🏛️ Законопроект о борьбе с кибермошенниками внесен в Госдуму.

На ярмарке вакансий RPPA опубликованы новые позиции:
🔸Старший юрист по персональным данным в Т1 Иннотех
🔸Стажёр практики «Защита данных и кибербезопасность» (Data Protection) в «АЛРУД»
🇷🇺⚡️👨‍💻 #вакансия #иб #dpo #legal #privacy

🏛️Кабмин разрешил применять биометрию для посадки на поезд
🔸Правительство РФ утвердило постановление, разрешающее применять биометрические данные гражданам для посадки на поезд, если у железнодорожного перевозчика имеется техническая возможность.
🔸Как предполагается, закрытое тестирование сервиса будет проходить в 2025 году, а граждане смогут воспользоваться услугой по итогам завершения всех этапов технологических испытаний.

🏛️Минэк раскритиковал идею авторизации на маркетплейсах по биометрии
🔸Минэкономразвития РФ раскритиковало предложение Минцифры по внедрению биометрии для идентификации продавцов и покупателей на маркетплейсах. Такая мера вошла в проект федерального закона «О создании государственных информационных систем (ГИС) по противодействию правонарушениям, совершаемым с использованием информационно-телекоммуникационных технологий», внесенный правительством в Госдуму 15 февраля.
🔸«Введение указанных форм идентификации и аутентификации повлечет значительную финансовую нагрузку на бизнес», – следует из отзыва первого заместителя министра экономического развития Максима Колесникова к законопроекту. Этот документ датирован 22 января – т. е. подготовлен еще до внесения законопроекта в Госдуму.
🔸Внедрение биометрии с учетом большого количества пользователей маркетплейсов приведет к чрезмерно высоким затратам, указал Колесников. Замминистра также подчеркнул «сохраняющуюся низкую доступность необходимых технологических решений, высокую стоимость осуществления такой аутентификации и необходимость обеспечить защищенное подключение к СМЭВ – системе межведомственного электронного взаимодействия».

🫣Мошенники стали посылать дипфейки на собеседования
🔸О том, что кибермошенники начали использовать искусственный интеллект (ИИ) и дипфейки для трудоустройства, выдавая себя за IT-специалистов, сообщили в польской компании Vidoc Security Lab (VSL). Там дважды выявляли фальшивых кандидатов, которые при этом успешно прошли предварительные этапы собеседований.
🔸Один из кандидатов привлек внимание основателя компании VSL из-за несоответствия акцента и указанной им страны происхождения. Подозрения усилились при переходе на видеособеседование, когда выяснилось, что изображение кандидата выглядит неестественно: движения лица и губ запаздывают, а само лицо кажется наложенным на тело. Несмотря на это, его ответы звучали уверенно.
🔸Позже ситуация повторилась с другим кандидатом, который представил себя как сербского разработчика с девятилетним опытом и обширной сетью контактов. Хотя его резюме выглядело убедительно, на видеособеседовании его внешность и акцент вызвали подозрения. Кандидат отказался пройти предложенный тест — и собеседование было остановлено.

😵Основатель Oracle предлагает оцифровать каждого жителя планеты
🔸Американский миллиардер Ларри Эллисон предложил создать единую базу данных для хранения всей информации о гражданах США, включая их генетические данные, чтобы искусственный интеллект мог анализировать её и использовать для улучшения государственных услуг. Такое заявление он сделал на Всемирном правительственном саммите в Дубае в ходе обсуждения с бывшим премьер-министром Великобритании Тони Блэром.
🔸Основатель и бывший генеральный директор Oracle считает, что искусственный интеллект уже в ближайшее время радикально изменит жизни людей. Однако для этого, по его мнению, необходимо объединить все доступные данные: пространственную информацию, экономические показатели, медицинские записи, геномные данные и данные об инфраструктуре. По его словам, это «недостающее звено» для эффективного внедрения ИИ в государственное управление.
🔸Эллисон утверждает, что такая система позволит повысить качество здравоохранения, создавая персонализированные методы лечения, а также увеличить объёмы производства продуктов питания за счёт анализа данных о состоянии почвы и прогноза урожаев. Он уверен, что ИИ сможет помочь управлять социальными службами и выявлять случаи мошенничества.
🔸Сам Эллисон не скрывает своей приверженности к концепции повсеместного наблюдения: ещё в 2024 году он заявил, что считает постоянный мониторинг граждан с помощью ИИ полезным для поддержания общественного порядка. По его словам, Oracle уже активно работает над созданием мощных дата-центров, способных обрабатывать подобные массивы данных. В частности, компания строит вычислительный центр мощностью 2,2 ГВт стоимостью от 50 до 100 миллиардов долларов. Такие объекты, по мнению Эллисона, станут основными площадками для тренировки супер-моделей ИИ, которые будут доступны лишь ограниченному числу корпораций.

🇺🇲 Microsoft объявила об удалении из Windows функции слежки за пользователями
🔸Функция отслеживания истории местоположений (Location History) устройств пользователей будет удалена из операционных систем Windows 10 и 11.
🔸Отказ от локального (т.е. на самом устройстве) Location History не позволит приложениям собирать данные о том, где находится работающий под Windows компьютер.

🏛️ Дипфейки могут стать отягчающим обстоятельством при совершении преступления
🔸Технологии дипфейков в РФ при их использовании в преступлении могут стать отягчающим обстоятельством для злоумышленников. Это обсуждается, заявил глава Минцифры РФ Максут Шадаев.
🔸"С коллегами из правоохранительных органов мы обсуждаем, что использование дипфейков станет отягчающим обстоятельством при совершении преступлений. Нам кажется, что это правильно", - сказал министр на форуме " Кибербезопасность в финансах".

🏛️Для сектора кибербезопасности ищут исключения в Уголовном кодексе
🔸Минцифры, представители Совета Федерации и участники рынка информационной безопасности (ИБ) обсуждают возможность исключения ИБ-компаний из-под действия ст.272.1 УК РФ. Речь идет о том, чтобы исключить возможность уголовной ответственности для сотрудников ИБ-компаний, получивших доступ к персональным данным граждан в результате профессиональной деятельности.

⚡МТС увидела риски для тайны связи в идее РКН о сборе IP-адресов россиян
🔸Необходимость предоставлять Роскомнадзору дополнительные данные, позволяющие идентифицировать оборудование, через которое пользователи входят в интернет, нарушит тайну связи и потребует больших затрат на модернизацию сети. Об этом говорится в отзыве МТС на проект приказа Роскомнадзора о порядке, сроках, составе и формате предоставления операторами подобных данных.
🔸Проект был опубликован в середине декабря прошлого года. Согласно инициативе, операторы связи обязаны предоставлять Роскомнадзору информацию, позволяющую идентифицировать средства связи и пользовательское оборудование ‎в интернете, выделенные для их использования сетевые адреса, ‎а также сведения об изменении этой информации.
🔸В ответе на отзыв МТС Роскомнадзор настаивает, что проект не требует от операторов предоставлять сведения, составляющие тайну связи. Идентификация отдельных пользователей и их пользовательского оборудования не требуется, нужны сведения о локализации выделяемого пользователям адресного пространства по регионам России, а также сведения о выделяемых связках IPv4- и IPv6-адресов, поясняет РКН.
🔸В ответе на другой отзыв ведомство указало, что в связи с тем, что операторы перешли на технологию двойной адресации Dual-Stack, когда одновременно используются протоколы IPv4 и IPv6, ТСПУ не может однозначно идентифицировать принадлежность трафика конкретному пользователю, что приводит к снижению эффективности ограничения трафика к противоправным ресурсам.

📡 Инвестиции в средства защиты данных в 2024 году выросли почти на четверть
🔸Размер инвестиций в средства для защиты данных в России в 2024 г. увеличился на 20%, до 23 млрд руб. Больше всего выросли показатели по средствам реагирования на утечки (на 26%) и ИТ-продукты для контроля доступа (на 40%). Самый крупный сегмент в деньгах - средства реагирования на утечки: 9,7 млрд руб. по итогам года, также растут и другие сегменты.

🏦 В СберСтраховании предлагают создать простой механизм выплаты компенсаций за утечку персональных данных
🔸СберСтрахование выступает за простую и быструю выплату компенсаций россиянам, личная информация которых оказалась в открытом доступе. Вменённое страхование от утечек для операторов персональных данных могло бы стать финансовой гарантией таких выплат, заявил директор по рискам СберСтрахования Владимир Новиков на Уральском форуме «Кибербезопасность в финансах».
🔸В 2024 году президент подписал законы об ужесточении ответственности за утечку персональных данных. Согласно одному из них, максимальный размер штрафа для оператора, допустившего потерю информации, повысили до 15 млн рублей. Второй закон ввёл уголовную ответственность за незаконное использование персональных данных.
🔸Сегодня, чтобы получить компенсацию, людям зачастую приходится доказывать свою правоту через суд. Такие разбирательства требуют от человека дополнительного времени и денег.
🔸Владимир Новиков, директор по рискам СберСтрахования: «Раскрытие персональных данных — серьёзное нарушение права на неприкосновенность частной жизни. Кроме того, она может повлечь за собой финансовый ущерб и психологический дискомфорт. Мы в СберСтраховании считаем, что получение компенсации за утечку личной информации должно быть простым и понятным, точно не через суд. Сама необходимость компенсации после утечки будет дополнительного стимулировать бизнес повышать свою цифровую безопасность и страховать остаточные риски».

⚖️Московский суд оштрафовал Telegram и YouTube на ₽80 тыс. за неудаление персональных данных
🔸Cудья признал компанию Telegram Messenger Inc. виновным в совершении административного правонарушения, предусмотренного ч.5 ст.13.11 КоАП за отказ удалить персональные данные, размещенные без согласия человека.
🔸Аналогичное наказание было назначено YouTube LLC за неисполнение своих обязанностей как организатора распространения информации в Интернете, связанное с отказом удалить незаконно полученные персональные данные гражданина.

🏛️ Власти ужесточили требования для бизнеса по хранению персональных данных
🔸Во вторник, 18 февраля, Госдума во втором и третьем чтении приняла законопроект, запрещающий собирать персональные данные (ПД) россиян с использованием зарубежных баз данных. Документ вступает в силу с 1 июля 2025 года. Пакет поправок, принятый 18 февраля, был внесен в Госдуму еще в августе 2023 года и касается по большей части обработки ПД сотрудников спецслужб. Поправка в закон «О персональных данных», запрещающая собирать личную информацию россиян в зарубежные базы данных, появилась в версии законопроекта ко второму чтению 30 января 2025 года.
🔸Поправки конкретизируют обязанности операторов ПД обрабатывать такие данные граждан России исключительно на территории нашей страны, отметили в аппарате вице-премьера — руководителя аппарата правительства Дмитрия Григоренко. «Прежнее регулирование разрешало операторам данных осуществлять их хранение и обработку в том числе за пределами России. Это не позволяло обеспечить надежную защиту персональных данных и создавало предпосылки к их утечке», — пояснили там.
🔸«Смысл поправки в том, что базы с содержанием ПД наших граждан должны находиться на территории исключительно нашей страны и не иметь копий вне ее территории, за исключением данных дипломатических работников и сотрудников российских СМИ, которые работают за рубежом», — сообщил Forbes глава комитета Госдумы по информполитике Сергей Боярский.
🔸Закон направлен на предотвращение возможных нарушений прав граждан и не окажет негативного влияния на них, подчеркнули в Минцифры.

🤔 Минцифры опубликовало документы регламентирующие сбор и использование персональных данных, а также процедуру их обезличивания
🔸Как следует из текста пояснительной записки, "случаи формирования составов данных определены с учетом высокой значимости ситуаций для государства и общества (чрезвычайные ситуации, противодействие терроризму, распространение инфекционных заболеваний и прочее), а также в целях повышения эффективности государственной политики в отдельных областях".
🔸Речь идет о проведении исследований в сфере туризма, социальной политики и экономики. "Это позволит проанализировать, в какие регионы чаще всего приезжают на отдых, а также какая инфраструктура необходима в этих регионах. Например, дороги, детсады, школы и т.д", - отмечают в Минцифры.
🔸Например, в случае проведения исследований в экономической и социальной сферах в целях реализации государственной миграционной политики предполагается получать доступ к таким данным как "обезличенный идентификатор абонента, год рождения с возможностью выбора определенного временного интервала, пол, гражданство абонента, местоположение абонента, включая информацию об изменении местоположения абонента с определенной периодичностью, с возможностью определения местоположения абонента в метрополитене, а также определения страны абонента, находящегося на территории Российской Федерации в международном роуминге", - говорится в тексте проекта постановления.
🔸Доступ к указанным наборам данных будет происходить исключительно в рамках закрытого контура государственной информационной системы, а "вынести" их из неё будет невозможно. "Это позволит обеспечить безопасность при обработке данных, что особенно важно для внедрения технологий искусственного интеллекта. В соответствии с действующим законодательством, никакие личные данные не будут передаваться", - подчеркнули в Минцифры.
🔸"Предоставление информации о местоположении абонента, включая информацию об изменении местоположения абонента с определенной периодичностью, несет в себе риски раскрытия информации, составляющей тайну связи, поскольку обезличенные данные в соответствии с федеральным законом остаются персональными данными и могут быть восстановлены", - сообщили в Ассоциации больших данных (АБД).

💡[Меланхо]личное мнение и оценочное суждение Кирилла Зюбанова о толковании обновленных требований к локализации баз с ПД граждан РФ:
🔸Теперь ч. 5 ст. 18 152-ФЗ, ранее сформулированная в виде предписания, теперь прямо запрещает при сборе ПД российских граждан обрабатывать (даже просто хранить) их в базах данных, находящихся за пределами РФ.
🔸А раньше как было? Очень похоже, но с одним нюансом: раньше это положение было сформулировано не в виде запрета, а в виде позитивной обязанности при сборе ПД граждан обеспечить их обработку в базах на территории РФ, что само по себе не исключало дальнейшую передачу данных за границу в рамках той же обработки.
🔸Какие у этого могут быть реальные последствия? Норма ограничена условием "при сборе" (возникновение данных у оператора напрямую от субъекта, например, через формы регистрации или обратной связи). Это значит, что если цель определенной обработки данных предполагает необходимость обращения к третьему лицу, использующему иностранные базы данных, то (1) поручение такому лицу (передача части функций по обработке данных) может быть под угрозой, даже если оператор уже сохранил эти данные в Российской Федерации, ведь поручение осуществляется в рамках той же цели (~ той же обработки); и (2) передача такому лицу данных (для дальнейшей обработки в самостоятельных целях такого лица) тоже может быть вне закона, ведь сама передача осуществляется в рамках первоначальной цели и предполагает, что данные покидают российские базы данных.
🔸Что делать? По сути, единственный путь к сбалансированному пониманию нововведений — надлежащее толкование. если осуществление трансграничной передачи / поручения неотъемлемо связано с достижением цели сбора, т. е. осуществляется в рамках Обработки 1, эта деятельность уходит "в тень" в ожидании каких-либо разъяснений от регулирующих и / или контрольных (надзорных) органов.

На ярмарке вакансий RPPA опубликована новая позиция:
🔸Старший юрист сопровождения персональных данных в Яндекс Go
🇷🇺⚡️👨‍💻 #вакансия #privacy #legal