Действующий федеральный закон ограничивает так называемую трансграничную передачу персональных данных. Предоставлять доступ к сведениям о россиянах американским и ряду иных иностранных компаний можно, только получив отдельное согласие гражданина, а вскоре потребуется и одобрение Роскомнадзора.
Немецкий порядок
Сервис Google Fonts появился в 2010 году. Загружаемые шрифты являются бесплатными, могут беспрепятственно использоваться для оформления любого сайта и, более того, позволяют ускорить работу размещенного на дешевом хостинге ресурса.
Прецедентное решение принял суд в Мюнхене, взыскав с владельца одного из сайтов за использование шрифтов компенсацию в размере € 100. Было установлено, что использование библиотеки Google Fonts позволяет ее разработчику собирать как минимум IP всех посетителей.
«Динамические IP-адреса представляют собой личные данные для оператора веб-сайта, поскольку в абстрактном виде он имеет законные средства, которые могут быть разумно использованы для идентификации лица с помощью третьих лиц», — заключили служители германской Фемиды.
Это решение привело к массовому вымогательству: адвокаты рассылают владельцам использующих спорные шрифты сайтов претензии с требованиями заплатить в пользу их клиентов соответствующие суммы. При этом «потерпевшим» может считать себя любой посетитель интернет-ресурса.
Сразу же появились и сервисы, позволяющие выявить Google Fonts и предлагающие свои недешевые услуги по устранению проблемы. «Очевидно, что судиться из-за € 100 и даже € 200 никто не будет, адвокаты рассчитывают просто испугать законопослушных бюргеров. Но для предупреждения дальнейших претензий и конфликтов мы рекомендуем клиенту установить Google Fonts локально. В этом случае никакой передачи персональных данных не будет», — отмечает руководитель штутгартской компании Sunflower Web Dev Татьяна Капплер.
Империя зла
Российское законодательство предусматривает еще более жесткие ограничения на обработку персональных данных пользователей. Передача такой информации иностранному юридическому лицу признается трансграничной. А с 1 марта 2023 года российские операторы (лица, осуществляющие обработку персональных данных) обязаны уведомлять о такой передаче Роскомнадзор.
Если же получателем этих сведений является компания из страны, не обеспечивающей адекватную защиту приватной информации (в черный список входят в том числе США и Китай), владельцу сайта де-факто потребуется получить одобрение надзорного органа.
По словам юриста адвокатского бюро «Егоров, Пугинский, Афанасьев и партнеры» Елены Квартниковой, по общему правилу за легитимность обработки собираемых с помощью сайта персональных данных отвечает его владелец, «в том числе когда на сайте используется программное обеспечение, лицензия на которое предусматривает передачу его разработчику сведений о пользователях или их поведенческих характеристик, либо когда владелец сайта знал или должен был знать о таком сборе информации».
«По закону передача персональных данных за границу допускается при условии получения от посетителя сайта соответствующего согласия. Причем если сведения направляются в США и ряд других стран, необходимо письменное согласие по специальной форме», — констатирует Елена Квартникова.
Опасные связи
Между тем в нашей стране спорные библиотеки активно используются даже на сайтах государственных органов. В частности, журналист «Нового проспекта» обнаружил загружаемые с Google шрифты на сайтах Федеральной антимонопольной службы и Следственного комитета РФ, а правительство России и Минюст РФ локализовали Google Fonts, хотя сразу после начала военной операции Министерство цифрового развития, связи и массовых коммуникаций РФ предписало всем ведомствам уже к 11 марта исключить загружаемый с иностранных ресурсов средств.
Дополнительные риски утечки несут внедряемые в сайты внешние коды, в том числе YouTube, Google Maps, reCAPTCHA и другие. Открыто исчерпывающие сведения о пользователях, в том числе позволяющие оценивать социальные предпочтения, собирают счетчики, тогда как такие персональные данные относятся к специальной категории. Проведенные общественным движением «Информация для всех» исследования свидетельствуют, что только опасные внешние счетчики используются на сайтах 27 федеральных ведомств.
«Органы прокуратуры понуждали, а жизнь принуждала госорганы к усилению информационной безопасности своих сайтов, но новые вызовы были восприняты многими госорганами со стоическим равнодушием. Представляется самоочевидным, что третьи лица, кто бы они ни были, не должны иметь доступ к информации о посетителях госсайтов, даже обезличенной, которая в современном мире больших данных и повсеместного шпионажа интернет-гигантов за интернет-пользователями без труда сопоставляется с реальными личностями», — отмечается в докладе.
