Před dvěma týdny byly na fórech objeveny databáze 600 tisíc klientů služeb Avito a Yula, mezi nimiž byly skutečné adresy a telefonní čísla. Databáze jsou stále volně dostupné a každý si je může stáhnout. Jen si představte, kolik lidí si již stáhlo databázi s úmyslem rozesílat spam nebo ještě hůře vylákat údaje o platebních kartách uživatele. Od té doby administrace fóra nemaže databáze V této situaci nevidí žádný problém, tím méně porušení, a říkají, že nejde o krádež osobních údajů, ale o shromažďování otevřených dat.
Zprávy o únicích dat už nikoho nepřekvapí.
Červenec a srpen 2020 byly plné zpráv o zablokování TikTok kvůli neoprávněnému sběru dat. A mým úkolem není překvapit, ale pochopit problematiku a dodržet slib, který jsem dal jednomu z Habrových čtenářů. Mimochodem, jmenuji se Vjačeslav Ustimenko, článek jsem napsal společně s Bellou Farzalieva, IT právničkou z mezinárodní advokátní kanceláře Icon Partners.
Proč je to důležité
Problematika ochrany a zpracování osobních údajů každým rokem nabírá na obrátkách. Ochrana osobních údajů je o svobodě volby člověka, kultuře společnosti a demokracii. Nezávislý člověk je těžko ovladatelný, těžko se dá oklamat a nedá se zkopírovat. Tuto myšlenku vyjadřují dobře známé předpisy o ochraně dat v EU (GDPR) a USA (CCPA). Osobně provedl průzkum, dokonce i právníci (90 % mých odběratelů) se stále špatně orientují v otázkách ochrany údajů.
Otázka zněla takto: "Který z následujících údajů je osobní údaj."
Přikládám snímek obrazovky s výsledky průzkumu.
Správnou odpověď zvolilo asi 20 % hlasujících.
PS Skutečnost, že jsem z Ukrajiny, a článek o zákonech Ruské federace by vás, milí čtenáři, neměla zmást, protože odbornost IT právníka nelze omezit na jednu zemi.
Co jsou osobní údaje v Ruské federaci
Definice osobních údajů podle federálního zákona se příliš neliší od té evropské nebo ukrajinské, o které se jedná .
Osobní údaje - jakákoli informace vztahující se přímo či nepřímo k identifikované nebo identifikovatelné fyzické osobě, hovoříme o jakýchkoli údajích, podle kterých lze osobu identifikovat.
V Rusku je používání a ochrana osobních údajů upravena mnoha dokumenty, zejména 152-FZ „O osobních údajích“, 149-FZ „O informacích, informačních technologiích a ochraně informací“, Kodexem správních deliktů, Trestní zákoníku Ruské federace, zákoníku práce Ruské federace a občanského zákoníku Ruské federace.
Otevřete osobní údaje. Co je to za zvíře?
#Podívejme se na situaci očima uživatele
Možná čtenáře ještě nenapadlo, jak mohou být osobní údaje otevřené, protože osobní zní jako osobní a otevřené jako veřejné.
Zároveň mě neopouští pocit důvěry, že po dalším rozhovoru s prodavačem po telefonu každý z nás přemýšlí „odkud vzal moje číslo“ nebo „co je to za divný hovor od neznámého člověka, který o mně ví víc? než je nutné."
Takže uživatelé, kteří něco nabízejí na prodej přes Avito, nebuďte překvapeni, že skončili v hackerských databázích, obdrželi spamové e-maily nebo nepochopitelné volání od podvodníků nebo „studených prodejců“.
Obviňovat si v takové situaci můžete jen sami sebe, protože neznalost zákonů vás odpovědnosti nezbavuje.
Vše, co uživatel sám o sobě zveřejnil k veřejnému posouzení, jinými slovy na internetu, se stává veřejně dostupným, tedy otevřenými daty a může být bez souhlasu uživatele ukládáno, distribuováno a používáno.
Potvrzení z legislativy
Část 1 článku 152.2. Občanský zákoník Ruské federace.
Není-li zákonem výslovně stanoveno jinak, není bez souhlasu občana dovoleno shromažďovat, uchovávat, šířit a používat jakékoli informace o jeho soukromém životě, zejména informace o jeho původu, místě pobytu nebo pobytu, osobním a rodinném životě. .
Shromažďování, uchovávání, šíření a využívání informací o soukromém životě občana ve státním, veřejném nebo jiném veřejném zájmu, jakož i v případech, kdy se informace o soukromém životě občana dříve staly veřejně dostupnými nebo byly jím zveřejněny, není porušením pravidel stanovených prvním odstavcem tohoto odstavce.občana nebo z jeho vůle.
Další potvrzení
Ustanovení 4 článku 7 federálního zákona Ruské federace č. 149-FZ „O informacích, informačních technologiích a ochraně informací“.
Informace zveřejněné jejich vlastníky na internetu ve formátu, který umožňuje automatizované zpracování bez předchozích lidských změn za účelem opětovného použití, jsou veřejně dostupnými informacemi zveřejněnými ve formě otevřených dat.
#Závěr
Administrativa Avita oprávněně tvrdí, že databáze na hackerských fórech se skládá výhradně z veřejných informací, které jsou dostupné na jejich webových stránkách a lze je shromažďovat parsováním (automatické shromažďování informací pomocí speciálních programů), to znamená, že se o nějakém úniku dat nemluví. Zda jsou data používána pro legální účely, je další otázka, kterou by Avito rozhodně neměli klást.
Pokud nechcete, aby někdo sestavoval, vyhodnocoval nebo používal váš spotřebitelský profil, nechte o sobě ve veřejných zdrojích méně informací.
Níže je vtipný (ale ne přesný) komentář z fóra.
#Podívejme se na situaci očima byznysu
Vezměme si stejný Avito jako příklad a zvažte otázky:
- je web provozovatelem osobních údajů,
- potřebuje získat souhlas se zpracováním údajů a prohlásit se Roskomnadzoru k zařazení do registru provozovatelů,
- Opravdu zůstane Avito nepotrestán?
V situaci s únikem dat s tím Avito opravdu nemá nic společného. Dokážete si představit, že Avito je plot, na který uživatel napsal „PRODEJ GARÁŽ“ a uvedl své jméno, telefonní číslo nebo jiné komunikační údaje, a pak se začal rozhořčovat nad tím, proč každý, kdo prošel kolem plotu, znal, kopíroval nebo používal data. .
Potvrzení z legislativy
Článek 10 zákona č. 152-FZ.
Firma nebo jednotlivec provozovatelem veřejně dostupných osobních údajů se stává osoba, která obdržela písemný souhlas klienta se zpracováním údajů, avšak legislativa klade oproti jiným kategoriím minimální požadavky na ochranu veřejně dostupných osobních údajů, resp.
Další potvrzení
Ustanovení 4, část 2, článek 22 „O osobních údajích“.
Provozovatel má právo zpracovávat osobní údaje, které subjekt osobních údajů veřejně zpřístupní, aniž by o tom informoval oprávněný orgán ochrany práv subjektů osobních údajů.
#Závěr
Avito je provozovatelem osobních údajů. Pokud jde o oznámení Roskomnadzor, existují výjimky v zákoně, ale nevztahují se na Avito, protože tato stránka shromažďuje a zpracovává nejen veřejně dostupná data. Pokud by ale stránka fungovala pouze s otevřenými daty, nebylo by potřeba upozorňovat a registrovat se u Roskomnadzoru. Avito je nevinný, a proto nebude žádný trest.
Data mohou uniknout nebo legálně získat nejen z obchodních platforem, ale také z jakéhokoli webu nebo od mobilních operátorů, ze sociálních sítí, bank, registrů, lze je extrahovat ze sekvence mobilních transakcí na bankovní kartě nebo pomocí skrytých funkcí aplikace pro chytré telefony, existuje milion možností.
Mimochodem, každý ví, že Habr není fórum, ale možnost komentáře je a účelem článku není překvapit, ale pochopit problematiku.
otázka
V realitě roku 2020 je třeba být opatrný se zveřejňováním osobních údajů na internetu a chovat se jako ve vtipném komentáři výše, případně zavést novou legislativu, nebo možná právě nastala nová doba a stojí za to se smířit s obecnou dostupností otevřených dat?
Zdroj: www.habr.com