Il y a deux semaines, des bases de données de 600 XNUMX clients des services Avito et Yula ont été découvertes sur les forums, parmi lesquelles se trouvaient de véritables adresses et numéros de téléphone. Les bases de données sont toujours disponibles gratuitement et tout le monde peut les télécharger. Imaginez combien de personnes ont déjà téléchargé la base de données dans le but d'envoyer du spam ou, pire encore, d'attirer les données des cartes de paiement des utilisateurs. L'administration du forum ne supprime pas les bases de données, car Ils ne voient aucun problème dans cette situation, encore moins une violation, et affirment qu’il ne s’agit pas d’un vol de données personnelles, mais d’une collecte de données ouvertes.
Les nouvelles concernant les fuites de données ne surprendront plus personne.
Les mois de juillet et août 2020 ont été remplis de nouvelles concernant le blocage de TikTok pour collecte de données non autorisée. Et ma tâche n’est pas de surprendre, mais de comprendre le problème et de tenir la promesse que j’ai faite à l’un des lecteurs de Habr. À propos, je m'appelle Vyacheslav Ustimenko, j'ai écrit l'article avec Bella Farzalieva, avocate informatique du cabinet d'avocats international Icon Partners.
Pourquoi c'est important
La question de la protection et du traitement des données personnelles ne fait que prendre de l'ampleur chaque année. La protection des données personnelles concerne la liberté de choix d'une personne, la culture de la société et la démocratie. Une personne indépendante est difficile à gérer, difficile à tromper et impossible à copier. Cette idée est véhiculée par les réglementations bien connues sur la protection des données dans l'UE (RGPD) et aux États-Unis (CCPA). Personnellement Lors d'une enquête, même les avocats (90 % de mes abonnés) sont encore peu familiarisés avec les questions de protection des données.
La question était: « Parmi les éléments suivants, lesquels constituent des données personnelles. »
Je joins une capture d'écran des résultats de l'enquête.
Environ 20 % des votants ont choisi la bonne réponse.
PS Le fait que je vienne d'Ukraine et l'article sur les lois de la Fédération de Russie ne devraient pas vous dérouter, chers lecteurs, car l'expertise d'un avocat spécialisé en informatique ne peut se limiter à un seul pays.
Que sont les données personnelles en Fédération de Russie
La définition des données personnelles conformément à la loi fédérale n'est pas très différente de celle européenne ou ukrainienne, à propos de laquelle .
Données personnelles - toute information relative directement ou indirectement à une personne physique identifiée ou identifiable, nous parlons de toute donnée permettant d'identifier une personne.
En Russie, l'utilisation et la protection des données personnelles sont réglementées par de nombreux documents, notamment le 152-FZ « Sur les données personnelles », le 149-FZ « Sur l'information, les technologies de l'information et la protection de l'information », le Code des infractions administratives, le Code pénal. Code de la Fédération de Russie, Code du travail de la Fédération de Russie et Code civil de la Fédération de Russie.
Ouvrez les données personnelles. De quel genre d'animal s'agit-il ?
#Regardons la situation à travers les yeux de l'utilisateur
Peut-être que les lecteurs n’ont pas encore réfléchi à la manière dont les données personnelles peuvent être ouvertes, car « personnel » ressemble à « personnel » et « ouvert » à « public ».
En même temps, le sentiment de confiance ne me quitte pas qu'après une autre conversation avec un vendeur par téléphone, chacun de nous se demande « d'où vient-il mon numéro » ou « quel est cet étrange appel d'un inconnu qui en sait plus sur moi » que nécessaire. »
Ainsi, les utilisateurs qui mettent quelque chose en vente via Avito ne soient pas surpris qu'ils se retrouvent dans des bases de données de pirates informatiques, qu'ils reçoivent des spams ou un appel incompréhensible d'escrocs ou de « vendeurs à froid ».
Dans une telle situation, vous ne pouvez que vous blâmer, car la méconnaissance des lois ne vous exonère pas de votre responsabilité.
Tout ce que l’utilisateur lui-même a publié sur lui-même pour examen public, en d’autres termes sur Internet, devient accessible au public, c’est-à-dire des données ouvertes et peut être stocké, distribué et utilisé sans le consentement de l’utilisateur.
Confirmation de la législation
Partie 1 de l'article 152.2. Code civil de la Fédération de Russie.
Sauf disposition expresse contraire de la loi, la collecte, le stockage, la diffusion et l'utilisation de toute information concernant sa vie privée, notamment des informations sur son origine, sur son lieu de séjour ou de résidence, sur sa vie personnelle et familiale, ne sont pas autorisés sans l'autorisation de consentement d'un citoyen.
La collecte, le stockage, la distribution et l'utilisation d'informations sur la vie privée d'un citoyen dans l'intérêt de l'État, du public ou d'autres intérêts publics, ainsi que dans les cas où des informations sur la vie privée d'un citoyen sont auparavant devenues publiques ou ont été divulguées par lui-même, ne constitue pas une violation des règles établies par le premier alinéa du présent paragraphe. citoyen ou à sa volonté.
Une autre confirmation
Clause 4 de l'article 7 de la loi fédérale de la Fédération de Russie n° 149-FZ « sur l'information, les technologies de l'information et la protection de l'information ».
Les informations publiées par leurs propriétaires sur Internet dans un format permettant un traitement automatisé sans modifications humaines préalables à des fins de réutilisation sont des informations accessibles au public publiées sous forme de données ouvertes.
#Conclusion
L'administration Avito affirme à juste titre que la base de données des forums de hackers est entièrement constituée d'informations publiques disponibles sur leur site Web et peuvent être collectées par analyse (collecte automatique d'informations à l'aide de programmes spéciaux), c'est-à-dire qu'il n'est pas question de fuite de données. La question de savoir si les données sont utilisées à des fins légales est une autre question qui ne devrait absolument pas être posée à Avito.
Si vous ne souhaitez pas que quiconque compile, évalue ou utilise votre profil de consommateur, laissez moins d’informations vous concernant sur les ressources publiques.
Vous trouverez ci-dessous un commentaire amusant (mais pas précis) du forum.
#Regardons la situation avec les yeux des entreprises
Prenons le même Avito comme exemple et considérons les questions :
- le site est-il un exploitant de données personnelles,
- doit-il obtenir le consentement au traitement des données et se déclarer auprès de Roskomnadzor pour être inscrit au registre des opérateurs,
- Avito restera-t-il vraiment impuni ?
Dans une situation de fuite de données, Avito n'a vraiment rien à voir avec cela. Vous pouvez imaginer qu'Avito est une clôture sur laquelle l'utilisateur a écrit « VENTE DE GARAGE » et a indiqué son nom, son numéro de téléphone ou d'autres données de communication, puis a commencé à s'indigner de la raison pour laquelle tous ceux qui passaient par la clôture connaissaient, copiaient ou utilisaient les données. .
Confirmation de la législation
Article 10 de la loi n° 152-FZ.
Entreprise ou particulier une personne qui a reçu le consentement écrit du client pour traiter les données devient un opérateur de données personnelles accessibles au public, mais la législation impose des exigences minimales en matière de protection des données personnelles accessibles au public, ou, plus simplement, des données ouvertes, par rapport aux autres catégories.
Une autre confirmation
Clause 4, partie 2, article 22 « Sur les données personnelles ».
L'opérateur a le droit de traiter les données personnelles rendues publiques par le sujet des données personnelles sans en informer l'organisme autorisé pour la protection des droits des personnes concernées.
#Conclusion
Avito est l'exploitant des données personnelles. Quant à la notification de Roskomnadzor, il existe des exceptions dans la loi, mais elles ne s'appliquent pas à Avito, puisque ce site collecte et traite non seulement des données accessibles au public. Mais si le site fonctionne uniquement avec des données ouvertes, il ne serait pas nécessaire de le notifier et de s'inscrire auprès de Roskomnadzor. Avito est innocent et il n’y aura donc aucune punition.
Les données peuvent être divulguées ou obtenues légalement non seulement à partir de plateformes de trading, mais aussi à partir de n'importe quel site Internet ou auprès d'opérateurs mobiles, de réseaux sociaux, de banques, de registres, elles peuvent être extraites de la séquence de transactions mobiles sur une carte bancaire ou à l'aide de fonctions cachées de applications pour smartphone, il existe un million d'options.
D'ailleurs, tout le monde sait que Habr n'est pas un forum, mais il y a la possibilité de commenter, et le but de l'article n'est pas de surprendre, mais de comprendre le problème.
question
Dans les réalités de 2020, vous devez être prudent lorsque vous publiez des données personnelles sur Internet et agir comme dans le commentaire amusant ci-dessus, ou introduire une nouvelle législation, ou peut-être qu'une nouvelle ère vient d'arriver et cela vaut la peine d'accepter la disponibilité générale. des données ouvertes ?
Source: habr.com