Является ли открытый пароль в форме регистрации нарушением закона

← →
Kolan © (2011-08-11 19:52) [0]

Привет!

Вопрос простой. Вот на Вебораме, например, при регистрации пароль показывается в открытом виде.
http://gyazo.com/652476db0e4191c685c40232cf0ef015.png

Является ли это нарушением закона о персональных данных?

Дайте, пожалуйста, развёрнутый ответ со ссылками на статьи и законы, я хочу чётко разобраться в вопросе с юридической точки зрения.

← →
icelex © (2011-08-11 20:22) [1]

нет, потому что здесь не содержится конфиденциальных данных никакого уровня

← →
Игорь Шевченко © (2011-08-11 20:26) [2]

Форумом не ошибся ?
или других не знаешь ?

← →
Anatoly Podgoretsky © (2011-08-11 20:34) [3]

> Kolan (11.08.2011 19:52:00) [0]

С юридической точки зрения, станет таким после нажатия клавиши
Зарегистрироваться, а пока это просто набор символов, ни к чему не
привязаный

← →
Kerk © (2011-08-11 20:54) [4]

Персональные данные - это ФИО, номер паспорта и подобное. Пароль к ним не относится.

← →
TUser © (2011-08-11 21:09) [5]

> Персональные данные - это ФИО, номер паспорта и подобное.
> Пароль к ним не относится.

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

(ст. 3, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) "О персональных данных")

← →
Kerk © (2011-08-11 21:13) [6]

> TUser © (11.08.11 21:09) [5]

Ты дальше читай:
...в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

А то так можно дойти до того, что этот мой пост на форуме - персональные данные.

← →
TUser © (2011-08-11 21:19) [7]

Ну прочитал: "в том числе". Для тебя ж русский - вроде, родной.

← →
Kerk © (2011-08-11 21:21) [8]

Понял. По твоему пост на форуме - персональные данные. Ну пусть так.

← →
TUser © (2011-08-11 21:21) [9]

> этот мой пост на форуме - персональные данные

По этому твоему посту на форуме тебя нельзя однозначно идентифицировать. А пароль именно для того и предназначен.

← →
Kerk © (2011-08-11 21:22) [10]

По паролю меня тоже нельзя однозначно идентифицировать. Сюрприз. Их вообще дофига одинаковых на любом сайте.

← →
TUser © (2011-08-11 21:28) [11]

Если у тебя пароль нормальный, то я не смогу выдать себя за тебя.

← →
Медвежонок Пятачок © (2011-08-11 21:47) [12]

на скрине нет персональных данных. это раз.
в любом банке клиентская база (это уже персонифицированные данные) лежит в таблицах бд незашифрованная - это два.
никакого нарушения нет ни в первом ни во втором случае.

ЗЫ автор наивно полагает, что если в эдите не применяется пассоврд чар, и не видны звездочки, то пароль надежно защищен и закон не нарушен?
То есть есть подозрение что он нарушен только потому что нет пассвордчара?

Ха ха.

← →
Медвежонок Пятачок © (2011-08-11 21:59) [13]

Если у тебя пароль нормальный, то я не смогу выдать себя за тебя.

И какая здесь связь с защитой ПД?

Допустим твои все данные на сайте зашифрованы. Причем сертифицированными средствами. Я узнал твой нормальный пароль в приватной беседе с тобой или с твоей женой (или еще как) и могу выдать себя за тебя.

Вопрос: нарушен ли закон о защите ПД и кем именно?

← →
TUser © (2011-08-11 22:11) [14]

> Вопрос: нарушен ли закон о защите ПД и кем именно?

никем, тут субъект сам разгласил - а это разрешено законом (я бегло просмотрел, но, вроде это прописано, если сам разгласил, то все ок)

а вот если ты посмотрел через плечо на экран, то хз. Если на бумажку, которую я в банке заполняю посмотрел, то банк виноват, что не обеспечил мне условий, где я могу не в толпе заполнять бумажку, где пд. А над своим экраном я, вроде, сам властен.

← →
Медвежонок Пятачок © (2011-08-11 22:13) [15]

ну так я и интересуюсь причем здесь возможность выдать себя за кого-то при ненормальном пароле

Если на бумажку, которую я в банке заполняю посмотрел, то банк виноват

снова куда-то не туда. закон-то про електрически хранимые данные и их передачу в сетях.
про бумажные он ничего не говорит.

← →
antonn © (2011-08-11 22:18) [16]

> 1) персональные данные - любая информация, относящаяся к
> прямо или косвенно определенному или определяемому физическому
> лицу (субъекту персональных данных);

по логину и паролю пользователя не персонифицировать

← →
TUser © (2011-08-11 22:22) [17]

> закон-то про електрически хранимые данные и их передачу в сетях

ага, и исключительно в кодировке кои-8, на аппаратах под под 50 Гц/220В

← →
Медвежонок Пятачок © (2011-08-11 22:22) [18]

нутыпонел :)

← →
Медвежонок Пятачок © (2011-08-11 22:26) [19]

если уж на то пошло, то я бы смотрел не на звездочки в форме, а на протокол скрипта отправки этих звездочек.
но все равно по любому ясно, что из формы на сервер вылетает только пара логин и пароль и даже если они по сети путешествуют в открытом виде, то эту пару никак нельзя сопоставить с конкретной персоной.

← →
Медвежонок Пятачок © (2011-08-11 22:34) [20]

а если следовать причудливой логике автора, то получается, что например форма редактирования клиента в банке не должна содержать ни одного едита без пассоврдчара со звездочкой.
ага.
приходит клиент, операционист заводит на него учетку, вводит фио и все остальное в эдиты которые закрыты звездами.
и в гриде со списком клиентов должны быть одни звезды.
и в выписке по счету одни звезды вместо буков и цифер.
причем еще и произносить вслух нельзя.

- хочу перевести на счет звездочка звездочка звездочка несколько денег
- скока?
- звездочка звездочка звездока!
- ага понятно, пройдите в кассу.

← →
Kolan © (2011-08-11 22:38) [21]

Привет, Игорь! Тоже рад тебя видеть :)

>С юридической точки зрения, станет таким после нажатия клавиши «Зарегистрироваться»
Анатолий, а как это можно юридически формально объяснить? Почему это так?

>То есть есть подозрение что он нарушен только потому что нет пассвордчара?
Медвежонок Пятачок, да-да, именно так я и думаю. Как можно это юридически объяснить? На что сослаться?

>никем, тут субъект сам разгласил - а это разрешено законом
TUser, а как это доказать, что он сам? Мы же типа его пароль к себе в форму получили и показали, типа разгласили...

Сорри, за дебильные вопросы, но мне хочется как можно более формально все понять.

← →
Игорь Шевченко © (2011-08-11 22:41) [22]

Kolan © (11.08.11 22:38) [21]

> Тоже рад тебя видеть :)

Взаимно :)

> но мне хочется как можно более формально все понять.

В сети туча юридических форумов, где тебе все объяснят с юридической точки зрения, даже со ссылками на законы (if any).

Ради интереса можешь позадавать там вопросы по программированию на Delphi, например, про оптимальное использование компонент DevExpress.

← →
Kolan © (2011-08-11 22:42) [23]

>приходит клиент, операционист заводит на него учетку, вводит фио
Все таки операционист — это часть системы и за его спиной не может никого постороннего стоять (а если стоит — то это косяк банка), а за спиной человека за компьютером — может. Мало ли может он в интернет кафе сидит.

← →
sniknik © (2011-08-11 22:43) [24]

> ...в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное,
> социальное, имущественное положение, образование, профессия, доходы, другая информация;
это что же такое, значит ежемесячно, когда плачу за инет кассиры нарушают закон? ввожу то код, а в ответ подтверждение вы "такой-то такой-то?"(ФИО!!!) , да, "платеж пошел". и ведь любой может моим кодом воспользоваться... хотите проверить? ;)
а ЖКХ в сбербанке еще хуже... подходишь к аппарату сканируешь штрих код с платежки, и пожалуйста... не только ФИО но и адрес вплоть до квартиры... жуть.
а работодатель? он же доходы по почте шлет, не шифруясь... любому админу по сервакам "великого епочтового пути" - читай не хочу...
а смс-ки о банковских операциях с твоей кредиткой? их же кто хочешь может получить (яндех недавно... :)

p.s. назначте меня проверяющим! всех оштрафую!!! ;)

← →
Медвежонок Пятачок © (2011-08-11 22:43) [25]

На что сослаться?

начни с поиска упоминания звездочек в тексте закона.

← →
Kolan © (2011-08-11 22:47) [26]

>В сети туча юридических форумов
Я у юристов спросил конечно тоже, но Делфимастер для такого вопроса не слабо подходит на мой взгляд. Я думаю, тут есть люди, которые с такими околокомпьютерными юр. вопросами сталкивались не раз. А помню АП хвастался, что их юр. отдел кого-то засудил так, что те с рынка ушли, ну и т. п.

Плюс потрепаться можно :)

← →
Медвежонок Пятачок © (2011-08-11 22:47) [27]

и за его спиной не может никого постороннего стоять

так вот я и спрашиваю.
за чьей спиной стоит тот, кто видит твой пароль на форме регистрации?

за твоей спиной или за спиной сотрудника той конторы, кому принадлежит сайт?

кто закон-то якобы нарушает если подсматривают из за твоей спины?

← →
Kolan © (2011-08-11 22:49) [28]

В законе говорится, что
персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия... другая информация;

То есть если через пароль я могу определить ФИО, то это личная инфа.

Так как в форме почта и пароль, то, есть вероятность, что пароль юзер использует один и я смогу зайти в его почту, используя подсмотренный пароль, и узнать его личную инфу.

← →
Игорь Шевченко © (2011-08-11 22:50) [29]

> Я думаю, тут есть люди, которые с такими околокомпьютерными
> юр. вопросами сталкивались не раз

Юристы с компонентами DevExpress и вызовами WinApi тоже каждый день по десятку раз сталкиваются, ты главное, начни, а там узнаешь, как это интересно - у юристов про программирование спрашивать.

← →
Медвежонок Пятачок © (2011-08-11 22:51) [30]

То есть если через пароль я могу определить ФИО, то это личная инфа.

на скрине логин и пароль. больше ничего нет. по сети передается только эти данные.

определи фио. райтфакиннау.

:)

← →
Kolan © (2011-08-11 22:51) [31]

>кто закон-то якобы нарушает если подсматривают из за твоей спины?
Ну типа если бы мы приняли меры и сделали звёздочки, то он бы не подсмотрел, так ведь? :)

← →
Медвежонок Пятачок © (2011-08-11 22:53) [32]

Так как в форме почта и пароль, то, есть вероятность, что пароль юзер использует один и я смогу зайти в его почту, используя подсмотренный пароль, и узнать его личную инфу.

закон-то кто конкретно нарушил?

ты, владелец формы или владелец почтовика?

← →
Медвежонок Пятачок © (2011-08-11 22:55) [33]

Ну типа если бы мы приняли меры и сделали звёздочки, то он бы не подсмотрел, так ведь? :)

емае.
ты говорил, что в банке звездочки не нужны, потому что там за спинами банковских теток никто вроде бы не стоит и потому нарушения нету.
если бы стояли за банковскими спинами, то банк бы нарушал закон.

в твоем случае спина только твоя, а не банковская.
то есть если кто и нарушает, то только ты.

по твоей же космической логике причем.

← →
Kolan © (2011-08-11 23:05) [34]

Ну а вот если банк пошлёт мне карту пластиковую, а пинкод не спрячет в конверте и его на почте увидят случайно, кто виноват будет? Банк же, потому что не обеспечил, нет?

сходи на госуслуги, а?

зарегайся там, оно тебе покажет кучу твоих персоналных данных.
поставь за своей спиной соседа, а затем подавай иск "Колян против РФ"

пусть все данные на странице заменят на звездочки.

вдобавок подай иск за то, что там у них еще и https работает на майкрософтовском криптопровайдере, который для защиты этих самых данных ниразу не сертифицирован.

То есть если через пароль я могу определить ФИО, то это личная инфа.

Пароль нужно закрывать чтобы нельзя было определить ФИО. Замечательно.
Но если ФИО вводится открыто (без звездочек) то и пароль даже не нужен. ФИО уже определено и открыто и видимо из за спины.
Следовательно ФИО где бы оно не вводилось - должно закрываться звездочками.

> Является ли это нарушением закона о персональных данных?

Ты б закон для начал почитал :) А то о тебе столько персонального в сети...

> [24] sniknik © (11.08.11 22:43)
> а работодатель? он же доходы по почте шлет, не шифруясь...

Да ну. Специальные службы создали которым он платат по договору не очень много но с каждого работодателя неслабо выходит. Он им шлёт с электронной подписью зашифрованные документы, а службы только и делают, что пересылают в соответсвующий орган + минимальный сервис.

Всем спасибо, ребята! Аргументов масса, мне хватит.

Кстати, а если на сайте не https, а просто http, то это что-то нарушает?

без разницы.
https точно так же нарушает, если криптопровайдер не сертифицирован.

> Kolan (11.08.2011 22:38:21) [21]

Эти данные гдето публикуют открыто? Если нет то и ращглашения нет.

Очень просто, ты в любой момент можешь закрыть страницу, с тогда все что ты
ввел недействительно, это не стало ни логином, ни паролем.

Если тебя волнует, что кто то из-за спины увидет, то просто выключи монитор
на время.

> Kolan (11.08.2011 22:42:23) [23]

Интернет кафе - вообще не надо вводить конфиденциальные данные, высока
вероятность, что там установлен шпион, тогда и звездочки не помогут

> даже со ссылками на законы

Вряд ли законодатель прописывает в законе прямо "в эдите должны быть звездочки". Следовательно, тут нужны не только законы, но и "правоприменительная практика". В англосаксонских странах практика эта вульгарно именуется "прецедентами".

> Kerk © (11.08.11 21:22) [10]
> По паролю меня тоже нельзя однозначно идентифицировать.
> Сюрприз. Их вообще дофига одинаковых на любом сайте.

Ты прикинь, по размеру дохода тебя тоже нельзя однозначно идентифицировать.

Я полагаю, что Керка даже по ФИО вряд ли можно однозначно идентифицировать - дофига одинаковых ))

> [47] TUser © (12.08.11 13:14)
> что Керка даже по ФИО вряд ли можно однозначно идентифицировать дофига одинаковых

Мало их. В Вконтакте из 102 235 514 человек всего 56.

считать надо так - ноль, один, два, много

Является ли открытый пароль в форме регистрации нарушением закона Найти похожие ветки