понедельник, 2 мая 2011 г.

Корпоративные риски в России, или почему крупным отечественным сервисам сейчас будет хреново

В связи с историей об утечке личных данных пользователей "Яндекс-Денег", которые делали пожертвования в пользу "РосПила".

Судя по публикациям, в том числе вполне несетевым, событие стало возможным потому, что компания "Яндекс-Деньги" намерена и способна соблюдать законы, а государство (в лице ФСБ) не намерено и/или не способно. Тем самым государство естественно и свободно подставило законоослушный сервис. Спасибо ему большое. 

Ничего страшного в движении по личным счетам у нормальных людей не бывает вообще, никакой личной или коммерческой тайны, за которую стоило бы биться до крови или следовало бояться её разглашения. Но "Яндекс-Деньги", по их же собственным условиям пользования сервисом, гарантируют неутечку к третьим лицам каких бы то ни было существенных пользовательских данных - кроме, естественно, случаев, прямо предусмотренных законами РФ.

Судя по официальным ответам сервиса, на этот раз сервис действовал именно по закону: пришёл запрос об ФСБ; ФСБ имеет право делать такие запросы, "Яндекс-Деньги" обязаны на такие запросы отвечать. Ответ был отправлен.

Вскоре после этого пользователи сервиса были фактически уведомлены неизвестными им людьми, что данные по их платежам скомпрментированы. Неустановленные граждане звонили по телефонам жертвователей и требовали от них ответов на вполне дурацкие вопросы. Естественно, звонившие отлично понимали, что на эти вопросы никто отвечать не обязан. Смысл такого прозвона трудно воспринять иначе как "привет, у нас есть доступ к данным по движению средств на твоем счёте в " Яндекс-Деньгах".

Совершенно неважно, действительно людям звонили коммиссары движения "Наши" или кто-то другой - важно то, что звонившие продемонстрировали, что располагают досупом к приватной информации пользователей "Яндекс-Денег", уверены, что получили эти данные законным путём, о чём и извещают.

Провокация против пожертвователей, однако, провалилась - нормальным людям (см. выше) нечего скрывать и, соответственно, их же собственными платежами их не напугаешь. Но вот законопослушные "Яндекс-Деньги" из-за этой провокации оказались по уши в чужой репутации. Какой толк во всех их пользовательских соглашениях и гарантиях неразглашения пользовательской личной информации, если эта информация запросто и по закону отдаётся в контору, которая плевать хотела на всякие чужие обязательства, которая сама себе закон и подавать в суд на которую - откровенно зряшная трата времени?

Нет, теоретически, конечно, ФСБ должна найти, назвать и наказать выновных. Но до тех пор (то есть, предположительно, до конца гелогической эпохи) "Яндекс-Деньгам" (и всем прочим) нет ни малейшего смысла вспоминать о каких-то гарантиях защиты личной информации пользователей. Компания работает в стране, где такие данные компроментируются автоматически, в момент возникновения такой потребности. Запрос отправляет ФСБ, ответ на него получает Вася Якеменко. Так всё устроено.

И это беззаконие с неизбежностью распространяется и на корпоративную практику. Из-за того, что ФСБ фактически не контролирует свою перистальтику, "Яндекс-Деньги" не в состоянии гарантировать осмысленность собственного пользовательского соглашения. На месте юристов сервиса я бы сейчас просто убрал раздел о неразглашении личных данных (п. 7.13) из условий пользования сервисом. Ввиду полной его неактуальности. Хотя, с другой стороны, этот пункт должен там быть согласно закону. Который, спасибо нашему жизнеражостному ФСБ, не имеет вообще никакого практического смысла. 

IPO "Яндекса" в этой связи приобретает характер чисто формального действа. Деньги инвесторов придут, конечно, но о соответствии деятельности компании международным стандартам можно говорить только в шутку. Какие-такие международные стандарты в условиях, когда у компании требуют информацию для слива и она эту информацию, краснея и стесняясь, но всё-таки отдаёт? Не смешно.

А впрочем, все давно привыкли.

Комментариев нет: