Kaks nädalat tagasi avastati foorumitest 600 tuhande Avito ja Yula teenuste kliendi andmebaasid, mille hulgas olid ka päris aadressid ja telefoninumbrid. Andmebaasid on endiselt vabalt saadaval ja igaüks saab neid alla laadida. Kujutage vaid ette, kui paljud inimesed on juba andmebaasi alla laadinud eesmärgiga saata rämpsposti või, mis veelgi hullem, kasutaja maksekaardi andmeid välja meelitada. Foorumi administratsioon ei kustuta andmebaase, kuna Nad ei näe selles olukorras probleemi, veel vähem rikkumist ja ütlevad, et tegemist pole isikuandmete vargusega, vaid avaandmete kogumisega.
Uudised andmelekete kohta ei üllata enam kedagi.
Juuli ja august 2020 olid täis uudiseid TikToki blokeerimise kohta volitamata andmete kogumise tõttu. Ja minu ülesanne ei ole üllatada, vaid probleemist aru saada ja pidada kinni lubadusest, mille ma ühele Habri lugejatest andsin. Muide, minu nimi on Vjatšeslav Ustimenko, artikli kirjutasin koos rahvusvahelise advokaadibüroo Icon Partners IT-advokaadi Bella Farzalievaga.
Miks on see oluline
Isikuandmete kaitse ja töötlemise teema saab iga aastaga ainult hoogu juurde. Isikuandmete kaitse seisneb inimese valikuvabaduses, ühiskonna kultuuris ja demokraatias. Iseseisvat inimest on raske juhtida, raske petta ja võimatu kopeerida. Seda ideed kannavad edasi EL-is (GDPR) ja USA-s (CCPA) tuntud andmekaitseregulatsioonid. Isiklikult korraldas küsitluse, isegi juristid (90% minu tellijatest) on andmekaitse küsimustega endiselt halvasti kursis.
Küsimus kõlas nii: "Milline järgmistest on isikuandmed."
Lisan ekraanipildi küsitluse tulemustest.
Õige vastuse valis umbes 20% hääletanutest.
PS Asjaolu, et olen pärit Ukrainast, ja Vene Föderatsiooni seadusi käsitlev artikkel ei tohiks teid, head lugejad, segadusse ajada, kuna IT-juristi asjatundlikkus ei saa piirduda ühe riigiga.
Mis on isikuandmed Vene Föderatsioonis
Föderaalseaduse kohane isikuandmete määratlus ei erine kuigi palju Euroopa või Ukraina määratlusest, mille kohta .
Isikuandmed - igasugune teave, mis on otseselt või kaudselt seotud tuvastatud või tuvastatava füüsilise isikuga, me räägime mis tahes andmetest, mille abil saab isikut tuvastada.
Venemaal reguleerivad isikuandmete kasutamist ja kaitset paljud dokumendid, eelkõige 152-FZ “Isikuandmete kohta”, 149-FZ “Teabe, infotehnoloogia ja teabekaitse kohta”, haldusõiguserikkumiste seadustik, kriminaalasi. Vene Föderatsiooni seadustik, Vene Föderatsiooni töökoodeks ja Vene Föderatsiooni tsiviilkoodeks.
Avage isikuandmed. Mis loom see on?
#Vaatame olukorda läbi kasutaja silmade
Võib-olla pole lugejad veel mõelnud, kuidas isikuandmed võivad olla avatud, sest isiklikud kõlavad privaatselt ja avatud avalikud.
Samas ei jäta mind maha kindlustunne, et peale järjekordset vestlust telefonimüüjaga mõtleb igaüks meist “kust ta mu numbri sai” või “mis see imelik kõne on võõralt, kes minust rohkem teab”. kui vaja."
Seega pole Avito kaudu midagi müüki pannud kasutajad üllatunud, et nad sattusid häkkerite andmebaasidesse, said rämpsposti või arusaamatu kõne petturitelt või “külmadelt müüjatelt”.
Süüdistada saab sellises olukorras vaid iseennast, sest seaduste mittetundmine ei vabasta vastutusest.
Kõik, mida kasutaja on enda kohta avalikuks kaalumiseks ehk teisisõnu Internetti postitanud, muutub avalikult kättesaadavaks ehk avaandmeteks ning seda saab salvestada, levitada ja kasutada ilma kasutaja nõusolekuta.
Kinnitus seadusandlusest
Artikli 1 lõike 152.2 XNUMX. osa. Vene Föderatsiooni tsiviilseadustik.
Kui seaduses ei ole sõnaselgelt sätestatud teisiti, ei ole tema eraelu puudutava teabe kogumine, säilitamine, levitamine ja kasutamine, eriti tema päritolu, viibimis- või elukoha, isikliku ja pereelu kohta teabe kogumine, säilitamine, levitamine ja kasutamine lubatud ilma isiku nõusolekuta. kodanik.
Kodaniku eraelu puudutava teabe kogumine, säilitamine, levitamine ja kasutamine riiklikes, avalikes või muudes avalikes huvides, samuti juhtudel, kui teave kodaniku eraelu kohta on varem muutunud avalikult kättesaadavaks või tema enda poolt avalikustatud; ei ole käesoleva lõike esimese lõikega kehtestatud reeglite rikkumine.kodanik või tema tahtel.
Veel üks kinnitus
Vene Föderatsiooni föderaalseaduse nr 4-FZ "Teabe, infotehnoloogia ja teabekaitse kohta" artikli 7 punkt 149.
Selle omanike poolt Internetti postitatud teave vormingus, mis võimaldab automaatset töötlemist ilma eelnevate inimlike muudatusteta taaskasutamise eesmärgil, on avaandmetena postitatud avalikult kättesaadav teave.
#Järeldus
Avito administratsioon väidab õigustatult, et häkkerite foorumite andmebaas koosneb täielikult avalikust teabest, mis on nende veebisaidil saadaval ja mida saab koguda parsimise teel (automaatne teabe kogumine spetsiaalsete programmide abil), see tähendab, et andmete lekkimisest pole juttugi. Kas andmeid kasutatakse seaduslikel eesmärkidel, on teine küsimus, mida Avitole kindlasti küsida ei tohiks.
Kui te ei soovi, et keegi teie tarbijaprofiili koostaks, hindaks või kasutaks, jätke avalikesse ressurssidesse vähem teavet enda kohta.
Allpool on naljakas (kuid mitte täpne) kommentaar foorumist.
#Vaatame olukorda läbi äriliste silmade
Võtame näitena sama Avito ja kaalume küsimusi:
- kas sait on isikuandmete haldaja,
- kas ta peab saama andmetöötluseks nõusoleku ja kuulutama end Roskomnadzorile käitajate registrisse kandmiseks?
- Kas Avito jääb tõesti karistamata?
Andmelekke olukorras pole Avitol sellega tegelikult midagi pistmist. Võite ette kujutada, et Avito on piirdeaed, millele kasutaja kirjutas “MÜÜA GARAAŽ” ja märkis oma nime, telefoninumbri või muud sideandmed ning hakkas siis nördima, miks kõik aiast möödujad neid andmeid teadsid, kopeerisid või kasutasid. .
Kinnitus seadusandlusest
Seaduse nr 10-FZ artikkel 152.
Firma või üksikisik Isik, kes on saanud kliendilt andmete töötlemiseks kirjaliku nõusoleku, saab avalikult kättesaadavate isikuandmete haldajaks, kuid seadusandlus seab avalikult kättesaadavate isikuandmete ehk lihtsamalt öeldes avaandmete kaitsele võrreldes teiste kategooriatega minimaalsed nõuded.
Veel üks kinnitus
Punkti 4 2. osa artikkel 22 „Isikuandmed”.
Käitajal on õigus töödelda isikuandmete subjekti poolt avalikult kättesaadavaks tehtud isikuandmeid, teavitamata sellest isikuandmete subjektide õiguste kaitseks volitatud asutust.
#Järeldus
Avito on isikuandmete haldaja. Mis puudutab Roskomnadzori teatist, siis seaduses on erandeid, kuid need ei kehti Avito kohta, kuna see sait kogub ja töötleb mitte ainult avalikult kättesaadavaid andmeid. Kuid kui sait töötab ainult avatud andmetega, poleks vaja teavitada ja Roskomnadzoris registreeruda. Avito on süütu ja seetõttu karistust ei määrata.
Andmeid saab lekkida või seaduslikult hankida mitte ainult kauplemisplatvormidelt, vaid ka mis tahes veebisaidilt või mobiilioperaatoritelt, sotsiaalvõrgustikest, pankadest, registritest, neid saab eraldada pangakaardi mobiilitehingute jadast või kasutades peidetud funktsioone. nutitelefoni rakendusi, valikuvõimalusi on miljon.
Muide, kõik teavad, et Habr ei ole foorum, kuid kommenteerimisvõimalus on olemas ja artikli eesmärk ei ole üllatada, vaid teemast aru saada.
Küsimus
2020. aasta reaalsuses tuleb olla ettevaatlik isikuandmete internetti postitamisega ja käituda nii nagu ülal naljakas kommentaaris või võtta kasutusele uus seadusandlus või võib-olla on just saabunud uus ajastu ja tasub leppida üldise kättesaadavusega avatud andmetest?
Allikas: www.habr.com