Twee weke gelede is databasisse van 600 duisend kliënte van die Avito- en Yula-dienste op die forums ontdek, waaronder regte adresse en telefoonnommers. Die databasisse is steeds vrylik beskikbaar en enigiemand kan dit aflaai. Stel jou net voor hoeveel mense al die databasis afgelaai het met die doel om strooipos te stuur of, nog erger, om gebruikers se betaalkaartdata uit te lok. Die forumadministrasie vee nie databasisse uit nie, aangesien Hulle sien geen probleem in hierdie situasie nie, nog minder 'n oortreding, en sê dat dit nie diefstal van persoonlike data is nie, maar die insameling van oop data.
Nuus oor datalekkasies sal niemand meer verras nie.
Julie en Augustus 2020 was gevul met nuus oor TikTok wat geblokkeer is vir ongemagtigde data-insameling. En my taak is nie om te verras nie, maar om die kwessie te verstaan, en om die belofte na te kom wat ek aan een van Habr se lesers gemaak het. Terloops, my naam is Vyacheslav Ustimenko, ek het die artikel saam met Bella Farzalieva, 'n IT-prokureur van die internasionale regsfirma Icon Partners, geskryf.
Hoekom is dit belangrik?
Die kwessie van beskerming en verwerking van persoonlike data kry net elke jaar momentum. Beskerming van persoonlike data gaan oor die vryheid van keuse van 'n persoon, die kultuur van die samelewing en demokrasie. ’n Onafhanklike persoon is moeilik om te bestuur, moeilik om te mislei en onmoontlik om te kopieer. Hierdie idee word oorgedra deur die bekende databeskermingsregulasies in die EU (GDPR) en die VSA (CCPA). Persoonlik 'n opname gedoen het, is selfs prokureurs (90% van my intekenare) steeds swak vertroud met databeskermingskwessies.
Die vraag het soos volg geklink: “Watter van die volgende is persoonlike data.”
Ek heg 'n skermskoot van die opname-resultate aan.
Sowat 20% van die kiesers het die korrekte antwoord gekies.
NS Die feit dat ek van die Oekraïne kom, en die artikel oor die wette van die Russiese Federasie, moet julle nie verwar nie, geagte lesers, aangesien die kundigheid van 'n IT-prokureur nie tot een land beperk kan word nie.
Wat is persoonlike data in die Russiese Federasie
Die definisie van persoonlike data in ooreenstemming met die federale wet is nie baie anders as die Europese of Oekraïense een, waaroor .
Persoonlike data - enige inligting wat direk of indirek verband hou met 'n geïdentifiseerde of identifiseerbare natuurlike persoon, ons praat van enige data waardeur 'n persoon geïdentifiseer kan word.
In Rusland word die gebruik en beskerming van persoonlike data gereguleer deur baie dokumente, in die besonder, 152-FZ “Op Persoonlike Data”, 149-FZ “On Information, Information Technologies and Information Protection”, die Kode van Administratiewe Misdrywe, die Kriminele Kode van die Russiese Federasie, die Arbeidskode van die Russiese Federasie en die Burgerlike Kode van die Russiese Federasie.
Maak persoonlike data oop. Watter soort dier is dit?
#Kom ons kyk na die situasie deur die gebruiker se oë
Miskien het lesers nog nie gedink oor hoe persoonlike data oop kan wees nie, want persoonlik klink soos persoonlik, en oop klink soos publiek.
Terselfdertyd laat die gevoel van selfvertroue my nie dat elkeen van ons na nog 'n gesprek met 'n telefoonverkoper dink "waar het hy my nommer vandaan gekry" of "wat is hierdie vreemde oproep van 'n vreemdeling wat meer van my weet as wat nodig is.”
Dus, gebruikers wat iets te koop aangebied het deur Avito, moenie verbaas wees dat hulle in hacker-databasisse beland het, strooipos-e-posse of 'n onverstaanbare oproep van swendelaars of "koue verkopers" ontvang het nie.
Jy kan jouself net in so 'n situasie blameer, want onkunde oor die wette onthef jou nie van verantwoordelikheid nie.
Alles wat die gebruiker self oor homself geplaas het vir openbare oorweging, met ander woorde, op die internet, word publiek beskikbaar, dit wil sê oop data en kan gestoor, versprei en gebruik word sonder die gebruiker se toestemming.
Bevestiging van wetgewing
Deel 1 van artikel 152.2. Burgerlike Wetboek van die Russiese Federasie.
Tensy die wet uitdruklik anders bepaal, word die versameling, berging, verspreiding en gebruik van enige inligting oor sy privaatlewe, in besonder inligting oor sy oorsprong, oor sy verblyf- of verblyfplek, oor sy persoonlike en gesinslewe, nie toegelaat sonder die toestemming van 'n burger.
Die versameling, berging, verspreiding en gebruik van inligting oor die privaatlewe van 'n burger in staats-, openbare of ander openbare belange, sowel as in gevalle waar inligting oor die privaatlewe van 'n burger voorheen publiek beskikbaar geword het of deur homself bekend gemaak is, is nie 'n oortreding van die reëls ingestel deur die eerste paragraaf van hierdie paragraaf burger of na sy wil.
Nog 'n bevestiging
Klousule 4 van Artikel 7 van die Federale Wet van die Russiese Federasie No. 149-FZ "Op inligting, inligtingstegnologie en inligtingbeskerming."
Inligting wat deur sy eienaars op die internet geplaas word in 'n formaat wat outomatiese verwerking toelaat sonder vooraf menslike veranderinge vir die doel van hergebruik, is publiek beskikbare inligting wat in die vorm van oop data geplaas word.
#Afsluiting
Die Avito-administrasie beweer tereg dat die databasis op kuberforums geheel en al uit publieke inligting bestaan wat op hul webwerf beskikbaar is en deur ontleding (outomatiese versameling van inligting met behulp van spesiale programme) ingesamel kan word, dit wil sê, daar is geen sprake van enige datalekkasie nie. Of die data vir wetlike doeleindes gebruik word, is nog 'n vraag wat beslis nie aan Avito gevra moet word nie.
As jy nie wil hê iemand moet jou verbruikersprofiel saamstel, evalueer of gebruik nie, laat minder inligting oor jouself op openbare hulpbronne.
Hieronder is 'n snaakse (maar nie akkurate) opmerking van die forum.
#Kom ons kyk na die situasie deur die oë van besigheid
Kom ons neem dieselfde Avito as 'n voorbeeld en oorweeg die vrae:
- is die webwerf 'n operateur van persoonlike data,
- moet hy toestemming vir dataverwerking verkry en homself aan Roskomnadzor verklaar om in die register van operateurs ingesluit te word,
- Sal Avito werklik ongestraf bly?
In 'n situasie met 'n datalek het Avito regtig niks daarmee te doen nie. Jy kan jou voorstel dat Avito 'n heining is waarop die gebruiker "VERKOOP GARAGE" geskryf het en sy naam, telefoonnommer of ander kommunikasiedata aangedui het, en dan verontwaardig begin raak het oor hoekom almal wat by die heining verbygegaan het, die data geweet, gekopieer of gebruik het. .
Bevestiging van wetgewing
Artikel 10 van Wet No. 152-FZ.
Maatskappy of individu 'n persoon wat die kliënt se skriftelike toestemming ontvang het om data te verwerk, word 'n operateur van publiek beskikbare persoonlike data, maar die wetgewing stel minimale vereistes vir die beskerming van publiek beskikbare persoonlike data, of, meer eenvoudig, oop data, in vergelyking met ander kategorieë.
Nog 'n bevestiging
Klousule 4, deel 2, artikel 22 “Oor persoonlike data”.
Die operateur het die reg om persoonlike data te verwerk wat publiek beskikbaar gestel word deur die onderwerp van persoonlike data sonder om die gemagtigde liggaam in kennis te stel vir die beskerming van die regte van persoonlike data-subjekte.
#Afsluiting
Avito is die operateur van persoonlike data. Wat die Roskomnadzor-kennisgewing betref, is daar uitsonderings in die wet, maar dit is nie van toepassing op Avito nie, aangesien hierdie webwerf nie net publiek beskikbare data versamel en verwerk nie. Maar as die webwerf net met oop data werk, sal dit nie nodig wees om in kennis te stel en by Roskomnadzor te registreer nie. Avito is onskuldig, en daarom sal daar geen straf wees nie.
Data kan uitgelek of wettig verkry word, nie net van handelsplatforms nie, maar ook van enige webwerf of van mobiele operateurs, van sosiale netwerke, banke, registers, dit kan onttrek word uit die volgorde van mobiele transaksies op 'n bankkaart of met behulp van verborge funksies van slimfoontoepassings, is daar 'n miljoen opsies.
Terloops, almal weet dat Habr nie 'n forum is nie, maar daar is die moontlikheid om kommentaar te lewer, en die doel van die artikel is nie om te verras nie, maar om die kwessie te verstaan.
Vraag
In die realiteit van 2020 moet jy versigtig wees met die plasing van persoonlike data op die internet en optree soos in die snaakse opmerking hierbo, of nuwe wetgewing instel, of dalk het 'n nuwe era pas aangebreek en dit is die moeite werd om met die algemene beskikbaarheid te voldoen. van oop data?
Bron: will.com