Privacy Advocates
12.9K subscribers
489 photos
25 videos
145 files
3.58K links
Новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии.
👨🏻‍💻 @actuaris
Download Telegram
Криптобиржа Binance опровергла сообщение об утечке данных пользователей, верифицированных на платформе, и их продаже в даркнете.
🔸Ранее криптодетектив Оtteroooo разместил в своем аккаунте в социальных сетях скриншот объявления с одного из форумов в даркнете, в котором сообщается о продаже персональных данных пользователей Binance, включая их имя, страну и телефонный номер. В объявлении говорится, что достоверность данных может быть легко подтверждена попыткой войти на binance.com под номером телефона пользователя.
🔸В ответном сообщении Оtteroooo биржа Binance опровергла утечку данных пользователей и заявила, что средства пользователей находятся в безопасности.
This media is not supported in your browser
VIEW IN TELEGRAM
💡Ролик с примером избыточной обработки персональных данных:
- Вы не могли бы дать нам некоторую информацию о себе для базы данных?...
🇸🇬 Уничтожены персональные данные, собранные правительством Сингапура во время пандемии COVID-19
🔸Для отслеживания контактов людей использовалась система под названием TraceTogether. Её предписывалось установить на мобильные устройства и дать приложению разрешение на использование Bluetooth. Вместо смартфонов использовались также носимые Bluetooth-токены. Информация о том, кто находился рядом с человеком и на каком расстоянии (оно определялось силой Bluetooth-сигнала), собиралась централизованно оператором системы. Если фиксировался близкий контакт с тем, у кого обнаружили вирус, в отношении потенциально инфицированных принимались некие административные меры.
🔸Для страны, где приняты драконовские методы поддержания общественного порядка, такая история неудивительна. Но когда выяснилось, что данные TraceTogether использует полиция – с идеей облегчить раскрытие преступлений, – это оказалось перебором даже для Сингапура.
🔸Сообщается, что собранные TraceTogether данные удалены полностью, за одним исключением. Полиция благодаря доступу к базе данных TraceTogether раскрыла убийство, и всё, что к этому убийству относится, будет храниться неопределённо долго, по официальным сведениям – на случай дальнейших судебных разбирательств, а фактически на всякий случай.
Операторы данных и владельцы экосистем все чаще предлагают клиентам усилить кибербезопасность, в том числе за отдельную плату. Среди новых сервисов — дополнительная защита персональных данных и мониторинг изменений кредитной истории, которые предоставляют МТС и «Сбер». Но в основном игроки реализуют решения по определению номеров, борьбе с телефонным мошенничеством и спамом. У операторов связи они дополняют функционал госсистемы «Антифрод».
🔸Эксперты считают, что востребованность сервисов будет расти, а их включение в подписки может принести оператором миллиарды рублей дополнительных доходов в месяц.
🏛️ Сенаторы разработали законопроект о страховании утечек данных, сообщил член Комитета Совфеда по конституционному законодательству и госстроительству Артем Шейкин. По его словам, документ в ближайшее время будет направлен на отзыв в кабмин.
🔸«Оператор при обработке персональных данных обязан иметь финансовое обеспечение для возмещения морального и имущественного вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона», — говорится в тексте документа.
🏦 Банк России планирует с 01.04.2024 обязать кредитные организации предоставлять детализированную информацию о покупках населением золотых слитков, такие данные нужны для выявления подозрительных операций с драгметаллами.
🔸Согласно проекту документа ЦБ, банки в отчетности регулятору об объемах реализации физлицам золота в слитках должны указывать персональные данные клиентов, в том числе ФИО, ИНН и документы, удостоверяющие личность. Также регулятор ответил отказом на предложение банков исключить из отчётности необходимость раскрывать персональные данные клиентов, покупающих золото, чтобы защитить их конфиденциальность.
💡(Не)предсказуемые тренды информационной приватности: Дивный новый мир
🏦 Российские банки хотят обязать вносить данные о покупке бриллиантов у граждан в специальную госсистему
🔸Обязанность для российских кредитных организаций вносить данные о сделках с бриллиантами в Государственную интегрированную информационную систему драгоценных металлов, камней и изделий из них (ГИИС ДМДК) планируется ввести с 01.09.2024.
🔸В кабмине указывают на отсутствие корректных данных о «драгоценных» сделках банков с физлицами, что искажает данные оборота ювелирных изделий в стране. Еще одной проблемой отрасли, по мнению кабмина, является некорректное отражение фактов оборота, вызванное продажей ювелирных изделий ‎с головного офиса, а не из конкретного обособленного подразделения магазина розничной торговли.
🇲🇫 Хакеры похитили персональные данные 33 млн французов в результате кибератаки против компаний Viamedis и Almerys, предоставляющих населению услуги в области медицинского страхования. Об этом говорится в коммюнике Национальной комиссии Франции по информационным технологиям и гражданским свободам (CNIL).
🔸Отмечается, что реквизиты банковских счетов, медицинские данные и информация о компенсациях за медицинские услуги не были похищены.
🏦 IТ-рынок опасается роста затрат на обработку сведений с банковской тайной
🔸Обсуждаемый в Госдуме законопроект, который позволит банкам передавать на аутсорсинг разработку IT-решений и хранить данные с банковской тайной в облачных сервисах, может «существенно увеличить издержки» IТ-компаний малого и среднего звена и «подорвать конкуренцию на рынке в пользу больших игроков». Об этом говорится в письме Российской ассоциации электронных коммуникаций, АРПП «Отечественный софт» и Ассоциации предприятий компьютерных и информационных технологий (АПКИТ), направленном 2 февраля главе комитета Госдумы по финансовому рынку Анатолию Аксакову («Справедливая Россия»).
🔸Законопроект был внесен в Госдуму в июле 2023 г. группой депутатов во главе с Аксаковым и несколькими сенаторами, среди которых зампред Совета Федерации Николай Журавлев. Проект также наделяет Банк России полномочиями по установлению обязательных требований как к порядку привлечения поставщиков услуг по предоставлению IТ-сервисов в указанных формах, так и непосредственно к их информационным системам.
🇬🇧🇲🇫 Великобритания и Франция организовали международную конференцию, посвящённую «решению проблем вокруг использования инструментов и сервисов для несанкционированных проникновений в киберпространстве».
🔸На конференции принята декларация, которая запускает «процесс Пэлл-Мэлл» (Pall Mall Process). Его задача — установить основополагающие принципы и указать на варианты мер для государств, отрасли, гражданского общества в отношении разработки, содействия, покупки и использования «коммерчески доступных возможностей для кибервзлома».
🔸При этом признаётся необходимость «легитимной и ответственной разработки и применения» таких возможностей. Точные критерии ответственного использования участникам Pall Mall Process ещё предстоит выработать.
🔸Однако по итогам конференции её делегаты точно определились, в каких случаях взламывать устройства безответственно. Например, подобные инструменты и сервисы не должны разрабатываться и использоваться так, чтобы представлять угрозу стабильности киберпространства, правам человека и фундаментальным свободам. Кроме того, инструменты, по мнению участников мероприятия, не должны применяться без надлежащих защитных механизмов и надзора.
🏛️ Банки не поддержали установление оборотных штрафов за утечку персональных данных клиентов — инициативу, которая содержится в рассматриваемом Госдумой законопроекте об усилении ответственности за нарушение порядка обработки персональных данных. Соответствующее письмо Национальный совет финансового рынка (НСФР) совместно с финансовыми организациями направил в ЦБ, Минцифры и председателю комитета Госдумы по государственному строительству и законодательству Павлу Крашенинникову.
🔸Банки предлагают отменить введение оборотных штрафов за повторную утечку персональных данных в размере до 500 млн руб. «Крупный штраф может действовать как стимул только тогда, когда организации могут предотвратить его уплату своими добросовестными действиями», — говорится в письме НСФР. Там предлагается установить штрафы за повторные утечки на фиксированном уровне — от 15 млн до 30 млн руб. в зависимости от категории данных.
🔸Если решение об установлении оборотных штрафов все же будет принято, то НСФР в качестве альтернативы предлагает установить их в размере до 3% минимального размера уставного капитала. Банки также предлагают отменить повышение штрафов за нарушение работы с персональными данными.
🔸Участники финансового рынка также просят предусмотреть, что ответственность наступает не за любую утечку персональных данных, а за утечку, которая стала следствием неисполнения банком либо любой другой компанией, которая работает с данными, установленных требований по информационной безопасности.
🔸НСФР также считает, что нужно установить срок вступления законопроекта в силу спустя один год после его публикации вместо предложенных авторами инициативы 30 дней.
📬 Персональные данные волгоградцев массово разослали по почте
🔸Житель областного центра получил почтовое извещение, на обратной стороне которого были указаны адреса десятков людей. Он признался, что первым делом подумал о том, что такой информацией могут воспользоваться мошенники.
🔸В региональном УФПС прокомментировали инцидент.
- Это абсолютно недопустимая ситуация, мы приносим клиентам свои извинения, — сообщили в пресс-службе.
🫠 В ведомстве пообещали, что научат сотрудников работать, соблюдая закон «О персональных данных».
🏛️Минцифры России изучает возможные меры поддержки в части развития и масштабирования биометрических технологий идентификации и аутентификации личности. В министерстве запланировали совещание по этому вопросу в середине февраля.
🔸Свое участие в совещании подтвердила ТАСС компания VisionLabs, которая специализируется на создании решений в области распознавания лиц и объектов. Гендиректор VisionLabs Дмитрий Марков рассказал, что сейчас схема подключения объектов критической инфраструктуры к Единой биометрической системе - сложная, она нуждается в доработке. Эта схема требует "внушительных" вложений.
🔸"Также есть вопросы в части правового регулирования таких сценариев, как работа с черными списками, детекция мошенников и шоплифтеров, и отсутствия в НПА разграничения понятий "видеоаналитика" и "биометрия", - добавил топ-менеджер.
В Грузии выпустили документ о защите персданных несовершеннолетних

Служба защиты персональных данных Грузии опубликовала документ о безопасности персональных данных (ПД) несовершеннолетних, посвященный особой уязвимости детей в Сети.

В документе обсуждается национальный и международный опыт защиты ПД несовершеннолетних.

Лицо, ответственное за обработку личной информации, может реализовать соответствующие механизмы проверки возраста в процессе обработки данных на основе согласия.

Закон устанавливает обязанность обработчика принимать во внимание все меры для подтверждения согласия родителя или законного представителя на обработку данных несовершеннолетних в возрасте до 16 лет.

Обязательство предоставлять детям информацию относительно обработки их данных должно быть выполнено в форме, понятной несовершеннолетним, говорится в материалах ведомства.

Изображение: Adobe Stock
На ярмарке вакансий RPPA опубликована новая позиция:
🔸Технический менеджер по data privacy в Яндекс Go
🇷🇺⚡️👨‍💻 #вакансия #privacy #manager
🏛️ Законопроект об обезличивании персональных данных (ПД) может быть принят Госдумой уже в весеннюю сессию, рассказал замминистра цифрового развития Александр Шойтов на «Инфофоруме-2024». Речь идет о поправках к закону «О персональных данных», подготовленных Минцифры и принятых в первом чтении еще в феврале 2021 г. В случае принятия закон позволит бизнесу и ведомствам обмениваться обезличенными ПД и обучать на собранных датасетах модели искусственного интеллекта (ИИ).
🔸Шойтов также отметил, что действие законопроекта может быть расширено с ПД на новые типы информации – синтетические данные, геотреки и статистическое зашумление.
На ярмарке вакансий RPPA опубликована новая позиция:
🔸Старший юрист по персональным данным в Positive Technologies
🇷🇺⚡️👨‍💻 #вакансия #privacy #legal #dpo
🏛️ Госдума готовит ко второму чтению законопроект, устанавливающий в КоАП отдельное наказание за спам-звонки. Нарушителям, побеспокоившим нас без разрешения, будут грозить штрафы вплоть до миллиона рублей. Сейчас правительство России подготовило свои предложения к проекту. В целом инициатива поддержана, но есть технические правки.
🏛️ Деятельность инфобизнесменов (в обиходе — инфоцыган), обещающих слушателям платных курсов золотые горы и зачастую обманывающих их, ограничат законодательно. Меры по регулированию этого бизнеса должна подготовить специальная рабочая группа в Госдуме, прорабатывается вопрос и в Совете Федерации.
🔸Общественники настаивают, что до заключения договора авторы разнообразных онлайн-программ будут обязаны раскрывать такие сведения, как реквизиты и контактные данные. Также инфобизнесмены должны предоставлять исчерпывающую и достоверную информацию о своей деятельности, реалистичности достижения целей, заявленных в курсе, и воздерживаться от необоснованных гарантий.