12月19日、モスクワのタガンスキー裁判所は、フランスのドメイン登録機関であるGandi SASに対するRoskomnadzorの訴訟で、集団投票サイト2019.vote をブロックすることを決定しました。 以前、12月14日、訴訟のセキュリティ対策として、PDプロセッサの違反者の登録にサイトを追加する決定が公表され 、12月7日、 プロバイダによるサイトへのアクセスの制限が追加されました 。
Roskomnadzorの代表者は、11月の終わりに、ウェブサイトが「スマート投票」ページでのデータの違法な処理について不平を言っている無名の市民から苦情を受け取ったと説明しました。 その後、部門の従業員が独自の検証を行い、個人データに関する法律違反の存在を確認しました:Navalnyサイトのデータ収集フォームは法律で規定された基準を満たしていませんでした。さらに、リソースにはプライバシーポリシーがありませんでした。 Ampelonskyは、ユーザーデータが外部サーバーに保存されることも追加しましたが、これは法律に矛盾します。
12月19日の会議で、原告は、このサイトが個人情報保護法および利用規約に違反してGoogle AnalyticsおよびYandex Metrics分析システムを使用しているという議論の1つを引用しました。 証拠として、OperaブラウザでのサイトのHTMLコードの写真が提供されました。 ILVは本日、ウェブサイトの公式プレスリリースでこの情報を確認しました 。
連邦法「個人データに関する」およびGoogleAnalytics利用規約の要件について話します。これは、訪問者に関する個人情報を収集する際に、サイトの管理者がこのサイトへの訪問者に関する情報を収集し、それを処理するための同意を得て、収集されたデータに関するプライバシーポリシーを規制する文書を投稿することを規定しています。残念なことに、プレスリリースでは、分析サービスが収集する「個人データ」のカテゴリを指定しませんでした。 そのため、ILVの公式Webサイトを調べると、名前、電話番号、または電子メールは個人データではない可能性があるというコメントを見つけることができ、カウンターはIPアドレスなどの機密性の低いデータを収集します(同時に、完全に表示することはできません)。 たとえば、 フルネーム自体はPDとは見なされません 。
ただし、サイト管理者2019.voteはこれらの要件を満たしていません。
したがって、GoogleのメトリックプログラムであるYandexに対するRoskomnadzorの主張の問題ではありませんが、2019.vote Webサイトの管理者は、利用規約で指定されたGoogleAnalytics、Yandex.Metricaメトリックプログラムの要件に準拠していません。
これに関連して、モスクワのタガンスキー地方裁判所は、上記の要件を満たしていないため、特定された違反が解消されるまでサイトへのアクセスを制限する決定を下しました。
3.質問:個人データの処理は、他の追加情報なしでの姓、名、および後援者の配置ですか?ILVの観点からの電話番号はPDではありません。
回答:個人を個人データの主題として識別することができる追加情報なしで、インターネットサイトのページに姓、名、および愛顧を配置することは、特定の個人の個人データの処理を証明することはできません。
質問:個人データの処理、市民の電話調査を実施するための電話の実施はありますか?PDと電子メールアドレスもカウントされません 。
回答:アートによると。 2006年7月27日の連邦法第3号152-「個人データについて」では、個人データとは、特定または決定可能な自然人(個人データの主題)に直接的または間接的に関連する情報です。 加入者番号(電話番号)は、電話通信サービスの提供に関する加入者との契約を締結するときに、加入者に割り当てられる番号(デジタルサインのセット)です。 この番号は、加入者デバイスを接続する際に通信ネットワーク内の加入者の最終機器を示し、識別するために使用されます。これは、所有者を示さない電話番号は、この人物(個人データの主題)を一意に識別できる情報に基づいていないことを意味し、その使用は、その所有者の個人データの処理を意味することはできません。
たとえば、写真、名前、電話番号、メールアドレスを使用すると、人物を非常に正確に識別することができます。 しかし、写真と「Olya」という名前は、単一のメールアドレスや電話番号と同様に、個人データとはみなされません。 データの全体に関するものです。残念ながら、分析サービスを使用する多くのサイトは訪問者に通知せず、データの収集に対する同意を受け取りません。 このようなサイトは、ブロックを回避するために、状況を修正するための措置を早急に講じる必要があります。 たとえば、サイト「ロシア連邦政府機関のサーバー」 gov.ruのソースコードを開くと、「Google Analytics」および「Yandexメトリック」の使用を確認できますが、データ収集に関する警告は表示されず、データ収集に対するユーザーの同意は求められません。
データ収集の同意は、ライブインターネット、Yandex Metric、Facebook Pixel(2コピー)、およびRambler Top 100サービスがインストールされているロシア連邦党の Webサイトでも求められません。 Vesti.ru Webサイトには、Piwik、Adblockmetrics、Rating @ Mail.ru、Yandex Metric、LiveInternet、Google Analyticsからの訪問者の数が訪問者のカウントに関与しているようなものはありません。および広告ネットワーク「AdFox」、「1banner」。 「最初の」チャネルの同僚は「2番目」のチャネルに遅れをとりません-彼らのウェブサイトには「未宣言」の「LiveInternet Counter」、「Yandex Metric」、「Google Analytics」、および「Facebook」、「VK」、「Odnoklassniki」のウィジェットがあります「、」Twitter」も分析を収集します。
ロシア連邦のサイトの完全なブロックはまだ提供されていないことに注意してください。 一部のユーザーによると、サイトはGoogleのDNSサーバー8.8.8.8を使用してプロバイダーから入手できます。 Roskomsvoboda Webサイトの記録( 4.12および14.12 から ) から判断すると、このサイトは既に330を超えるIPアドレスを変更しており、「企業向け」アクセスは362ドメインに制限されています。
分析サービスを使用するHabraユーザーは、規制当局の要件がサイトで遵守されているかどうかを確認することをお勧めします。
追加 :A. Litreevは、記事で言及されている要件に加えて、State DumaのWebサイトの要件との不一致を発見しました。 彼はまた、ユーザーデータを収集するState Duma Webサイトにフィードバックフォームがあることを発見しました。 この機会に、彼はRoskomnadzorに訴えを書きました 。
追加 。 ユーザーHabrahabrによると、SberbankのサイトはILVの要件も満たしていない可能性があります。 [ネットワーク]タブで開発者ツールを開いた状態でサイトwww.sberbank.ruにアクセスすると、「RetailRocket」( トラッキング名tracking.jsのスクリプト)、「RuTarget」、「Google Analytics」、「Google Adsense」、「Yandex Metric」(異なるIDの約8つのカウンター)、Facebookスクリプト、「Artfut.com」、「Doubleclick」、「Top Mail.ru」。 ILVは長らく外国企業であるGoogleおよびFacebookに対してクレームを行ってきたことを思い出してください。後者に加えて、米国ではサードパーティ企業へのユーザーデータの転送に関する調査が進行中です。
また、Sberbank Webサイトには、Vkontakteからの「リターゲティング」スクリプトが含まれています。 このスクリプトは、このネットワークユーザーがSberbank Webサイトにアクセスしたという情報をVkontakteに送信し、より関連性の高い広告を表示するために使用できます。また、Sberbankが「サイトにアクセスしたオーディエンスを探索」 このシステムの仕組みは、ソーシャルネットワークサイトのドキュメントに記載されています 。 次のように述べています。
VKリターゲティングピクセルは、サイトのソースコードに挿入されるJavaScriptコードであり、すべての訪問者を追跡できます。人がサイトにアクセスするとすぐに、リターゲティングピクセルは自動的にそれを考慮します。
これらの機能が十分でない場合、Vkontakteは特定のユーザーに広告をターゲティングするためのより正確な方法を提供します。
ファイルをリターゲティングすると、必要なユーザーの電話番号、メールアドレス、VKページの識別子(ID)で構成される事前に準備されたリストが読み込まれます。 モバイルアプリケーションをお持ちの場合は、モバイルデバイス識別子のリスト(Apple(IDFA)、Android、Google(GAID)の広告ID)をダウンロードすることもできます。
ファイルがサーバーにアップロードされると、そのファイルからのすべてのデータが処理され、VKontakteユーザーデータベースと比較されます。
...
ファイルリストのユーザーは誰も、リターゲティングをオーディエンスに追加することを知りません。また、ユーザーの参加なしに連絡することはありません。
これらすべてにより、Sberbank Webサイトはユーザーに関する情報の収集に関する警告をユーザーに表示することも、同意を求めることもしません。 Cookieの使用に関する警告のみがあり、サードパーティ企業へのデータの転送については何も言及していません。
銀行およびソーシャルネットワークは、「レゲエターゲティング」メカニズムの現行の法律への準拠を再確認して、サービスのブロックを回避する必要があります。
加えて :ユーザーレポートによると、同社がYandex-MetricaであるSputnik社の分析スクリプトもILVウェブサイトのプレスリリースページで発見されました。 また、ILV Webサイトには、Fiddlerなど、トラフィック分析用のプログラムの存在をユーザーのコンピューターでスキャンするためのコードを含むスクリプトがあります。 このツールを検出するサンプルコードを次に示します。
t.src = "http://127.0.0.1:8888/FiddlerRoot.cer", t.onerror = function() { if ((new Date).getTime() - e < f) { var t = "Tool: Fiddler; Open Port: 8888";
Fiddlerに加えて、プログラム「acunetix」、「beef」、「burp」、「zap」、「netsparker」、「sleepypuppy」、「sonar」、「xbackdoor」、「xenotix」、「dominator」、「littleDoctor」、およびユーティリティCasper.jsまたはPhantom.jsの使用。 データのスキャンおよびスプートニクへの送信に関するユーザーの同意は、発行時点ではILV Webサイトから要求されていません。
UFOケアミニッツ
この資料は相反する感情を引き起こす可能性があるため、コメントを書く前に、記憶の中で重要な何かを更新してください。
コメントを書いて生き残る方法
- 不快なコメントを書いたり、個人的にならないでください。
- わいせつな言葉遣いや中毒行為は避けてください(ベールに包まれた形でも)。
- サイトのルールに違反するコメントを報告するには、[レポート]ボタン(利用可能な場合)またはフィードバックフォームを使用します。
対処方法 : マイナスカルマ | ブロックされたアカウント
→ 著者のコードHabrとhabraetiket
→ サイトルールの完全版
追加:タガンスキーの裁判所は、 この事件に関する決定を公表した。 特に以下から多くを学ぶことができます。
しかし、「whois」の情報源によると、ロシア連邦の市民の個人データを含むデータベースをホストするためのコンピューティング能力を提供するサービスが見つかりました。これにより、市民の個人データの記録、体系化、蓄積、保存、更新(更新、変更)、および抽出が提供されますロシア連邦では、常にインターネットに接続されています...は、アメリカ合衆国にあるCloudflare、Inc.のサーバー施設を通じて行われています
これから、次の結論を導き出すことができます。
-Whoisの会社のオフィスアドレスは、このIPを持つサーバーのアドレスとして裁判所によって認識されます。
-whoisにより、サイトデータベースの地理的位置を特定できます。
whoisによると、ロシア連邦のサイトではCloudflareが使用されており、ブロックされるリスクもあることに注意してください。
裁判所は分析の使用についても話しました。
原告の代表者はまた、被告と第三者がウェブサイトのトラフィックを評価し、ユーザーの行動を分析するために設計されたGoogle AnalyticsとYandex Metricaサービスを使用していること、彼らのサーバーも米国にあり、サービスの使用は個人データの収集と処理であり、個人データの処理におけるサービスの使用に関する2019.voteインターネットリソースのプライバシーポリシーには情報が含まれておらず、これも連邦法No. 152の違反です。
この段落を曖昧に解釈することはできません。 分析の使用は個人データのコレクションです 。 ユナイテッドロシア、チャンネルワン、ベスティのサイトなど、膨大な数のサイトで分析が使用されていることを思い出してください。
サイトのユーザーは、裁判所がサイトと競合しているかどうかを確認する裁判所の決定を検討することをお勧めします。