Гіганти соціальних мереж знову опинилися в новинах і не з позитивних причин.

Раніше цього місяця широко повідомлялося, що в Інтернеті стали доступні дані понад 530 мільйонів користувачів Fb у всьому світі, включаючи номери телефонів та деякі адреси електронної пошти. Очевидно, дані включали навіть власний номер мобільного телефону генерального директора Марка Цукерберга. А лише через кілька днів дані 500 мільйонів користувачів LinkedIn нібито були виставлені на продаж в Інтернеті.

Реакція підприємств була схожою. Обидва заперечували будь-які правопорушення з їхнього боку або навіть те, що мало місце якесь порушення їхньої безпеки. Натомість вони стверджували, що дані були отримані із загальнодоступних джерел. Тим не менш, низка регуляторів по всьому світу почали розслідування інциденту з Fb. То що саме відбувається?

У докладній відповіді Fb стверджував, що ці дані були «вкрадені» із загальнодоступної інформації, говорячи:

Очищення — це поширена тактика, яка часто використовує автоматизоване програмне забезпечення для отримання загальнодоступної інформації з Інтернету… Ми вважаємо, що дані, про які йдеться, були вилучені з профілів людей на Fb за допомогою нашого засобу імпорту контактів до вересня 2019 року. Ця функція була розроблена, щоб допомогти людям. легко знайти своїх друзів, з якими можна зв’язатися в наших службах, використовуючи їхні списки контактів».

Інструмент імпорту контактів Fb тепер виправлений, щоб запобігти подальшому очищенню цих даних. LinkedIn також містить посилання на збір загальнодоступних даних, які були об’єднані з даними з інших джерел для створення бази даних, яка тепер імовірно продається в Інтернеті. Обидві компанії звинувачують парсерів даних у порушенні умов веб-сайтів.

З юридичної точки зору, компанії соціальних мереж, (поки невстановлені) збирачі даних та будь-які потенційні покупці даних несуть відповідальність. Як «контролери» персональних даних, які створюються та публікуються на їх веб-сайтах, соціальні мережі повинні дотримуватись відповідного закону про захист даних. У Великобританії та ЄС це означає, що вони мають вжити «відповідних технічних та організаційних заходів» для забезпечення належної безпеки персональних даних, включаючи захист від несанкціонованої або незаконної обробки.

Очевидно, що ці компанії мало що можуть зробити, щоб запобігти копіюванню інформації з загальнодоступних веб-сайтів, особливо коли дані активно публікуються користувачами в їхніх особистих профілях. Однак, якщо власним інструментом імпорту контактів Fb маніпулювали, щоб забезпечити очищення даних, то законно запитати, чи справді Fb зробив усі необхідні кроки для запобігання такій несанкціонованій обробці. Це цілком можливо у центрі уваги будь-якого майбутнього розслідування регулюючих органів.

Навіть якщо парсери даних лише збирають загальнодоступну інформацію, це дає їм абсолютно безкоштовного проходу. Закон про захист даних застосовується до всіх «особистих даних», незалежно від того, чи вони вже у відкритому доступі. Щойно дані опиняться в їхніх руках, збирачі даних самі стануть контролерами та нестимуть відповідальність за дотримання всіх аспектів закону про захист даних. Їм необхідно дотримуватись принципів захисту даних, надавати відповідні повідомлення про конфіденційність та мати законну основу для обробки даних. Враховуючи, що ми навіть не знаємо їхньої особистості, дуже малоймовірно, що парсери даних відповідатимуть цим вимогам.

Відповідно до статті 170 Закону про захист даних 2018 року кримінальним злочином також є свідоме чи необережне отримання персональних даних без згоди контролера, а також продаж чи пропозиція продажу персональних даних, отриманих за таких обставин. Нарешті, будь-які порушення умов веб-сайтів соціальних мереж можуть призвести до цивільних позовів, які Fb та LinkedIn, а також їх дорогі юристи, можливо, захочуть подати до суду.

Зрештою, будь-хто, хто захоче придбати ці дані, буде дуже мудрим, якщо відмовиться від цієї пропозиції. Крім кримінального злочину, описаного вище, покупцеві буде дуже складно використовувати дані на законних підставах, не порушуючи при цьому закон про захист даних. Хоча особисті дані можуть бути цінним діловим активом, шановні покупці повинні завжди проводити належну перевірку продавців, щоб гарантувати, що дані були зібрані на законних підставах і можуть бути використані з метою покупців. У цих випадках це дуже малоймовірно, навіть якщо дані отримані виключно із загальнодоступних джерел.


Джон Белчер

Джон Белчер – фахівець із захисту даних та управління інформацією в Excello Regulation.