Преди две седмици във форумите бяха открити бази данни от 600 хиляди клиенти на услугите Avito и Yula, сред които има реални адреси и телефонни номера. Базите данни все още са свободно достъпни и всеки може да ги изтегли. Само си представете колко хора вече са изтеглили базата данни с намерението да изпращат спам или, дори по-лошо, да примамят данни от потребителски карти за плащане. Администрацията на форума не изтрива бази данни, тъй като Те не виждат проблем в тази ситуация, още по-малко нарушение и казват, че това не е кражба на лични данни, а събиране на отворени данни.
Новини за изтичане на данни вече няма да изненадат никого.
Юли и август 2020 г. бяха изпълнени с новини за блокиране на TikTok за неразрешено събиране на данни. И моята задача не е да изненадам, а да разбера проблема и да спазя обещанието, което дадох на един от читателите на Хабр. Между другото, името ми е Вячеслав Устименко, написах статията заедно с Бела Фарзалиева, ИТ адвокат от международната правна кантора Icon Partners.
Защо е важно
Въпросът за защитата и обработката на лични данни набира скорост всяка година. Защитата на личните данни е свързана със свободата на избор на човек, културата на обществото и демокрацията. Независимият човек е труден за управление, труден за измама и невъзможен за копиране. Тази идея се предава от добре познатите разпоредби за защита на данните в ЕС (GDPR) и САЩ (CCPA). В лични проведе проучване, дори адвокатите (90% от моите абонати) все още са слабо запознати с въпросите за защита на данните.
Въпросът звучеше така: „Кое от следните са лични данни.“
Прилагам екранна снимка на резултатите от проучването.
Около 20% от гласувалите са избрали верния отговор.
PS Фактът, че съм от Украйна, и статията за законите на Руската федерация не трябва да ви обърква, скъпи читатели, тъй като опитът на един ИТ адвокат не може да бъде ограничен до една държава.
Какво представляват личните данни в руската федерация
Определението за лични данни в съответствие с Федералния закон не се различава много от европейското или украинското, за което .
Лични данни – всяка информация, отнасяща се пряко или косвено до идентифицирано или идентифицируемо физическо лице, говорим за всякакви данни, чрез които дадено лице може да бъде идентифицирано.
В Русия използването и защитата на личните данни се регулира от много документи, по-специално 152-FZ „За личните данни“, 149-FZ „За информацията, информационните технологии и защитата на информацията“, Кодекса за административните нарушения, Наказателния кодекс Кодекс на Руската федерация, Кодекс на труда на Руската федерация и Граждански кодекс на Руската федерация.
Отворени лични данни. Що за животно е това?
#Да погледнем на ситуацията през очите на потребителя
Може би читателите все още не са се замислили как личните данни могат да бъдат отворени, защото личните звучат като лични, а отворените звучат като публични.
В същото време не ме напуска чувството на увереност, че след пореден разговор с телефонен продавач всеки от нас си мисли „откъде взе номера ми“ или „какво е това странно обаждане от непознат, който знае повече за мен отколкото е необходимо."
Така че потребителите, които предлагат нещо за продажба чрез Avito, не се изненадвайте, че са попаднали в хакерски бази данни, получили са спам имейли или неразбираемо обаждане от измамници или „студени продавачи“.
В такава ситуация можете да обвинявате само себе си, защото непознаването на законите не ви освобождава от отговорност.
Всичко, което самият потребител е публикувал за себе си за обществено разглеждане, с други думи в Интернет, става публично достъпно, тоест отворени данни и може да се съхранява, разпространява и използва без съгласието на потребителя.
Потвърждение от законодателството
Част 1 на член 152.2. Граждански кодекс на Руската федерация.
Освен ако не е изрично предвидено друго в закона, събирането, съхраняването, разпространението и използването на каквато и да е информация за неговия личен живот, по-специално информация за неговия произход, място на престой или пребиваване, личен и семеен живот, не е разрешено без съгласието на гражданин .
Събирането, съхраняването, разпространението и използването на информация за личния живот на гражданин в държавни, обществени или други обществени интереси, както и в случаите, когато информация за личния живот на гражданин преди това е станала публично достояние или е била разкрита от самия него, не е нарушение на правилата, установени в първия параграф на този параграф.гражданин или по негово желание.
Още едно потвърждение
Член 4, параграф 7 от Федералния закон на Руската федерация № 149-FZ „За информацията, информационните технологии и защитата на информацията“.
Информацията, публикувана от нейните собственици в интернет във формат, който позволява автоматизирана обработка без предварителни човешки промени с цел повторно използване, е публично достъпна информация, публикувана под формата на отворени данни.
#Заключение
Администрацията на Avito с право твърди, че базата данни на хакерските форуми се състои изцяло от публична информация, която е достъпна на техния уебсайт и може да бъде събрана чрез анализ (автоматично събиране на информация с помощта на специални програми), тоест не се говори за изтичане на данни. Дали данните се използват за законни цели е друг въпрос, който определено не трябва да се задава на Avito.
Ако не искате някой да компилира, оценява или използва вашия потребителски профил, оставете по-малко информация за себе си в публични ресурси.
По-долу има забавен (но не точен) коментар от форума.
#Да погледнем на ситуацията през очите на бизнеса
Нека вземем същия Avito като пример и разгледаме въпросите:
- сайтът е оператор на лични данни,
- необходимо ли е да получи съгласие за обработка на данни и да се декларира пред Роскомнадзор, за да бъде включен в регистъра на операторите,
- Авито наистина ли ще остане ненаказано?
В ситуация с изтичане на данни Avito наистина няма нищо общо с това. Можете да си представите, че Avito е ограда, на която потребителят е написал „ПРОДАВАМ ГАРАЖ” и е посочил името си, телефонния си номер или други комуникационни данни, след което започва да се възмущава защо всеки, който е минавал покрай оградата, знае, копира или използва данните .
Потвърждение от законодателството
Член 10 от Закон № 152-FZ.
Фирма или физическо лице лице, което е получило писменото съгласие на клиента за обработка на данни, става оператор на публично достъпни лични данни, но законодателството налага минимални изисквания за защита на публично достъпни лични данни, или по-просто отворени данни, в сравнение с други категории.
Още едно потвърждение
Клауза 4, част 2, член 22 „Относно личните данни“.
Операторът има право да обработва лични данни, станали публично достъпни от субекта на лични данни, без да уведомява упълномощения орган за защита на правата на субектите на лични данни.
#Заключение
Avito е оператор на лични данни. Що се отнася до уведомлението на Roskomnadzor, има изключения в закона, но те не се отнасят за Avito, тъй като този сайт събира и обработва не само публично достъпни данни. Но ако сайтът работи само с отворени данни, няма да има нужда да уведомявате и да се регистрирате в Roskomnadzor. Авито е невинен и затова няма да има наказание.
Данни могат да бъдат изтекли или законно получени не само от платформи за търговия, но и от всеки уебсайт или от мобилни оператори, от социални мрежи, банки, регистри, могат да бъдат извлечени от последователност от мобилни транзакции на банкова карта или чрез скрити функции на приложения за смартфон, има милион опции.
Между другото, всички знаят, че Habr не е форум, но има възможност за коментиране и целта на статията не е да изненада, а да разбере проблема.
Въпрос
В реалностите на 2020 г. трябва да внимавате с публикуването на лични данни в интернет и да действате като в забавния коментар по-горе, или да въведете ново законодателство, или може би току-що е настъпила нова ера и си струва да се примирите с общата достъпност на отворени данни?
Източник: www.habr.com