Roskomnadzor说,Google Analytics和Yandex Metrics分析服务使用不当可能会导致对该网站的访问受到限制。
12月19日,莫斯科塔甘斯基法院在Roskomnadzor起诉法国域名注册商Gandi SAS的诉讼中
,决定封锁2019.vote集体投票网站。 早在12月14日,发布
了一项
决定 ,将该站点添加到PD处理程序的违规者名单中,以作为诉讼的安全措施,并在12月7日,
限制提供商访问该站点 :
Roskomnadzor的代表解释说,11月底,该网站收到了几位不愿透露姓名的公民的投诉,他们抱怨在“智能投票”页面上非法处理了他们的数据。 之后,部门员工进行了自己的验证,确认是否存在违反个人数据的法律:Navalny网站上的数据收集表不符合法律规定的标准,此外,该资源没有注册的隐私政策。 Ampelonsky还补充说,用户数据存储在外部服务器上,这与法律相抵触。
在12月19日的一次会议上,原告引用了一种论点,认为该网站违反了《个人数据保护法》和《使用条款》,使用Google Analytics(分析)和Yandex Metrics分析系统。 作为证据,提供了Opera浏览器中网站HTML代码的照片。 今天,
ILV在其网站上的官方新闻发布中证实了这一点 :
我们正在谈论的是联邦法律“关于个人数据”的要求和GoogleAnalytics使用条款,这些条款规定了网站管理员有义务收集有关本网站访问者的个性化信息,将其收集的信息通知他们,征得他们的处理同意并发布关于收集的数据的隐私政策的文件。
但是,站点管理员2019.vote无法满足这些要求。
因此,这与Roskomnadzor对Google的度量标准程序Yandex LLC的主张不是问题,而是关于2019.vote网站的管理员不符合使用条款中指定的GoogleAnalytics Yandex.Metrica度量标准程序的要求。
在这方面,包括上述要求在内的莫斯科塔甘斯基地方法院决定,在查明违法行为被消除之前,限制进入该地点。
不幸的是,新闻稿没有确切说明收集“个人数据”分析服务的类别。 因此,在研究ILV官方网站时,您会发现注释说明全名,电话号码或电子邮件可能不是个人数据,并且计数器收集的敏感数据(如IP地址)不太敏感(同时,它们不允许完全查看它们)。 例如,
全名本身不被视为PD :
3.问题:在没有其他附加信息的情况下,个人数据的处理是否是姓氏,名字和父系的放置?
答:在Internet站点的页面上放置姓氏,名字和密码时,如果没有其他信息,您无法将个人识别为个人数据的主体,则不能证明对特定个人的个人数据的处理。
从
ILV的
角度来看,该电话号码不是PD:
问题:是在处理个人数据,执行电话来对公民进行电话调查吗?
答:根据艺术。 2006年7月27日第152-号联邦法第3条,“关于个人数据”个人数据是与特定或可确定的自然人(个人数据的主体)直接或间接相关的任何信息。 订户号码(电话号码)是在与订户就提供电话通信服务达成协议时分配给订户的号码(一组数字符号)。 当连接用户设备时,此号码用于指示和标识通信网络中用户的终端设备,这意味着未指明其所有者的电话号码不是可唯一标识此人(个人数据主体)的信息,并且使用它并不意味着要处理其所有者的个人数据。
也不计算PD和电子邮件地址 :
例如,照片,姓名,电话号码和电子邮件地址可以非常准确地识别一个人。 但是,照片和名称“ Olya”以及单个电子邮件地址或电话号码都不能视为个人数据。 我们正在谈论一组数据。
不幸的是,许多使用分析服务的网站不会通知访问者,也不会得到其同意收集数据。 为了避免阻塞,此类场所应紧急采取措施纠正这种情况。 例如,如果您打开“俄罗斯联邦政府机关服务器”
gov.ru网站的源代码,则可以看到“ Google Analytics(分析)”和“ Yandex指标”的使用,而不会显示有关数据收集的警告,也不会征得用户同意数据收集。
在安装了实时互联网,Yandex Metric,Facebook Pixel(2份)和Rambler Top 100服务的
俄罗斯联合会的网站上,也无需征求同意收集数据。 Vesti.ru网站上没有这样的东西,来自Piwik,Adblockmetrics,Rating @ Mail.ru,Yandex Metric,LiveInternet和Google Analytics(分析)的访问者数量都在统计访问者中。和广告网络“ AdFox”,“ 1banner”。 来自
“第一个”频道的同事紧随“第二个
”频道-在他们的网站上有“未声明”“ LiveInternet Counter”,“ Yandex-Metric”,“ Google Analytics(分析)”以及来自“ Facebook”,“ VK”,“ Odnoklassniki”的小部件“”,“ Twitter”,也收集分析数据。
值得一提的是,尚未提供俄罗斯联邦对该站点的全面封锁。 一些用户认为,该站点可以使用Google的DNS服务器8.8.8.8从其提供商处获得。 从Roskomsvoboda网站上的记录(分别
为4.12和
14.12 )来看,该站点已经更改了330个IP地址,据估计,“公司”访问权限可能限制为362个域。
建议使用分析服务的Habra用户检查其网站上的法规要求是否得到遵守。
补充 :答:除了文章中提到的那些要求以外,A。Litreev还发现与State Duma网站上的要求存在差异。 他还发现State Duma网站上有一个收集用户数据的反馈表。 在这个场合,他
向Roskomnadzor发出了上诉 。
加法 。 根据用户Habrahabr的说法,Sberbank的站点也可能不满足ILV的要求。 如果在“网络”选项卡上打开开发人员工具的情况下访问
www.sberbank.ru网站,则可以看到许多对分析系统的调用:“ RetailRocket”(
跟踪名称为
tracking.js的脚本),“ RuTarget”,“ Google Analytics(分析)”,“ Google” Adsense”,“ Yandex指标”(约8个具有不同ID的计数器),Facebook脚本,“ Artfut.com”,“ Doubleclick”,“ Top Mail.ru”。 回想一下,ILV长期以来一直对外国公司Google和Facebook
提出索赔 ,除后者外,美国正在进行一项有关将用户数据转移给第三方公司的调查。
另外,Sberbank网站包含
来自Vkontakte的“重定向”脚本 。 该脚本将有关该网络用户已访问Sberbank网站的信息发送给Vkontakte,可用于显示更多相关广告,还允许Sberbank“研究访问该网站的受众”。
社交网站上的文档中描述了该系统的工作方式。 它指出:
VK重定向像素是一种JavaScript代码,已插入网站的源代码中,可让您跟踪其所有访问者:只要有人访问该网站,重定向像素就会自动将其考虑在内。
如果这些功能还不够,Vkontakte提供了更准确的方法来将广告定位到特定用户:
重新定位文件时,将加载预先准备的列表,该列表由电话号码,电子邮件地址和/或所需用户的VK页面的标识符(ID)组成。 如果您有移动应用程序,则还可以下载移动设备标识符列表-苹果(IDFA),Android和Google(GAID)的广告ID。
文件上传到服务器后,将处理文件中的所有数据并将其与VKontakte用户数据库进行比较。
...
文件列表中的所有用户都不会知道如何向受众添加重定向,因此,在您不参与的情况下,我们绝不会以任何方式与他们联系。
综上所述,Sberbank网站不会向用户显示有关其信息收集的警告,也不会征求其同意。 仅存在关于cookie的使用的警告,并且未提及将数据传输给第三方公司的任何信息。
银行和社交网络应仔细检查“雷鬼瞄准”机制是否符合当前法规,以避免阻塞其服务。
另外 :根据用户报告,还可以在
ILV网站的新闻发布页面上找到Sputnik公司(其公司为Yandex-Metrica)的分析脚本。 另外,ILV网站上有一个
脚本 ,其中包含用于扫描用户计算机中是否存在用于流量分析的程序(例如Fiddler)的代码。 这是检测此工具的示例代码:
t.src = "http://127.0.0.1:8888/FiddlerRoot.cer", t.onerror = function() { if ((new Date).getTime() - e < f) { var t = "Tool: Fiddler; Open Port: 8888";
除Fiddler外,还存在程序“ acunetix”,“牛肉”,“打bur”,“ zap”,“ netsparker”,“ sleepypuppy”,“声纳”,“ xbackdoor”,“ xenotix”,“统治者”,“ littleDoctor”和使用实用工具Casper.js或Phantom.js。 在发布时,ILV网站未要求用户同意将其扫描并传输到Sputnik的数据。
不明飞行物护理分钟
这些材料可能会引起矛盾的感觉,因此在写评论之前,请刷新您记忆中的重要内容:
补充:塔甘斯基法院
对此案做出了裁决 。 您可以从中学到很多,尤其是:
但是,根据“ whois”消息来源,发现为托管包含俄罗斯联邦公民的个人数据库的数据库提供计算能力的服务,通过该服务提供了记录,系统化,累积,存储,更新(更新,更改)和提取公民的个人数据的功能。俄罗斯联邦的持续连接到Internet ...是通过位于美国的Cloudflare,Inc.的服务器设施实现的
由此我们可以得出以下结论:
-Whois公司的办公地址被法院确认为具有此IP的服务器的地址
-通过whois,您可以确定站点数据库的地理位置
请注意,根据whois,联合俄罗斯的站点使用Cloudflare,事实证明它也有被阻止的风险。
法院还谈到了分析的使用:
原告代表还指出,被告和第三方使用Google Analytics(分析)和Yandex Metrica服务,旨在评估网站流量和分析用户行为,其服务器也位于美国,服务的使用是收集和处理个人数据,关于在个人数据处理中使用服务的2019.vote Internet资源的隐私政策不包含信息,这也违反了第152号联邦法律。
本段不能被模棱两可地解释:
分析的
使用是个人数据的集合 。 回想一下,分析已在许多网站上使用,包括联合俄罗斯,Channel One和Vesti。
建议该网站的用户检查法院的决定,以验证其网站与该网站一致。