• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Ответственность за ПО для OSINT

ifelse

New member
14.10.2020
4
0
BIT
0
Здравствуйте, хочу задать вопросы по поводу ответственности за ПО для сбора информации о людях из открытых источников (OSINT).

Предположим, что у меня есть простой скрипт на Python, который может писать логи интересующих меня людей из ВК. В логах содержатся пол, имя, дата, день недели, время входа/время выхода + проведенное в сети время с момента последнего входа. Вообразим, что скрипт работает круглосуточно, например, на raspberry. Затем можно анализировать эти логи с помощью pandas и посмотреть, например, в какой день недели у человека наибольшая активность или характер его входов (длинные сессии или просто короткий чек вк).

Представим, что я хочу разместить эти скрипты (сборщик логов и набор функций для анализа с пом. pandas) на GitHub в публичный репозиторий. В этом ПО нет взлома кого-либо, а просто происходит сбор информации из открытых источников (ВК). Но меня пугает, что большие по размерам логи могут нести в себе информацию об образе жизни человека.

Отсюда у меня вытекают следующие вопросы:
1. Какие законы регулируют область моего вопроса (в интернете не получилось нагуглить)?
2. Будет ли ответственность за личное пользование таким ПО (без размещения в интернете)?
3. Будет ли ответственность за размещение этого ПО в интернете (без логов конкретных людей)?
4. Будет ли ответственность за размещение логов конкретных людей в интернете?
5. Будет ли ответственность за размещение результатов анализа логов конкретных людей в интернете (например, гистограмма средней активности человека в неделю по дням)?
6. Будет ли ответственность для меня за использование этого ПО третьими лицами в корыстных целях? А в случае продажи, а не публичного размещения?
7. Как обезопасить себя от ответственности? Например, можно ли в README написать, что-то вроде "ПО предназначено для анализа исключительно собственной сетевой активности".
 
Последнее редактирование:

z3r0c10wn

Grey Team
04.09.2017
226
295
BIT
85
1) В вашем случае наблюдается нарушение статьи 137 УК РФ и закона 152 ФЗ
2) За личное пользование может быть ответственность в случае обнаружения данного факта при проверке
3) Ответственность за размещение подобного ПО не будет - если вы не будете предоставлять логи! (это мог быть студенческий проект например)
4)Без их ведома - несомненно
5) Если это выполняется в рамках контракта или договора для определенной организации у которой есть договор об анализе ПДн в целях ее деятельности и существует право на размещение и агрегацию информации - то не будет! В других случаях будет
6) В рамках релиза по открытой лицензии - вся ответственность падает не на разработчика а на пользователя если программой воспользовались в нарушении 272 УК РФ например.
7) Да такое возможно - как я и указывал раньше, это может быть указано как тестовый или студенческий проект в целях обучения.
 

ifelse

New member
14.10.2020
4
0
BIT
0
1) В вашем случае наблюдается нарушение статьи 137 УК РФ и закона 152 ФЗ
2) За личное пользование может быть ответственность в случае обнаружения данного факта при проверке
3) Ответственность за размещение подобного ПО не будет - если вы не будете предоставлять логи! (это мог быть студенческий проект например)
4)Без их ведома - несомненно
5) Если это выполняется в рамках контракта или договора для определенной организации у которой есть договор об анализе ПДн в целях ее деятельности и существует право на размещение и агрегацию информации - то не будет! В других случаях будет
6) В рамках релиза по открытой лицензии - вся ответственность падает не на разработчика а на пользователя если программой воспользовались в нарушении 272 УК РФ например.
7) Да такое возможно - как я и указывал раньше, это может быть указано как тестовый или студенческий проект в целях обучения.
Спасибо за подробный ответ!
 

BearSec

Platinum
20.04.2020
209
289
BIT
7
Юридические вопросы и интернет очень скользкие темы, но
1) В вашем случае наблюдается нарушение статьи 137 УК РФ и закона 152 ФЗ
...
Имхо наличие скрипта, который наблюдает за "публичной" страницей ВК не нарушает 137 УК РФ.
Там же речь про "... сведений о лица, составляющих его личную или семейную тайну ..."
 

ifelse

New member
14.10.2020
4
0
BIT
0
Спасибо за размышления, страницы действительно публичные. По сути ПО, о котором я говорю, может делать то же, что и всякие сайты по отслеживанию активностей (напр. , vkdia), но в большем масштабе. То есть это все равно что специально отведенный под это дело человек бы заходил с высокой скоростью круглосуточно на странички интересующих его людей и записывал бы в тетрадку, кто когда вышел и зашел, а потом бы обрабатывал эти данные. Причем впоследствии не предполагается это где-либо использовать.

Если зайти на страницу другого человека ВКонтакте, то ответственность не грозит. Если зайти и записать однократно время его активности, чтобы потом использовать, то тут я не знаю насчет ответственности - хотя здесь просто произошла однократная проверка и фиксация статуса онлайн. А если 10 раз зайти и записать? 1000? Под персональными данными ведь понимается любая информация о человеке, в том числе и имя, фамилия и т.д. Например, если студент спросил, как зовут преподавателя, и записал это к себе в тетрадь, то это формально использование персональных данных без согласия в личных целях.

Как я понимаю, законы можно трактовать по-разному. В спорном моменте если захотят - прицепятся. Поэтому и задаю этот вопрос. Но всякие сервисы для анализа активностей пользователей (напр., vkdia) существуют же спокойно.

Если подвести итог, то у меня каша в голове по этому вопросу, и мне непонятно, где проходит та самая грань наличия ответственности за сбор информации о человеке из публичных источников.
 

ifelse

New member
14.10.2020
4
0
BIT
0
Юридические вопросы и интернет очень скользкие темы, но

Имхо наличие скрипта, который наблюдает за "публичной" страницей ВК не нарушает 137 УК РФ.
Там же речь про "... сведений о лица, составляющих его личную или семейную тайну ..."
Вопрос еще и в том, представляет ли статистически проанализированный в большом количестве объем открытых данных из логов о пользователе его личную или семейную тайну, ведь на основании анализа можно много выводов сделать об образе жизни человека (когда учится - частый чек вк с короткими сеансами, когда отдыхает - длинные сеансы, когда работает - не заходит, по каким-то определенным дням ложится поздно, по каким-то встает (многие проверяют ВК после подъема) в одно и то же круглое время (8 утра) - возможно, работает, или едет на учебу). А если проанализировать по логам нескольких людей, которые общаются между собой, то можно еще больше выводов сделать.
 

z3r0c10wn

Grey Team
04.09.2017
226
295
BIT
85
Именно так - 137 УК РФ здесь идет по совокупности данных которые обрабатываются и дают информацию по частной жизни. Знать такую информацию одно - а агрегировать и собирать, это уже начинает нарушать неприкосновенность частной жизни. ifelse вы все правильно начали понимать.
В Указе Президента РФ от 06.03.97 № 188 конкретизируется, какие сведения подразумевают. Это информация о человеке и событиях его жизни, которая позволяет идентифицировать его как личность. Персональные данные физического лица – это:
фамилия, имя, отчество гражданина;
дата его рождения, а также место рождения;
адрес постоянного и временного проживания;
сведения о семье и социальном положении гражданина;
данные о его образовании, профессии и должности;
сведения о доходах и имущественном положении;
биометрические персональные данные.

И тут же мы берем 152.2 ГК РФ

1. Если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни.

P.S. Таким образом точные сведения о пребывании и распорядке дня человека спокойно относятся к его частной жизни. Если человек публично эту информацию не скрывает по средствам работы с открытыми автоматизированными системами (социальные сети или еще что то ) - то это не значит что без его согласия можно собирать и агрегировать эту информацию сторонними ресурсами или частными лицами.

Исключения могут быть при работе по договору - когда одна фирма (у которой есть право обрабатывать такие данные (например ВК вы сами даете такое право)) и другая фирма которая работает по договору передачи данных стороннему субъекту для выполнения каких либо работ.
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!