Архив метки: Закон

ЕСПЧ подтвердил законность увольнения за общение в Facebook в рабочее время

В январе 2016 года Европейский суд по Правам Человека признал законным увольнение румынского инженера за то, что он вёл активную переписку в Facebook в рабочее время с рабочего компьютера.
Суд подтвердил, что работодатель имеет полное право контролировать, чем занимаются его подчинённые в рабочее время и для чего используются компьютеры организации — для работы или в личных целях.

European Court of Human Rights

Европейский суд по правам человека (European Court of Human Rights) — международный судебный орган, юрисдикция которого распространяется на все государства-члены Совета Европы, ратифицировавшие Европейскую конвенцию о защите прав человека и основных свобод, и включает все вопросы, относящиеся к толкованию и применению конвенции, включая межгосударственные дела и жалобы отдельных лиц.

36-летний инженер Михай Барбулеску был уволен в 2007 году, после чего прошёл все судебные инстанции Румынии и, получив отказ, обратился в ЕСПЧ.

Проверка страницы в социальной сети в некоторых случаях может являться вмешательством в частную жизнь работника — именно к этому теоретическому нарушению его прав апеллировал в суде инженер.

Но суд счёл иначе, что вполне логично, т.к. переписка на открытой «стене» в Facebook по сути и так публична. А трудовой договор работника и организации однозначно вменят работнику обязанность целевого использования принадлежащего организации оборудования.

 

Поскольку ЕСПЧ является по сути высшим судебным органом для стран Совета Европы, его решение становится прецедентом и мы можем с достаточной уверенностью сказать, что законно не только использование программ для наблюдения за сотрудниками (юридическая справка), но и использование собранной таким образом информации для кадровых решений.

Кейлоггеры и закон: на чужих ошибках

В связи с очередной новостью об уголовном преследовании за использование кейлоггеров в очередной раз хотелось бы поднять тему о законности их применения.

shutterstock_154122851

А ещё рассказать об одном важном нововведении в интерфейсе наших программ, призванном уберечь пользователей от неумышленного нарушения закона.

personal-monitor-setup-1

Читать далее

Юридические аспекты сбора информации

Один из часто задаваемых вопросов о различных способах мониторинга и сбора информации — это вопрос о юридической безопасности такого рода действий.

Эта статья не является руководством к каким-либо действиям, являясь по сути частным мнением автора. Мы крайне не рекомендуем нарушать закон, в какой бы ситуации вы не оказались.

Оно и не мудрено — закон (речь о российском законодательстве) разрозненный, временами противоречащий сам себе или здравому смыслу, крайне запутанный и к прочтению человеком без юридического образования вообще малопригодный.

law

Мы попробуем разобраться в нём и дать рекомендации и рецепты для наиболее частых случаев. Начнём с мониторинга активности пользователей компьютеров (как домашних, так и корпоративных), а затем обратимся к аудио- и видеонаблюдению.

Читать далее

Россия: в школах пока не будут следить за учениками в соцсетях

Не так давно был опубликован проект постановления правительства «Об антитеррористической защищенности организаций, осуществляющих образовательную деятельность». Он содержал требования к учебным заведениям, связанные с опасениями власти проявлений терроризма и экстремизма.

Одной из инициатив этого проекта было введение слежки за учениками и учителями в интернете и в частности — в социальных сетях. Законотворцы решили, что сегодня информация из социальных сетей может рассказать о человеке гораздо больше, чем любой другой источник информации (и в этом они как раз правы).

К счастью, к мнению независимых экспертов они на этот раз прислушались и удалили из проекта пункты, касающиеся интернет-мониторинга: ведь с учётом современного состояния школ и развития технологий такой подход невыполним ни технически ни финансово.

Впрочем, Министерство пообещало позднее поднять вопрос разработки и внедрения специализированных программ, которые могли бы автоматически вести статистику, мониторинг и анализ интернет-активности в школах.

США: Пересмотр правил защиты детей в интернете

FTCЭксперты федеральной торговой комиссии США (Federal Trade Commission, FTC) уверены, что из-за прогресса и развития технологий настало время пересмотреть правила защиты персональных данных детей в интернете (Children’s Online Privacy Protection Rule, COPPA).

Этот документ был принят в 1998 году и обязывал провайдеров обеспечивать определённый уровень защиты информации о детях младше 13 лет.

FTC считает, что большинство родителей на сегодняшний день не имеют точного представления о том, какая информация о детях собирается, где и для чего хранится и т.п. Особенно хорошо это заметно в социальных сетях, мобильных платформах и всевозможных приложениях.

Поправки к COPPA содержат несколько определений новых понятий, которые появлились со времени принятия документа. Само определение «персональные данные» также пересмотрено и определено конкретно — в него включены геолокационные данные, фотографии и видео.

Полный текст предлагаемых поправок (на английском) доступен на сайте FTC.

121 год тюрьмы за взлом?

ХакерАнглийская газета The Daily Mail сообщает, что хакер Christopher Chaney из Флориды признался во взломе учётных записей звёзд, краже их приватных фотографий и их распространении в сети. Его жертвами стали Кристина Агилера, Мила Кунис, Скарлетт Йохансон и ещё более 50 человек.

35-летнему взломщику грозит обвинение по девяти статьям, согласно которым он может суммарно получить до 121 года лишения свободы. Суд располагает данными, согласно которым взломщику удалось взломать более 50 аккаунтов электронной почты, получив таким образом доступ к фотографиям, личной и деловой переписке и прочему.

Адвокат подозреваемого пояснил, что его подопечный тесно сотрудничает с правоохранительными органами и искренне раскаивается за причинённый звёздам вред и надеется на адекватное наказание.

США: 10 лет тюрьмы за утечку информации

США: 10 лет тюрьмы за утечку информацииАгенство новостей Reuters сообщает об обвинении, выдвинутом в Нью-Йорке властями США против 32-летнего программиста родом из Китая по имени Бо Чжан (Bo Zhang). Он обвиняется в незаконном копировании на внешний жесткий диск исходного кода правительственной программы, разработка которой обошлась в $9.5 млн.

В момент обнаружения утечки информации этот программист являлся внештатным сотрудником Федерального резервного банка США, что и позволило ему получить доступ к исходным кодам программ Министерства Финансов.

Скомпрометированная программа — Government-wide Accounting and Reporting Program (GWA), разработана правительством для отслеживания денежных переводов правительства США и составления отчётов для госструктур и агентств.

Обнаружив утечку информации, сотрудники банка провели внутреннее расследование и передали дело властям. В результате этого 18 января Бо Чжан был арестован.

ФБР не выявило в его действиях признаков шпионажа и он был отпущен под залог. Следующий суд состоится 17 февраля, и если его вину докажут (а ему предъявлены обвинения в краже собственности правительства), то по закону ему грозит до 10 лет тюрьмы.

Международный рынок технологий слежения

ДокументыThe Wall Street Journal опубликовал список из 200 документов, содержащих данные о производстве и продаже оборудования для слежки за пользователями интернета и сотовой связи.

Из этих документов можно получить данные о 36 компаниях, занимающихся разработкой программного обеспечения для осуществления доступа к компьютерам и телефонам на государственном уровне. Есть данные и о механизмах массового перехвата, позволяющих отслеживать интернет-траффик на уровне страны.

Все эти технологии предназначены для высшего эшелона власти, а также для правоохранительных органов США и некоторых других стран.

На международном рынке в последний год наметилась новая тенденция: спрос на подобные вещи стремительно растёт, а оборот  «шпионской» сферы рынка вырос с нулевой отметки до пяти миллиардов долларов в год.

Этот рынок поставляет инструменты слежки в западные государства и страны с тоталитарным режимом. Например, оборудование одной из французских фирм было установлено в Ливии, а программное обеспечение от британской компании Gamma International UK Ltd. использовалось египетскими властями для перехвата переговоров оппозиции в Skype.

В документах указывается, что среди способов слежки за пользователями есть и «использование незакрытых уязвимостей» в мобильных устройствах Apple, Microsoft, Blackberry и Google.
То есть, по сути речь идёт об эксплуатации эксплойтов, как, например в случае с немецким ПО, эксплуатирующим уязвимость в iTunes или с ПО компании Gamma International GmbH, которое для проникновения в систему вообще использует троян FinFisher.

Перехват корпоративной почты: законно ли?

Распоряжение о просмотре электронной почтыК вопросу о необходимости просмотра всей входящей и исходящей корпоративной электронной почты приходят руководители и сотрудники службы безопасности во многих компаниях, и обычно эта задача адресуется в IT-отдел или напрямую старшему системному администратору.

Обычно необходимость таких мер объясняется соблюдением режима коммерческой тайны и возможностью выявления нелояльных сотрудников.

Опустив технические аспекты решения этой задачи, обратим внимание на юридические, ведь перехват электронной почты попадает под определение «нарушение права на тайну переписки».

В частности, это право определяется второй частью статьи 23 Конституции РФ и первый пункт статьи 63 ФЗ от 07.07.2003 № 126-ФЗ «О связи». Согласно этих пунктов, единственное, что может позволить перехват чужих сообщений электронной почты — судебное решение, добиться которого в данном случае не удастся.

Статья 138 УК РФ предусматривает уголовную ответственность за такие нарушения:

  • первая часть статьи грозит вам штрафом в размере до 80 000 рублей (или заработной платы за 6 месяцев)
  • вторая часть предусматривает ответственность за такое нарушение, совершённое с использованием служебного положения или специальных технических средств для негласного получения информации и грозит лишением свободы на срок до 4 лет или штрафом до 300 000 рублей
  • третья часть предусматривает ответственность за производство или приобретение специальных технических средств для негласного получения информации и грозит лишением свободы на срок до 3 лет
  • кроме того, статья 32 УК РФ обеспечит ответственность и руководителю компании (организатор преступления) и системному администратору (исполнитель преступления), квалифицируя исполнение администратором распоряжения руководства как соучастие.

Как компания может защититься от уголовного преследования, не отказываясь от проверки корпоративной почты сотрудников? Существует ряд рекомендаций, способных перевесить весы правосудия в вашу сторону.

  • Почтовые ящики, за которыми ведётся наблюдение не должны быть личными.
  • Все сотрудники должны быть предупреждены о проверке их корпоративной почты в форме отдельного документа-предупреждения, в тексте трудового договора или в виде локального нормативного акта с обязательной росписью сотрудников.
  • Предупреждение сотрудников должно содержать информацию о том, что корпоративная почта подлежит просмотру руководством и не предназначена для личной переписки. Кроме подписи сотрудников, документ должен содержать подпись лица, выдающего такое распоряжение.
  • Распоряжение о внедрении средств для просмотра почты должно быть в письменном виде и содержать полный список перехватываемых ящиков, периоде перехвата и извещённости сотрудников.
  • Отчёты о просмотре почты должны быть максимально подробными и должны передаваться лицу, выдавшему распоряжение о просмотре, под расписку с сохранением копии в IT-отделе.

Помните: просмотр корпоративной электронной почты незаконен, если отсутствует предупреждение работника об этом.

Наличие документа, подтверждающего извещённость сотрудника о просмотре его почты, по большей части снимет с руководства и IT-специалистов ответственность, хотя однозначного решения подобных вопросов в судебной практике России пока нет.

Датамайнинг (data mining): от общего к частному.

ДатамайнингData mining (датамайнинг, глубинный анализ данных) — собирательное название, используемое для обозначения совокупности методов обнаружения в данных ранее неизвестных, нетривиальных, практически полезных и доступных интерпретации знаний, необходимых для принятия решений в различных сферах человеческой деятельности.

Не секрет, что в современном мире полная приватность практически невозможна: так или иначе каждый из нас ежедневно попадает во всевозможные списки, отчёты и статистические выборки. Мы расплачиваемся банковскими картами, пользуемся мобильными телефонами, покупаем билеты… А в интернете количество оставляемых нами следов вообще колоссально: от списка посещённых страниц и до запросов к поисковым системам — всё это вполне возможно перехватить и собрать в единую базу данных.

Собственно, в глубоком анализе огромного количества данных в таких базах (на основе специально разработанных паттернов) и заключается суть датамайнинга.

Например, нет ничего подозрительного в переводе денег с одного банковского счёта на другой. Или в покупке билета на самолёт в крупный город. Или в покупке хозяйственных удобрений. Или, скажем кухонного таймера или нескольких дешёвых мобильных телефонов в интернет-магазине. Но если все эти действия предпринял один человек и в короткий срок, то им определённо стоит заинтересоваться местной антитеррористической службе.

Казалось бы, объединение столь разнородной информации в таких больших количествах — нереально сложная задача. Но тем не менее, оно уже давно возможно и даже работает.

Программа «Полный информационный контроль» (Total Information Awareness) , суть которой заключалась в выявлении подозрительных паттернов поведения, разрабатывалась в стенах Пентагона с 2002 по 2003 год, после чего под влиянием протестов сменила название на «Антитеррористический информационный контроль» (Terrorism Information Awareness — TIA) и стала практически полностью засекреченной. В отчете Министерства национальной безопасности США за этот год речь идёт уже о трёх действующих подобных программах. Подобные проекты развивают и другие страны: Китай, Великобритания, Франция, Израиль и Германия.

Легитимность подобного анализа всех сфер деятельности населения на сегодняшний день является острой причиной споров: разобраться в том, что важнее, безопасность или приватность, пока не удалось. А пока идут споры, сбор и анализ данных вовсю процветает в интернете — там его развитие практически ничто не ограничивает.