Проблемные «печеньки»: почему cookies становятся предметом внимания Роскомнадзора?

Логотип компании
Проблемные «печеньки»: почему cookies становятся предметом внимания Роскомнадзора?

Изображение: Serhii Bobyk/shutterstock.com

Законодательство в области сбора и хранения персональных данных (ПДн) постоянно ужесточается. Бизнес пугают оборотными штрафами за утечки, а пользователи все чаще требуют подробного отчета об использовании своей личной информации. Чтобы справиться с возросшей нагрузкой, компаниям вскоре понадобится обновлять свои политики сбора и обработки файлов cookies, содержащих ПДн, а также предоставлять пользователям расширенные инструменты для управления своими персональными данными. IT-World рассказывает о проблемах и путях решения.

Какие данные о нас собирают

Веб-сайты собирают данные о пользователях при помощи различных файлов куки (cookies). Например, сессионные куки помогают сайтам запоминать, что вы делали на предыдущих страницах. Функциональные куки хранят ваши настройки и предпочтения. Маркетинговые куки (сторонние) используются для отслеживания вашего поведения в рекламных целях. Перформанс-куки собирают не личную информацию, а сведения о работе сайта.

Компании используют данные из куки для сбора статистики о посетителях сайтов и изучения их поведения. На основе этих данных можно таргетировать и оптимизировать рекламные кампании, улучшать пользовательский опыт при взаимодействии с сайтом, персонализировать контент, развивать продукты и услуги, представленные онлайн и т. д.

В одних случаях информация, собираемая в куки, может быть нейтральной и деперсонализированной — например, содержать языковые настройки или паттерны оформления сайта (отображение темы, избранные разделы и т. д.). В других — она может содержать личные данные пользователей.

Указывать на конкретного пользователя может технология fingerprints, или цифрового отпечатка устройства, который составлен из всей доступной информации о системе, браузере и установленных в нем плагинах. Она позволяет проводить идентификацию даже после смены IP-адреса и удаления куки. Однозначно определять пользователя могут и различные трекинговые пиксели, которые встраиваются в веб-сайт и собирают маркетинговые куки.

Как мы соглашаемся

Отдельные файлы куки строго необходимы для технической работоспособности сайта и его компонентов, а также для обеспечения мер безопасности в области защиты ПДн. Некоторые же опциональны и являются предметом согласия со стороны посетителей интернет-ресурса.

Сегодня большинство российских веб-сайтов предлагает ограниченные опции согласия на обработку персональных данных. Как правило, при заходе на портал пользователям доступен набор из нескольких «галочек», которые определят, по какому набору правил будут собираться куки. Чаще всего это подтверждение согласия на использование и обработку персональных данных в соответствии с политикой сайта, а также подписка на рассылки. Примеры таких сообщений:

Проблемные «печеньки»: почему cookies становятся предметом внимания Роскомнадзора?. Рис. 1

Некоторые данные из файлов куки бизнес также может передавать третьим сторонам, часто не спрашивая на то отдельного и явного согласия у пользователей. В итоге только очень кропотливый читатель сможет действительно собрать информацию о том, где и как будут использоваться данные его куки. В сегодняшних реалиях это становится проблемой, поскольку содержимое куки может прямо или косвенно идентифицировать человека, что значительно повышает его персональные киберриски.

Новые правила для сайтов и приложений

Законодательные акты, такие как Федеральный закон № 152-ФЗ «О персональных данных» в России, являются основой для регулирования этой сферы, однако международный опыт, в частности опыт GDPR (General Data Protection Regulation, или Общий регламент защиты персональных данных), показывает эффективность более детализированного подхода к защите ПДн.

Примеры управления согласиями на зарубежных сайтах, где пользователи могут отказываться от большинства типов куки и самостоятельно выбирать, каким третьим сторонам сообщать данные о себе, служат наглядной иллюстрацией повышения стандартов в области защиты ПДн:

Проблемные «печеньки»: почему cookies становятся предметом внимания Роскомнадзора?. Рис. 2

Целенаправленные шаги на этом пути делает и Россия. Так, с 1 октября прошлого года начали действовать новые правила для сайтов и приложений, использующих алгоритмы для рекомендаций товаров, услуг или контента. Это значит, что владельцы ресурсов должны ясно сообщать пользователям, что все действия на сайте анализируются для предложения рекламы или контента.

Проблемные «печеньки»: почему cookies становятся предметом внимания Роскомнадзора?. Рис. 3

Сложность для бизнеса

По данным InfoWatch, в 2023 году в сеть слили свыше 1,12 млрд ПДн, что почти на 60% выше показателя 2022-го. Всего в прошлом году из российских компаний «утекли» 95 крупных баз данных. Очевидно, что на фоне этих и других сообщений о нарастающих угрозах кибербезопасности Роскомнадзор будет ужесточать правила обращения с ПДн. Следует ожидать, что в дальнейшем регулятор продолжит вводить дополнительные условия, по которым бизнес должен будет отчитываться перед пользователями о применении их ПДн, а также предоставлять им больше прав контроля над своими согласиями.

Одновременно растет и осознанность пользователей, которые хотят детально знать о том, где хранятся и как используются их персональные данные, а также иметь возможность при необходимости оперативно отзывать свои ПДн с того или иного ресурса.

Сам бизнес также начал осознавать потребность людей в расширении контроля за своей информацией. Некоторые цифровые многопользовательские сервисы уже начали предлагать пользователям возможность выгрузки отчетов, которые демонстрируют, как используются их данные, а также предоставляют инструменты для отзыва согласий на их обработку.

Проблемные «печеньки»: почему cookies становятся предметом внимания Роскомнадзора?. Рис. 4

Однако вместе с новыми возможностями для пользователей появятся и новые вызовы для компаний. Очевидно, что в свете растущего количества запросов на изменение или отзыв ПДн, а также необходимости соблюдения законодательных сроков их выполнения, обслуживать такие задачи вручную станет невозможно. Понадобятся автоматизированные инструменты контроля и управления политиками куки, позволяющие расширить права пользователей в отношении их собственных данных.

Таким образом, остро встает вопрос о внедрении единого решения для consent-менеджмента, которое позволит автоматизировать такие процессы.

Читайте также
Искусственный интеллект приковывает к себе большой интерес, потому что ИИ технологии уже сейчас могут решать разные задачи бизнеса. Среди успешных примеров их применения — создание «умной» системы электронного документооборота, автоматизирующей рутинную работу и исключающей «человеческий фактор». Как оптимизировать бизнес и зарабатывать на прогрессе, рассказывает Анастасия Петелина, операционный директор DreamDocs.

В будущем — единая платформа consent-менеджмент?

На мировом рынке есть несколько достаточно зрелых продуктов для расширенного управления пользовательскими соглашениями, однако по разным причинам широкое внедрение таких сервисов в российских компаниях сегодня невозможно. Соответственно, отечественные компании будут решать задачи consent-менеджмента при помощи других инструментов.

Сегодня есть все основания предполагать, что управление согласиями пользователей на обработку данных развивается в перспективе интеграции профильных SaaS-платформ с Единой системой идентификации и аутентификации (ЕСИА). Система, уже содержащая обширные данные о пользователях, может служить центральным хабом для управления согласиями на их использование различными сервисами. Применение ЕСИА в качестве хаба для задач consent-менеджмента избавит бизнес от необходимости изобретать велосипед в области управления данными, а также открывает новые возможности обеспечения конфиденциальности и контроля над персональными данными пользователей.

Аналогично тому, как сейчас работает авторизация и аутентификация через социальные сети, где пользователь может выборочно предоставлять доступ третьим сторонам к тем или иным данным, ЕСИА могла бы предложить аналогичную функциональность на государственном уровне. Так было бы проще реализовывать управление согласиями, а прозрачность в вопросах, касающихся использования личной информации, стала бы значительно выше.

***

Несмотря на то что файлы куки играют ключевую роль в обеспечении удобства использования веб-ресурсов, сегодня они также вызывают вопросы с точки зрения защиты персональных данных и конфиденциальности. Государственный регулятор и бизнес понимают такую потребность, и потому рынок постепенно движется к расширению прав пользователей в области сбора и хранения их ПДн, а также переходу на продвинутые инструменты контроля за этими процессами.

Опубликовано 20.09.2024

Похожие статьи