Шпионские шрифты. Как скандал с Google повлияет на работу госорганов в России

Сервис Google Fonts появился в 2010 году. Загружаемые шрифты являются бесплатными, могут беспрепятственно использоваться для оформления любого сайта и, более того, позволяют ускорить работу размещенного на дешевом хостинге ресурса.

Прецедентное решение принял суд в Мюнхене, взыскав с владельца одного из сайтов за использование шрифтов компенсацию в размере € 100. Было установлено, что использование библиотеки Google Fonts позволяет ее разработчику собирать как минимум IP всех посетителей.

«Динамические IP-адреса представляют собой личные данные для оператора веб-сайта, поскольку в абстрактном виде он имеет законные средства, которые могут быть разумно использованы для идентификации лица с помощью третьих лиц», — заключили служители германской Фемиды.

Это решение привело к массовому вымогательству: адвокаты рассылают владельцам использующих спорные шрифты сайтов претензии с требованиями заплатить в пользу их клиентов соответствующие суммы. При этом «потерпевшим» может считать себя любой посетитель интернет-ресурса.

Сразу же появились и сервисы, позволяющие выявить Google Fonts и предлагающие свои недешевые услуги по устранению проблемы. «Очевидно, что судиться из-за € 100 и даже € 200 никто не будет, адвокаты рассчитывают просто испугать законопослушных бюргеров. Но для предупреждения дальнейших претензий и конфликтов мы рекомендуем клиенту установить Google Fonts локально. В этом случае никакой передачи персональных данных не будет», — отмечает руководитель штутгартской компании Sunflower Web Dev Татьяна Капплер.

Российское законодательство предусматривает еще более жесткие ограничения на обработку персональных данных пользователей. Передача такой информации иностранному юридическому лицу признается трансграничной. А с 1 марта 2023 года российские операторы (лица, осуществляющие обработку персональных данных) обязаны уведомлять о такой передаче Роскомнадзор.

Если же получателем этих сведений является компания из страны, не обеспечивающей адекватную защиту приватной информации (в черный список входят в том числе США и Китай), владельцу сайта де-факто потребуется получить одобрение надзорного органа.

По словам юриста адвокатского бюро «Егоров, Пугинский, Афанасьев и партнеры» Елены Квартниковой, по общему правилу за легитимность обработки собираемых с помощью сайта персональных данных отвечает его владелец, «в том числе когда на сайте используется программное обеспечение, лицензия на которое предусматривает передачу его разработчику сведений о пользователях или их поведенческих характеристик, либо когда владелец сайта знал или должен был знать о таком сборе информации».

«По закону передача персональных данных за границу допускается при условии получения от посетителя сайта соответствующего согласия. Причем если сведения направляются в США и ряд других стран, необходимо письменное согласие по специальной форме», — констатирует Елена Квартникова.

Между тем в нашей стране спорные библиотеки активно используются даже на сайтах государственных органов. В частности, журналист «Нового проспекта» обнаружил загружаемые с Google шрифты на сайтах Федеральной антимонопольной службы и Следственного комитета РФ, а правительство России и Минюст РФ локализовали Google Fonts, хотя сразу после начала военной операции Министерство цифрового развития, связи и массовых коммуникаций РФ предписало всем ведомствам уже к 11 марта исключить загружаемый с иностранных ресурсов средств.

Дополнительные риски утечки несут внедряемые в сайты внешние коды, в том числе YouTube, Google Maps, reCAPTCHA и другие. Открыто исчерпывающие сведения о пользователях, в том числе позволяющие оценивать социальные предпочтения, собирают счетчики, тогда как такие персональные данные относятся к специальной категории. Проведенные общественным движением «Информация для всех» исследования свидетельствуют, что только опасные внешние счетчики используются на сайтах 27 федеральных ведомств.

«Органы прокуратуры понуждали, а жизнь принуждала госорганы к усилению информационной безопасности своих сайтов, но новые вызовы были восприняты многими госорганами со стоическим равнодушием. Представляется самоочевидным, что третьи лица, кто бы они ни были, не должны иметь доступ к информации о посетителях госсайтов, даже обезличенной, которая в современном мире больших данных и повсеместного шпионажа интернет-гигантов за интернет-пользователями без труда сопоставляется с реальными личностями», — отмечается в докладе.