Hai dúas semanas descubríronse nos foros bases de datos de 600 mil clientes dos servizos Avito e Yula, entre os que se atopaban enderezos e números de teléfono reais. As bases de datos aínda están dispoñibles gratuitamente e calquera pode descargalas. Imaxínate cantas persoas xa descargaron a base de datos coa intención de enviar spam ou, peor aínda, de atraer os datos das tarxetas de pago dos usuarios. A administración do foro non borra bases de datos, xa que Non ven ningún problema nesta situación, e moito menos unha violación, e din que non se trata de roubo de datos persoais, senón de recollida de datos abertos.
As noticias sobre filtracións de datos xa non sorprenderán a ninguén.
Xullo e agosto de 2020 foron cheos de noticias sobre o bloqueo de TikTok para a recollida de datos non autorizada. E a miña tarefa non é sorprender, senón comprender o tema e cumprir a promesa que lle fixen a un dos lectores de Habr. Por certo, chámome Vyacheslav Ustimenko, escribín o artigo xunto con Bella Farzalieva, unha avogada informática da firma internacional Icon Partners.
Por que é importante
O tema da protección e tratamento dos datos persoais só está cobrando impulso cada ano. A protección dos datos persoais trata sobre a liberdade de elección dunha persoa, a cultura da sociedade e a democracia. Unha persoa independente é difícil de xestionar, difícil de enganar e imposible de copiar. Esta idea é transmitida polas coñecidas normativas de protección de datos da UE (GDPR) e dos EUA (CCPA). No persoal realizou unha enquisa, incluso os avogados (o 90% dos meus subscritores) aínda están pouco versados en cuestións de protección de datos.
A pregunta soaba así: "Cal dos seguintes son datos persoais".
Adxunto unha captura de pantalla dos resultados da enquisa.
Ao redor do 20% dos votantes escolleu a resposta correcta.
PD O feito de ser de Ucraína e o artigo sobre as leis da Federación Rusa non deberían confundirvos, queridos lectores, xa que a experiencia dun avogado informático non se pode limitar a un país.
Que son os datos persoais na Federación Rusa
A definición de datos persoais de acordo coa Lei Federal non é moi diferente da europea ou ucraína, sobre a cal .
Datos persoais: calquera información relacionada directa ou indirectamente cunha persoa física identificada ou identificable, estamos a falar de calquera dato polos que se pode identificar unha persoa.
En Rusia, o uso e a protección de datos persoais están regulados por moitos documentos, en particular, 152-FZ "Sobre datos persoais", 149-FZ "Sobre información, tecnoloxías da información e protección da información", o Código de infraccións administrativas, o Código Penal. Código da Federación Rusa, Código do Traballo da Federación Rusa e Código Civil da Federación Rusa.
Abrir datos persoais. Que tipo de animal é este?
#Miremos a situación a través dos ollos do usuario
Quizais os lectores aínda non pensaron en como se poden abrir os datos persoais, porque os persoais soan como persoais e os abertos parecen públicos.
Ao mesmo tempo, a sensación de confianza non me deixa que despois doutra conversación cun vendedor telefónico, cada un de nós pense “de onde sacou o meu número” ou “que é esta chamada estraña dun descoñecido que sabe máis de min. do necesario".
Así, os usuarios que poñen algo á venda a través de Avito, non se estrañen de que acaben en bases de datos de hackers, reciban correos de spam ou unha chamada incomprensible de estafadores ou “vendedores en frío”.
Só te podes culpar en tal situación, porque o descoñecemento das leis non te exime da responsabilidade.
Todo o que o propio usuario publicou sobre si mesmo para consideración pública, é dicir, en Internet, pasa a ser públicamente dispoñible, é dicir, datos abertos e pódense almacenar, distribuír e usar sen o consentimento do usuario.
Confirmación da lexislación
Parte 1 do artigo 152.2. Código Civil da Federación Rusa.
Salvo disposición expresa en contrario da lei, a recollida, almacenamento, distribución e uso de calquera información sobre a súa vida privada, en particular información sobre a súa orixe, sobre o seu lugar de estancia ou residencia, sobre a súa vida persoal e familiar, non se permite sen o consentimento. dun cidadán.
A recompilación, almacenamento, distribución e uso de información sobre a vida privada dun cidadán en intereses estatais, públicos ou doutros intereses públicos, así como nos casos en que a información sobre a vida privada dun cidadán xa se puxera a disposición do público ou fose divulgada por el mesmo, non supón unha infracción das normas establecidas polo parágrafo primeiro deste parágrafo.cidadán ou á súa vontade.
Outra confirmación
Cláusula 4 do artigo 7 da Lei Federal da Federación Rusa número 149-FZ "sobre información, tecnoloxías da información e protección da información".
A información publicada polos seus propietarios en Internet nun formato que permita o procesamento automatizado sen cambios humanos previos coa finalidade da reutilización é información dispoñible publicamente publicada en forma de datos abertos.
#Conclusión
A administración de Avito afirma con razón que a base de datos dos foros de piratas informáticos está formada enteiramente por información pública que está dispoñible no seu sitio web e que se pode recoller mediante análise (recollida automática de información mediante programas especiais), é dicir, non se fala de ningunha fuga de datos. Se os datos se utilizan con fins legais é outra cuestión que definitivamente non se lle debe facer a Avito.
Se non queres que ninguén recompile, avalie ou utilice o teu perfil de consumidor, deixa menos información sobre ti nos recursos públicos.
Abaixo está un comentario divertido (pero non preciso) do foro.
#Miremos a situación a través dos ollos dos negocios
Tomemos o mesmo Avito como exemplo e consideremos as preguntas:
- é o sitio un operador de datos persoais,
- ¿Necesita obter o consentimento para o tratamento de datos e declararse ante Roskomnadzor para ser incluído no rexistro de operadores?
- ¿Quedará Avito realmente impune?
Nunha situación cunha fuga de datos, Avito realmente non ten nada que ver con iso. Podedes imaxinar que Avito é un valado no que o usuario escribiu “VENDO GARAXE” e indicaba o seu nome, número de teléfono ou outros datos de comunicación, e despois comezou a indignarse por que todos os que pasaban polo valado coñecían, copiaban ou utilizaban os datos. .
Confirmación da lexislación
Artigo 10 da Lei no 152-FZ.
Empresa ou particular unha persoa que recibiu o consentimento por escrito do cliente para procesar datos convértese nun operador de datos persoais dispoñibles públicamente, pero a lexislación impón requisitos mínimos para a protección dos datos persoais dispoñibles públicamente ou, máis simplemente, datos abertos, en comparación con outras categorías.
Outra confirmación
Cláusula 4, parte 2, artigo 22 «De datos persoais».
O operador ten dereito a tratar os datos persoais postos a disposición do público polo suxeito dos datos persoais sen notificalo ao organismo autorizado para a protección dos dereitos dos suxeitos de datos persoais.
#Conclusión
Avito é o operador de datos persoais. En canto á notificación de Roskomnadzor, hai excepcións na lei, pero non se aplican a Avito, xa que este sitio recolle e procesa non só datos dispoñibles publicamente. Pero se o sitio funciona só con datos abertos, non habería necesidade de notificar e rexistrarse en Roskomnadzor. Avito é inocente e, polo tanto, non haberá castigo.
Os datos poden filtrarse ou obterse legalmente non só de plataformas de negociación, senón tamén de calquera sitio web ou de operadores móbiles, de redes sociais, bancos, rexistros, pódense extraer da secuencia de transaccións móbiles nunha tarxeta bancaria ou mediante funcións ocultas de aplicacións para teléfonos intelixentes, hai un millón de opcións.
Por certo, todo o mundo sabe que Habr non é un foro, pero si existe a posibilidade de comentar, e a finalidade do artigo non é sorprender, senón comprender o tema.
Pregunta
Nas realidades de 2020, cómpre ter coidado coa publicación de datos persoais en Internet e actuar como no divertido comentario anterior, ou introducir unha nova lexislación, ou quizais acaba de chegar unha nova era e paga a pena aceptar a dispoñibilidade xeral. de datos abertos?
Fonte: www.habr.com