Два тыдні таму, на форумах знайшлі базы дадзеных 600 тысяч кліентаў сэрвісаў Avito і Юла, сярод якіх фігуруюць рэальныя адрасы і нумары тэлефонаў. Базы да гэтага часу размешчаны ў свабодным доступе, іх можа спампаваць любы жадаючы. А ўявіце колькі чалавек ужо запампавала базу з намерам разаслаць спам ці, што яшчэ горш, выбавіць дадзеныя плацежных карт карыстачоў. Адміністрацыя форумаў не выдаляе базы, бо не бачаць у гэтай сітуацыі ніякай праблемы, а тым больш парушэнні, і кажуць, што гэта не крадзеж персанальных дадзеных, а збор адчыненых дадзеных.
Навінамі аб уцечцы дадзеных ужо нікога не здзівіш
Ліпень і жнівень 2020 года забіты навінамі аб блакіроўцы TikTok за несанкцыянаваны збор даных. Ды і мая задача не здзівіць, а разабрацца ў пытанні, і стрымаць абяцанне якое даў аднаму з чытачоў Хабра. Дарэчы, клічуць мяне Вячаслаў Усціменка, артыкул напісаў разам з Бэлай Фарзаліевай — IT юрыстам з міжнароднай юрыдычнай кампаніі Icon Partners.
Чаму гэта важна
Пытанне абароны і апрацоўкі персанальных звестак з кожным годам толькі набірае абароты. Абарона персанальных дадзеных - гэта аб свабодзе выбару чалавека, культуры грамадства і дэмакратыі. Незалежным чалавекам цяжка кіраваць, яго складана падмануць і немагчыма скапіяваць. Гэтую ідэю і нясуць вядомыя рэгламенты абароны дадзеных у ЕС (GDPR) і ЗША (CCPA). У асабістым праводзіў апытанне, нават юрысты (90% маіх падпісчыкаў) пакуль дрэнна разбіраюцца ў пытаннях абароны звестак.
Пытанне гучала так: "Што з пералічанага ніжэй з'яўляецца персанальнымі дадзенымі".
Прымацоўваю скрін з вынікамі апытання.
Правільны адказ выбралі каля 20% прагаласаваўшых.
PS Тое, што я з Украіны, а артыкул аб законах РФ не павінна бянтэжыць вас, паважаныя чытачы, так як экспертыза IT юрыста не можа быць абмежавана адной краінай.
Што такое персанальныя дадзеныя ў РФ
Вызначэнне персанальных дадзеных у адпаведнасці з Федэральным законам не моцна адрозніваецца ад еўрапейскага ці ўкраінскага, аб якім .
Персанальныя дадзеныя - любая інфармацыя, якая адносіцца прама або ўскосна да пэўнай або вызначанай фізічнай асобе, гаворка ідзе аб любых дадзеных, па якіх можна ідэнтыфікаваць чалавека.
У Расіі выкарыстанне і абарона персанальных дадзеных рэгулюецца многімі дакументамі, у прыватнасці, 152-ФЗ "Аб персанальных дадзеных", 149-ФЗ "Аб інфармацыі, інфармацыйных тэхналогіях і аб абароне інфармацыі", КаАП, КК РФ, ТК РФ і ГК РФ.
Адкрытыя персанальныя дадзеныя. Што гэта за звер.
#Паглядзім на сітуацыю вачыма карыстальніка
Магчыма чытачы яшчэ не задумваліся як персанальныя дадзеныя могуць быць адкрытымі, бо персанальнае гучыць як асабістае, а адкрытае - як публічнае.
Пры гэтым не пакідае пачуццё ўпэўненасці ў тым, што пасля чарговай гутаркі з тэлефонным прадаўцом кожны з нас думае "адкуль у яго мой нумар" ці "што гэта за дзіўны званок ад незнаёмага чалавека, які ведае пра мяне больш, чым трэба".
Такім чынам, карыстачы, якія выстаўлялі на продаж штосьці праз Авіта, не дзіўцеся, што патрапілі ў хакерскія базах дадзеных, атрымалі спам на пошту ці незразумелы званок ад ашуканцаў ці «лядоўняў прадаўцоў».
Вінаваціць у такой сітуацыі можаце толькі сябе, бо няведанне законаў не вызваляе ад адказнасці.
Усё, што карыстальнік сам выклаў пра сябе на публічны разгляд, прасцей кажучы, у Інтэрнэце — становіцца агульнадаступным, гэта значыць адкрытымі дадзенымі і можа захоўвацца, распаўсюджвацца, выкарыстоўвацца без згоды карыстальніка.
Пацвярджэнне з заканадаўства
Частка 1 артыкула 152.2. Грамадзянскага кодэкса Расійскай Федэрацыі.
Калі іншае непасрэдна не прадугледжана законам, не дапускаюцца без згоды грамадзяніна збор, захоўванне, распаўсюджванне і выкарыстанне любой інфармацыі аб яго прыватным жыцці, у прыватнасці звестак аб яго паходжанні, аб месцы яго знаходжання або жыхарства, аб асабістым і сямейным жыцці.
Не з'яўляюцца парушэннем правіл, устаноўленых абзацам першым гэтага пункта, збор, захоўванне, распаўсюджванне і выкарыстанне інфармацыі аб прыватным жыцці грамадзяніна ў дзяржаўных, грамадскіх або іншых публічных інтарэсах, а таксама ў выпадках, калі інфармацыя аб прыватным жыцці грамадзяніна раней стала агульнадаступнай або была раскрыта самім. грамадзянінам або па яго волі.
Яшчэ адно пацвярджэнне
Пункт 4 артыкула 7 ФЗ РФ № 149-ФЗ "Аб інфармацыі, інфармацыйных тэхналогіях і аб абароне інфармацыі".
Інфармацыя, якая размяшчаецца яе ўладальнікамі ў сетцы «Інтэрнэт» у фармаце, які дапускае аўтаматызаваную апрацоўку без папярэдніх зменаў чалавекам у мэтах паўторнага яе выкарыстання, з'яўляецца агульнадаступнай інфармацыяй, якая размяшчаецца ў форме адкрытых дадзеных.
#Вывад
Адміністрацыя Авіта правамерна сцвярджае, што база дадзеных на хакерскіх форумах цалкам складаецца з публічнай інфармацыі, якая даступная ў іх на сайце і можа быць сабрана парсінгам (аўтаматычны збор інфармацыі з дапамогай адмысловых праграм), гэта значыць ні пра якую ўцечку дадзеных гаворкі не ідзе. Ці ў законных мэтах выкарыстоўваюцца дадзеныя - гэта ўжо іншае пытанне, якое задаць варта сапраўды не ў адрас Авіта.
Калі не хочаце, каб нехта складаў, ацэньваў ці выкарыстаў ваш спажывецкі партрэт — пакідайце пра сябе менш інфармацыі на публічных рэсурсах.
Ніжэй смешны (але гэта не дакладна) каментар з форума.
#Паглядзім на сітуацыю вачыма бізнесу
Возьмем за прыклад усё той жа Авіта, і разгледзім пытанні:
- ці з'яўляецца сайт аператарам персанальных дадзеных,
- ці трэба яму ў абавязковым парадку браць згоду на апрацоўку дадзеных і заяўляць аб сабе ў Роскомнадзор для ўключэння ў рэестр аператараў,
- ці сапраўды Авіта апынецца беспакараным.
У сітуацыі з уцечкай дадзеных, Авіта сапраўды не пры чым. Можна ўявіць, што Авіта - гэта плот, на якім карыстальнік напісаў «ПРОДАМ ГАРАЖ» і паказаў імя, тэлефон ці іншыя дадзеныя для сувязі, а потым пачаў абурацца, чаму дадзеныя ведаюць, капіююць або выкарыстоўваюць усе хто праходзіў міма плота.
Пацвярджэнне з заканадаўства
Артыкул 10 Закона № 152-ФЗ.
Кампанія ці фіз. асоба, якая атрымала пісьмовую згоду кліента на апрацоўку дадзеных - становіцца аператарам агульнадаступных персанальных дадзеных, але да абароны агульнадаступных персанальных дадзеных або прасцей кажучы адкрытым дадзеным, заканадаўства прад'яўляе мінімальныя ў параўнанні з іншымі катэгорыямі патрабаванні.
Яшчэ адно пацвярджэнне
Пункт 4 частка 2 артыкула 22 "Аб персанальных дадзеных".
Аператар мае права ажыццяўляць без апавяшчэння ўпаўнаважанага органа па абароне правоў суб'ектаў персанальных дадзеных апрацоўку персанальных дадзеных зробленых суб'ектам персанальных дадзеных агульнадаступнымі.
#Вывад
Авіта - аператар персанальных дадзеных. Што тычыцца паведамлення Роскомнадзора - у законе ёсць выключэнні, але для Авіта яны не дзейнічае, так як гэтая пляцоўка збірае і апрацоўвае не толькі агульнадаступныя дадзеныя. Але калі сайт працуе толькі з адкрытымі дадзенымі - апавяшчаць і ставіцца на ўлік у Раскамнагляд не было б патрэбы. Авіта невінаваты, а такім чынам і не будзе ніякага пакарання.
Дадзеныя могуць уцячы або быць законна атрыманы не толькі з гандлёвых пляцовак, але і з любога сайта або ад мабільных аператараў, з сацыяльных сетак, банкаў, рэестраў, іх можна атрымаць з паслядоўнасці мабільных аперацый па банкаўскай карце або з дапамогай утоеных функцый прыкладанняў для смартфона, варыянтаў мільён.
Дарэчы, усім вядома, што Хабр - гэта не форум, але тут ёсць магчымасць каментавання, а мэта артыкула - не здзівіць, а разабрацца ў пытанні.
Пытанне
У рэаліях 2020 года трэба быць акуратным з размяшчэннем персанальных дадзеных у інтэрнэце і паступаць як у смешным каментары вышэй, ці ўводзіць новыя заканадаўчыя акты, а можа проста прыйшла новая эпоха і ці варта змірыцца з агульнадаступнасцю адкрытых дадзеных?
Крыніца: habr.com