональных данных» существует Закон «Об информации, информационных технологиях и о защите информации», который регламентирует порядок ведения специального реестра нарушителей. Он появился в результате усиления ответственности операторов за нарушение правил хранения персональных данных.
Реестр нарушителей прав субъектов персональных данных — это автоматизированная система, ограничивающая доступ к информации в интернете, которая обрабатывается с нарушением законодательства в области персональных данных. Простыми словами, это специальная база, в которую попадают все те, кто нарушил закон во время обработки личной информации, которую им доверил пользователь.
Неправомерное использование персональных данных считается в РФ административным нарушением и наказывается в соответствии со Статьей 13.11 Кодекса Российской Федерации об административных правонарушениях. Среди проступков нарушение законодательства Российской Федерации в области персональных данных. Здесь же нарушение политики конфиденциальности.
Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, — влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от шестидесяти тысяч до ста тысяч рублей.
Кодекс Российской Федерации об административных правонарушениях, Статья 13.11 «Нарушение законодательства Российской Федерации в области персональных данных»
Также важно отметить подзаконное нормотворчество — приказы Роскомнадзора, отвечающего за контроль и надзор за соблюдением законодательства о персональных данных их операторами.
Из последних и важных:
Приказ №179 «Об утверждении Требований к подтверждению уничтожения персональных данных», обязывающий составлять акт об уничтожении персональных данных, в случае, если их обработка осуществляется без автоматизированных средств.
Приказ №187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных». Под инцидентом понимается любой факт, результатом которого стала неправомерная передача ваших персональных данных. Компании обязаны направить в Роскомнадзор первичное и дополнительное уведомление. Первичное уведомление должно содержать сведения о произошедшем инциденте, предполагаемых причинах, последствиях для человека, а также принятые меры по устранению вреда. Дополнительное уведомление должно содержать сведения о результатах внутреннего расследования инцидента с указанием виновных лиц в случае, если в ходе расследования их нашли.
Отдельная категория правонарушений, связанных с персональными данными, — киберпреступления. Они влекут за собой уголовную ответственность в соответствии с Уголовным кодексом Российской Федерации. Самыми популярными в нашей стране киберпреступлениями считается получение незаконного доступа к компьютерной информации (Статья 272), создание, использование и распространение вредоносных компьютерных программ (Статья 273) и мошеннические действия, совершенные с использованием электронных средств платежа (Статья 159.3).
— Что делать если мои данные украли и слили в интернет?
По данным InfoWatch, Россия занимает второе место в мире по объемам утечек данных в сети. Если вы в числе пострадавших, то с юридической точки зрения возможны следующие способы защиты:
- Сообщить в полицию. Особенно если после утечки вам начали поступать угрозы и сообщения с шантажом.
- Подать жалобу в Роскомнадзор о нарушении законодательства. Можно сделать это онлайн.
- Обратиться в суд. Компания, которая допустила утечку, несет ответственность за безопасность ваших персональных данных, поэтому вы имеете полное право обратиться с требованием о компенсации морального вреда и внесении компании в Реестр нарушителей прав субъектов персональных данных.
Универсальной схемы шагов по защите прав при утечке персональных данных нет. Каждая ситуация требует детального изучения и анализа характера информации, возможностей установления виновного лица (в том числе организации), определения действий, сопряженных с похищением персональных данных. Только при учете всех этих обстоятельств возможно выстроить стратегию защиты.
Список законов и нормативных правовых актов, на которые вы можете ссылаться при защите своих персональных данных:
Нормативные документы
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
- Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
- Федеральный закон от 7 мая 2013 г. № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием федерального закона «О ратификации Конвенции Совета Европы О защите физических лиц при автоматизированной обработке персональных данных» и федерального закона «О персональных данных».
- Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
- Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ.
- Общее положение о защите данных (ЕС) 2016/679 (GDPR)
Ведомственные акты
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
- Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
- Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
- Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных».
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России 15 февраля 2008 г.).
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Федеральной службой по техническому и экспортному контролю 14 февраля 2008 г.
Постановления Правительства РФ
- Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
- Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
- Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
- Постановление Правительства от 19 августа 2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных»
Разъяснения
- Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки».
- Рекомендации по составлению политики обработки персональных данных (опубликованы на сайте Роскомнадзора).
- Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
- Приказ Роскомнадзора от 22 июля 2015 г. № 85 «Об утверждении формы заявлений субъектов персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных».
- Приказ Роскомнадзора от 22 июля 2015 г. № 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи».
Параллельно возникает вопрос защиты от кибербуллинга, запугивания и оскорблений в социальных сетях. Важно обозначить, что данные действия не относятся напрямую к защите персональных данных. Правильнее сказать, что это вытекающие последствия от их получения злоумышленниками. Любой закон выполняет превентивную функцию, то есть предупреждает о наличии санкций за, например, оскорбления. Кроме административной ответственности, возможно подать иск в суд о защите чести, достоинства и деловой репутации, включающий требования об удалении, опровержении порочащей информации, компенсации морального вреда и возмещения убытков.
— А если человек узнал мои данные через телеграм-боты или другие сторонние сервисы?
Поиск информации о человеке через телеграм-боты не является нарушением закона. Но определенные действия и само существование таких телеграм-ботов нелегально.
Так, в июле 2021 года Таганский районный суд г. Москвы признал деятельность телеграм-бота «Глаз Бога», а также распространение информации, полученной через этот канал, незаконными и нарушающими права граждан. На основании решения суда его включили в Реестр нарушителей прав субъектов персональных данных. Это позволило создать дополнительный уровень ответственности за использование полученных незаконным путем персональных данных: нарушителем будет не только распространитель информации, но и пользователь.
Одна из самых серьезных проблем, с которой можно столкнуться из-за «слитых» данных, — сталкинг. В нашем законодательстве не предусмотрен состав преступления «за сталкинг», но ответственность за отдельное деяние, входящее в данное понятие, есть.
Например, если сталкер разместил информацию, содержащую заведомо ложные сведения, порочащие честь, достоинство или подрывающие репутацию, вы можете обратиться в полицию с заявлением о клевете. В случае получения угроз об убийстве или причинении тяжкого вреда здоровью и при наличии оснований опасаться их осуществления вы аналогичным образом можете обратиться в правоохранительные органы. Если сталкер взломал страницы в соцсетях, электронную почту, его можно привлечь к ответственности за нарушение тайны переписки и телефонных переговоров.
Сталкинг (от англ. stalking — преследование) — нежелательное навязчивое внимание к одному человеку со стороны другого человека или группы людей.
Безусловно, отсутствие в правовом поле ответственности за преследование, то есть запретительного приказа (запрещающего определенные действия, например, приближаться), создает ряд проблем. Однако это не означает, что государство не сможет защитить вас в этом случае.
— Какие еще рекомендации вы можете дать?
Главная рекомендация — знайте свои права и не бойтесь их отстаивать. Законы в первую очередь создают для того, чтобы человек был в безопасности. Их незнание не лишает вас этой возможности.
Обращайте внимание на то, кому вы передаете свои персональные данные и зачем вы их отправляете. Не важно, общаетесь лично или публикуете пост в социальных сетях, ответственность за ваши действия лежит на вас.
И последнее — доверяйте себе. Если чувствуете нарушение личных границ в переписке и видите неуместные по вашему мнению вопросы, в документах нет ясности, компания запрашивает то, чем вы не хотите делиться, — лучше откажитесь от услуг и найдите альтернативу.
Статьи по теме
Подборка Buro 24/7