Мы объединились с каналом ПДн не ПНД и сделали этот #101guide по Cookies. В нем вы найдете:
⚫️основания сбора cookies (стр. 3)
⚫️требования к cookie-баннеру (стр. 4)
⚫️рекомендации к Пользовательскому соглашению (стр. 6)
⚫️формулировки для внесения в Политику и Уведомление РКН

✏️ В конце – чек-лист для самопроверки

📌📌📌
Кстати, очень рекомендуем подписаться на соавтора гайда – в его канале вы найдете действительно экспертный взгляд на ПДн. К примеру, нам особенно нравится эта заметка про ст. 88 ТК РФ

В этом году вступил в силу Online Safety Act - закон, уничтоживший анонимность в британском интернете. Его самые спорные положения были скопированы в новом законопроекте. Скорее всего, его окрестят "Антифрод - 3"

Что нового⁉️

1️⃣Подтверждение значимых действий в интернете через МАХ или СМС-код

Это немного, но подрывает саму концепцию простой электронной подписи. Раньше оператор системы сам определял способ аутентификации пользователя исходя из бизнес-задач. Теперь вместо самоопределения у нас административное требование, потому что перечень значимых действий будет устанавливать Правительство.

Естественно, это повлияет на сложность заключения сделок в Интернете, выражение акцепта оферт и так далее

2️⃣ Запрет распространения в Сети информации, направленной на введение пользователей в заблуждение

Раньше ответственность за фейки распространялась только на заведомо ложное утверждение о факте. Под новую формулировку попадает любая фишинговая информация. А формулировка - это прямая калька с части 10 OSA

3️⃣ Мессенджеры, соцсети, провайдеры и площадки размещения объявлений будут обязаны посильно следить за пользователями и сообщать о признаках правонарушений в их действиях

Для этого Правительство сформирует перечень признаков противоправных деяний. Также будет создана централизованна ГИС

Кто с нами с августа те знают, что введение такого требования было лишь вопросом времени

4️⃣ Организаторы распространения информации (сайт, форум, сервис, мессенджер, соцсеть) при регистрации по номеру телефона будут проверять возраст пользователя

Точнее, проверять «не использует ли номер несовершеннолетний» Крайне размытая формулировка, но это не беда! Перечень способов проверки, вы угадали, установит Правительство

✏️ В Британии аналогичное требование привело к повальному сбору излишних данных и привлечению сомнительных подрядчиков (например, фирму AU10TIX, основанную подрядчиками израильской разведки, или Persona, связанную с Palantir, которые делают ИИ для Пентагона)

К п. 1 предыдущего поста

В середине года обсуждали идею обязать операторов ПДн получать согласие на обработку персональных данных только через ГосУслуги. Предложение отвергли как чересчур радикальное

Теперь у нас есть некие «значимые действия», которые надо подтверждать через МАХ

Как думаете, согласие на обработку персональных данных - достаточно значимое действие, чтобы его МАХифицировать⁉️

👋 Вот нам кажется, что да. Только идея с ГосУслугами несла и пользу гражданину - он смог бы управлять всеми согласиями через «единое окно» в ГУ. А в МАХ о таком функционале, вроде, не заявлено…

Интересное (и абсурдное) #дело №А41-97594/2024

↘️ Продавец на WB неправильно ввел габариты товара в карточке. Причина ошибки – банальная невнимательность. Менеджер думал, что вбивает размеры в миллиметрах, а единица измерения, оказывается, сантиметры. Вот и получилась длина не 29 сантиметров, а 290. И так во всех 3 изменениях

Ошибку заметила только кассовая система WB. Некоторое количество товаров было доставлено, и система начислила за их доставку оплату в размере 29 миллионов рублей. Вместо 144к. руб.

Казалось бы, досадная оплошность, которая разрешается одним звонком. Только WB от денег не отказывается – они списали деньги со счета продавца. Он пошел в суд с требованием вернуть сумму, признав ее неосновательным обогащением - и проиграл. Подал апелляцию - и снова проиграл

И только Кассация сказала, что суды должны не только сами избегать формализма, но и мотивировать к этому стороны сделок. Хотя мы, действительно, полагаемся в работе на информационные системы, мы не должны абсолютизировать их и превращать их данные в метавселенную, не связанную с реальностью

✏️ Вот полезная цитата со стр. 8 Постановления Кассации:

Судами не приведено мотивов, по которым маркетплейсы, следуя избранному толкованию условий оферты, освобождается от совершения каких-либо проверочных мероприятий, то есть в праве во всех случаях формально полагаться исключительно на данные карточек

📌📌📌
А вообще, мы готовим небольшое исследование о том, как суды реагируют на кибератаки. Первая часть про гражданские правоотношения выйдет сегодня/завтра 💪

Суд прекратил производство по иску о разблокировке WhatsApp и Telegram

↘️ Причина - истцы не доказали, что у них, внимание, есть право подавать иск в защиту интересов владельцев мессенджеров

То есть, по логике Суда, люди защищали не свое право распространять информацию любым законным способом, а интересы площадок на деятельность на территории РФ. Когда мы разбирали аргументы, мы упоминали (в п. 2 поста), что свобода распространения информации не связана с конкретными технологиями. Но мы даже предположить не могли, что этот довод станет основанием, грубо говоря, вообще не рассматривать иск

📌📌📌
Этот прецедент окончательно разрывает связь между конституционным правом гражданина и способом его реализации в цифровой среде, делая право абстрактным и, как следствие, мёртвым

↘️ Почему мы так любим итоги года

Все больше сервисов и платформ вслед за музыкальными сервисами подводят итоги года для каждого пользователя
Дебютанты этого года: YouTube, Wildberries, Сбер, Яндекс, ChatGPT и многие другие

Почему это модно?

1️⃣Это в нашей природе
Связывая прошлое с настоящим посредством рельных цифр, мы ощущаем больший контроль над своей жизнью и более прочный фундамент под ногами для построения будущего
Осознание себя автором своего будущего дает нам эмоциональный ресурс
+ любопытство конечно же 😁

2️⃣Это дешево
С учетом современных инструментов аналитики, использующихся повсеместно, колличество человеко-часов для формирования персональных итогов года довольно невелико

📌📌📌
👋 А мы тоже калькулируем некоторые итоги года

В последний рабочий день 2025 года делимся началом нашего исследования кибератак в решениях российских судов

↘️ В этом файле - влияние кибератак на исполнение обязательств по договору. В файле приведены решения судов по следующим вопросам:
⚫️кибератака - это форс-мажор или риск стороны⁉️
⚫️какие убытки после кибератаки можно взыскать со стороны⁉️
⚫️как распределяется риск в договорах хостинга⁉️

✏️ Разбирая дела, мы приводим цитаты из судебных актов курсивом в кавычках. Наименование цитируемого акта указано рядом с номером дела

📌📌📌
В январе-феврале 2026 года мы не только расширим эту часть исследования (поэтому она, собственно, и v.1), но и опубликуем части об административной отвественности, утечках информации и даже уголовке

☃️ Оставайтесь с нами в 2026

Дорогие подписчики!
Редакция канала поздравляет вас с наступающим (а для кого-то уже наступившим) Новым годом 🥂

❤️Немного статистики Проекта 101 за год:

Telegram 📱
⚫️Нас стало в 3 раза больше!
⚫️270 постов написали мы для вас
⚫️Выложили 10 дополнительных материалов, из которых 1 - выпуск Журнала 101

YouTube 📱
⚫️800 человек подписалось на нас
⚫️107 000 раз посмотрели наш контент
⚫️6 185 часов воспроизводились наши видео

Спасибо вам что были с нами в этом году!
В 2026 продолжим делать интересный контент
Несколько видео уже в работе

Всего наилучшего,
Редакция 101 👋

ИТ-вундерваффе и инсайты на 2026 год

2025 год стал рекордным по количеству денег в сфере ИИ. Центральные разработчики суммарно привлекли 150 млрд. долларов инвестиций только в США (абсолютный рекорд). Генеративный ИИ пытаются использовать в работе все, кроме админов 101. Почти все заметные в РФ вендоры релизнули ИИ-вооруженные продукты или обновления. Казалось бы, рынок растет, но
⚫️70% организаций заявляют о том, что их инвестиции в ИИ не окупились
⚫️эксперты советуют готовиться к хлопку пузыря ИИ
⚫️опросы не показывают существенных кадровых или операционных изменений в работе компаний

Почему⁉️
Потому что классическая проблема супероружия, которое не может победить процессы

Немного истории

Перед началом первой мировой все империи истово верили в суперкорабли. Они начали непомерную гонку вооружений, цель которой – построить как можно больше кораблей класса Дредноут. Гонка быстро завела страны в экономический и стратегический тупик, выходом из которого стало начало Первой Мировой Войны. При этом те самые дредноуты практически не повлияли на ее итоги. Зато абсурдное перераспределение военных бюджетов в пользу флота лишило армию денег, из-за чего они, отчасти и увязли в окопной мясорубке
Аналогичным образом прорывные единичные технологии Третьего Рейха (например, первый реактивный истребитель в мире) не смогли спасти его от поражения во Второй Мировой Войне

↘️ Итог следующий – прорывная, но единичная технология, не влияет на общий рынок практически никак. Для ее эффективной реализации нужна связка инфраструктура-кадры-процессы

Зато привлечь финансирование на разработку такой технологии в разы проще, чем на ее внедрение. Всех впечатляет новое супероружие, но ни у кого не бегут мурашки по коже от словосочетания «подвоз топлива и обмундирования». «ИИ – это будущее» - это продает и привлекает инвестиции. «ИИ-это часть системы операционных процессов, сочетающих в себе…» - настолько скучно, что нам даже лень придумывать окончание фразы

Поэтому 2026 год и далее будет годом ИТ-ИИ-бизнес консалтинга, а не ИИ-бума. Например, Яков и Партнеры (консалтеры, на которых ориентируются все), инвестировали в развитие консалтинга по прагматичному внедрению ИИ на уровне бизнес-процессов. Сокращение бюджетов приведет к тому, что компании будут более прогматично смотреть на внедрение и искать заметные, объективные показатели

Знаем, что канал читают в том числе студенты-юристы. И, если мы верно помним, сейчас вы будете сдавать экзамены. Хочется поделиться с вами методикой подготовки, которая позволяет нам сдавать все экзамены на «отлично» уже как 4 года

Важно❗️
Работает только с гуманитарными науками и вопросами по билетам

↘️ На каждый билет нужно выписать:
⚫️одно определение
⚫️пять тезисов

1️⃣ Сначала выписываем определение ключевого слова из вопроса

Пример:
У админа на последнем экзамене в аспирантуре был вопрос: «правовой режим веб-сайта». Ключевое слово – веб-сайт. Определение будем давать такое: Определение веб сайта содержится в ст. 2 ФЗ «Об информации». Согласно этой статье сайт в сети Интернет это…»

Определение – это наш якорь. Его надо заучить. Оно позволит сказать на каждый вопрос хоть что-то, как бы вы не волновались. К тому же, с определением трудно поспорить.

2️⃣ Далее, на каждый вопрос выписываем 5 тезисов. Не более 3 предложений❗️
Чтобы их выписать, лучше прочитать препод-trusted источник информации. Обычно это всего пара страниц кафедрального учебника. Пользоваться готовыми чужими билетами не зазорно, но надо факт-чекать. Важно, чтобы источник, из которого вы выписываете, был структурированным

Теперь работа мозга – пока вы будете выискивать тезисы в информации ваш мозг переключится в режим аналитики. И вы хоть что-то, но запомните. А с выписанными 5 тезисами у вас будет структура ответа. Каждый тезис должен быть самостоятельным и полностью понятным вам предложением. За пару часов перед экзаменом все тезисы надо перечитать

✏️ Основная фишка: мозг не может запомнить наструктурированную информацию, но он может ее осознать. А вот структурированную информацию (определение + тезисы) ему запомнить легко. На заученную структуру вы автоматически сможете наложить осознанную информацию и периферические знания

3️⃣ Ответ надо начинать с плана ответа: озвучить определение и кейворды тезисов. По опыту это уменьшает количество дополнительных вопросов по ходу ответа. А они сбивают. К тому же, это показывает структурированность знаний студента - однозначно + к его репутации

P.S. ни пуха! #опыт
Фотка с подготовки к канд. минимуму по философии

Сага о цифровых казахах (Цифровой кодекс Республики Казахстан) - краткое содержание

На самом деле, Кодекс не меняет игру в Сети, а закрепляет уже сложившиеся и знакомые правила. Если быть совсем кратким, то:
⚫кибербезопасность - риск владельца системы;
⚫гражданин имеет право на защиту аккаунтов от попадания не в те руки;
⚫действия в интернете должны подтверждаться разумным способом

+ знакомые нам цифровой документооборот, ц. подписи, управление и ГИС

То, что зацепило лично нас:

1️⃣ Все аккаунты, профили и идентификаторы человека формируют его цифровую идентичность. Ее одновременно защищает:
⚫и бизнес, который должен строить защищенную архитектуру сервисов и проводить надежную аутентификацию пользователей;
⚫и государство, предоставляющее правовую защиту от кражи личности (защита распространяется именно на кражу идентичности, но не на ее блокировку, например, за нарушение пользовательского соглашения)

2️⃣Гражданин может потребовать пересмотра полностью автоматизированного решения специалистом или их комиссией. Любим мы такое. Правда опять требование обходится номинальной визой живого человека на решении алгоритма

3️⃣Утвержден курс на фанатичную ИИфикацию госуправления и создание государственных суперсистем (как у нас ГосУслуги), банков данных. Указано даже на создание «смарт-городов», которые будут управляться ИИ и алгоритмами

Возвращаемся к исследованию кибератак в практике отечественных судов

На очереди - доказывание, штрафы и отвественность безопасников

↘️ В комментах к этому посту можете задать любые вопросы по этой теме - мы постараемся включить их в исследование. Стесняетесь в комментах - можете написать в директ)

↘️ Никаких высоких ставок!

«Трамп объявил о введении на год фиксированного максимума процентной ставки в 10% по кредитным картам» - РИА Новости

Действовать мера начнет в годовщину избрания Трампа - 20 января

❤️Так слоняра он или как⁉️

Все ставки по кредитам и депозитам отталкиваются от ключевой ставки или ее аналогов с другими названиями

Ключевая ставка - ставка, под которую банки могут занимать деньги у главного финансового института страны

В США это ставка ФРС, равная 3,75%
То есть максимальной ставкой по кредитной карте будет около х2,7 от ключевой ставки

Таким образом, подобная мера для России звучала бы примерно как «Не дадим обирать народ! Сделаем ставки по кредиткам не выше 42,7% годовых!»

📌📌📌
👋 Здорово конечно, но как будто не такое уж и радикальное ограничение получается…

Домен иранского СМИ "Тасним" не отвечает. Есть слухи, что его отключили США через корневой сервер DNS

Есть очень интересная аналитика МГИМО о дипломатии России в международной информационной безопасности. Подчеркнуто, что страны долго не могли договориться о двух вещах:
⚫️о запрете кибер-операций в мирное время;
⚫️о границах суверенитета в интернете, который надо уважать, но гранц которого никто не понимает

Россия определяет свой суверенитет по таким границам:
⚫️по верхнему домену .ru/.su (ред. а также .рф)
⚫️по системам, принадлежащим гос. сектору
⚫️по потребителю информации (через принцип ФЗ "О рекламе")

Аналогичного подхода придерживаются все страны. Но многих беспокоит географическая принадлежность корневых серверов (кроме США) и оптоволоконных кабелей. А с недавних пор страны озаботились также:
⚫️страной происхождения ПО (Китай, Россия и, удивительно, ЕС в отношении американского ПО);
⚫️домашним адресом крупных сервисов вроде YouTube и TikTok (Китай <-> США, Россия -> США)

Международные документы на уровне ООН конкретики не добавляют, хотя слезно просят уважать суверенитет стран

📌📌📌
А пока к девизу международной информационной безопасности

Акула, не кусай оптоволоконный кабель!

добавляется строчка

Трамп не трогай корневые сервера!

МВД отчиталось о 923 делах по статье за кражу персональных данных - 272.1 УК. Ранее мы говорили, что в сфере ИБ обсуждалась возможность «трудовых жертвоприношений» Это гипотетическая ситуация, в которой компания закрывалась бы от штрафа за утечку, привлекая сотрудников к уголовке
Оправданы ли опасения⁉️

1️⃣Мы поискали дела по 13.11 КоАП, где оператор в защите ссылался бы на факт привлечения сотрудника к ст. 272.1. Таких нет. Хотя 272 (за кибератаку) используется в защите часто

2️⃣Суды считают действия работника в рабочей инф. среде риском его работодателя + принцип «решил собирать данные - изволь защищать»

Самый яркий пример - #дело №А40-199062/2025 (сейчас в апелляции). Оператор виноват в утечке даже если ее причина - намеренные действия сотрудника. Выделили мы это дело вот почему: утечка произошла через фотографию экрана рабочего компа на личный телефон. Защитить от такой утечки могут только дорогие IRM/DLP-системы класса «полный фарш», которые есть далеко не у каждого оператора. И все равно суд посчитал, что оператор не предпринял всех необходимых мер

Аналогичные дела:
⚫А39-7047/2025 - кибератака - не оправдание
⚫А33-20866/2025 - ошибка сотрудника - не оправдание
⚫А55-36038/2025 - злонамеренные действия третьих лиц по преодолению базовых систем защиты - вы угадали, не оправдание

3️⃣Но. Мы сопоставили операторов из новостей вроде «сотрудник украл данные и получил уголовку» с известными делами по 13.11 КоАП. Совпадений нет. То есть вывод, что уголовка сотрудника не исключает админку оператора, нельзя подтвердить примером от обратного

↘️ Итог: ожидание трудовых жертвоприношений в сфере ПДн пока не оправдалось. И славно

📌📌📌
Проверяйте, кому вы скидываете файлы с персональными данными по работе. Ошибка в адресате может превратиться в утечку с последствиями и для работодателя, и для вас

Последствия кражи данных сотрудником - можно ли сделать их настолько большими, чтобы утечка стала заведомо нецелесообразной?

1️⃣Начнем с простого – штрафов для сотрудников за утечку. Они прямо запрещены ст. 192 ТК РФ. За такой движняк сам работодатель может получить штраф по ст. 5.27 КоАП.

Практика:

⚫️Апел. определение СПб городского суда от 12.09.2019 по делу №33-19819/2019 – неустойка с работника за разглашение тайны противоречит ТК

2️⃣Но остается же компенсация ущерба, причиненного сотрудником. Ст. 238 ТК РФ разрешает взыскать с него только прямой действительный ущерб (ПДУ). При этом п. 7 ст. 243 ТК РФ указывает, что за утечку такой ущерб компенсируется в полном объеме, а не ограничивается среднемесячным заработком

Практика:

⚫️Апел. определение Свердловского областного суда от 07.02.2019 по делу № 33-1884/2019 - банк взыскал с сотрудника сумму компенсации, выплаченной клиентам, пострадавшим от утечки;
⚫️Апел. определение Свердловского областного суда от 13.11.2024 года по делу №33-19600/2024 – нельзя взыскать с уволившегося сотрудника упущенную прибыль от клиентов, которых он переманил на новое место работы (прослеживается в деле, хотя прямое основание отказа – косяки в документах и процедуре)
⚫️Апел. определение Омского областного суда от 17.08.2021 по делу №33-4599/21 – продвинутая версия дела сверху. К ПДУ не относится компенсация работодателем убытков в виде упущенной выгоды от сделки, которая не состоялась (прямая цитата)

↘️ То есть взыскать что-то крупное с рядового сотрудника получится только в исключительных случаях мошенничества и ему подобного. Маловероятна и возможность перекинуть на работника неустойку работодателя за нарушение NDA с контрагентом и штрафы - есть блокирующая практика

3️⃣А вот руководитель организации несет ответственность за разглашение согласно ТК РФ (т.е. полную ответственность, в том числе косвенные убытки). Тут уже можно разгуляться

Практика:

⚫️Решение Кировского районного суда г. Уфы от 20.08.2020 по делу №2-5196/2020 – суд взыскал с уволившегося и открывшего свой бизнес директора упущенную выгоду - прибыль бывшего работодателя от клиентов, которых увёл директор

↘️ Итог: сделать утечку экономически нецелесообразной только на основании ТК РФ не особо то и получится, особенно в случае работника, который планирует увольнение. Собственно поэтому ИБ и рассматривает таких работников, как высокорисковых. Исключение – руководитель организации. Поэтому в ход идут иные инструменты, в том числе уголовная отвественность (183 и 272.1), работа с конечным бенефициаром утечки

📌📌📌
Тему поста нам подсказал канал ПДн не ПНД
#дело

У нас есть гайды, самиздат, видео и конференции. А теперь еще офлайн-лекция)

↘️ Ее идея проста:

мы разобрали всю история конфликтов человека и технологий и разложили ее на конкретные этические, экономические и социальные вопросы. И все это в формате 101

В субботу 7 февраля в Лектории Достоевского у нас будет полтора часа, чтобы не просто раскрыть ключевые концепции и принципы, но и показать, как они реализуются на практике

Да, лекция не только о том, почему комплаенс-специалисты должны читать Юнгера и Аристотеля (и кратком содержании идей примерно 15 мыслителей). Мы приведем примеры успешного использования этики, социологии и экономики в судебных спорах и GR, а еще расскажем о собственном опыте разрешения этических конфликтов в сфере технологий

Правительство Британии начинает исследование по дальнейшему ограничению Интернета для детей. Планируется изучить вопросы:
⚫️запрета телефонов и соцсетей в школах;
⚫️ограничения доступа детей к соцсетям;
⚫️контроля экранного времени.

Сейчас Британия запускает публичную консультационную программу. Это значит, что исследовательские центры и GR-службы могу предоставлять свои данные и выводы напрямую правительству через специальный комитет

В коммюнике говорится, что начало защите детей от вредного влияния Интернета уже было положено, ведь был подписан Online Safety Act❗️
Правда вот, когда его подписывали в 2023, риторика была другой. OSA позиционировали, как квинтэссенцию защиты детей, финальный рывок к безопасному Интернету. Но вдруг выясняется, что это только первый шаг в долгом пути запретов и ограничений. Никогда ведь такого не было...

✏️ Наш Законодатель внимательно следит за британским опытом, мы писали об этом тут

Дело Тимченко: Конституционный Суд "разрешил" крипту

Раньше было как:

О криптовалюте надо сообщать в ФНС. Не сообщил – лишаешься права на судебную защиту

По этой причине суды отказали в иске гр. Тимченко. Он пытался через суды вернуть крипту (1000 USDT), которую он передал в управление крипто-инвестору, который ее не вернул

Закон о ЦФА обязывал не-майнеров уведомлять ФНС, но не говорил, как это делать. Адекватный и понятный порядок уведомления существовал только для майнеров

Конституционный суд указал: да, государство может вмешиваться в регулирование чего-то в целях безопасности и налогообложения. Но оно не может ставить системообразующее право человека (на судебную защиту) в зависимость от недоработанного и неоднозначного требования

↘️ Что по итогу:
1️⃣Для майнеров ничего не изменится – они будут получать возможность защищать крипто-активы только в случае уведомления ФНС

2️⃣Для инвесторов (т.е. всех остальных, ведь платить криптой внутри РФ нельзя) – все интереснее. Все не-майнеры получают право на судебную защиту. Отказать по причине неуведомления налоговой суды больше не могут. При этом истец должен будет доказать легальность происхождения крипты. Защиты по факту существования актива все еще нет

Более того, КС указал Законодателю предусмотреть новый принцип регулирования крипты для инвесторов, а само по себе уведомление, как подтверждение легального статуса, может и сохраниться

📌📌📌
Заметки на полях:
⚫️техническая сторона и административное давление в публичных целях - не повод лишать базовых прав на обращение к государству за защитой (может понадобиться при спорах на заблокированных площадках)
⚫️зачем-то КС сослался на уголовную практику и сказал, что в целях УК крипта это почти-почти имущество - это усиливает позиции обвинения