Comments 22
> Евросоюз, Россия и Китай требуют от коммерческих компаний хранить персональные данные местных пользователей, в том числе их ключи шифрования, на территории страны
Евросоюз не требует. Покажите пункт в GDPR, который это требует делать. Там есть ограничения если европейская компания хочет передать данные за границу (где не действует GDPR и не обеспечивается должный уровень защиты, например в США, где Дикий Запад в плане работы с ПД), но даже в этом случае передача сама по себе не запрещена. А если пользователь сам вводит свои данные в фейсбуке, то фейсбук не обязан их хранить в Европе (но обязан соблюдать GDPR).
Пожалуйста, не вводите людей в заблуждение; не знаю, как дела в Китае, знаю только что такой закон есть в России.
Также, ключи шифрования сами по себе не являются персональными данными. Единственное, что мне известно, что у нас организатор распространения информации обязан по запросу их предоставлять в органы, и в некоторых странах нельзя отказываться выдавать их по решению суда.
Евросоюз не требует. Покажите пункт в GDPR, который это требует делать. Там есть ограничения если европейская компания хочет передать данные за границу (где не действует GDPR и не обеспечивается должный уровень защиты, например в США, где Дикий Запад в плане работы с ПД), но даже в этом случае передача сама по себе не запрещена. А если пользователь сам вводит свои данные в фейсбуке, то фейсбук не обязан их хранить в Европе (но обязан соблюдать GDPR).
Пожалуйста, не вводите людей в заблуждение; не знаю, как дела в Китае, знаю только что такой закон есть в России.
Также, ключи шифрования сами по себе не являются персональными данными. Единственное, что мне известно, что у нас организатор распространения информации обязан по запросу их предоставлять в органы, и в некоторых странах нельзя отказываться выдавать их по решению суда.
Там есть ограничения если европейская компанияТот факт, что у вас или вашей компании нет представительства в ЕС, не означает, что вы можете игнорировать закон. Если бы вы могли его игнорировать, это автоматически поставило бы в невыгодное положение тех, кто играет по правилам. Вы игнорируете закон на свой страх и риск (link).
Я не пишу, что можно игнорировать закон; GDPR применяется даже для иностранных компаний. Я пишу, что в ЕС нет требования хранить данные европейцев внутри ЕС. Есть требование «обеспечивать должную защиту прав пользователя» если компания передает данные пользователя другой компании за пределами ЕС. Это описано, например, в ссылке, которую я также указал в комментарии: cas.ltd/gdpr-6-personal-data-transferring-data-outside-europe
По ключам шифрования. Насколько я понял из слов юриста, их можно отнести к типу данных PII, если они привязаны к профилю и не анонимизированы.
«Есть ещё данные особого типа PII, сокращение для личной идентифицируемой информации (Personally Identifiable Information). Это любая информация, которая помогает идентифицировать человека. Очевидные примеры PII — полные имена и номера социального страхования. Не очень очевидный пример — IP-адрес. Действительно не очевидный — факт наличия редкого заболевания в сочетании с названием маленького городка, места жительства. И ещё много подобных примеров. Самое просто решение — представить все данные о человеке, как будто это PII. Лучше предпринять излишние меры безопасности, чем потом сожалеть. Но если вам кажется, что к некоторым данным можно относиться проще, то тщательно взвесьте, какие из них следует рассматривать как PII, а какие нет.»
«Есть ещё данные особого типа PII, сокращение для личной идентифицируемой информации (Personally Identifiable Information). Это любая информация, которая помогает идентифицировать человека. Очевидные примеры PII — полные имена и номера социального страхования. Не очень очевидный пример — IP-адрес. Действительно не очевидный — факт наличия редкого заболевания в сочетании с названием маленького городка, места жительства. И ещё много подобных примеров. Самое просто решение — представить все данные о человеке, как будто это PII. Лучше предпринять излишние меры безопасности, чем потом сожалеть. Но если вам кажется, что к некоторым данным можно относиться проще, то тщательно взвесьте, какие из них следует рассматривать как PII, а какие нет.»
Ключ шифрования позволяет идентифицировать человека только внутри компании. Это по сути то же самое что userId. Возможно, он будет считаться ПД если компания будет передавать его на сторону, но пока он внутри компании, это лишь внутренний идентификатор. Если компания удалит данные о человеке и оставить только его ключ, то тогда этот ключ в любой ситуации перестанет быть ПД.
Как мне кажется, как раз внутри компании ключ шифрования как раз и может считаться ПД (поскольку позволяет идентифицировать пользователя), а вот вне её (сам по себе) — это просто «набор бит», как и userid, впрочем.
>Если компания удалит данные о человеке и оставить только его ключ
Юрист говорит, что правильно анонимизировать данные очень сложно, так что на всякий случай лучше рассматривать подобные вещи как ПД.
Юрист говорит, что правильно анонимизировать данные очень сложно, так что на всякий случай лучше рассматривать подобные вещи как ПД.
А в ключе содержится userID или только сам ключ? Если только сам ключ (ну и id в таблице), то по идее ключ может оказаться и не уникальным. Т.е. у меня и у Пупкина может (совершенно случайно) оказаться один ключ шифрования. В таком случае это тоже PII?
PS: почему я считаю что он может быть не уникальным? Потому что не люблю анекдот про «Придумайте другой пароль. Такой пароль уже использует Марья Ивановна.»
PS: почему я считаю что он может быть не уникальным? Потому что не люблю анекдот про «Придумайте другой пароль. Такой пароль уже использует Марья Ивановна.»
UFO just landed and posted this here
Ключи должны генерироваться на конечном устройстве и никуда никогда не передаваться иначе это не ключи а проходной двор.
Походу нужно не аккаунт создавать, а реально валить в ЕС и мириться с высокими ценами на энергоносители, зато жить как человек.
Apple всегда хранила у себя ключи шифрования для пользователей iCloud.
Если я пользователь, то свои ключи шифрования я не доверю никому, тем более Apple. И буду передовать/хранить только зашированные данные (если они того стоят). И шифровать я их буду с использованием сертификата X509.
Здесь речь все же идет все же о шифровании Apple (или еще кем-то данных), которые поступили каким-то образом в его распоряжение, и он их шифрует. И этом смысле вполне законное требование государства доступа к этим данным.
Sign up to leave a comment.
Как Китай заставил Apple хранить ключи шифрования пользователей iCloud на государственных китайских серверах