Команда Rusbase

Как Zappos защищает персональные данные пользователей (Часть 1)


amazon-zapposДело: In re: Zappos.com Inc., Customer Data Security Breach Litigation (MDL No. 2357), U.S. District Court, District of Nevada

Крупнейший Интернет-магазин обуви в мире Zappos, владельцем которого является компания Amazon.com, Inc., подвергся серьезному хакерскому вторжению в свои системы безопасности в январе 2012 года, в результате которого были украдены персональные данные миллионов его пользователей.

В результате хакерской атаки на один из серверов дата-центра Zappos в американском штате Кентукки в распоряжение злоумышленников попала база данных, содержащая персональные данные пользователей сервиса, включая их имена, почтовые адреса, адреса электронной почты, телефонные номера. К счастью, злоумышленникам не удалось добраться до полных номеров кредитных карт и прочей платежной информации, которую они могли бы использовать для незаконного получения денег.

Взлом привел к десяткам коллективных исков пользователей сайта со всей страны. Например, сразу же в день совершения хакерской атаки жительница города Бьюмонт штата Техас Тереза Стивенс подала коллективный иск против Интернет-сервиса от имени всех 24 миллионов пользователей Zappos.com в городе Луисвилль штата Кентукки (дело Theresa D. Stevens et al v. Amazon.com, Inc. d/b/a Zappos.com 3:12cv-32 M). В частности, она пожаловалась, что в результате взлома возрос риск получения ею и другими клиентами Zappos электронных сообщений от мошеннических сайтов и риск неосознанного предоставления личной информации хакерам.

Кроме того, генеральные прокуроры из девяти штатов направили совместное обращение к Zappos с требованиями предоставить подробную информацию о нарушении режима защиты потребительских данных. Однако, по мнению некоторых специалистов, потребители и прокуроры поспешили со своими обвинениями в адрес Zappos, не учтя те своевременные, правильные меры, которые приняла компания. Несмотря на скоропалительные обвинения, большая часть похищенной информации, включая имена, адреса и телефонные номера пользователей, имеется в открытом доступе в телефонных справочниках или в сети Интернет. Благодаря заблаговременно принятым Zappos мерам, хакерам не удалось получить доступ к более ценной информации, как то: пароли и полная информация о кредитных картах пользователей, т.к. все эти данные были защищены, зашифрованы и хранились в отдельной базе данных.

Принятые сразу после атаки ответные действия компании также были быстрыми и эффективными. Zappos оперативно среагировала, применив свой план на случаи нарушения режима защиты данных. Zappos незамедлительно сообщила по электронной почте клиентам о вторжении в ее системы и автоматически изменила пароли для всех 24 миллионов пользователей сервиса. Кроме того, Zappos сообщила всем своим работникам о фактах вторжения и проинструктировала их, как быстро реагировать и отвечать на вопросы потребителей. Несомненно, как отметили генеральные прокуроры штатов в своем обращении, существуют серьезные риски, связанные с любым нарушением режима охраны данных. Например, даже ограниченная по содержанию информация, полученная хакерами от Zappos, может быть использована в совершении целенаправленной схемы Интернет фишинга против пользователей.

В 2009 году компания Amazon приобрела лидера электронных розничных продаж обуви Zappos, заплатив за компанию более 800 млн. долларов США. Судя по всему, используемая Zappos бизнес-модель и ее корпоративная культура позволили добиться того, что не удалось самой Amazon. Так в конце сентября 2012 года Amazon объявила о закрытии своего самостоятельного сервиса розничных продаж обуви и аксессуаров в сети Интернет под названием endless.com, запущенный компанией в начале 2007 года, и о его интеграции в раздел моды на Amazon.com/Fashion. Zappos же продолжает процветать. Сервис очень популярен среди Интернет-пользователей Америки и Европы. Количество зарегистрированных пользователей Zappos на начало 2012 года насчитывало более 24 миллиона человек.

 

Комментарий специалистов Юридической компании «Воркуева и Партнеры»: В отношении защиты персональных данных российское законодательство налагает на любое лицо (юридическое или физическое лицо), занимающееся обработкой персональных данных физических лиц, целый ряд обязанностей по их защите, включая осуществление мер организационного, правового и технического характера для обеспечения безопасности персональных данных. Следует учитывать, что согласно статье 3 Закона № 152-ФЗ «О персональных данных» (далее — «ФЗ-152») в понятие «обработка персональных данных» входит любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

К основным требованиям, налагаемых действующим законодательством РФ на операторов персональных данных, относятся следующие: 

  • обязательное уведомление Роскомнадзора до начала обработки персональных данных о намерении осуществлять обработку персональных данных;
  • обязанность получать согласие каждого субъекта персональных данных на обработку персональных данных в любой позволяющей подтвердить факт его получения форме (письменная форма обязательна в указанных законом случаях)
  • обязанность соблюдать конфиденциальность персональных данных, т.е. не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных
  • принятие необходимых и достаточных мер для обеспечения выполнения своих обязанностей по защите персональных данных, включая издание компаниями-операторами документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также применение правовых, организационных и технических мер по обеспечению безопасности персональных данных согласно ФЗ-152.

ФЗ-152 предусматривает ряд исключений и послаблений в отношении соблюдения требований по защите персональных данных. Так, например, согласно п. 2 ч. 2 ст. 22 ФЗ-152 оператор вправе осуществлять без уведомления Роскомнадзора обработку персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом. А положение п. 5 части 1 статьи 6 Закона позволяет оператору не получать согласие субъекта персональных данных на обработку персональных данных, если обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных.

Примечательно, что среди социальных сетей и Интернет-магазинов в российском сегменте сети Интернет подход к соблюдению требований по защите персональных данных неоднозначен. Так одни предпочитают широко трактовать исключения и послабления, предусмотренные ФЗ-152, как например администрация сайта «В Контакте», прямо ссылающаяся на статью 6 и п. п. 2 п. 2 статьи 22 ФЗ-152 в п. 5.1.1. своих Правил защиты информации о пользователях сайта VK.com.[1] Администрация сайта «Одноклассники», напротив, состоит в реестре операторов персональных данных Роскомнадзора и предусматривает предоставление пользователем согласия на обработку его персональных данных при регистрации в качестве пользователя сайта.[2] В частности, согласно п. 3.4 Регламента пользования сайтом «присоединяясь к Регламенту и размещая данные в Аккаунте, Пользователь выражает свое согласие на обработку персональных данных Администрацией, на отражение персональных данных в Профиле Пользователя, а также на то, что отражаемые в Профиле персональные данные будут считаться общедоступными».

До сих пор суды не имели возможности внести ясность в толкование положений ФЗ-152, особенно тех, которые позволяют в некоторых случаях исключить применение общих правил защиты персональных данных операторами.

 


comments powered by Disqus

Подпишитесь на рассылку RUSBASE

Мы будем вам писать только тогда, когда это действительно очень важно