Контроль за VPN = контроль над ПД
На днях по СМИ прокатилась новость о новой методичке Минцифры по выявлению VPN на клиентских устройствах. Добралась она и до нас, и вот что мы из нее узнали.
В рекомендациях Минцифры предлагает владельцам сервисов набор методов, используя которые можно определить: запущен ли VPN на смартфоне клиента.
Опустим пока всю противоречивость дискурса насчет VPN. Поговорим о нашей любимой теме – а что тут с privacy?
Что методичка предлагает собирать и анализировать (верхнеуровнево):
- GeoIP;
- идентификаторы базовых станций и точек доступа Wi-Fi;
- системные признаки использования VPN на уровне ОС устройства;
- настройки маршрутизации трафика и DNS.
Является ли этот набор данных персональными? На наш взгляд – с высокой степенью вероятности, да. Как минимум, схожий набор данных уже много лет как признан персональными при их сборе через коммерческие системы веб-аналитики. И та же логика должна применяться и здесь, ведь анализируется, среди прочего, геолокация (хоть и косвенная) устройства.
Что из этого следует
Владельцы сервисов, вероятно, будут собирать и анализировать дополнительные данные. А те, кто уже их собирал – будут их обрабатывать в рамках новой цели: определение способа обхода блокировок.
Фактически, это новая цель обработки для владельца сервиса как оператора ПД. А значит, что эта цель должна быть:
Также встает вопрос и о законном основании обработки таких ПД: все-таки методические рекомендации – это не нормативный документ, а значит, на них нельзя ссылаться как на исполнение требований законодательства (пока что).
Формально передача таких данных государственным органам не предусмотрена, и на том пока спасибо. А как будет на самом деле – еще узнаем 😉
Что с этим делать бизнесу
Как минимум, подождать – все это пока еще в формате некого пред-анонса. Те, кто не получил эту методичку лично "из рук" Минцифры, пока просто наблюдают – не рекомендуем начинать собирать эти данные, если вдруг, конечно, думали начать. А вот тем, кто получил лично "из рук", как кажется, выбирать уже остается только лишь технические средства реализации этих "методичных норм".
Далее, по идее, придется учитывать эту цель в своих документах и уведомлять всех пользователей, но будет ли кто-то на практике детализировать эту обработку в публичных документах, учитывая всю щепетильность вопроса? Время покажет.
Но в любом случае, интересно понаблюдать: а будет ли одна часть РКН (та, что за ПД) ругать бизнесы за исполнение рекомендаций другой части РКН (той, что за блокировки) 🤔?
На днях по СМИ прокатилась новость о новой методичке Минцифры по выявлению VPN на клиентских устройствах. Добралась она и до нас, и вот что мы из нее узнали.
В рекомендациях Минцифры предлагает владельцам сервисов набор методов, используя которые можно определить: запущен ли VPN на смартфоне клиента.
Опустим пока всю противоречивость дискурса насчет VPN. Поговорим о нашей любимой теме – а что тут с privacy?
Что методичка предлагает собирать и анализировать (верхнеуровнево):
- GeoIP;
- идентификаторы базовых станций и точек доступа Wi-Fi;
- системные признаки использования VPN на уровне ОС устройства;
- настройки маршрутизации трафика и DNS.
Является ли этот набор данных персональными? На наш взгляд – с высокой степенью вероятности, да. Как минимум, схожий набор данных уже много лет как признан персональными при их сборе через коммерческие системы веб-аналитики. И та же логика должна применяться и здесь, ведь анализируется, среди прочего, геолокация (хоть и косвенная) устройства.
Что из этого следует
Владельцы сервисов, вероятно, будут собирать и анализировать дополнительные данные. А те, кто уже их собирал – будут их обрабатывать в рамках новой цели: определение способа обхода блокировок.
Фактически, это новая цель обработки для владельца сервиса как оператора ПД. А значит, что эта цель должна быть:
- отражена в публичной политике оператора и уведомлении РКН;
- доведена до сведения пользователя явным образом.
Также встает вопрос и о законном основании обработки таких ПД: все-таки методические рекомендации – это не нормативный документ, а значит, на них нельзя ссылаться как на исполнение требований законодательства (пока что).
Формально передача таких данных государственным органам не предусмотрена, и на том пока спасибо. А как будет на самом деле – еще узнаем 😉
Что с этим делать бизнесу
Как минимум, подождать – все это пока еще в формате некого пред-анонса. Те, кто не получил эту методичку лично "из рук" Минцифры, пока просто наблюдают – не рекомендуем начинать собирать эти данные, если вдруг, конечно, думали начать. А вот тем, кто получил лично "из рук", как кажется, выбирать уже остается только лишь технические средства реализации этих "методичных норм".
Далее, по идее, придется учитывать эту цель в своих документах и уведомлять всех пользователей, но будет ли кто-то на практике детализировать эту обработку в публичных документах, учитывая всю щепетильность вопроса? Время покажет.
Но в любом случае, интересно понаблюдать: а будет ли одна часть РКН (та, что за ПД) ругать бизнесы за исполнение рекомендаций другой части РКН (той, что за блокировки) 🤔?