Vor zwei Wochen wurden in den Foren Datenbanken von 600 Kunden der Dienste Avito und Yula entdeckt, darunter echte Adressen und Telefonnummern. Die Datenbanken sind weiterhin frei verfügbar und jeder kann sie herunterladen. Stellen Sie sich vor, wie viele Menschen die Datenbank bereits heruntergeladen haben, mit der Absicht, Spam zu versenden oder, noch schlimmer, die Zahlungskartendaten der Benutzer anzulocken. Die Forumverwaltung löscht keine Datenbanken, da Sie sehen in dieser Situation kein Problem, geschweige denn einen Verstoß, und sagen, es handele sich nicht um den Diebstahl personenbezogener Daten, sondern um die Sammlung offener Daten.
Nachrichten über Datenlecks werden niemanden mehr überraschen.
Im Juli und August 2020 gab es zahlreiche Nachrichten über die Sperrung von TikTok wegen unbefugter Datenerfassung. Und meine Aufgabe besteht nicht darin, zu überraschen, sondern das Problem zu verstehen und das Versprechen zu halten, das ich einem von Habrs Lesern gegeben habe. Mein Name ist übrigens Vyacheslav Ustimenko, ich habe den Artikel zusammen mit Bella Farzalieva, einer IT-Anwältin der internationalen Anwaltskanzlei Icon Partners, geschrieben.
Warum ist das wichtig?
Das Thema Schutz und Verarbeitung personenbezogener Daten gewinnt von Jahr zu Jahr an Bedeutung. Beim Schutz personenbezogener Daten geht es um die Wahlfreiheit einer Person, die Kultur der Gesellschaft und der Demokratie. Eine unabhängige Person ist schwer zu führen, schwer zu täuschen und unmöglich zu kopieren. Dieser Gedanke wird durch die bekannten Datenschutzbestimmungen in der EU (DSGVO) und den USA (CCPA) transportiert. Persönlich Laut einer Umfrage sind selbst Anwälte (90 % meiner Abonnenten) immer noch schlecht mit Datenschutzfragen vertraut.
Die Frage war: „Welche der folgenden Daten sind personenbezogene Daten?“
Ich füge einen Screenshot der Umfrageergebnisse bei.
Etwa 20 % der Wähler wählten die richtige Antwort.
PS: Die Tatsache, dass ich aus der Ukraine komme, und der Artikel über die Gesetze der Russischen Föderation sollten Sie, liebe Leser, nicht verwirren, da die Expertise eines IT-Anwalts nicht auf ein Land beschränkt werden kann.
Was sind personenbezogene Daten in der Russischen Föderation?
Die Definition personenbezogener Daten gemäß Bundesgesetz unterscheidet sich nicht wesentlich von der europäischen oder ukrainischen .
Personenbezogene Daten sind alle Informationen, die sich direkt oder indirekt auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei handelt es sich um alle Daten, anhand derer eine Person identifiziert werden kann.
In Russland wird die Verwendung und der Schutz personenbezogener Daten durch zahlreiche Dokumente geregelt, insbesondere durch 152-FZ „Über personenbezogene Daten“, 149-FZ „Über Informationen, Informationstechnologien und Informationsschutz“, das Gesetz über Ordnungswidrigkeiten und das Strafgesetzbuch Das Gesetzbuch der Russischen Föderation, das Arbeitsgesetzbuch der Russischen Föderation und das Bürgerliche Gesetzbuch der Russischen Föderation.
Persönliche Daten öffnen. Was ist das für ein Tier?
#Betrachten wir die Situation mit den Augen des Benutzers
Vielleicht haben die Leser noch nicht darüber nachgedacht, wie personenbezogene Daten offengelegt werden können, denn persönlich klingt nach persönlich und offen nach öffentlich.
Gleichzeitig lässt mich das Gefühl der Zuversicht nicht los, dass jeder von uns nach einem weiteren Gespräch mit einem Telefonverkäufer denkt: „Woher hat er meine Nummer?“ oder „Was ist das für ein seltsamer Anruf von einem Fremden, der mehr über mich weiß?“. als nötig.“
Benutzer, die über Avito etwas zum Verkauf anbieten, wundern sich also nicht, dass sie in Hacker-Datenbanken gelandet sind, Spam-E-Mails oder einen unverständlichen Anruf von Betrügern oder „Cold Sellers“ erhalten haben.
Винить в такой ситуации можете только себя, ведь незнание законов не освобождает от ответственности.
Alles, was der Nutzer selbst zur öffentlichen Beachtung, also im Internet, über sich veröffentlicht hat, wird öffentlich zugänglich, also offene Daten, und kann ohne Zustimmung des Nutzers gespeichert, verbreitet und genutzt werden.
Bestätigung durch den Gesetzgeber
Teil 1 von Artikel 152.2. Bürgerliches Gesetzbuch der Russischen Föderation.
Sofern gesetzlich nicht ausdrücklich etwas anderes bestimmt ist, ist die Erhebung, Speicherung, Verbreitung und Nutzung jeglicher Informationen über sein Privatleben, insbesondere Informationen über seine Herkunft, seinen Aufenthaltsort, sein Privat- und Familienleben, ohne Zustimmung eines Bürgers nicht gestattet .
Das Sammeln, Speichern, Verbreiten und Verwenden von Informationen über das Privatleben eines Bürgers im staatlichen, öffentlichen oder anderen öffentlichen Interesse sowie in Fällen, in denen Informationen über das Privatleben eines Bürgers zuvor öffentlich zugänglich wurden oder von ihm selbst offengelegt wurden, stellt keinen Verstoß gegen die im ersten Absatz dieses Absatzes festgelegten Regeln dar. Bürger oder nach seinem Willen.
Noch eine Bestätigung
Artikel 4 Absatz 7 des Bundesgesetzes der Russischen Föderation Nr. 149-FZ „Über Informationen, Informationstechnologien und Informationsschutz“.
Informationen, die von ihren Eigentümern in einem Format im Internet veröffentlicht werden, das eine automatisierte Verarbeitung ohne vorherige menschliche Änderungen zum Zweck der Wiederverwendung ermöglicht, sind öffentlich zugängliche Informationen, die in Form offener Daten veröffentlicht werden.
#Abschluss
Die Avito-Administration behauptet zu Recht, dass die Datenbank in Hacker-Foren ausschließlich aus öffentlichen Informationen besteht, die auf ihrer Website verfügbar sind und durch Parsen (automatische Sammlung von Informationen mithilfe spezieller Programme) gesammelt werden können, d. h. von Datenlecks ist keine Rede. Ob die Daten für rechtliche Zwecke verwendet werden, ist eine weitere Frage, die Avito auf keinen Fall gestellt werden sollte.
Wenn Sie nicht möchten, dass jemand Ihr Verbraucherprofil erstellt, auswertet oder nutzt, hinterlassen Sie weniger Informationen über sich auf öffentlichen Ressourcen.
Unten ist ein lustiger (aber nicht zutreffender) Kommentar aus dem Forum.
#Betrachten wir die Situation mit den Augen der Wirtschaft
Nehmen wir denselben Avito als Beispiel und betrachten wir die Fragen:
- Ist die Website ein Betreiber personenbezogener Daten?
- Muss er eine Einwilligung zur Datenverarbeitung einholen und sich gegenüber Roskomnadzor melden, um in das Betreiberregister aufgenommen zu werden?
- Wird Avito wirklich ungestraft bleiben?
In einer Situation mit einem Datenleck hat Avito wirklich nichts damit zu tun. Sie können sich vorstellen, dass Avito ein Zaun ist, auf den der Benutzer „VERKAUF GARAGE“ schrieb und seinen Namen, seine Telefonnummer oder andere Kommunikationsdaten angab und sich dann darüber empörte, warum jeder, der am Zaun vorbeikam, die Daten kannte, kopierte oder verwendete .
Bestätigung durch den Gesetzgeber
Artikel 10 des Gesetzes Nr. 152-FZ.
Firma oder Privatperson Eine Person, die die schriftliche Zustimmung des Kunden zur Datenverarbeitung erhalten hat, wird zum Betreiber öffentlich zugänglicher personenbezogener Daten, die Gesetzgebung sieht jedoch im Vergleich zu anderen Kategorien Mindestanforderungen für den Schutz öffentlich zugänglicher personenbezogener Daten oder, einfacher gesagt, offener Daten vor.
Noch eine Bestätigung
Klausel 4, Teil 2, Artikel 22 „Über personenbezogene Daten“.
Der Betreiber hat das Recht, personenbezogene Daten zu verarbeiten, die von der betroffenen Person öffentlich zugänglich gemacht wurden, ohne die zuständige Stelle zum Schutz der Rechte personenbezogener Daten zu benachrichtigen.
#Abschluss
Avito ist der Betreiber personenbezogener Daten. Was die Roskomnadzor-Meldung betrifft, gibt es gesetzliche Ausnahmen, diese gelten jedoch nicht für Avito, da diese Website nicht nur öffentlich zugängliche Daten sammelt und verarbeitet. Wenn die Site jedoch nur mit offenen Daten funktioniert, wäre eine Benachrichtigung und Registrierung bei Roskomnadzor nicht erforderlich. Avito ist unschuldig und daher wird es keine Strafe geben.
Daten können nicht nur von Handelsplattformen, sondern auch von jeder Website oder von Mobilfunkbetreibern, von sozialen Netzwerken, Banken, Registern durchgesickert oder legal beschafft werden, sie können aus der Abfolge mobiler Transaktionen auf einer Bankkarte oder mithilfe versteckter Funktionen von extrahiert werden Smartphone-Anwendungen gibt es eine Million Möglichkeiten.
Übrigens weiß jeder, dass Habr kein Forum ist, aber es besteht die Möglichkeit, Kommentare abzugeben, und der Zweck des Artikels besteht nicht darin, zu überraschen, sondern das Problem zu verstehen.
Frage
In der Realität des Jahres 2020 müssen Sie bei der Veröffentlichung personenbezogener Daten im Internet vorsichtig sein und sich wie im lustigen Kommentar oben verhalten oder neue Gesetze einführen, oder vielleicht ist gerade eine neue Ära angebrochen und es lohnt sich, sich mit der allgemeinen Verfügbarkeit auseinanderzusetzen von offenen Daten?
Source: habr.com