Кейс: Получение методами социальной инженерии согласия объекта на сбор данных о нем

[ola]

Я выскажу мое мнение. А специалисты поправят меня, вероятно.

 

1. Совсем не только поиск в Яндексе. Есть среди открытых источников и такие, как "Одноклассники", комментарии в блогах, онлайновые базы данных, а также опрос (просто дружеская беседа) бывших учителей, партнеров, сослуживцев и соучеников господина Попова. Ведь эти источники не закрыты, а значит, они открытые.

 

2. ФЗ "О персональных данных", насколько я понимаю, исключений для Интернета не делает. Персональные данные либо есть, либо их нет, а откуда они взялись - из Яндекса или не из Яндекса, закон, по-моему, не оговаривает.

 

3. На конференции Online Information 2007 обсуждался вопрос "Гугл - Большой Брат?". Там как раз народ беспокоили вопросы, которые я отразил в двух первых пунктах. Я даже высказал там экспертное мнение и участники конференции его отметили положительно.

 

Пардон, но по-моему весь кейс высосан из пальца. Закон о защите персональных данных говорит лишь о персональных данных доверенных лицом какой-либо организации (например сообщение банку своих паспортных данных, годового дохода итп при взятии кредита). То же что и с государственной тайной - вы не можете ее разгласить, если официально ее вам не сообщили. Вот если бы ваш подопытный доверил бы вам лично и официально какие-то свои данные, то разглашать их вы бы имели право только по его санкции. В противном случае речь идет об информации которую вам никто не доверял, соответственно и разрешать/запрещать что-либо никто не должен.

 

На свободный поиск свободно размещенной в интернете информации это никак не распространяется.

Иначе под ограничения наложенные ФЗ подпадал бы и сбор вырезок из газет про какое-то лицо, и многое другое.

 

Иными словами - законодательно вас никто не ограничивает в поисках чего-либо по открытым источникам. ФЗ о защите данных тут ни при чем.

 

Вообще крайне рекомендуется обратиться за консультацией по этому поводу к специалистам по праву, т.к. толковать закон столь широко с юридической точки зрения - несколько странновато. Да и квалификация не позволяет - пусть разведчик ищет, а законы трактовать должен юрист.

[CI-KP]

Пардон, но по-моему весь кейс высосан из пальца. Закон о защите персональных данных говорит лишь о персональных данных доверенных лицом какой-либо организации (например сообщение банку своих паспортных данных, годового дохода итп при взятии кредита). То же что и с государственной тайной - вы не можете ее разгласить, если официально ее вам не сообщили. Вот если бы ваш подопытный доверил бы вам лично и официально какие-то свои данные, то разглашать их вы бы имели право только по его санкции. В противном случае речь идет об информации которую вам никто не доверял, соответственно и разрешать/запрещать что-либо никто не должен.

 

На свободный поиск свободно размещенной в интернете информации это никак не распространяется.

Иначе под ограничения наложенные ФЗ подпадал бы и сбор вырезок из газет про какое-то лицо, и многое другое.

 

Иными словами - законодательно вас никто не ограничивает в поисках чего-либо по открытым источникам. ФЗ о защите данных тут ни при чем.

 

Вообще крайне рекомендуется обратиться за консультацией по этому поводу к специалистам по праву, т.к. толковать закон столь широко с юридической точки зрения - несколько странновато. Да и квалификация не позволяет - пусть разведчик ищет, а законы трактовать должен юрист.

Кейс показывает общий принцип и начальную стадию атаки. Примерно так же, как обозначение удара саблей при фехтовании никого не убивает и не ранит. Если удар не доводить до конца. В этом конкретном случае задачи "доводить до конца" не было.

Если Вы обратили внимание, полевые сотрудники поняли, о чем речь. Для остальных, возможно, требуются пояснения. Но мы тут для того и собрались, чтобы обсуждать непонятные моменты. Поэтому поделюсь своими соображениями по Вашему тексту.

 

Но сначала - о цели Закона. Она важна, поскольку именно она определяет все остальное: "Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну."

 

Теперь непосредственно по Вашему тексту.

 

1. Вы говорите:

Закон о защите персональных данных говорит лишь о персональных данных доверенных лицом какой-либо организации

 

Закон при этом говорит:

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, ...физическими лицами с использованием средств автоматизации или без использования таких средств

 

Идея в том, что я прямо обозначаю, что буду использовать данные совсем не для личных целей, что я их открыто обнародую - а объект все равно вынужден согласиться, т.к. он загнан в психологическую ловушку. Ловушку, созданную персонально для него, с учетом его личных особенностей.

 

2. Вы говорите:

То же что и с государственной тайной - вы не можете ее разгласить, если официально ее вам не сообщили.

 

Практика показывает, что вы вполне можете оказаться за решеткой в качестве подследственного ФСБ при сборе по открытым источникам и систематизации сведений, составляющих гостайну. А с учетом того, что в ФЗ "О гостайне" прямо сказано, что сведения, составляющие гостайну, засекречены могут быть секретным же документом (о котором вы в силу его секретности не можете знать), все становится совсем весело.

Когда практика расходится с некими утверждениями, я склонен доверять практике.

 

 

3. Вы говорите:

На свободный поиск свободно размещенной в интернете информации это никак не распространяется.

Иначе под ограничения наложенные ФЗ подпадал бы и сбор вырезок из газет про какое-то лицо, и многое другое.

Не распространяется, это правда. Вот и в ФЗ написано: "Действие настоящего Федерального закона не распространяется на отношения, возникающие при: ...обработке персональных данных физическими лицами исключительно для личных и семейных нужд", но даже в этом случае - только при условии: "если при этом не нарушаются права субъектов персональных данных;"

Но интересные у меня получаются "личные и семейные нужды", если я вываливаю полученное в общий доступ, да еще с комментариями, вызывающими негативную реакцию объекта :) Разве что, считать, что "мне лично очень хотелось повеселить семью таким образом" :)

 

Кроме того, я вспоминаю один из основополагающих моментов в курсе Игоря Нежданова "Анализ текстов" - о том, что одна из особенностей человеческой психики - попытка видеть то, что хочется, а не то, что написано. Покажите мне, пожалуйста, из чего Вы сделали вывод, что вся информация, о которой идет речь, свободно размещена в Интернете? И что такое "свободно размещена"? Если я сейчас куплю конфиденциальную информацию, потом "свободно размещу" ее на блоге под именем, например, "Лёха Вумный", а потом "свободно найду" ее там, то это означает ли, что такие данные можно размещать, тиражировать и собирать? И как тогда объяснить, что тех же блоггеров регулярно суспендят и банят за раскрытие прайвеси - в том числе и в России?

 

4. Вы говорите:

Вообще крайне рекомендуется обратиться за консультацией по этому поводу к специалистам по праву, т.к. толковать закон столь широко с юридической точки зрения - несколько странновато.

 

На мой взгляд, сегодня еще нет единого мнения по этому закону даже среди юристов. Скорее всего, мало времени прошло и нет пока судебной практики.

 

5. Вы говорите:

Да и квалификация не позволяет - пусть разведчик ищет, а законы трактовать должен юрист.

 

Вот тут, простите, я не согласен категорически. Диссертацию на тему "Что имел в виду законодатель, когда писал закон" действительно писать должен юрист. И наверняка кабинетные юристы напишут несколько таких диссертаций. Привычно разъясняющих, почему остальные юристы не во всем правы.

Но полевые работники от разведки хорошо знают, что работать, водя за собой юриста за руку, не получается. И для того, чтобы юрист, трактующий "разведчику" закон, не оказался следователем или судьей при исполнении обязанностей, я бы не стал брать на вооружение последний процитированный тезис.

Кстати, представителями МВД за рубежом очень часто оказываются сотрудники государственных разведок. Вам это не кажется странным? :)

[ola]

Кейс показывает общий принцип и начальную стадию атаки. Примерно так же, как обозначение удара саблей при фехтовании никого не убивает и не ранит. Если удар не доводить до конца. В этом конкретном случае задачи "доводить до конца" не было.

Если Вы обратили внимание, полевые сотрудники поняли, о чем речь. Для остальных, возможно, требуются пояснения. Но мы тут для того и собрались, чтобы обсуждать непонятные моменты. Поэтому поделюсь своими соображениями по Вашему тексту.

 

Но сначала - о цели Закона. Она важна, поскольку именно она определяет все остальное: "Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну."

 

Ох. Рекомендуется дочитать закон до конца или до хотя бы середины, а именно:

 

Статья 7. Конфиденциальность персональных данных

 

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

 

2. Обеспечение конфиденциальности персональных данных не требуется:

 

1) в случае обезличивания персональных данных;

 

2) в отношении общедоступных персональных данных.

 

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

 

....

 

12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

 

причем что самое интересное согласием в данном случае может являться простое размещение самим субъектом своих данных в интернете.

 

вообще на общедоступные персональные данные (то есть данные размещенные лицом или лицами в СМИ интернете, написанными на заборе итп) данный закон распространяться не может, т.к. разместив данную информацию публично лицо таким образом автоматически дает разрешение всем желающим собирать, осмысливать и публиковать данную информацию.

 

Ну и далее, по поводу лично вашего кейса (который в том виде в которм вы его представили - малоосмысленен и говорит лишь о склонности трактовать законы "как красивее"):

 

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

 

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

 

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

 

3) цель обработки персональных данных;

 

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

 

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

 

6) срок, в течение которого действует согласие, а также порядок его отзыва.

 

то есть ваш подопытрный должен был обязательно дать вам _письменное_ разрешение с указанием документа удостоверяющего личность, паспортными данными и четко указать цель, перечень действий и срок сбора данных.

Что-то мне подсказывает что в писульке упомянутой в кейсе таких пунктов нет, что делает ее с точки зрения закона - ничтожной, а кейс - просто не имеющим смысла, потому что одно дело написать на форуме "да ищите про меня что хотите, я вас не боюсь!" а другое дело - писать официальное письмо с указанием паспортных данных итп. Мало кто будучи в здравом уме напишет вам такую записку если она ему нежелательна.

 

Что же касается вопросов типа "а если данные разместит кто-то другой" - то посколкьу вы не должны и не имеете возможности установить точно личность размещавщего, вы в любом случае моежет их использовать просто в силу их общедоступности. В случае судебного процесса все вопросы будут обращены к источнику а не к вам.

 

Таскать за ручку юриста, безусловно, не всегда получается, но в данном случае вы не "в поле" а значит (чисто для тренировки и расширения собственных знаний в этом вопросое) имело бы смысл посоветоваться со специалистами. Потому как подобные ошибки в поле могут любому разведчеку сильно осложнить жизнь.

 

[Черно-белый]

встряну в дискуссию, пусть и с опозданием, как юрист

 

в законе есть один интересный пунктик, который оставляет большой простор для моневра

ресь идет о п. 1 ст. 9, который не процетировали

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

 

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

размещение информацию о себе в Интернет, это волевой акт данного человека

кроме того, раз он разместил инфу о себе, значит у него был в этом какой-либо интерес (похвастаться, блеснуть своими возможностями, поделиться личным опытом).

То есть, само по себе размещение инфы в сети, это согласие на то, чтобы ее обрабатывали тем или иным образом, пусть сам человек этого даже не понял :)

[Тень]

Евгений, Вы перешли на личности, не имея ни малейшего представления об уровне собеседника (или не желая его признавать). Я выступаю на конференциях всех уровней и учу маркетингу ушлых бизнесменов с миллионными оборотами, неужели вы думаете, что я не знаю теорию? Но если бы она была догмой, наука бы остановилась. Тем более что в цифровых медиа многие традиционные подходы не работают.

То, что Вы пишете аж из самого Лондона, не дает права оскорблять автора, не так ли?

А то, что Вы следите за мной - ради Бога, если Вам интересно.

 

По моему ясно видно, что человек в вежливой форме дал понять, что такое общение с Вами для него не интересно, а не выразил согласие на обработку ПД. Согласие на обработку ПД дается субъектом ПД в ПИСЬМЕННОМ виде, и в 152ФЗ объясняется в каком виде.