For to uger siden blev databaser med 600 tusinde kunder af Avito- og Yula-tjenesterne opdaget på foraene, blandt hvilke rigtige adresser og telefonnumre. Databaserne er stadig frit tilgængelige, og alle kan downloade dem. Forestil dig, hvor mange mennesker, der allerede har downloadet databasen med den hensigt at sende spam eller, endnu værre, at lokke brugerens betalingskortdata ud. Forumadministrationen sletter ikke databaser, da De ser ikke noget problem i denne situation, meget mindre en krænkelse, og siger, at dette ikke er tyveri af personlige data, men indsamling af åbne data.
Nyheder om datalæk vil ikke overraske nogen længere.
Juli og august 2020 var fyldt med nyheder om, at TikTok blev blokeret for uautoriseret dataindsamling. Og min opgave er ikke at overraske, men at forstå problemstillingen og at holde det løfte, jeg gav til en af Habrs læsere. Jeg hedder i øvrigt Vyacheslav Ustimenko, jeg skrev artiklen sammen med Bella Farzalieva, en it-advokat fra det internationale advokatfirma Icon Partners.
Hvorfor er det vigtigt
Spørgsmålet om beskyttelse og behandling af personoplysninger tager kun fart hvert år. Beskyttelse af personoplysninger handler om en persons valgfrihed, samfundskultur og demokrati. En selvstændig person er svær at styre, svær at bedrage og umulig at kopiere. Denne idé formidles af de velkendte databeskyttelsesforordninger i EU (GDPR) og USA (CCPA). Personligt gennemførte en undersøgelse, selv advokater (90 % af mine abonnenter) er stadig dårligt fortrolige med databeskyttelsesspørgsmål.
Spørgsmålet lød således: "Hvilket af følgende er personlige data."
Jeg vedhæfter et skærmbillede af undersøgelsens resultater.
Omkring 20 % af vælgerne valgte det rigtige svar.
PS Det faktum, at jeg er fra Ukraine, og artiklen om lovene i Den Russiske Føderation bør ikke forvirre jer, kære læsere, da en it-advokats ekspertise ikke kan begrænses til ét land.
Hvad er personlige data i Den Russiske Føderation
Definitionen af personlige data i overensstemmelse med føderal lov er ikke meget forskellig fra den europæiske eller ukrainske, om hvilken .
Personlige data - enhver information, der direkte eller indirekte vedrører en identificeret eller identificerbar fysisk person, vi taler om enhver data, hvormed en person kan identificeres.
I Rusland er brugen og beskyttelsen af personoplysninger reguleret af mange dokumenter, især 152-FZ "Om personlige data", 149-FZ "Om information, informationsteknologi og informationsbeskyttelse", loven om administrative lovovertrædelser, den kriminelle Den Russiske Føderations kodeks, Den Russiske Føderations arbejdskodeks og Den Russiske Føderations civile kode.
Åbn personlige data. Hvad er det for et dyr?
#Lad os se på situationen gennem brugerens øjne
Måske har læserne endnu ikke tænkt over, hvordan personlige data kan være åbne, for personligt lyder som personligt, og åbent lyder som offentligt.
Samtidig forlader følelsen af tillid mig ikke, at vi hver især efter endnu en samtale med en telefonsælger tænker "hvor fik han mit nummer fra" eller "hvad er det her mærkelige opkald fra en fremmed, der ved mere om mig end nødvendigt."
Så brugere, der sætter noget til salg gennem Avito, skal ikke blive overrasket over, at de endte i hackerdatabaser, modtog spam-e-mails eller et uforståeligt opkald fra svindlere eller "kolde sælgere".
Du kan kun bebrejde dig selv i en sådan situation, for uvidenhed om lovene fritager dig ikke for ansvar.
Alt, hvad brugeren selv har postet om sig selv til offentlig behandling, med andre ord på internettet, bliver offentligt tilgængeligt, det vil sige åbne data og kan opbevares, distribueres og bruges uden brugerens samtykke.
Bekræftelse fra lovgivning
Del 1 af artikel 152.2. Civil Code of the Russian Federation.
Medmindre andet udtrykkeligt er fastsat ved lov, er indsamling, opbevaring, distribution og brug af enhver information om hans privatliv, især oplysninger om hans oprindelse, opholds- eller opholdssted, personlige liv og familieliv, ikke tilladt uden samtykke fra en borger .
Indsamling, opbevaring, distribution og anvendelse af oplysninger om en borgers privatliv i statslige, offentlige eller andre offentlige interesser, samt i tilfælde, hvor oplysninger om en borgers privatliv tidligere er blevet offentligt tilgængelige eller er blevet videregivet af ham selv, er ikke en overtrædelse af reglerne fastsat i dette stykkes XNUMX. afsnit, borger eller efter dennes vilje.
Endnu en bekræftelse
Klausul 4 i artikel 7 i Den Russiske Føderations føderale lov nr. 149-FZ "Om information, informationsteknologi og informationsbeskyttelse."
Oplysninger, der er lagt ud af dets ejere på internettet i et format, der tillader automatiseret behandling uden forudgående menneskelige ændringer med henblik på genbrug, er offentligt tilgængelige oplysninger, der er offentliggjort i form af åbne data.
#Konklusion
Avito-administrationen hævder med rette, at databasen på hackerfora udelukkende består af offentlig information, der er tilgængelig på deres hjemmeside og kan indsamles ved parsing (automatisk indsamling af information ved hjælp af specielle programmer), det vil sige, at der ikke er tale om nogen datalækage. Om dataene bruges til juridiske formål er et andet spørgsmål, som absolut ikke bør stilles til Avito.
Hvis du ikke ønsker, at nogen skal kompilere, evaluere eller bruge din forbrugerprofil, skal du efterlade mindre information om dig selv på offentlige ressourcer.
Nedenfor er en sjov (men ikke præcis) kommentar fra forummet.
#Lad os se på situationen gennem erhvervslivets øjne
Lad os tage den samme Avito som eksempel og overveje spørgsmålene:
- er webstedet en operatør af personlige data,
- skal han indhente samtykke til databehandling og erklære sig over for Roskomnadzor for at blive optaget i registeret over operatører,
- Vil Avito virkelig forblive ustraffet?
I en situation med et datalæk har Avito virkelig intet med det at gøre. Du kan forestille dig, at Avito er et hegn, hvor brugeren skrev "SÆLG GARAGE" og angav sit navn, telefonnummer eller andre kommunikationsdata, og derefter begyndte at blive indigneret over, hvorfor alle, der gik forbi hegnet, kendte, kopierede eller brugte dataene .
Bekræftelse fra lovgivning
Artikel 10 i lov nr. 152-FZ.
Virksomhed eller enkeltperson en person, der har modtaget klientens skriftlige samtykke til at behandle data, bliver operatør af offentligt tilgængelige personoplysninger, men lovgivningen stiller minimumskrav til beskyttelse af offentligt tilgængelige personoplysninger, eller mere enkelt åbne data, sammenlignet med andre kategorier.
Endnu en bekræftelse
§ 4, del 2, artikel 22 "Om personoplysninger".
Operatøren har ret til at behandle personoplysninger, der er gjort offentligt tilgængelige af emnet af personoplysninger, uden at underrette det autoriserede organ til beskyttelse af persondatasubjekters rettigheder.
#Konklusion
Avito er operatør af personlige data. Hvad angår Roskomnadzor-meddelelsen, er der undtagelser i loven, men de gælder ikke for Avito, da dette websted indsamler og behandler ikke kun offentligt tilgængelige data. Men hvis webstedet kun fungerer med åbne data, ville der ikke være behov for at underrette og registrere hos Roskomnadzor. Avito er uskyldig, og derfor bliver der ingen straf.
Data kan lækkes eller lovligt indhentes ikke kun fra handelsplatforme, men også fra enhver hjemmeside eller fra mobiloperatører, fra sociale netværk, banker, registre, de kan udvindes fra sekvensen af mobiltransaktioner på et bankkort eller ved hjælp af skjulte funktioner i smartphone-applikationer, er der en million muligheder.
I øvrigt ved alle, at Habr ikke er et forum, men der er mulighed for at kommentere, og formålet med artiklen er ikke at overraske, men at forstå problemet.
Spørgsmål
I realiteterne i 2020 skal du være forsigtig med at lægge personlige data ud på internettet og handle som i den sjove kommentar ovenfor, eller indføre ny lovgivning, eller måske er en ny æra lige ankommet, og det er værd at komme overens med den generelle tilgængelighed af åbne data?
Kilde: www.habr.com