Консультант по ИБ и процессам
0,0
рейтинг
11 октября 2015 в 23:54

Разработка → Уведомления о конфиденциальности в электронной почте: не очень хорошая идея перевод

Я считаю, что все эти уведомления о конфиденциальности (confidentiality notices), которые автоматически вставляются в конце переписки по электронной почте, раздражают. Еще более раздражают вереницы посланных туда и обратно писем, когда стороны жмут «Reply» несколько раз, и скромное письмо превращается в 10-страничное полотно, с повторяющимися шаблонными «уведомлениями о конфиденциальности».

Как адвокат, я знаю, что эти уведомления имеют ценность, когда используется должным образом. Но я обнаружила, что большинство людей и большинство адвокатов, не знают, почему они должны быть использованы и как они эффективно их использовать.

Защищают ли эти неприятные профилактические меры на самом деле чью-то конфиденциальность, или же это просто глупо? Некоторые комментаторы считают это глупостью. (см. goldmark.com, Jeffrey Goldberg, 8/14/03 статья “counting the ways”, в которой отмечает, что уведомление о конфиденциальности в письмах это «глупо»). Каковы причины, из-за которых добавление уведомления о конфиденциальности в письма, по крайней мере могут быть пустой тратой усилий и места, а может и серьезной ошибкой в худшем случае?

(1) это дает неоднозначную директиву;
(2) выдает противоречивое намерение;
(3) не имеет никакой юридической силы; и
(4) это может сделать бессмысленным то юридическое действие, которое оно могло бы иметь.

Неоднозначная директива уведомления о конфиденциальности говорит, что «несанкционированному» получателю запрещается рассмотрение или распространение письма. В то же время направляя получателя предпринять меры, связаться с автором письма, и вообще уничтожить письмо. Но откуда я знаю, что не являюсь санкционированным получателем, прежде не прочитав сообщение? Поскольку сообщение было на самом деле послано мне (потому что я получила его), то не я ли де-факто санкционированный получатель? Как я узнаю, что я не должна была просматривать сообщение, до того, как прочитав все же его, увижу в конце уведомление о конфиденциальности? И вообще, кто вы такой, Отправитель, чтобы говорить мне что разрешено и что запрещено? Какой властью вы говорите мне, что делать с письмом, отправленным на мой адрес?

Почти все мои юридические оппоненты отправляют мне письма по электронной почте с уведомлением о конфиденциальности в конце сообщения. Их проблема в том, что нет никакого способа сохранить их сообщения конфиденциальными. Я не обязана делать это.

Конфиденциально это или нет? Очень часто, уведомление о конфиденциальности в конце письма напрямую противоречит намерению отправителя. Это тот случай, когда например, информация, содержащаяся в письме, является пресс-релизом, или корпоративной памяткой, дающей инструкции о дальнейшем распространении содержимого на других сотрудников. И что означает «может содержать конфиденциальные или привилегированные материалы»? Как я должна узнать, что часть сообщения является или не является конфиденциальной или привилегированной?

Несколько лет назад, я взялась за иск, где выяснилось, что мой новый правовой противник — мой старый друг. Мой друг/новый противник прислал мне письмо, заявив, что рад видеть меня как своего противника, что мы могли бы быстро продвинуться на некоторых затяжных проблемах. И в том же письме, по-дружески спросил обо мне и моей семье. В конце было уведомление о конфиденциальности. Здравый смысл подсказал мне, что ничего в этом конкретном письме не может считаться конфиденциальным. Также не существует ничего привилегированного, вне зависимости от того, что содержит письмо.

Итак, есть некоторые простые примеры того, почему уведомления о конфиденциальности в конце писем полностью бесполезны.

Теперь о том, почему они к тому же являются плохой идеей.

Во-первых, они может убаюкать отправителя. Резкость тона сообщения, и подразумеваемые правовые последствия «запрета» создают ложное чувство безопасности.

Во-вторых, если регулярно использовать уведомления, они могут сделать все ваши почтовые сообщения неконфиденциальными. Если вы помечаете все ваши письма конфиденциальными, когда на самом деле ясно, что вы не имеете «ожидания конфиденциальности» для каждого сообщения, то таким образом вы не делаете усилий, чтобы защитить действительно важную информацию, которая нуждается в защите. Вы должны защищать определенную (нужную) информацию как конфиденциальную.

Только тогда, когда такие уведомления использовать осторожно и нечасто, у них есть шанс на самом деле защищать конфиденциальную информацию в письме. Базовые правовые нормы утверждают принцип «разумного ожидания конфиденциальности». Но подобный принцип не существует в силу лишь слов в уведомлении. Такое ожидание должно сопровождаться другой причиной вообще иметь такое ожидание.

Для упрощения, если вы хотите сохранить конфиденциальность информации, автор предлагает вам следующее.

Здравый смысл подсказывает нам, что мы не можем заставить кого-либо хранить ваши секреты только просто требуя чтобы они это сделали.
Должны быть некоторые внешние соглашения или требования о том, что ваши секреты будут храниться конкретным получателем. Таким образом, уведомление о конфиденциальности, это как напоминание или своего рода резервирование, указывающее, что вы действуете исходя из ранее установленных соглашений между вами (отправителем) и другой стороной (получателем). Это подтверждает ваше намерение действительно сохранить ваши секреты.
Используются ли уведомления о конфиденциальности (confidentiality notices) в вашей компании?

Проголосовало 207 человек. Воздержалось 96 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Перевод: Mona Conway
Алексей Евменков @evmenkov
карма
4,0
рейтинг 0,0
Консультант по ИБ и процессам
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (40)

  • +6
    Это конфиденциальный коммент
    • +7
      +1


      Этот комментарий содержит конфиденциальную информацию. Настоящим уведомляем Вас о том, что если этот комментарий не предназначен Вам, использование, копирование, распространение информации, содержащейся в настоящем комментарии, а также осуществление любых действий на основе этой информации, строго запрещено. Если Вы получили это сообщение по ошибке, пожалуйста, сообщите об этом отправителю ответным комментарием и развидьте этот комментарий.
      • +3
        Сообщаю: я получил это сообщение по ошибке.

        — Этот комментарий содержит конфиденциальную информацию. Настоящим уведомляем Вас о том, что если этот комментарий не предназначен Вам, использование, копирование, распространение информации, содержащейся в настоящем комментарии, а также осуществление любых действий на основе этой информации, строго запрещено. Если Вы получили это сообщение по ошибке, пожалуйста, сообщите об этом отправителю ответным комментарием и развидьте этот комментарий.
      • +2
        а также осуществление любых действий на основе этой информации, строго запрещено.
        Если Вы получили это сообщение по ошибке, пожалуйста, сообщите об этом отправителю ответным комментарием и развидьте этот комментарий.
        Взаимоисключающие параграфы детектед.
  • +7
    Ещё круто, когда в конце просят беречь природу и не печатать это письмо. Пару раз не удержался.
    • +2
      А как насчет того, что обработка и передача верениц писем с километрами этих уведомлений расходуют вполне себе реальную энергию машин?

      Лучше бы в подписях призывали не использовать подписи :) В лучших традициях, так сказать.
      • +1
        Я хотел было их этим прижучить, но потом понял, что принтер всё же расходует на два порядка больше.
    • 0
      Когда вижу такие надписи, почему то вспоминаю про полотенца в гостиницах (просят не бросать на пол, чтобы не стирать — «не тратить мировые запасы воды») и призывы команды avaaz.
      Но это все безобидные социальные вещи, хочешь реагируй, хочешь нет.

      А confidentiality notice может испугать «молодого провинциала», вдруг накажет кто-нибудь за неправильное телодвижение:)
  • +3
    у меня некоторое время в письмах (на личном e-mail, но на него пишут часто)
    стояло

    READ CAREFULLY.
    By accepting or reading this e-mail you agree to release me from all
    obligations and waivers arising from any and all NON-NEGOTIATED
    agreements, licenses, terms-of-service, shrinkwrap, clickwrap,
    browserwrap, confidentiality, non-disclosure, non-compete and
    acceptable use policies («BOGUS AGREEMENTS») that I have entered into
    with your employer, its partners, licensors, agents and assigns, in
    perpetuity, without prejudice to my ongoing rights and privileges. You
    further represent that you have the authority to release me from any
    BOGUS AGREEMENTS on behalf of your employer.

    This shall include (but not be limited to) treatment of any e-mail
    communications I receive, which become my sole and inalienable
    property, so that disposition thereof is governed exclusively by
    legislation of the Russian Federation and by my own code of ethics,
    irrespective of anything which may have made you believe otherwise,
    including my perceived acceptance of a BOGUS AGREEMENT you may have
    enclosed in your correspondence
  • +5
    Имеет ли данная статья какое-то отношение к российским реалиям?
    • +2
      Вопрос хороший.
      Я разговаривал как-то с юристом (правда белорусским, не русским), он сказал, что подобные уведомления на 95% являются психологическим фактором. Однако, оставшиеся 5% потенциально могут помочь на этапах суда, для доказательства факта понимания получателем, что в письме была конфиденциальная информация.

      В США в некоторых регуляциях такие уведомления обязательны. Насколько знаю, в области медицины, одно из требований HIPAA.
      • 0
        Еще в Канаде недавно какой-то закон приняли (не буду врать, не помню, в чем там именно дело), и теперь куча компаний из-за того, что email может попасть канадским партнерам, обулись добавлять во все письма такие вот подвалы.
    • 0
      имеет, если в вашем договоре с наемным работником или контрагентом прописаны положения о коммерческой тайне, тогда вы просто обязаны маркировать все поручения и сообщения с поручениями, но только если они содержат коммерческую тайну, а без наличия соответствующих договоренностей, по крайней мере в рамках нашего законодательства, бессмысленно. Хорошая статья
      • +1
        имеет, если в вашем договоре с наемным работником или контрагентом прописаны положения о коммерческой тайне, тогда вы просто обязаны маркировать все поручения и сообщения с поручениями, но только если они содержат коммерческую тайну


        ФЗ «О коммерческой тайне», статья 10:
        1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
        [...]
        5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации (для юридических лиц — полное наименование и место нахождения, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).


        Типовое уведомление о конфиденциальности вышеуказанному требованию не соответствует.
  • 0
    Перед прочтением сжечь…
  • 0
    В теории может быть перенаправление почты, реализованное у принимающей стороны.
    Отправитель честно пытался написать Иванову, а по тем или иным причинам сообщение попало Петрову. Для которого не предназначается.
    Ну и перехваты. :)
    • 0
      Это вы к чему?
      Автор статьи сводит к тому, что и отправитель, и получатель должны договориться, как защищать конфиденциальную инф-ю. Т.е. Иванов в вашем случае должен был позаботиться о настройках, чтобы не было никаких перенаправлений.

      Перехваты? Это уже криминал:)
  • –4
    в крупных международных компаниях подпись ставится по умолчанию ко всем исходящим письмам техническим средствами и принудительно, по этому вопрос ставить или не ставить вообще не ставится.
    смысла статьи не уловил.
    • 0
      Если работаешь в такой компании, то на ситуацию вряд ли сможешь повлиять.
      Но понимать суть происходящего неплохо же?:)

      К тому же, предположу, что большинство из нас не работают в «крупных международных компаниях», а письма с уведомлениями получаем регулярно.
      • 0
        если ты получаешь письмо, то у тебя и проблемы выбора не стоит :)
        • 0
          Они лишили нас выбора, и еще хотят управлять нашей жизнью!:)
  • 0
    >> +1
    > Сообщаю: я получил это сообщение по ошибке.
    Есть же договорённость отделять тело письма от всякой ерунды, не требующей цитирования тройным минусом.
    ---
    Этот комментарий содержит конфиденциальную информацию. Настоящим уведомляем Вас о том, что если этот комментарий не предназначен Вам, использование, копирование, распространение информации, содержащейся в настоящем комментарии, а также осуществление любых действий на основе этой информации, строго запрещено. Если Вы получили это сообщение по ошибке, пожалуйста, сообщите об этом отправителю ответным комментарием и развидьте этот комментарий.
    • 0
      Просто пример :)
      — >> +1
      >> Сообщаю: я получил это сообщение по ошибке.
      >Есть же договорённость отделять тело письма от всякой ерунды, не требующей цитирования тройным минусом.
      >---
      >Этот комментарий содержит конфиденциальную информацию. Настоящим уведомляем Вас о том, что если этот >комментарий не предназначен Вам, использование, копирование, распространение информации, содержащейся в >настоящем комментарии, а также осуществление любых действий на основе этой информации, строго запрещено. >Если Вы получили это сообщение по ошибке, пожалуйста, сообщите об этом отправителю ответным комментарием и развидьте этот комментарий.

      Этот комментарий содержит конфиденциальную информацию. Настоящим уведомляем Вас о том, что если этот комментарий не предназначен Вам, использование, копирование, распространение информации, содержащейся в настоящем комментарии, а также осуществление любых действий на основе этой информации, строго запрещено. Если Вы получили это сообщение по ошибке, пожалуйста, сообщите об этом отправителю ответным комментарием и развидьте этот комментарий.
      • 0
        Проверил, Яндекс и Гугл не поддерживают эту тему :-(
  • –2
    Есть такой закон — О рекламе. Закон запрещает сравнивать с конкурентами и делать выводы. А как без этого при продажах? Но это запрещено, если рассылка массовая. А вот если письмо личное — другое дело. И такая приписка позволяет обойти ограничения закона — письмо личное, а значит высказать свое мнение можно.

    А так конечно — любое письмо это персональная информация и требования о выполнении ФЗ-152
    • +2
      нет, закон о ПД не регулирует какую-то абстрактную частную переписку.
      • –1
        Переписку как таковую конечно нет, но большинство входящих и исходящих легитимных писем компании содержат ФИО и адрес (+ дополнительную информацию, иногда еще и фото — а это уже биометрия), а значит по ним можно идентифицировать отправителя и/или получателя. Вполне себе персональные данные. Просто в связи с тем, что нереально запрашивать до первого письма согласие на получение/отправку персданных — на эту сторону защиты персональных данных забили.
  • 0
    Электронные письма приходят получателю уже с нарушенными правами о конфиденциальности, пройдя через серверы третьих лиц.
    "...«несанкционированному» получателю запрещается рассмотрение или распространение письма..." — распространив (переслав) письмо получателю, сервер третьего лица лишил информацию конфиденциальности и поэтому конечный получатель ничего уже нарушить не может )))
    К примеру, нельзя привлечь к ответственности всех, увидевших опубликованные секретные документы, если на дворе не «37-й», конечно.
  • +1
    А я думал что для конфиденциальности нужно использовать PKI: Инфраструктура открытых ключей.
    Если хотите отправить мне конфиденциальное сообщение зашифруйте его с помощью моего открытого ключа. И никто не сможет, кроме меня прочитать, даже если случайно получит. Для надежности подпишите его своим ключом. И я буду уверен что это письмо от вас.

    • +2
      Эта штука требует предварительных телодвижений с обоих сторон.
      Но в целом, это как раз то, к чему призывает автор: «Должны быть некоторые внешние соглашения или требования...»
    • +1
      Вы заблуждаетесь.

      Безопасность и конфиденциальность не начинается там, где появляется криптография. Ровно наоборот: криптография иногда появляется там, где потребовалась безопасность и конфиденциальность. Иногда не появляется. Всё зависит от модели угроз и выбранного способа защиты.

      Например, мы желаем передать письмо некоторому собеседнику. Мы можем гарантировать его конфиденциальность до получения собеседником разными способами: по электронной почте — используя S/MIME или PGP, или передав бумажное письмо с доверенным курьером.
      Если априорной договорённости с получателем о неразглашении у нас нет, то он имеет полное право обнародовать это письмо (ему совершенно без разницы, что мы думаем про его возможную ответственность — если у него не было с нами договорённости, нет и перед нами ответственности). Следовательно, конфиденциальность переписки гарантировать не можем, вне зависимости от того, использовали мы криптографию или нет.

      Надо, надо изживать в себе идиому «чтобы стало безопасно, достаточно зашифровать». Это может быть необязательно, а с другой стороны — этого может быть недостаточно. Безопасность — процесс, и нужно последовательно строить весь этот процесс, а не бездумно использовать отдельные технологии.
      • 0
        Согласен.
        Криптография — необходимое, но не достаточное условие конфиденциальности.
        • 0
          Нет, не необходимое. Повторю пример: я передаю всю секретную корреспонденцию с доверенным курьером (доверяю ему больше, чем адресатам). Здесь криптография не имеет смысла.
          • 0
            А если потеряет, украдут, отнимут. Если вам настолько не страшны эти риски, зачем тогда конфиденциальность. Ну в простейшем случае, может быть.
            • +1
              Ну, я знал, что вы про это начнёте. Нет, не отнимут. Пусть он едет в БТР и с охраной, а документ лежит в кейсе, который можно открыть ключом или сломать, и во втором случае документ внутри необратимо уничтожается.
              Повторяю, я доверяю курьеру (уверен, что пока информация в его руках, она не может быть получена никем, кроме желаемого адресата) больше, чем адресатам. Скорее того, кому он везёт, будут пытать и выпытают.

              Пока не фиксирована конкретная модель угроз, нельзя говорить о том, что что-то нужно или не нужно для безопасности. Включая криптографию.

              Ну, это как в разработке ПО — пока нет техзадания, нельзя утверждать, что потребуется или не потребуется какой-то конкретный элемент пользовательского интерфейса.
      • +1
        Спасибо, классное дополнение.
        Безопасность нужно внедрять на процессной основе. В том же ИСО 27002 особо и нет рекомендаций по используемым технологиям. Но описание процессов там достаточно четкие.
  • +2
    А я всегда считаю так: если кто-то ко мне в квартиру принесет, скажем, мусор или какую-то вещь, напишет сверху, что вещь это конфиденциальная, и трогать ее нельзя, то я ее выкину в окно (или в мусорку — это зависит от моего недоумения и от желания двор загрязнить) вне зависимости от надписи. Потому что у меня в доме надо у меня сначала спросить, хочу я что-то соблюдать, или нет, и можно ли «этому» «здесь» полежать.

    Когда ко мне приходит письмо (даже по ошибке), в котором что-то там секретное записано, то это, простите, мой ящик — со всеми вытекающими.
  • 0
    Прям как публичная оферта: тебе прислали письмо, значит ты автоматически согласен с офертой (подписался). Это прекрасно.
    • 0
      Хороша идея в ответ присылать письма, содержащие что-то типа «получая это, вы автоматически соглашаетесь на безвозмездную бессрочную передачу своего тела и своей души...»
  • 0
    Всегда при виде таких «подписей» хочется отправить ответ со своей подписью, что-то в виде «прочитавший это сообщение обязан выплатить много денег на такой-то счет...».
    По идее, это имеет такую же ценность, как и изначальный комментарий о конфиденциальности. Или нет?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.