0 просмотренных постов скрыто
Анализ политики конфиденциальности приложения Макс от ИИ
Попросил ChatGPT в роли профессионального юриста проанализировать политику конфиденциальности приложения Макс. Промт скину, чтобы могли убедиться сами. Скормил ему полный текст политики конфиденциальности.
Промт:
Вот его полный ответ:
Давайте я разложу для вас это по пунктам, без цензуры и приукрашивания.
⸻
1. Кто управляет данными
ООО «Коммуникационная платформа» — резидент РФ. Это важно: все ваши данные обрабатываются и хранятся на территории России и подпадают под российское законодательство.
👉 Это значит, что любые органы власти РФ могут получить к ним доступ по первому запросу (ФСБ, МВД, суд, налоговая и т.д.). Отказа не будет.
⸻
2. Что именно о вас собирают
• ФИО, дата рождения, номер телефона, аватар, описание.
• Внутренний ID в системе.
• Технические данные устройства: IP-адрес, ОС, браузер, местоположение, интернет-провайдер.
• Контакты из адресной книги телефона (!) — это очень чувствительный момент: приложение тянет данные о ваших друзьях/знакомых без их согласия.
• Вся активность внутри приложения: клики, переходы, действия.
• Cookies → история поведения, в т.ч. для персонализации рекламы.
👉 Итого: они знают кто вы, с кем общаетесь, откуда вы заходите, как пользуетесь сервисом, где физически находитесь.
⸻
3. Куда и кому передают
• Разработчикам сторонних приложений, если вы запускаете их через Max. Там данные уходят по отдельным правилам, и вы уже вообще никак не защищены.
• Операторам связи и технологическим партнерам (ваши логи, идентификаторы и т.п.).
• MyTracker (Mail.ru Group/«ВКонтакте» инфраструктура) → аналитика, профилирование.
• Аффилированные лица (то есть кто угодно из группы компаний).
• Любые госорганы по требованию.
👉 Персональные данные передаются неограниченному кругу лиц, формально «для улучшения сервиса».
⸻
4. Ваши права
По закону у вас есть право запросить копию своих данных, их уточнение или удаление.
Но:
• Компания оставляет за собой право хранить данные даже после удаления аккаунта, пока того требует закон. То есть реально удалить следы невозможно.
• Вся переписка, логи и техническая информация могут сохраняться годами.
👉 По сути, право на удаление и конфиденциальность — фикция.
⸻
5. Меры защиты
Они пишут, что используют технические меры и доступ ограничен. На практике это стандартная фраза.
Главное:
• доступ сотрудников и подрядчиков возможен, а значит, утечки и «сливы» данных реальны;
• никакой прозрачности для пользователя, как именно они хранят и шифруют данные, нет.
👉 Уровень защиты ваших прав зависит от порядочности компании и давления государства.
⸻
6. Насколько вы защищены
• Право на частную жизнь — практически отсутствует.
• Свобода слова — под угрозой: ваши сообщения могут быть доступны государству и самим операторам сервиса.
• Конфиденциальность — формально обещана, но фактически дырявая: куча исключений для «третьих лиц» и «по требованию госорганов».
• Контакты и окружение — приложение сливает информацию о ваших связях, а это уже классическая система слежки.
👉 Говоря простыми словами: вы полностью голый. Ваши данные можно смотреть, анализировать, продавать, объединять с другими базами и передавать куда угодно.
⸻
7. Вывод
Политика написана аккуратно, но по сути это:
• тотальный сбор всех возможных данных, включая ваши контакты, поведение и местоположение;
• возможность передачи этой информации партнерам и государству;
• фиктивные гарантии удаления;
• нулевая приватность.
Это небезопасное приложение для тех, кто ценит анонимность, свободу слова и защиту частной жизни.
Оно полностью встроено в российскую экосистему слежки (Mail.ru / VK / MyTracker + обязательные интеграции с госорганами).
p.s. Публикую анонимно, рейтинг мне не нужен
Показать полностью
1
Юзеры заметили: MAX включает камеру каждые 5-10 минут. В пресс-службе не согласны
Фото: freepik.com
На этой неделе пользователи обратили внимание на странное поведение десктопной версии национального мессенджера MAX. Камера, по их словам, начинала «просыпаться» каждые 5–10 минут без каких-либо действий со стороны владельца. Один из юзеров пожаловался, что антивирус регулярно выдаёт уведомление: «Приложение MAX использует камеру». Таких сообщений за день могло быть десятки. Слухи быстро разошлись по соцсетям и Telegram-каналам (KTV-Ray).
В пресс-службе мессенджера, конечно, тут же выступили с разъяснением: никакого «шпионского режима» нет и быть не может. «Без активного действия пользователя приложение не запрашивает доступ к камере и не использует её», — цитирует заявление ТАСС. Там подчеркнули, что камера активируется только по воле самого пользователя — например, во время видеозвонка (Лента.ру).
Разработчики напомнили и о другом: национальный мессенджер MAX недавно согласовал с ФСБ требования по обеспечению безопасности для доступа к инфраструктуре «Госуслуг». «Техническая реализация и тестирование уже ведутся», — говорил ранее министр цифрового развития Максут Шадаев (Газета.ру).
Заказываем шторку для камеры.
Показать полностью
Подробная инструкция, что нужно сделать, чтобы РКН вас не оштрафовал
Для тех, кто в танке, и еще не озаботился вопросом о правильном хранении и сборе Персональных данных, делюсь подробной инструкцией и документами, которые снимут у вас основную головную боль. Мы провели обсуждения с несколькими юристами, коллегами, получили платные консультации.
Делюсь с вами этим бесплатно. Просто пойдите и сделайте как написано
Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному физическому лицу: ФИО, адрес проживания, информация об образовании и трудоустройстве, контактный телефон и электронная почта, раса, пол, группа крови, рост, цвет глаз и пр. В базовом виде, если вы собираете ФИО+телефон или +почта, то вы уже собираете ПД.
Именно поэтому, операторами персональных данных являются все работодатели, которые собирают ПД с помощью автоматизированных систем. То есть даже те, у кого нет сайтов, но есть 1С или CRM, в которой вы храните данные работников или контрагентов, т.к. 1С и CRM — это автоматизированные системы. А если вы храните ПД в Экселе или в блокноте, то вы не пользуетесь автоматизированными системами для сбора ПД, и вам подавать заявление в РКН не надо — можно расслабиться.
⚠️ Нельзя расслабляться, если вы храните ПД в Google-таблицах, т.к. вы нарушаете закон о трансграничной передаче ПД, и вам грозит штраф от 1 до 6 млн рублей. Срочно переходите в эксель.
Есть 3 этапа, которые нужно пройти:
Первым делом нужно подать заявку в РКН, указав основные Цели сбора ПД и адреса ЦОД (дата-центров), где у вас хранятся данные пользователей (а их может быть много! Ниже приведу наш пример)
Привести в порядок сайт: формы, сообщение о сборе кукис, политику конфиденциальности и согласие на обработку ПД. Если у вас есть лендинги, квизы или другие сайты, приводить в порядок нужно их все.
Подготовить все внутренние документы организации, которые требует собрать Роскомнадзор.
Первые два этапа нужно сделать как можно скорее. Третий - в спокойном режиме.
Далее подробно по каждому этапу.
Этап №1. Подача заявки в РКН
Подача заявления начинается тут: https://pd.rkn.gov.ru/operators-registry/notification/
Инструкций по заполнению сейчас в сети уже довольно много. Справится любой бухгалтер.
На что нужно обратить внимание:
1️⃣ Регион обработки: лучше указать "вся РФ". Но если есть офлайн-филиалы в регионах, то перечислите регионы в отдельности.
2️⃣ Цели обработки ПД:
Если у вас нет сайта, чат-бота, квиза и прочих ресурсов, на которых с помощью форм обратной связи вы собираете ПД, а только 1С, то укажите только 2 основные цели: 1) Кадровый учет и 2) Исполнение договора
Если в вашем случае больше вариантов, то выберите все подходящие вам цели (их около 30).
Перечень Целей в заявке должен быть строго таким же, как вы указываете в тексте "Политика обработки персональных данных" (РКН это проверит)
3️⃣ Места нахождения баз данных (ЦОД):
Указывается полный адрес ЦОДа: город, улица, дом, номер офиса или квартиры, где стоит сервер, на котором вы храните данные пользователей.
Если у вас ЦОД в аренде (или вы пользуетесь облачным сервисом рассылки, хостинг сайта или Яндекс.Диск), то нужно указать наименование юрлица организации, ИНН, ОГРН и адрес (тут не обязательно указывать адрес конкретного ЦОД, достаточно указать юридический адрес сервиса, его можно найти на сайте или спросить в техподдержке сервиса).
Если вы простой ИП-шник без сайта, рассылки, чат-бота, crm, но есть 1С, то хотя бы один ЦОД вы все-равно должны указать, т.к. с помощью 1С вы уже осуществляете автоматическую обработку данных сотрудников и/или контрагентов. Укажите адрес, где у вас находится 1С. Если это облачная 1С, укажите их юр.адрес.
Например, у нас оказалось 7 ЦОДов: 1) Сайт агентства 4rome.ru — собственный арендованный сервер в РФ 2) 2 лендинга ppc.4rome.ru и zavod.4rome.ru — сервера сервиса “Тильда” 3) CRM — собственный арендованный сервер в РФ 4) Рассылки — сервера сервиса Юнисендер 5) Колтрекинг — сервера сервиса UIS 6) Яндекс.Метрика — сервера Яндекс 7) Заявки через лид-формы — сервера сервиса "Марквиз"
4️⃣ Трансграничная передача ПД
Лучше бы, чтобы у вас ее не было.
Если у вас есть сервисы, которые передают данные сразу за границу (минуя РФ-сервера), например google-analytics, и вы не уведомили об этом РКН, то вам грозит штраф от 1 до 6 млн. рублей.
Если вы уведомите РКН, что у вас есть трансграничная передача данных, то штрафа не будет (пока!), но скорее всего они к вам придут для проверки, что у вас все правильно выстроено и лишние данные не утекают за границу (Проверят все документы, процессы, будут задавать много вопросов. Оно вам надо?)
Этап №2. Приводим все сайты в порядок
Привести в порядок нужно все свои сайты, лендинги и средства коммуникации: рассылки, чат-боты, сервисы для сбора заявок и пр. Везде, где вы собираете персональные данные.
1️⃣ Удалить с сайта Google Analytics, ГУГЛ-формы и Google Tag Manager (GTM) и все другие иностранные сервисы.
💰Рискуете заплатить штраф более 1 миллиона за трансграничную передачу данных.
⚠️Google Search Console можно продолжать использовать, т.к. в ней не собираются ПД и кукис.
2️⃣ Если решили оставить Google Analytics, или у вас на сайте какой-то другой иностранный сервис собирает данные, который вам не хочется удалять, то в заявлении в РКН нужно указать, что Осуществляется трансграничная передача данных (но лучше от этого избавится - см. пункт №1)
3️⃣ Разместите в подвале вашего сайта ссылку на документы "Политика обработки Персональных данных" и "Согласие на обработку персональных данных"
При размещении Политики и Согласия — проверяйте, правильно ли внутри нее указаны ссылки на документы. Политика ссылается на Согласие, а Согласие на Политику
В тексте Согласия и Политики должны быть формулировки текстов, которые вы напишете на сайте рядом с галочками в лид-формах. Тексты должны быть одинаковыми везде
Пример наших документов. Пользуйтесь!
🔗 Политика обработки персональных данных
🔗 Согласие на обработку персональных данных
Если у вас на сайте нет лид-форм, либо есть только ссылки перехода в соц.сети по кнопкам «написать нам» или «связаться», то вы на этом сайте не обрабатываете персональные данные и Политику обработки данных размещать НЕ нужно.
4️⃣ Оформление лид-форм на сайтах.
Рядом с каждой формой, где собирается ПД (мейл/телефон + ФИО) поставьте 2 галочки: “Согласие на обработку ПД” и “Согласие на рассылку.” 💰Цена вопроса — 500 000 за каждую жалобу на неправомерную рассылку
Рекомендуемые варианты текстов перед лид-формами:
🔲 «Я даю согласие на обработку персональных данных на условиях Политики обработки персональных данных» 🔲 Я согласен получать рекламные и информационные материалы
Если это не форма, а чат-бот, то вместо галочки под кнопкой подтверждения напишите:
«Нажимая на кнопку “Название кнопки”, я даю согласие на обработку персональных данных на условиях Политики обработки персональных данных»
⚠️ Слово «согласие» и слова «политика обработки» кликабельны и ведут на соответствующие тексты.
Если на сайте есть возможность оплаты и/или регистрация пользователей то вместо Согласия вы размещаете Оферту или Пользовательское соглашение. В этом случае, текст первой галочки должен быть другим:
🔲 «Я принимаю условия Оферты, а также даю согласие на обработку персональных данных на условиях Политики обработки персональных данных»
а в чат-боте:
«Нажимая на кнопку “Название кнопки”, я принимаю условия Оферты, а также даю согласие на обработку персональных данных на условиях Политики обработки персональных данных»
⚠️ Слово «оферта» и слова «политика обработки» кликабельны и ведут на соответствующие тексты.
Для форм вида "Подписка на новости", где берется только телефон и/или email для рассылок и звонков (без сбора ФИО) может быть только одна галочка:
🔲 Я согласен получать рекламные и информационные материалы
⚠️НО! Если для рассылок берется еще и имя, то должно быть 2 галочки: "Согласие на обработку" и "Согласие на рассылку".
5️⃣ Согласие на сбор cookies (куки)
Если на сайте установлена Яндекс.метрика, какие-то счетчики и сайт собирает cookies (куки), то рекомендуем делать незаметные всплывающие окна на сайте с текстом:
“Мы используем файлы cookie, чтобы улучшить работу сайта”
и дальше это окно либо пропадает само, либо можно добавить кнопки «согласен» / «понятно»
6️⃣ Нужно раз в полгода или в год делать аудиты своих сайтов и способов коммуникации (чат-боты, лендинги, квизы, рассылки) на соответствие законодательству о защите персональных данных каждый год. У вас могут появиться новые сайты, новые формы, новые маркетинговые сервисы. Может измениться телефон или ответственное лицо за ПД и пр.
После проведение аудита, нужно подавать уточненные отчеты в РКН. Сделайте эту процедуру рутинной, чтобы в РКН данные были обновлены, и они видели, что вы следите за этим. Так вероятность того, что они к вам придут очень низкая.
Этап №3. Внутренние процессы и документы
Если к вам придет РКН с проверкой, то он запросит у вас большое количество документов. Именно поэтому важно срочно правильно подать заявку и привести в порядок свои средства коммуникации и сайты, чтобы у РКН не возникло желания вас проверять.
Что нужно подготовить обязательно:
1️⃣ Если вы имеете доступ к данным контрагентов вашего клиента — телефоны, потребности, имена, email (актуально для маркетинговых агентств), и используете их во внутренних отчетах, рекламных кампаниях, доработках сайта, автоворонках, то вам стоит в ближайшее время подписать дополнительные соглашения (Поручения на передачу ПД) со всеми клиентами, которые вам такие данные передают.
Если этого не сделать, при проверке вы рискуете неправомерным использованием данных, а ваш заказчик — утечки персональных данных 💰Цена вопроса — несколько миллионов рублей
2️⃣ Входящие звонки в компанию
Если вы их записываете, то нужно обязательно озвучивать звонящему, что "продолжая разговор вы даёте согласие на обработку персональных данных". Запись такого разговора нужно хранить как зеницу ока.
3️⃣ Чек-лист документов, которые вам нужно иметь для предоставления в РКН
Все эти документы организация может подготовить самостоятельно, используя базовые шаблоны кадровых систем или даже ChatGPT.
⚠️ Обязательно нужно учитывать специфику своей деятельности, а не слепо копировать шаблоны.
Базовый пакет документов. Его РКН требует при проверке со всех
Политика обработки персональных данных
Приказ о назначении лиц, ответственных за организацию обработки ПДн и обеспечение безопасности ПДн
Приказ о мерах по обеспечению исполнения требований законодательства РФ о персональных данных
Положение об обработке и обеспечении безопасности персональных данных (внутренний ЛНА)
Инструкция ответственного за организацию обработки персональных данных Заказчика
Инструкция ответственного за обеспечение безопасности персональных данных Заказчика
Инструкция по реализации процедур, направленных на выявление и предотвращение нарушений обработки ПДн
Регламент реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов
Журнал регистрации запросов и обращений субъектов ПДн
Перечень процессов обработки ПДн
Перечень мест хранения ПДн
Перечень процессов передачи ПДн третьим лицам
Перечень информационных систем персональных данных (ИСПДн)
Акт оценки возможного вреда субъектам персональных данных
Порядок уничтожения ПДн, формы актов об уничтожении ПДн
Порядок обезличивания ПДн
Дополнительные документы для организаций с сотрудниками
Перечень работников и других лиц, имеющих доступ к ПДн
Согласие на обработку персональных данных работников
Согласие на обработку персональных данных, разрешенных субъектом для распространения по работникам и контрагентам
Инструкция работника, допущенного к обработке персональных данных Заказчика
Дополнительные документы, если у вас есть свои ИТ-системы
Приказ о системе разграничения доступа к ИСПДн
Методика определения актуальных угроз безопасности ИСПДн
Методика определения уровня защищенности ИСПДн
Методика по выбору и обеспечению мер защиты ИСПДн
Модель угроз безопасности ПДн в ИСПДн
Приказ о назначении комиссии по защите персональных данных
Положение о комиссии по защите персональных данных, технические регламенты и инструкции
Регламент работы подразделения по защите информации
Инструкции пользователей АРМ (автоматизированное рабочее место)
Регламент реагирования на угрозы
Акт оценки информационных систем по классам защищённости
Уточненный адаптированный базовый набор мер защиты ИСПДн
Инструкция администратора ИСПДн
Журнал учёта инцидентов безопасности в ИСПДн
Показать полностью
Не откровенничайте с ИИ
Глава OpenAI Сэм Альтман (Sam Altman) предупредил пользователей ChatGPT о серьезной угрозе приватности. Разговоры с искусственным интеллектом могут быть использованы в качестве доказательств в судебных процессах, поскольку они не защищены законом как конфиденциальные данные
Он, конечно, про "ихние" реалии говорил. Но, в свете почти принятого закона про суровые кары за поиск запрещенного в сети, можно не сомневаться, что наши власти быстренько примут к сведению и исполнению. А ии, если кто не знает, хранит все ваши беседы с ним, и с удовольствием (ну, наверное, насколько это возможно) выложит их все по запросу от вашего имени. Удалить уже запрошенное не получится...
Насколько я понимаю, появилось немало одиноких людей, использующих ии в качестве собеседника и даже собутыльника. Вот последние, мне кажется, должны особенно задуматься
А, блака! Белогривые лоша, дык и?
Гендиректор ChatGPT Сэм Альтман заявил, что люди делятся личной информацией с искусственным интеллектом ChatGPT, но не знают, что чаты и вопросы могут быть использованы в качестве доказательств в суде против них.
https://habr.com/ru/news/931394/
Как будут контролировать поиск запрещенного контента
🔍 Как будут контролировать поиск запрещенного контента?
1️⃣ Как работают ❓ ограничения без VPN
Операторы связи фиксируют все посещённые сайты. Попадание на ресурс из списка Роскомнадзора автоматически регистрируется даже при случайном переходе.
2️⃣ Что скрывает и раскрывает VPN
При использовании VPN оператор видит только факт подключения и метаданные: ваш IP, IMEI устройства, время сессии и объём трафика. Содержимое запросов остаётся недоступным, если VPN не российский 🇷🇺. Такие сервисы могут передавать данные по требованию властей.
3️⃣ Открытая активность в соцсетях
Посещение gram, YouTube или Google без VPN оставляет чёткий след. Даже с VPN эти действия видны, если доступ к сервисам происходит напрямую.
4️⃣ Проблема публичных Wi-Fi сетей
В кафе и общественных местах история браузинга обычно не сохраняется.
Идентифицировать пользователя сложно требуются камеры видеонаблюдения или привязка к номеру телефона. MAC-адрес устройства легко подменить.
5️⃣ Главная сложность для следствия
Доказать целенаправленный поиск почти невозможно. Случайный переход и осознанный запрос выглядят идентично в данных оператора. Уликами могут стать:
➡️Сохранённые файлы на устройстве;
➡️ Активность в мессенджерах;
➡️ Цепочка переходов по ссылкам.
6️⃣ Практические последствия закона
Сильнее всего пострадают те, кто:
1. Не использует VPN;
2. Сохраняет подозрительные материалы;
3. Оставляет цифровые следы (логины, комментарии).
Применять нормы будут точечно ✅ как дополнение к другим обвинениям.
✈️[https://t.me/scontrols]
#ЦифроваяБезопасность #VPN #Конфиденциальность
#Законы #Интернет #Технологии
Показать полностью