Мы столкнулись с парадоксальной и тревожной ситуацией, которой хотим поделиться. Наша цель была простой и благовидной = просвещать аудиторию в области цифровой грамотности. Мы опубликовали статью-инструкцию «5 бесплатных инструментов OSINT для социальных сетей», полагая, что помогаем в изучении открытых источников. Однако эта публикация привела к абсолютно непредвиденным последствиям, создав реальные юридические риски для нашего издания.
Вскоре мы заметили аномальную активность. Пользователи, найдя материал через поисковые системы, вместо того чтобы применять инструменты где-либо еще, начали использовать непосредственно наш сайт как площадку для сбора персональных данных. В поисковых строках и формах на наших страницах они массово вводили комбинации: ФИО вместе с номерами телефонов, адресами электронной почты или данными автомобилей. Самое критичное- все эти реальные персональные данные людей начали автоматически и пассивно фиксироваться в журналах (логах) работы нашего сервера.
Именно здесь кроется главная опасность для нас. С точки зрения Федерального закона № 152-ФЗ «О персональных данных», мы, сами того не желая, превратились в оператора, осуществляющего незаконную обработку персональных данных. Запись, систематизация и хранение ПДн, пусть и автоматические, налагают на нас всю полноту ответственности. У нас нет и не могло быть согласия тех людей, чьи ФИО и телефоны теперь лежат в наших логах. Мы нарушили базовый принцип законности обработки. Это открывает перед нами перспективу серьезных штрафов от Роскомнадзора по статье 13.11 КоАП РФ.
Для пользователей, которые ищут данные на нашем сайте, риски тоже велики. Их целенаправленные действия по поиску и сбору комбинаций личных данных уже являются обработкой ПДн. Если это делается без согласия человека - а так оно и есть, - они сами становятся нарушителями того же закона, рискуя получить штраф. В худшем случае, если будет доказан умысел на распространение или использование этой информации для вмешательства в частную жизнь, может встать вопрос об уголовной ответственности по статье 137 УК РФ.
Таким образом, мы оказались в двойственной позиции: мы - и потенциальная жертва недобросовестных действий части аудитории, и потенциальный нарушитель закона в глазах регулятора. Чтобы защитить наше издание, мы вынуждены срочно принимать меры. Наш план включает технический аудит и очистку логов сервера с маскировкой чувствительных данных, добавление правовых предупреждений к материалам об OSINT, разъясняющих запрет на сбор ПДн без согласия, а так же вводим дополнительные технические меры по ограничению поиска.
Этот случай стал для нас жестким уроком. Он показал, что в цифровую эпоху ответственность СМИ простирается далеко за рамки опубликованного текста. Публикуя любой, даже самый нейтральный образовательный контент, мы должны заранее просчитывать, как его могут использовать, и технически защищать свою площадку от подобных злоупотреблений. Мы делимся этой историей, чтобы другие коллеги-издатели могли избежать наших ошибок.
