Цена отписки
Хабражители активно обсуждали обращения к регуляторам по поводу количества сведений, собираемых операционной системой Windows 10. Как ни странно реакция на обращение депутата по данному поводу последовала практически молниеносная.
Вот только то, что сказал регулятор, весьма грустно может сказаться на системе защиты. Но обо всем по порядку.
Цитаты даны в соответствии с орфографией и пунктуацией оригинала.
Деятельность Microsoft в части работы ее новой операционной системы Windows 10 не подпадает по российский закон об информации, а пользователи системы сами соглашаются на сбор их данных, принимая лицензионное соглашение
Если пройти по ссылкам из новостей, то они по большей части ведут на РИА Новости. В качестве источника информации говориться о тексте, который «имеется в распоряжении РИА Новости».
Согласно опубликованному:
система Windows 10 является программой для ЭВМ, но не используется для приема, передачи, доставки и обработки электронных данных интернет-пользователей в понимании статьи 10.1 российского закона «Об информации, информационных технологиях и о защите информации».
В этой связи компания Microsoft не может рассматриваться в качестве организатора распространения информации в сети «Интернет», в части порядка работы программного продукта Windows 10.
Напомним, что согласно закона «Об информации, информационных технологиях и о защите информации»:
Организатором распространения информации в сети «Интернет» является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет»
А что кстати у нас электронное сообщение? Уже упоминавшийся закон закона «Об информации, информационных технологиях и о защите информации» гласит:
10) электронное сообщение — информация, переданная или полученная пользователем информационно-телекоммуникационной сети;
Вполне естественно, что «голая» Windows 10 скорее всего не используется пользователем для организации работы с почтой (знатоков telnet я думаю учитывать не будем). Поскольку запрос касался только Windows 10, а не всех программ Microsoft, которые устанавливаются на Windows 7/8.1/10, то можно только приветствовать умение выкрутиться из неприятного запроса?
Так, но не совсем. В составе Windows идет браузер (кто-то помнится утверждал, что он неотъемлемая часть ОС). Точнее теперь даже два. И естественно с помощью него можно и получать и отправлять информацию (и письма тоже). Получается Роскомнадзор ошибся — не зная состава Windows?
Регулятор также заявил, что Microsoft в соответствии с заявлением о конфиденциальности собирает следующие данные: имя, фамилию, адрес электронной почты, почтовый адрес, данные о возрасте, поле, стране, языке, номере телефона, паролях, подсказках по паролям, интересах, платежных данных, IP-адресе, сетевых настройках, связях с другими людьми и организациями и о приблизительном местоположении.
Знакомые все вещи! Закон «О персональных данных»:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Или в предыдущей редакции:
1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
Вернемся к ответу регулятора:
Вместе с тем, согласно лицензионного соглашению на использование Windows 10, пользователь соглашается с тем, что Microsoft может собирать, использовать и раскрывать сведения, как описано в заявлении о конфиденциальности.
Закон «О персональных данных»:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом…
4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
В случае ПО не наблюдается ни подписи в письменной форме, ни с электронной подписью. Да и с информированностью в момент подписи наблюдаются проблемы. Ну да ладно. Все ПО устанавливается именно так, поэтому придираться не будем. Но вот дальше в ответе начинается самое интересное:
Таким образом, совершая установку на персональные устройства связи программного обеспечения, предоставленного Microsoft, или осуществляя его использование в своих интересах, пользователь принимает данное лицензионное соглашение, или полностью соглашается с ним. Это соглашение в соответствии с Гражданским кодексом является публичной офертой. Акцепт оферты означает безоговорочное принятие всех ее условий без каких-либо изъятий или ограничений на условиях присоединения
Не будем обсуждать насколько правильна такая позиция. Думаю причины ее появления вполне понятны. Но в результате мы имеем позицию регулятора в области защиты персональных данных, которая гласит, что в том случае, если пользователь принял лицензионное соглашение, то никаких претензий к разработчику программы быть не может.
Разберем на примере, к чему такая позиция приводит. Четыре китайские авиакомпании устанавливают шпионское ПО на Android-смартфоны пассажиров, летающих международными рейсами. В первоисточнике подробностей больше.
Традиционно жертвам предлагалось согласиться с установкой приложения:
Но если они согласились, то получается это «означает безоговорочное принятие всех ее условий без каких-либо изъятий или ограничений на условиях присоединения». Если для Windows вредоносные приложения скрывают свою злонамеренную сущность, то для Андроида в большинстве случаев это не так — приложения запрашивают разрешения — и жертвы с ними «информированно» соглашаются. Случаи когда создатели программ, приписанных к вредоносным, возмущались — имелись и ранее. Но получается, что теперь их поддерживает регулятор?
Ну и в заключение:
Руководитель подразделения Microsoft по разработке Windows Терри Майерсон (Terry Myerson) ответил на все упреки касательно политики сбора и хранения данных пользователей Windows 10
Майерсон заявил, что корпоративные клиенты ОС смогут отключить функцию сбора телеметрических данных уже в конце текущего года, когда будут выпущены обновления для корпоративной версии ОС. Однако разработчики Microsoft настоятельно рекомендуют этого не делать.