IT Infrastructure
Web analytics
The future is here
19 December 2018

РКН: Использование аналитики может привести к блокировке сайта

Неправильное использование сервисов аналитики «Google Analytics» и «Яндекс-метрика» может привести к ограничению доступа к сайту, заявил Роскомнадзор.

Таганский суд Москвы 19 декабря по иску Роскомнадзора к французскому регистратору доменов Gandi SAS вынес решение о блокировке сайта «коллективного голосования» 2019.vote. Ранее, 14 декабря, было опубликовано решение о добавлении сайта в реестр нарушителей обработчиков ПД в качестве обеспечительной меры по иску, а с 7 декабря началось ограничение доступа к сайту провайдерами:
Представитель Роскомнадзора объяснил, что в конце ноября на сайт поступили жалобы от нескольких неназванных граждан, которые пожаловались на незаконную обработку их данных на странице «умного голосования». После этого сотрудники ведомства провели собственную проверку, которая подтвердила наличие нарушений закона о персональных данных: форма для сбора данных на сайте Навального не соответствовала критериям, прописанным в законе, кроме того, на ресурсе не было прописанной политики конфиденциальности. Также Ампелонский добавил, что данные пользователей хранятся на зарубежных серверах, что противоречит законодательству.

В заседании 19 декабря в качестве одного из аргументов истец привел то, что на сайте используются системы аналитики «Google Analytics» и «Яндекс-метрика» в нарушение Закона о защите персональных данных и Условий их использования. В качестве доказательства были приведены фотографии HTML-кода сайта в браузере Opera. Эту информацию сегодня РКН подтвердил в официальном пресс-релизе на своем сайте:
Речь идет о требованиях Федерального закона «О персональных данных» и Условий использования GoogleAnalytics, предусматривающих обязанность администрации сайта при сборе персонифицированной информации о посетителях данного сайта уведомлять их о сборе данных, получать согласие на их обработку и размещать документ, регламентирующий политику конфиденциальности в отношении собираемых данных.

Однако данные требования администратором сайта 2019.vote не были выполнены.

Таким образом, речь шла не о претензиях Роскомнадзора к метрическим программам компаний Google, ООО «Яндекс», а о неисполнении администратором сайта 2019.vote требований метрических программ «GoogleAnalytics», «Яндекс.Метрика», указанных в Условиях их использования.

В связи с чем Таганским районным судом города Москвы за невыполнение, в том числе вышеперечисленных требований, принято решение об ограничении доступа к сайту до устранения выявленных нарушений.
К сожалению, в пресс-релизе не уточнено, какие именно категории «персональных данных» собирают сервисы аналитики. Так, при изучении официального сайта РКН можно найти комментарии, где говорится, что ФИО, номер телефона или email могут не являться персональными данными, а счетчики собирают менее чувствительные данные вроде IP-адреса (при этом просмотреть его целиком не дают). Например, ФИО сами по себе не считаются ПД:
3. Вопрос: Является ли обработкой персональных данных размещение фамилии, имени и отчества без иной дополнительной информации?

Ответ: Размещение на страницах сайтов в сети «Интернет» фамилии, имени и отчества без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица.
Номер телефона с точки зрения РКН не является ПД:
Вопрос: Является ли обработкой персональных данных, осуществление телефонных звонков с целью проведения телефонных опросов граждан?

Ответ: Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.
Также не считается ПД и адрес электронной почты:
Например, фотография, ФИО, номер телефона и адрес электронной почты позволяют идентифицировать человека достаточно точно. А фотография и имя «Оля» персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных.
К сожалению, многие сайты, использующие сервисы аналитики, не уведомляют посетителей, и не получают их согласие на сбор данных. Таким сайтам, во избежание блокировки, стоит срочно принять меры по исправлению ситуации. К примеру, если открыть исходный код сайта «Сервер органов государственной власти РФ» gov.ru, то можно увидеть использование «Google Analytics» и «Яндекс-метрики», при этом предупреждение о сборе данных не выводится и согласие пользователя на сбор данных не спрашивается.

Не спрашивается согласие на сбор данных и на сайте партии «Единая Россия», где установлены сервисы «Live Internet», «Яндекс-метрика», «Facebook Pixel» (2 экземпляра), «Рамблер топ 100». Нет этого и на сайте «Вести.ру», где подсчетом посетителей занимается плеяда из «Piwik», «Adblockmetrics», «Rating@Mail.ru», «Яндекс-метрика», «LiveInternet», «Google Analytics», равно как и рекламные сети «AdFox», «1banner». Не отстают от «второго» их коллеги с «первого» канала — на их сайте имеются «незадекларированные» «LiveInternet Counter», «Яндекс-Метрика», «Google Analytics», и виджеты от «Facebook», «VK», «Одноклассников», «Twitter», тоже собирающие аналитику.

Стоит заметить, что полноценная блокировка работы сайта на территории РФ пока не обеспечивается. По сообщению некоторых пользователей, сайт доступен у их провайдеров при использовании DNS-сервера 8.8.8.8 от компании Google. Судя по записям (от 4.12 и от 14.12) на сайте Роскомсвобода, сайт сменил уже более 330 IP адресов, а «за компанию» доступ мог быть ограничен, по оценке, к 362 доменам.

Хабрапользователям, использующим сервисы аналитики, рекомендуется проверить, соблюдаются ли на их сайтах требования регулятора.

Дополнение: А. Литреев обнаружил несоответствие требованиям на сайте Госдумы в дополнение к упомянутым в статье. Также, он обнаружил, что на сайте Госдумы есть форма обратной связи, собирающая данные пользователей. По этому поводу он написал обращение в Роскомнадзор.

Дополнение. По информации пользователя Хабрахабр, сайт Сбербанка, возможно, тоже не соответствует требованиям РКН. Если зайти на сайт www.sberbank.ru с открытыми на вкладке Network инструментами разработчика, то можно увидеть множество обращений к системам аналитики: «RetailRocket» (скрипт с говорящим названием tracking.js), «RuTarget», «Google Analytics», «Google Adsense», «Яндекс-метрика» (порядка 8 счетчиков с разными id), скрипты Facebook, «Artfut.com», «Doubleclick», «Top Mail.ru». Напомним, что у РКН уже давно имеются претензии к иностранным компаниям Google и Facebook, вдобавок против последней в США ведется расследование по фактам передачи данных о пользователях сторонним компаниям.

Также, сайт Сбербанка содержит скрипт «ретаргетинга» от Вконтакте. Этот скрипт передает Вконтакте информацию о том, что данный пользователь сети заходил на сайт Сбербанка, и может использоваться для показа более релевантной рекламы, а также позволяет Сбербанку «исследовать аудиторию, которая посещает сайт». Как работает данная система, описано в документации на сайте соцсети. На ней утверждается, что:

Пиксель ретаргетинга ВКонтакте — это JavaScript-код, который вставляется в исходный код сайта и позволяет отслеживать всех его посетителей: как только человек заходит на сайт, пиксель ретаргетинга автоматически его учитывает.

Если этих возможностей недостаточно, Вконтакте предлагает более точные методы для нацеливания рекламы на определенных пользователей:

При ретаргетинге по файлу производится загрузка заранее приготовленного списка, который состоит из номеров телефонов, адресов электронной почты и/или идентификаторов (ID) страниц ВКонтакте нужных вам пользователей. Если у вас есть мобильное приложение, вы также можете загрузить список идентификаторов мобильных устройств — рекламные ID Apple (IDFA), Android и Google (GAID).

После загрузки файла на сервер все данные из него будут обработаны и сопоставлены с базой пользователей ВКонтакте.



Ни один пользователь из списка файла не узнает о добавлении в аудиторию ретаргетинга, и мы никогда не станем как-либо обращаться к ним без вашего участия.

При всем этом сайт Сбербанка не показывает пользователю предупреждение о сборе информации о нем, как и не спрашивает его согласия. Там есть лишь предупреждение про использование кук, и оно ничего не говорит про передачу данных сторонним компаниям.

Банку и соцсети стоит перепроверить соответствие механизма «регтаргетинга» действующему законодательству во избежание блокировки их сервисов.

Дополнение: по сообщениям пользователей, на странице с пресс-релизом сайта РКН также обнаружен скрипт аналитики от компании «Спутник», компанию которому составляет Яндекс-Метрика. Также, на сайте РКН имеется скрипт, который содержит в себе код для сканирования компьютера пользователя на наличие программ для анализа трафика, таких, как Fiddler. Вот пример кода для обнаружения этого инструмента:

t.src = "http://127.0.0.1:8888/FiddlerRoot.cer", t.onerror = function() {
                        if ((new Date).getTime() - e < f) {
                            var t = "Tool: Fiddler; Open Port: 8888";

Кроме Fiddler, проверяется наличие программ «acunetix», «beef», «burp», «zap», «netsparker», «sleepypuppy», «sonar», «xbackdoor», «xenotix», «dominator», «littleDoctor» и использование утилит Casper.js или Phantom.js. Согласия пользователя на проведение сканирования и передачу данных компании «Спутник» сайт РКН на момент публикации не запрашивает.

Минутка заботы от НЛО


Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

Как написать комментарий и выжить
  • Не пишите оскорбительных комментариев, не переходите на личности.
  • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
  • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

Что делать, если: минусуют карму | заблокировали аккаунт

Кодекс авторов Хабра и хабраэтикет
Полная версия правил сайта


Дополнение: Таганский суд опубликовал решение по делу. Из него можно узнать много нового, в частности:

Однако, по данным источников «whois» установлено, что услуги по предоставлению вычислительной мощности для размещения баз данных, содержащих персональные данные граждан Российской Федерации, посредством которых обеспечивается запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, постоянно подключенных к сети «Интернет»… осуществляется посредством серверных мощностей компании Cloudflare, Inc., расположенной на территории Соединенных Штатов Америки


Из этого можно сделать такие выводы:

— адрес офиса компании в Whois признается судом адресом размещения сервера с данным IP
— по whois можно определить географическое расположение базы данных сайта

Заметим, что по данным whois, сайт Единой России использует Cloudflare, и получается, он тоже рискует быть заблокированным.

Суд высказался и про использование аналитики:

Представитель истца отмечает и то, что ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных, в Политике конфиденциальности интернет-ресурса 2019.vote об использовании сервисов при обработке персональных данных, сведений не содержится, что также является нарушением ФЗ № 152.


Двусмысленно толковать этот абзац нельзя: использование аналитики является сбором персональных данных. Напомним, что аналитика используется на огромном числе сайтов, включая сайт Единой России, Первого канала и «Вестей».

Хабрапользователям рекомендуется изучить решение суда, чтобы проверить, не противоречат ли ему их сайты.
Only registered users can participate in poll.Log in, please.
Спрашиваете ли вы согласие на сбор данных аналитикой на своем сайте?
7.62% Нет, но я предупреждаю о сборе информации обычным шрифтом 39
1.56% Да, я выполняю все перечисленные РКН требования 8
24.02% Я не слежу за своими пользователями 123
30.08% А зачем вы спрашиваете? 154
48.05% У меня нет сайта 246
512 users voted. 147 users abstained.

+61
27.1k 45
Comments 108
Top of the day