قبل أسبوعين، تم اكتشاف قواعد بيانات 600 ألف عميل لخدمات Avito و Yula في المنتديات، من بينها عناوين حقيقية وأرقام هواتف. لا تزال قواعد البيانات متاحة مجانًا ويمكن لأي شخص تنزيلها. فقط تخيل عدد الأشخاص الذين قاموا بالفعل بتنزيل قاعدة البيانات بقصد إرسال رسائل غير مرغوب فيها، أو الأسوأ من ذلك، لجذب بيانات بطاقة الدفع الخاصة بالمستخدم. إدارة المنتدى لا تقوم بحذف قواعد البيانات، منذ ذلك الحين إنهم لا يرون أي مشكلة في هذا الموقف، ناهيك عن انتهاك، ويقولون إن هذا ليس سرقة بيانات شخصية، بل جمع بيانات مفتوحة.
الأخبار حول تسرب البيانات لن تفاجئ أحدا بعد الآن.
كان شهري يوليو وأغسطس 2020 مليئين بالأخبار المتعلقة بحظر TikTok بسبب جمع بيانات غير مصرح به. ومهمتي ليست المفاجأة، بل فهم الموضوع، والوفاء بالوعد الذي قطعته لأحد قراء الهبر. بالمناسبة، اسمي فياتشيسلاف أوستيمينكو، كتبت المقال مع بيلا فرزالييفا، محامية تكنولوجيا المعلومات من شركة المحاماة الدولية Icon Partners.
لماذا هو مهم
تكتسب مسألة حماية البيانات الشخصية ومعالجتها زخمًا كل عام. تتعلق حماية البيانات الشخصية بحرية اختيار الشخص وثقافة المجتمع والديمقراطية. من الصعب إدارة الشخص المستقل، ومن الصعب خداعه ومن المستحيل تقليده. يتم نقل هذه الفكرة من خلال لوائح حماية البيانات المعروفة في الاتحاد الأوروبي (GDPR) والولايات المتحدة الأمريكية (CCPA). شخصياً أجريت استطلاعًا، حتى المحامين (90٪ من المشتركين) ما زالوا على دراية سيئة بقضايا حماية البيانات.
ذهب السؤال على هذا النحو: "أي مما يلي يعد بيانات شخصية."
أرفق لقطة شاشة لنتائج الاستطلاع.
اختار حوالي 20٪ من الناخبين الإجابة الصحيحة.
ملاحظة: حقيقة أنني من أوكرانيا، والمقالة المتعلقة بقوانين الاتحاد الروسي لا ينبغي أن تربككم أيها القراء الأعزاء، لأن خبرة محامي تكنولوجيا المعلومات لا يمكن أن تقتصر على دولة واحدة.
ما هي البيانات الشخصية في الاتحاد الروسي
لا يختلف تعريف البيانات الشخصية وفقًا للقانون الاتحادي كثيرًا عن التعريف الأوروبي أو الأوكراني .
البيانات الشخصية - أي معلومات تتعلق بشكل مباشر أو غير مباشر بشخص طبيعي محدد أو يمكن التعرف عليه، ونحن نتحدث عن أي بيانات يمكن من خلالها تحديد هوية الشخص.
في روسيا، يتم تنظيم استخدام البيانات الشخصية وحمايتها من خلال العديد من الوثائق، على وجه الخصوص، 152-FZ "بشأن البيانات الشخصية"، و149-FZ "بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات"، وقانون الجرائم الإدارية، والقانون الجنائي قانون الاتحاد الروسي، وقانون العمل في الاتحاد الروسي، والقانون المدني للاتحاد الروسي.
فتح البيانات الشخصية. أي نوع من الحيوانات غير هذا؟
#دعونا ننظر إلى الوضع من خلال عيون المستخدم
ربما لم يفكر القراء بعد في كيفية جعل البيانات الشخصية مفتوحة، لأن الشخصية تبدو شخصية، والمفتوحة تبدو عامة.
وفي الوقت نفسه، لا يفارقني شعور الثقة أنه بعد محادثة أخرى مع مندوب مبيعات عبر الهاتف، يفكر كل منا "من أين حصل على رقمي" أو "ما هذه المكالمة الغريبة من شخص غريب يعرف عني المزيد" من اللازم."
لذلك، لا يتفاجأ المستخدمون الذين يعرضون شيئًا للبيع من خلال Avito، بأنهم انتهى بهم الأمر في قواعد بيانات المتسللين، أو تلقوا رسائل بريد إلكتروني غير مرغوب فيها أو مكالمة غير مفهومة من المحتالين أو "البائعين الباردين".
لا يمكنك أن تلوم إلا نفسك في مثل هذه الحالة، لأن الجهل بالقوانين لا يعفيك من المسؤولية.
كل ما ينشره المستخدم نفسه عن نفسه للرأي العام، أي على الإنترنت، يصبح متاحا للعامة، أي بيانات مفتوحة ويمكن تخزينها وتوزيعها واستخدامها دون موافقة المستخدم.
تأكيد من التشريع
الجزء 1 من المادة 152.2. القانون المدني للاتحاد الروسي.
ما لم ينص القانون على خلاف ذلك صراحة، لا يجوز جمع وتخزين وتوزيع واستخدام أي معلومات عن حياته الخاصة، ولا سيما المعلومات المتعلقة بأصله ومكان إقامته أو إقامته وحياته الشخصية والعائلية، دون موافقة المواطن. .
جمع وتخزين وتوزيع واستخدام المعلومات المتعلقة بالحياة الخاصة للمواطن في الدولة أو المصالح العامة أو غيرها من المصالح العامة، وكذلك في الحالات التي أصبحت فيها المعلومات المتعلقة بالحياة الخاصة للمواطن متاحة للجمهور في السابق أو تم الكشف عنها بنفسه، لا يشكل انتهاكا للقواعد التي حددتها الفقرة الأولى من هذه الفقرة للمواطن أو بناء على رغبته.
تأكيد آخر
البند 4 من المادة 7 من القانون الاتحادي للاتحاد الروسي رقم 149-FZ "بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات".
المعلومات التي ينشرها أصحابها على الإنترنت بتنسيق يسمح بالمعالجة الآلية دون تغييرات بشرية مسبقة لغرض إعادة الاستخدام هي معلومات متاحة للجمهور منشورة في شكل بيانات مفتوحة.
#خاتمة
تدعي إدارة Avito بحق أن قاعدة البيانات الموجودة في منتديات المتسللين تتكون بالكامل من المعلومات العامة المتوفرة على موقعها على الويب ويمكن جمعها عن طريق التحليل (جمع المعلومات تلقائيًا باستخدام برامج خاصة)، أي أنه لا يوجد حديث عن أي تسرب للبيانات. ما إذا كان سيتم استخدام البيانات لأغراض قانونية هو سؤال آخر لا ينبغي بالتأكيد طرحه على Avito.
إذا كنت لا تريد أن يقوم أي شخص بتجميع أو تقييم أو استخدام ملف تعريف المستهلك الخاص بك، فاترك معلومات أقل عنك على الموارد العامة.
يوجد أدناه تعليق مضحك (لكنه غير دقيق) من المنتدى.
#دعونا ننظر إلى الوضع من خلال عيون رجال الأعمال
لنأخذ نفس Avito كمثال ونفكر في الأسئلة:
- هو الموقع مشغل البيانات الشخصية،
- هل يحتاج إلى الحصول على موافقة لمعالجة البيانات وإعلان نفسه لـ Roskomnadzor لإدراجه في سجل المشغلين،
- هل سيفلت أفيتو حقًا من العقاب؟
في حالة تسرب البيانات، لا علاقة لـ Avito بالأمر حقًا. يمكنك أن تتخيل أن Avito عبارة عن سياج كتب عليه المستخدم "SELLING GARAGE" وأشار إلى اسمه أو رقم هاتفه أو بيانات الاتصال الأخرى، ثم بدأ في الاستياء من سبب معرفة كل من مر بالسياج للبيانات أو نسخها أو استخدامها .
تأكيد من التشريع
المادة 10 من القانون رقم 152-FZ.
شركة أو فرد يصبح الشخص الذي حصل على موافقة كتابية من العميل لمعالجة البيانات مشغلاً للبيانات الشخصية المتاحة للجمهور، ولكن التشريع يفرض الحد الأدنى من المتطلبات لحماية البيانات الشخصية المتاحة للجمهور، أو، ببساطة، البيانات المفتوحة، مقارنة بالفئات الأخرى.
تأكيد آخر
البند 4، الجزء 2، المادة 22 "على البيانات الشخصية".
يحق للمشغل معالجة البيانات الشخصية المتاحة للجمهور من قبل صاحب البيانات الشخصية دون إخطار الهيئة المعتمدة لحماية حقوق أصحاب البيانات الشخصية.
#خاتمة
Avito هو مشغل البيانات الشخصية. أما بالنسبة لإخطار Roskomnadzor، فهناك استثناءات في القانون، لكنها لا تنطبق على Avito، لأن هذا الموقع يجمع ويعالج ليس فقط البيانات المتاحة للجمهور. ولكن إذا كان الموقع يعمل فقط مع البيانات المفتوحة، فلن تكون هناك حاجة للإخطار والتسجيل في Roskomnadzor. أفيتو بريء، وبالتالي لن تكون هناك عقوبة.
يمكن تسريب البيانات أو الحصول عليها بشكل قانوني ليس فقط من منصات التداول، ولكن أيضًا من أي موقع ويب أو من مشغلي الهاتف المحمول، من الشبكات الاجتماعية والبنوك والسجلات، ويمكن استخراجها من تسلسل معاملات الهاتف المحمول على بطاقة مصرفية أو باستخدام وظائف مخفية لـ تطبيقات الهواتف الذكية، هناك مليون خيار.
وبالمناسبة، الجميع يعلم أن حبر ليس منتدى، لكن هناك إمكانية التعليق، والغرض من المقال ليس المفاجأة، بل فهم الموضوع.
سؤال
في واقع عام 2020، عليك توخي الحذر عند نشر البيانات الشخصية على الإنترنت والتصرف كما في التعليق المضحك أعلاه، أو تقديم تشريعات جديدة، أو ربما قد وصل عصر جديد للتو ويستحق التصالح مع التوفر العام من البيانات المفتوحة؟
المصدر: www.habr.com