Ровно два ответа в гугле, по данному заголовку: статья амнезии

и вот этот тред у электрона, где какой-то рандом залетел с возмущением, что данный заголовок нарушает приватность, а его прямо спросили "как?", на что ответа не было.

заголовок "uniquely identifies the user". Это privacy violation без вопросов. Если разработчик Electron этого не понимает, то он баран.

а почему ты веришь обвинителю? Насколько я знаю, презумпцию невиновности не отменили и у чела открыто попросили аргументации, с чего бы вдруг этот заголовок позволяет uniquely identifies the user.

Потому что разработчик не опроверг что заголок идентифицирует пользователя.

бремя доказательства лежит на утверждавшем

Переменная c названием user-id не идентифицирует пользователя. Ok.

Как присваивание айдишников юзерам позволяет его идентифицировать или нарушает конфиденциальность? Это делает каждая вторая прога, что в этом такого?

Например, потому что презумпция невиновности существует только в уголовном праве и аналогах? А граждане могут просто рассуждать о вероятностях как посчитают нужным

Такие люди ходят по левой стороне в ТЦ и по тротуарам, потому что "правостороннее движение описано только для машин, я могу ходить где хочу"

Рассуждать ты можешь как угодно, в этом проблемы нет, но если ты обвиняешь компанию в нарушении конфиденциальности, то это не компания оправдываться должна

ты кстати наврал. У чела не просили аргументации, с чего бы вдруг этот заголовок позволяет uniquely identifies the user. Его спросили "Can you elaborate on how that is a privacy violation?"

айдишник позволяет идентифицировать по определению. Слово ID - это identificator.

Тут стоит разграничить понятия идентификации пользователя, как человека и пользователя, как клиента приложения. Заходя в телегу я вижу свои чаты, а не чужие, потому что телега присвоила мне user-id, но она не знает, кто именно с моего телефона смотрит чаты - я, девушка или родители. Это не нарушает private policy и никто не обвиняет телегу в этом.

и здесь у меня точно такое же непонимание как и у представителя компании - как присвоение user-id нарушает private policy?

И в соответствии например с GDPR этот уникальный ID присвоенный конкретному пользователю в телеге является PII защищаемой законом которую ты не можешь сливать куда угодно.

и тут мы возвращаемся к началу этого обсуждения. Как само наличие user-id в outline доказывает факт слежки?

Еще раз, по GDPR сливание user-id в онлайн третьми лицам без ведома и согласия пользователся есть нарушение privacy караемое законом.

А амнезия доказала, что outline сливает данные третьим лицам?

Ну пиши жалобу

там URL есть, AWS третьи лица.

Мне этот так же надо, как и тратить время на споры с неучами.

Ты видимо пропустил сноудена

Ты же в курсе что GDPR появился по следам этого всего

То есть наличие у компании инфры в авс нарушает gdpr? Там урл бакета с3 в авс

Ты из России?

outline же и будет 3им лицом. но что он что-то сливает — это вопрос, да. например, хранит ли он в логах эти данные

но вот это на самом деле спорное утверждение. user id сам по себе перс данными не является. там начинается много юридической мути, типа можно ли по этому айдишнику получить доступы к другим датасетам, которые позволят провести корреляцию между частично-перс данными и точно идентифицировать юзера (или сузить кол-во вариантов до небольшой группы людей) но чаще скорее нет, чем да

Так я же изначально об этом и говорю, что никаких аргументов в пользу того, что outline шпионит, нет. Чуваки просто прислали скрин запроса, который никак к слежке не относится и думают, что пипл схавает

Если ты шлешь PII в открытом виде то не важно где у тебя инфра.

Сможешь конкретное место в GDPR указать? Человека же идентифицировать нельзя. Не соответствует духу GDPR как я его привык понимать

По GDPR любая информация посволяющая прямо или *косвенно* идентифицировать пользователя является защищаемой и назвается personal identificatable information. К PII относятся и IP адреса и куки в броузера.

да, и айди юзера твоей системы таковым не является. ни PII, ни уж тем более SPII но, повторюсь, там могут быть очень неочевидные ситуации, когда за логирование айди в твоей системе тебе могут дать оборотный штраф. но это касается в целом архитектуры приложения и архитектуры безопасности, это очень нетривиальные моменты например, в одной части системы ты палишь айдишник, а во второй ты палишь связку айди + айпи и номер счета контракта

ну это хороший поинт поинтересоваться у их саппорта или сейлзов. они должны будут предоставить эту инфу и взять обязательства не сливать данные и корректно их хранить

Прямо в definitions написано - ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

А как тогда интернет вообще не закрылся? Не понимаю

Ну, все нажали кнопочки что согласны принять куки

и где в приведенном списке хоть слово об автогенерируемом уникальном айди ? вот тебе пример (не настоящий) — etwR3o1hRjY. ты по такому айдишнику поймешь, что это за человек (и человек ли) ?

"an identification number"

понятно, проблемы с переводом :) тут не айди системы имеется ввиду

кто же тебе такое сказал?

потому что это инн, блин, или его аналог

Кто же тебе жто такое сказал? Этого в законе не написано что это выданный государством ИНН. Специально для сильно умных.

специально для сильно умных рекомендую загуглить, что такое identification number в терминах PII. это не айди системы ты ведь знаешь, что PII в логах палить нельзя ? Так вот у меня вопрос: как компании получают сертификацию, без проблем логируя внутренние ID юзеров своей системы ?

Нет никакой сертификации

выдумки масонов ?)

В законе там отдельный термин - "national identification number". Article 87

ну я вот вопрос выше задал про логирование и сертификацию. ответишь ?) и почему получается так, что за имейл или телефон в логах тебе сертификацию никогда не дадут (повезет, если не дадут штраф), а внутренний айди в системе никак на этом не скажется (ну, в реальности там конечно аудит проводят, чтобы не было кейсов, как я выше описал, но тем не менее) ? в целом, я понял, откуда проблема в понимании закона и почему эти споры вообще возникают

Не надо путать конкретные security measures в конкретной компании и требования закона. Сертификация дело добровольное и ответственности не снимает и штраф сертфицирующая организация наложить не может. За телефон и email тебя вздрючат потому что они в логах не нужны, в лога почтового сервера этих email'ов у тебя будет в каждой строчке и никто тебе ничего не скажет пока они у тебя не утекут.

«Вздрючат, потому что не нужны» Такого я ещё не слышал ) Выходит, если я скажу, что мне это нужно, то все вопросы ко мне отпадут ?

Насчет приведенного примера с имейлами я тоже сомневаюсь, кстати

Если у тебя есть согласие владельца данных на использование этих данных в конкретно определенных целях, то ты можешь использовать эти данные для эти целей. Если клиент дал свой email с согласием слать ему уведомления, то я могу хранить это email для целей остылки ему этих уведомлений и писать этот email в логи при необходимости.

ээээ, чего ? > о я могу ... и писать этот email в логи при необходимости. в финтехе у вас за такое ЦБ лицензию отберет. в целом, делаю вывод, что реально с gdpr и его реализацией вы мало знакомы дальнейший спор считаю бессмысленным ) можете в чатик инфобеза сходить и там вопросы позадавать

Бедненький, тебя безопасники покусали. Я в финтехе под управлением UK FCA уже больше десятка лет.

страшно представить, что у вас за финтех такой, где разрешают светить имейл в логах и при этом считаюn рандомный айди хеш PII )) ))

Вопрос "является ли <randomshash>@<randomhash>.com PII?" сломает тебе мозг.