Все это — онлайн, с заботой о вас и по отличным ценам.
Здравствуйте продолжение предыдущего вопроса про легализацию
Здравствуйте, продолжение предыдущего вопроса про легализацию OSINT. Насколько я понял я могу искать информацию, но ничего с ней делать не могу. Если я могу найти в профилях социальных сетей персональные данные такие как почта, номер телефона. Это уже правонарушение или если я буду распространять, хранить и что-либо делать с ними без разрешения человека. Что касаемо контрагентов, я могу смотреть все, что предоставляет государство, но также не могу пересылать это заказчику без разрешения? Также был вопрос о том, можно ли собрать подпись на разрешение об обработке персональных данных онлайн для анализа безопасности профиля?
Если подвести итоги, то я могу собирать данные о физ лицах и контрагентах, но чтобы соблюдать закон это урезано до полного бессмыслия в работе. Спасибо.
Вы правильно уловили суть, но есть важные нюансы. Ключевой принцип: сбор и, особенно, дальнейшее использование данных — это разные стадии с разной степенью ответственности.
1. Поиск и сбор персональных данных (ПДн)
Соцсети и открытые источники: Сам факт того, что вы увидели в открытом доступе (в публичном профиле) чей-то номер телефона или email, не является правонарушением. Вы просто потребили публично доступную информацию. Это легально.
Правонарушение начинается на следующем этапе: С момента фиксации, систематизации, хранения, передачи или иного использования этих данных без законного основания. Если вы скопировали эти данные в свою базу (Excel, базу данных, даже текстовый файл) — это уже обработка ПДн, регулируемая 152-ФЗ «О персональных данных».
2. Что можно и нельзя делать с найденными данными (физические лица)
Хранить и систематизировать: Нельзя без согласия субъекта ПДн (человека) или иного законного основания (например, исполнение договора с этим человеком, защита его жизненно важных интересов и т.д.). Исключение — сбор исключительно для личных или семейных нужд.
Передавать заказчику (распространять): Категорически нельзя без согласия субъекта ПДн. Это прямое нарушение. Передача третьему лицу — это обработка, требующая правового основания.
Анализировать для себя/внутреннего отчета: Если анализ предполагает их запись, хранение — это уже обработка. Риск высок.
Вывод по физлицам: Вы можете провести исследование и устно или в обезличенном виде («В открытых источниках обнаружены профили, содержащие номер телефона и email») сообщить выводы. Но передача самого массива ПДн (списка номеров, почт) незаконна.
3. Данные контрагентов (юридические лица и ИП)
Информация от государства (ЕГРЮЛ/ЕГРИП, Федресурс, картотека арбитражных дел): Эта информация является открытой и общедоступной. Ее сбор и анализ полностью легальны.
Передача заказчику: Можно и нужно. Заказчик, как правило, имеет законный интерес в этой информации (проверка контрагента). Эти реестры созданы, в том числе, для целей due diligence.
НО: Будьте осторожны с данными физических лиц, которые могут быть в этих реестрах (например, паспортные данные директора в старых выписках, которые теперь закрыты). Их обработка (включая передачу) без согласия проблематична.
4. Сбор подписи на согласие об обработке ПДн онлайн
Теоретически — да. Электронное согласие, подписанное квалифицированной электронной подписью (КЭП), имеет ту же силу, что и бумажное.
Практически — почти бессмысленно для OSINT:
Добровольность: Человек, которого вы исследуете, вряд ли даст такое согласие, если знает, что это для анализа его профилей.
Конкретность: Согласие должно быть конкретным (какие данные, для каких целей). Сказать «собираю всё о вас для анализа безопасности» — слишком размыто и может быть признано недействительным.
Цель: Часто цель OSINT-проверки (например, due diligence перед сделкой) не требует согласия, так как основана на законном интересе оператора (заказчика). Но этот интерес нужно обосновать и взвесить с правами субъекта. Это серая зона и предмет споров.
Итоги и практические рекомендации:
1.Работа с юрлицами (контрагентами): Практически полноценная. Анализ открытых государственных реестров, судебной практики, публикаций в СМИ — это ядро легального бизнес-OSINT. Передавать такие отчеты можно.
2.Работа с физлицами (потенциальные сотрудники, партнеры): Сильно ограничена. Можно:
Анализировать наличие компрометирующей информации (скриншоты публичных постов с датами).
Сообщать о фактах («обнаружены публикации такого-то характера»), но не передавая сами персональные данные (телефон, адрес).
Использовать обезличенные данные и сводные аналитические выводы.
3.Стратегия минимизации рисков:
Четко разделяйте источники: Государственные реестры = безопасно. Личные соцсети = опасно.
Работайте с выводами, а не с массивами данных. Ваш продукт — аналитический отчет, а не база данных персональных контактов.
Получайте от заказчика письменое задание, где он как оператор ПДн берет на себя ответственность за законность целей обработки (на основании своего «законного интереса» по ст. 6 152-ФЗ). Это не панацея, но важный документ.
Консультируйтесь с юристом, специализирующимся на 152-ФЗ и информационном праве, для выстраивания внутренних процедур.
Ваш итог недалек от истины: Российское законодательство о ПДн действительно делает многие классические методы OSINT в отношении физлиц крайне рискованными. Профессиональный, легальный OSINT в России сместился в сторону анализа юрлиц, медиа-аналитики, работы с техническими данными и открытыми реестрами. Работа же с персональными данными из соцсетей — это территория высоких юридических рисков, которые часто перевешивают коммерческую пользу.
Ставь отзыв или лайк