Kaksi viikkoa sitten foorumeilta löydettiin 600 tuhannen Avito- ja Yula-palveluiden asiakkaan tietokannat, joiden joukossa oli oikeita osoitteita ja puhelinnumeroita. Tietokannat ovat edelleen vapaasti saatavilla ja kuka tahansa voi ladata ne. Kuvittele kuinka moni on jo ladannut tietokannan roskapostin lähettämiseen tai, mikä vielä pahempaa, houkutellakseen ulos käyttäjien maksukorttitietoja. Foorumin hallinto ei poista tietokantoja, koska He eivät näe tässä tilanteessa mitään ongelmaa, saati loukkausta, ja sanovat, että kyseessä ei ole henkilötietojen varastaminen, vaan avoimen tiedon kerääminen.
Tietovuotoja koskevat uutiset eivät enää yllätä ketään.
Heinä- ja elokuu 2020 olivat täynnä uutisia TikTokin estämisestä luvattoman tiedonkeruun vuoksi. Ja tehtäväni ei ole yllättää, vaan ymmärtää ongelma ja pitää lupaus, jonka annoin yhdelle Habrin lukijoista. Muuten, nimeni on Vjatšeslav Ustimenko, kirjoitin artikkelin yhdessä kansainvälisen Icon Partnersin IT-lakimiehen Bella Farzalievan kanssa.
Miksi se on tärkeää
Kysymys henkilötietojen suojaamisesta ja käsittelystä vain saa vauhtia joka vuosi. Henkilötietojen suojassa on kyse henkilön valinnanvapaudesta, yhteiskunnan kulttuurista ja demokratiasta. Itsenäistä henkilöä on vaikea johtaa, vaikea pettää ja mahdotonta kopioida. Tätä ajatusta välittävät EU:n (GDPR) ja USA:n (CCPA) tunnetut tietosuojasäännökset. Henkilökohtaisesti teki tutkimuksen, jopa lakimiehet (90 % tilaajistani) ovat edelleen huonosti perehtyneitä tietosuojakysymyksiin.
Kysymys meni näin: "Mikä seuraavista on henkilötietoja."
Liitän mukaan kuvakaappauksen kyselyn tuloksista.
Noin 20 % äänestäjistä valitsi oikean vastauksen.
PS Se, että olen Ukrainasta, ja Venäjän federaation lakeja käsittelevän artikkelin ei pitäisi hämmentää teitä, hyvät lukijat, koska IT-lakimiehen asiantuntemusta ei voi rajoittaa yhteen maahan.
Mitä ovat henkilötiedot Venäjän federaatiossa
Liittovaltion lain mukainen henkilötietojen määritelmä ei eroa kovinkaan paljon eurooppalaisesta tai ukrainalaisesta määritelmästä .
Henkilötiedot - kaikki tiedot, jotka liittyvät suoraan tai välillisesti tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, puhumme kaikista tiedoista, joista henkilö voidaan tunnistaa.
Venäjällä henkilötietojen käyttöä ja suojaa säätelevät monet asiakirjat, erityisesti 152-FZ "henkilötiedoista", 149-FZ "Tiedosta, tietotekniikasta ja tietosuojasta", hallintorikoslaki, rikoslaki Venäjän federaation laki, Venäjän federaation työlaki ja Venäjän federaation siviililaki.
Avaa henkilötiedot. Mikä eläin tämä on?
#Katsotaan tilannetta käyttäjän silmin
Ehkä lukijat eivät ole vielä miettineet, kuinka henkilötiedot voivat olla auki, koska henkilökohtainen kuulostaa henkilökohtaiselta ja avoin kuulostaa julkiselta.
Samaan aikaan ei jätä itseluottamus, että toisen puhelinmyyjän kanssa käydyn keskustelun jälkeen jokainen meistä pohtii "mistä hän sai numeroni" tai "mikä on tämä outo puhelu tuntemattomalta, joka tietää minusta enemmän kuin on tarpeen."
Joten käyttäjät, jotka laittavat jotain myyntiin Aviton kautta, eivät hämmästy, että he päätyivät hakkeritietokantoihin, saivat roskapostiviestejä tai käsittämättömän puhelun huijareilta tai "kylmiltä myyjiltä".
Voit syyttää vain itseäsi tällaisessa tilanteessa, koska lakien tietämättömyys ei vapauta sinua vastuusta.
Kaikki, mitä käyttäjä itse on julkaissut itsestään julkisesti, toisin sanoen Internetiin, tulee julkisesti saataville, eli avoimeksi dataksi ja sitä voidaan tallentaa, levittää ja käyttää ilman käyttäjän suostumusta.
Vahvistus lainsäädännöstä
Artiklan 1 osa 152.2. Venäjän federaation siviililaki.
Jollei laissa nimenomaisesti toisin säädetä, hänen yksityiselämää koskevien tietojen, erityisesti hänen alkuperäänsä, oleskelu- tai asuinpaikkaansa, henkilö- ja perhe-elämäään koskevien tietojen kerääminen, tallentaminen, jakelu ja käyttö ei ole sallittua ilman kansalaisen suostumusta. .
Kansalaisen yksityiselämää koskevien tietojen kerääminen, tallentaminen, levittäminen ja käyttö valtion, yleisen tai muun yleisen edun vuoksi sekä tapauksissa, joissa kansalaisen yksityiselämää koskeva tieto on aiemmin tullut julkisesti saataville tai on itse luovutettu ei riko tämän kohdan ensimmäisessä kappaleessa vahvistettuja sääntöjä.kansalainen tai hänen tahtonsa mukaan.
Toinen vahvistus
Venäjän federaation liittovaltiolain nro 4-FZ "Tiedosta, tietotekniikasta ja tietojen suojasta" 7 artiklan 149 kohta.
Omistajansa Internetissä julkaisemat tiedot, jotka mahdollistavat automaattisen käsittelyn ilman edeltäviä inhimillisiä muutoksia uudelleenkäyttöä varten, ovat julkisesti saatavilla olevia avoimen datan muodossa olevia tietoja.
#Johtopäätös
Aviton hallinto väittää oikeutetusti, että hakkerifoorumien tietokanta koostuu kokonaan heidän verkkosivuillaan saatavilla olevista julkisista tiedoista, jotka voidaan kerätä jäsennyksellä (automaattinen tiedonkeruu erikoisohjelmilla), eli mistään tietovuodosta ei puhuta. Se, käytetäänkö tietoja laillisiin tarkoituksiin, on toinen kysymys, jota ei todellakaan pidä kysyä Avitolta.
Jos et halua kenenkään kokoavan, arvioivan tai käyttävän kuluttajaprofiiliasi, jätä vähemmän tietoa itsestäsi julkisiin resursseihin.
Alla on hauska (mutta ei tarkka) kommentti foorumilta.
#Katsotaan tilannetta yritysten silmin
Otetaan esimerkkinä sama Avito ja mietitään kysymyksiä:
- onko sivusto henkilötietojen ylläpitäjä,
- tarvitseeko hänen saada suostumus tietojen käsittelyyn ja ilmoittaa olevansa Roskomnadzorille rekisteröity toimijarekisteriin,
- Jääkö Avito todella rankaisematta?
Tietovuototilanteessa Avitolla ei todellakaan ole mitään tekemistä sen kanssa. Voit kuvitella, että Avito on aita, johon käyttäjä kirjoitti "MYYTÄ AUTOTALLI" ja ilmoitti nimensä, puhelinnumeronsa tai muut viestintätietonsa, ja sitten alkoi olla närkästynyt, miksi kaikki aidan ohi menneet tiesivät, kopioivat tai käyttivät tietoja. .
Vahvistus lainsäädännöstä
Lain nro 10-FZ 152 artikla.
Yritys tai henkilö Asiakkaan kirjallisen suostumuksen tietojen käsittelyyn saaneesta henkilöstä tulee julkisesti saatavilla olevien henkilötietojen ylläpitäjä, mutta laki asettaa julkisesti saatavilla olevan henkilötiedon tai yksinkertaisemmin avoimen tiedon suojalle vähimmäisvaatimukset muihin luokkiin verrattuna.
Toinen vahvistus
4 lausekkeen 2 osan 22 artikla "Henkilötiedoista".
Palveluntarjoajalla on oikeus käsitellä henkilötietojen kohteen julkisesti saataville asettamia henkilötietoja ilmoittamatta asiasta rekisteröityjen oikeuksien suojelemiseksi valtuutetulle elimelle.
#Johtopäätös
Avito on henkilötietojen ylläpitäjä. Mitä tulee Roskomnadzor-ilmoitukseen, laissa on poikkeuksia, mutta ne eivät koske Avitoa, koska tämä sivusto kerää ja käsittelee paitsi julkisesti saatavilla olevia tietoja. Mutta jos sivusto toimii vain avoimella tiedolla, Roskomnadzoriin ei tarvitse ilmoittaa ja rekisteröityä. Avito on syytön, joten rangaistusta ei tule.
Tietoja voidaan vuotaa tai saada laillisesti paitsi kaupankäyntialustoista, myös miltä tahansa verkkosivustolta tai matkapuhelinoperaattoreista, sosiaalisista verkostoista, pankeista, rekistereistä, ne voidaan poimia mobiilitapahtumien sarjasta pankkikortilla tai käyttämällä piilotettuja toimintoja. älypuhelinsovelluksia, vaihtoehtoja on miljoona.
Muuten, kaikki tietävät, että Habr ei ole foorumi, mutta kommentointimahdollisuus on olemassa, eikä artikkelin tarkoitus ole yllättää, vaan ymmärtää ongelma.
Kysymys
Vuoden 2020 todellisuudessa pitää olla varovainen henkilötietojen julkaisemisessa nettiin ja toimia kuten yllä olevassa hassussa kommentissa tai ottaa käyttöön uutta lainsäädäntöä, tai ehkä uusi aikakausi on juuri saapunut ja kannattaa tyytyä yleiseen saatavuuteen avoimesta datasta?
Lähde: will.com