МОСКВА, 4 февраля. /ТАСС/. Пользователи интернета часто дают согласие на использование cookie-файлов, но при этом не понимают, какого рода информацию делают доступной администраторам и владельцам сайтов. В этой области необходимо законодательное регулирование, заявила корреспонденту ТАСС директор Центра правовой помощи гражданам в цифровой среде Людмила Куровская.
"Не всем известны способы получения информации о конкретном человеке и механизмы формирования его "цифровых следов" в виртуальном пространстве. Когда мы посещаем сайты, то часто видим уведомления об использовании на них cookie и даже соглашаемся с их использованием, не задумываясь о том, что это такое", - сказала собеседница агентства.
Cookie - это небольшие текстовые файлы, которые остаются на компьютерах и смартфонах после посещения сайтов. Они используются для дальнейшей идентификации пользователя. Cookie пересылаются серверу при открытии страниц порталов и используются для статистических и маркетинговых исследований. Они позволяют "узнавать" пользователя при повторном посещении, собирать данные о потребительских интересах.
Можно говорить о том, что cookie содержат больше информации, которая считается "полезной" для компаний, чем привычный набор персональных данных - имя, фамилия и номер телефона. Так, операторы способны использовать получаемые сведения буквально "для слежки за пользователями и всеми их действиями на сайте".
"При получении cookie-файла можно узнать данные о том, когда и куда вы ездили на такси, что вы искали в магазине, какую еду заказывали на дом, какие фильмы смотрели, какие статьи читали. Не всегда такая информация используется в интересах человека", - пояснила Куровская.
Кроме того, недобросовестные игроки IT-рынка получают возможность таргетировать на пользователя навязчивую рекламу. Когда человек уходит с сайта, это не значит, что обработка информации о нем и его устройствах прекращается, говорит эксперт. Например, можно заметить, что после посещения интернет-магазина видна его реклама в соцсетях чаще.
С помощью анализа данных, в том числе cookie, компании получают возможность составить портрет клиента, которому будут впоследствии предлагать потенциально интересные товары.
Ситуация в РФ
В России существует закон о персональных данных, но он не устанавливает специальные требования к согласию на обработку cookie. Сейчас достаточно опубликовать на сайте пользовательское соглашение, политику конфиденциальности или уведомление, информирующее посетителей сайта об использовании сookie.
"Отсутствие четко дозволенных границ в работе с пользовательскими данными порождает неопределенность и предпосылки к реализации угроз в их отношении. Сегодня есть немногочисленная судебная практика отнесения сетевых идентификаторов гражданина, в том числе cookies, к носителям его персональных данных. Это позволяет надеяться на защиту персональных данных и прав человека на тайну личной жизни в судебном порядке", - сказала Куровская.
Вместе с тем, подчеркнула директор Центра, "совершенно очевидна недостаточность законодательного урегулирования многих аспектов".
Отвечая на вопрос, как можно защитить свои данные, Куровская напомнила, что почти всегда есть возможность отказаться от использования cookie или изменить их настройки.
Пользователь может установить запрет на сохранение cookie на устройствах с помощью настроек браузера, правда, в некоторых случаях это приводит к некорректной работе сайтов. Также можно посещать сайты в режиме "инкогнито". Кроме того, время от времени полезно удалять cookie.
Опыт Евросоюза и Великобритании
В Европейском Союзе использование файлов cookie и других аналогичных технологий сбора информации регламентируется Директивой о защите частной жизни в электронных коммуникациях (ePrivacy Directive) и национальными законами стран-членов, принятыми на ее основе. Упомянутые законы допускают использование таких технологий только после того, как пользователь дал на это отчетливое и свободно выраженное согласие.
"Свободно выраженное" означает, что пользователю не грозят неблагоприятные последствия, если он не даст такое согласие - например, его не лишат доступа к сайту. Исключение установлено только для cookies, технически необходимых для работы сервиса. Но такие cookies, как правило, не собирают персональную информацию", - пояснил ТАСС главный эксперт-юрист Главного радиочастотного центра (ГРЧЦ) Денис Садовников. Пользователь в ЕС должен иметь возможность отказаться от использования cookies так же легко, как принять их.
Садовников напомнил, что именно за нарушение данного правила в январе Французская Национальная комиссия по информации и гражданским свободам (La Commission Nationale de l’Informatique et des Libert s, CNIL) объявила о наложении штрафов на Google LLC в размере €90 млн, на Google Ireland Limited - в размере €60 млн и на Facebook Ireland Limited - также в размере €60 млн. CNIL обратила внимание на то, что для отказа от всех файлов cookie требуется несколько "кликов", в то время как для их принятия - один. CNIL посчитала это нарушением статьи 82 французского закона о защите данных. В дополнение к штрафам CNIL обязала компании в течение трех месяцев исправить нарушения. Если это не будет сделано в срок, организации должны будут выплатить дополнительный штраф в размере €100 тыс. за каждый день просрочки.
В Великобритании действуют аналогичные европейским правила, которые предусмотрены PECR (Privacy and Electronic Communication Regulation - Положение о защите частной жизни и электронных коммуникациях). Британский надзорный орган ICO (Information Commissioner’s Office - Служба Комиссара по информации), как отметил собеседник агентства, продвигает идею о том, что следует предоставить пользователю возможность устанавливать настройки cookies на своем устройстве один раз, а не при посещении каждого сайта. Осенью прошлого года эта идея была озвучена на встрече руководителей органов, ответственных за защиту персональных данных стран "Большой семерки".
Последний тренд - борьба с cookies, использующими американские аналитические технологии, поскольку они предполагают незащищенную передачу персональных данных в США (что запрещено решением Суда ЕС). 13 января австрийский надзорный орган признал незаконным использование Google Analytics, 28 января надзорный орган Норвегии объявил о том, что ведет расследование по этому же поводу. Ранее, 5 января, уполномоченный по защите данных ЕС (European Data Protection Supervisor, EDPS) Войцех Вевьюровский потребовал от Европарламента привести свои сайты в соответствие с законодательством о cookies.