Πριν από δύο εβδομάδες, ανακαλύφθηκαν στα φόρουμ βάσεις δεδομένων 600 χιλιάδων πελατών των υπηρεσιών Avito και Yula, μεταξύ των οποίων υπήρχαν πραγματικές διευθύνσεις και αριθμοί τηλεφώνου. Οι βάσεις δεδομένων είναι ακόμα ελεύθερα διαθέσιμες και ο καθένας μπορεί να τις κατεβάσει. Φανταστείτε πόσοι άνθρωποι έχουν ήδη κατεβάσει τη βάση δεδομένων με σκοπό να στείλουν ανεπιθύμητα μηνύματα ή, ακόμη χειρότερα, να δελεάσουν τα δεδομένα της κάρτας πληρωμής των χρηστών. Η διοίκηση του φόρουμ δεν διαγράφει βάσεις δεδομένων, αφού Δεν βλέπουν κανένα πρόβλημα σε αυτή την κατάσταση, πόσο μάλλον παραβίαση, και λένε ότι δεν πρόκειται για κλοπή προσωπικών δεδομένων, αλλά για συλλογή ανοιχτών δεδομένων.
Οι ειδήσεις για διαρροές δεδομένων δεν θα εκπλήσσουν πλέον κανέναν.
Ο Ιούλιος και ο Αύγουστος του 2020 ήταν γεμάτοι με ειδήσεις σχετικά με τον αποκλεισμό του TikTok για μη εξουσιοδοτημένη συλλογή δεδομένων. Και το καθήκον μου δεν είναι να εκπλήξω, αλλά να κατανοήσω το ζήτημα και να κρατήσω την υπόσχεση που έδωσα σε έναν από τους αναγνώστες του Habr. Παρεμπιπτόντως, με λένε Vyacheslav Ustimenko, έγραψα το άρθρο μαζί με την Bella Farzalieva, δικηγόρο πληροφορικής από τη διεθνή δικηγορική εταιρεία Icon Partners.
Γιατί είναι σημαντικό
Το θέμα της προστασίας και της επεξεργασίας των προσωπικών δεδομένων κερδίζει δυναμική κάθε χρόνο. Η προστασία των προσωπικών δεδομένων αφορά την ελευθερία επιλογής ενός ατόμου, την κουλτούρα της κοινωνίας και τη δημοκρατία. Ένα ανεξάρτητο άτομο είναι δύσκολο να το διαχειριστείς, δύσκολο να εξαπατηθεί και αδύνατο να αντιγραφεί. Αυτή η ιδέα μεταφέρεται από τους γνωστούς κανονισμούς προστασίας δεδομένων στην ΕΕ (GDPR) και στις ΗΠΑ (CCPA). Προσωπικά διεξήγαγε μια έρευνα, ακόμη και οι δικηγόροι (90% των συνδρομητών μου) εξακολουθούν να είναι ελάχιστα γνώστες σε θέματα προστασίας δεδομένων.
Η ερώτηση είχε ως εξής: "Ποιο από τα παρακάτω είναι προσωπικά δεδομένα."
Επισυνάπτω ένα στιγμιότυπο οθόνης των αποτελεσμάτων της έρευνας.
Περίπου το 20% των ψηφοφόρων επέλεξε τη σωστή απάντηση.
Υ.Γ. Το γεγονός ότι είμαι από την Ουκρανία και το άρθρο για τους νόμους της Ρωσικής Ομοσπονδίας δεν πρέπει να σας μπερδέψει, αγαπητοί αναγνώστες, καθώς η τεχνογνωσία ενός δικηγόρου πληροφορικής δεν μπορεί να περιοριστεί σε μία χώρα.
Τι είναι προσωπικά δεδομένα στη Ρωσική Ομοσπονδία
Ο ορισμός των προσωπικών δεδομένων σύμφωνα με τον ομοσπονδιακό νόμο δεν διαφέρει πολύ από τον ευρωπαϊκό ή τον ουκρανικό, για τον οποίο .
Προσωπικά δεδομένα - κάθε πληροφορία που σχετίζεται άμεσα ή έμμεσα με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, μιλάμε για οποιαδήποτε δεδομένα μέσω των οποίων μπορεί να αναγνωριστεί ένα άτομο.
Στη Ρωσία, η χρήση και η προστασία των προσωπικών δεδομένων ρυθμίζεται από πολλά έγγραφα, ειδικότερα, 152-FZ «Περί Προσωπικών Δεδομένων», 149-FZ «Πληροφοριών, Τεχνολογιών Πληροφοριών και Προστασίας Πληροφοριών», Κώδικας Διοικητικών Αδικημάτων, Ποινικό Κώδικας της Ρωσικής Ομοσπονδίας, ο Κώδικας Εργασίας της Ρωσικής Ομοσπονδίας και ο Αστικός Κώδικας της Ρωσικής Ομοσπονδίας.
Ανοίξτε τα προσωπικά δεδομένα. Τι είδους ζώο είναι αυτό;
#Ας δούμε την κατάσταση μέσα από τα μάτια του χρήστη
Ίσως οι αναγνώστες να μην έχουν σκεφτεί ακόμη πώς τα προσωπικά δεδομένα μπορούν να είναι ανοιχτά, επειδή τα προσωπικά ακούγονται σαν προσωπικά και τα ανοιχτά σαν δημόσια.
Ταυτόχρονα, το αίσθημα σιγουριάς δεν με αφήνει που μετά από μια άλλη συνομιλία με έναν τηλεφωνικό πωλητή, ο καθένας μας σκέφτεται «από πού πήρε τον αριθμό μου» ή «τι είναι αυτό το περίεργο τηλεφώνημα από έναν άγνωστο που ξέρει περισσότερα για μένα από όσο χρειάζεται.»
Έτσι, οι χρήστες που έβγαλαν κάτι προς πώληση μέσω της Avito, μην εκπλαγείτε που κατέληξαν σε βάσεις δεδομένων χάκερ, έλαβαν spam email ή μια ακατανόητη κλήση από απατεώνες ή «ψυχρά πωλητές».
Μπορείς μόνο να κατηγορήσεις τον εαυτό σου σε μια τέτοια κατάσταση, γιατί η άγνοια των νόμων δεν σε απαλλάσσει από την ευθύνη.
Ό,τι έχει δημοσιεύσει ο ίδιος ο χρήστης για τον εαυτό του για δημόσια εξέταση, με άλλα λόγια, στο Διαδίκτυο, γίνεται δημόσια διαθέσιμο, δηλαδή ανοίγει δεδομένα και μπορεί να αποθηκευτεί, να διανεμηθεί και να χρησιμοποιηθεί χωρίς τη συγκατάθεση του χρήστη.
Επιβεβαίωση από τη νομοθεσία
Μέρος 1 του άρθρου 152.2. Αστικός Κώδικας της Ρωσικής Ομοσπονδίας.
Εκτός αν ρητώς ορίζει διαφορετικά ο νόμος, η συλλογή, αποθήκευση, διανομή και χρήση οποιασδήποτε πληροφορίας σχετικά με την ιδιωτική του ζωή, ιδίως πληροφοριών σχετικά με την καταγωγή, τον τόπο διαμονής ή διαμονής, την προσωπική και οικογενειακή ζωή, δεν επιτρέπεται χωρίς τη συγκατάθεση πολίτη. .
Η συλλογή, αποθήκευση, διανομή και χρήση πληροφοριών σχετικά με την ιδιωτική ζωή ενός πολίτη για κρατικά, δημόσια ή άλλα δημόσια συμφέροντα, καθώς και σε περιπτώσεις όπου πληροφορίες για την ιδιωτική ζωή ενός πολίτη έγιναν προηγουμένως διαθέσιμες στο κοινό ή αποκαλύφθηκαν από τον ίδιο, δεν αποτελεί παράβαση των κανόνων που θεσπίζονται με το πρώτο εδάφιο της παρούσας παραγράφου.πολίτη ή κατά τη θέλησή του.
Άλλη μια επιβεβαίωση
Ρήτρα 4 του άρθρου 7 του Ομοσπονδιακού Νόμου της Ρωσικής Ομοσπονδίας αριθ. 149-FZ «Σχετικά με τις πληροφορίες, τις τεχνολογίες των πληροφοριών και την προστασία των πληροφοριών».
Οι πληροφορίες που δημοσιεύονται από τους κατόχους τους στο Διαδίκτυο σε μορφή που επιτρέπει την αυτοματοποιημένη επεξεργασία χωρίς προηγούμενες ανθρώπινες αλλαγές με σκοπό την επαναχρησιμοποίηση είναι δημόσια διαθέσιμες πληροφορίες που δημοσιεύονται με τη μορφή ανοιχτών δεδομένων.
#Συμπέρασμα
Η διοίκηση της Avito δικαίως ισχυρίζεται ότι η βάση δεδομένων στα φόρουμ χάκερ αποτελείται εξ ολοκλήρου από δημόσιες πληροφορίες που είναι διαθέσιμες στον ιστότοπό τους και μπορούν να συλλεχθούν με ανάλυση (αυτόματη συλλογή πληροφοριών με χρήση ειδικών προγραμμάτων), δηλαδή δεν γίνεται λόγος για διαρροή δεδομένων. Το εάν τα δεδομένα χρησιμοποιούνται για νομικούς σκοπούς είναι ένα άλλο ερώτημα που σίγουρα δεν πρέπει να τεθεί στην Avito.
Εάν δεν θέλετε κανείς να συντάξει, να αξιολογήσει ή να χρησιμοποιήσει το προφίλ καταναλωτή σας, αφήστε λιγότερες πληροφορίες για τον εαυτό σας σε δημόσιους πόρους.
Παρακάτω είναι ένα αστείο (αλλά όχι ακριβές) σχόλιο από το φόρουμ.
#Ας δούμε την κατάσταση μέσα από τα μάτια των επιχειρήσεων
Ας πάρουμε το ίδιο Avito ως παράδειγμα και ας εξετάσουμε τις ερωτήσεις:
- είναι ο ιστότοπος χειριστής προσωπικών δεδομένων,
- χρειάζεται να λάβει συγκατάθεση για την επεξεργασία δεδομένων και να δηλωθεί στη Roskomnadzor για να συμπεριληφθεί στο μητρώο φορέων,
- Θα μείνει πραγματικά ατιμώρητος ο Avito;
Σε μια κατάσταση με διαρροή δεδομένων, το Avito δεν έχει πραγματικά καμία σχέση με αυτό. Μπορείτε να φανταστείτε ότι το Avito είναι ένας φράχτης στον οποίο ο χρήστης έγραψε "SELLING GARAGE" και υπέδειξε το όνομά του, τον αριθμό τηλεφώνου ή άλλα δεδομένα επικοινωνίας και μετά άρχισε να αγανακτεί γιατί όλοι όσοι περνούσαν από τον φράχτη γνώριζαν, αντέγραφαν ή χρησιμοποιούσαν τα δεδομένα. .
Επιβεβαίωση από τη νομοθεσία
Άρθρο 10 του νόμου αριθ. 152-FZ.
Εταιρεία ή ιδιώτης ένα άτομο που έχει λάβει τη γραπτή συγκατάθεση του πελάτη για επεξεργασία δεδομένων γίνεται χειριστής δημοσίως διαθέσιμων προσωπικών δεδομένων, αλλά η νομοθεσία επιβάλλει ελάχιστες απαιτήσεις για την προστασία των διαθέσιμων στο κοινό προσωπικών δεδομένων ή, πιο απλά, των ανοιχτών δεδομένων, σε σύγκριση με άλλες κατηγορίες.
Άλλη μια επιβεβαίωση
Ρήτρα 4, μέρος 2, άρθρο 22 «Σχετικά με τα προσωπικά δεδομένα».
Ο χειριστής έχει το δικαίωμα να επεξεργάζεται προσωπικά δεδομένα που δημοσιοποιούνται από το υποκείμενο των προσωπικών δεδομένων χωρίς να ενημερώσει τον εξουσιοδοτημένο φορέα για την προστασία των δικαιωμάτων των υποκειμένων των προσωπικών δεδομένων.
#Συμπέρασμα
Η Avito είναι ο χειριστής των προσωπικών δεδομένων. Όσον αφορά την ειδοποίηση Roskomnadzor, υπάρχουν εξαιρέσεις στο νόμο, αλλά δεν ισχύουν για την Avito, καθώς αυτός ο ιστότοπος συλλέγει και επεξεργάζεται όχι μόνο δεδομένα που είναι διαθέσιμα στο κοινό. Αλλά εάν ο ιστότοπος λειτουργεί μόνο με ανοιχτά δεδομένα, δεν θα χρειαζόταν να ειδοποιήσετε και να εγγραφείτε στο Roskomnadzor. Ο Avito είναι αθώος και επομένως δεν θα υπάρξει τιμωρία.
Τα δεδομένα μπορούν να διαρρεύσουν ή να ληφθούν νόμιμα όχι μόνο από πλατφόρμες συναλλαγών, αλλά και από οποιονδήποτε ιστότοπο ή από παρόχους κινητής τηλεφωνίας, από κοινωνικά δίκτυα, τράπεζες, μητρώα, μπορούν να εξαχθούν από την ακολουθία συναλλαγών μέσω κινητού τηλεφώνου σε τραπεζική κάρτα ή χρησιμοποιώντας κρυφές λειτουργίες του εφαρμογές smartphone, υπάρχουν ένα εκατομμύριο επιλογές.
Παρεμπιπτόντως, όλοι γνωρίζουν ότι το Habr δεν είναι φόρουμ, αλλά υπάρχει η δυνατότητα σχολιασμού, και σκοπός του άρθρου δεν είναι να εκπλήξει, αλλά να κατανοήσει το θέμα.
Ερώτηση
Στην πραγματικότητα του 2020, πρέπει να είστε προσεκτικοί με τη δημοσίευση προσωπικών δεδομένων στο Διαδίκτυο και να ενεργείτε όπως στο αστείο σχόλιο παραπάνω, ή να εισαγάγετε νέα νομοθεσία, ή ίσως μια νέα εποχή μόλις έφτασε και αξίζει να συμβιβαστείτε με τη γενική διαθεσιμότητα των ανοιχτών δεδομένων;
Πηγή: www.habr.com