Prije dva tjedna na forumima su otkrivene baze podataka o 600 tisuća klijenata servisa Avito i Yula, među kojima su bile i stvarne adrese i telefonski brojevi. Baze su još uvijek besplatno dostupne i svatko ih može preuzeti. Zamislite samo koliko je ljudi već preuzelo bazu podataka s namjerom slanja spama ili, još gore, izmamljivanja podataka o platnim karticama korisnika. Administracija foruma ne briše baze podataka jer U ovoj situaciji ne vide nikakav problem, a još manje prekršaj, te kažu kako se ne radi o krađi osobnih podataka, već o prikupljanju otvorenih podataka.
Vijesti o curenju podataka više nikoga neće iznenaditi.
Srpanj i kolovoz 2020. bili su ispunjeni vijestima o blokiranju TikToka zbog neovlaštenog prikupljanja podataka. A moj zadatak nije iznenaditi, nego razumjeti problem i održati obećanje koje sam dao jednom od čitatelja Habra. Usput, moje ime je Vyacheslav Ustimenko, napisao sam članak zajedno s Bellom Farzalievom, IT odvjetnicom iz međunarodne odvjetničke tvrtke Icon Partners.
Zašto je to važno
Pitanje zaštite i obrade osobnih podataka iz godine u godinu sve više uzima maha. Zaštita osobnih podataka odnosi se na slobodu izbora osobe, kulturu društva i demokraciju. Samostalnom osobom teško je upravljati, teško je prevariti i nemoguće je kopirati. Ovu ideju prenose poznati propisi o zaštiti podataka u EU (GDPR) i SAD (CCPA). U osobnom proveo anketu, čak su i odvjetnici (90% mojih pretplatnika) još uvijek slabo upućeni u pitanja zaštite podataka.
Pitanje je zvučalo ovako: “Što je od sljedećeg osobni podatak.”
Prilažem screenshot rezultata ankete.
Oko 20% birača odabralo je točan odgovor.
PS Činjenica da sam iz Ukrajine i članak o zakonima Ruske Federacije ne bi vas trebali zbuniti, dragi čitatelji, budući da se stručnost IT odvjetnika ne može ograničiti na jednu zemlju.
Što su osobni podaci u Ruskoj Federaciji
Definicija osobnih podataka u skladu sa saveznim zakonom ne razlikuje se mnogo od europske ili ukrajinske, o čemu .
Osobni podatak - svaka informacija koja se izravno ili neizravno odnosi na identificiranu ili prepoznatljivu fizičku osobu, govorimo o bilo kojem podatku pomoću kojeg se osoba može identificirati.
U Rusiji je korištenje i zaštita osobnih podataka regulirano mnogim dokumentima, posebno 152-FZ „O osobnim podacima“, 149-FZ „O informacijama, informacijskim tehnologijama i zaštiti informacija“, Zakonom o upravnim prekršajima, Kaznenim Zakonik Ruske Federacije, Zakon o radu Ruske Federacije i Građanski zakonik Ruske Federacije.
Otvoreni osobni podaci. Kakva je ovo životinja?
#Pogledajmo situaciju očima korisnika
Možda čitatelji još nisu razmišljali o tome kako osobni podaci mogu biti otvoreni, jer osobno zvuči osobno, a otvoreno zvuči javno.
Pritom me ne napušta osjećaj povjerenja da nakon još jednog razgovora s telefonskim prodavačem svatko od nas pomisli “odakle mu moj broj” ili “kakav je ovo čudan poziv stranca koji zna više o meni” nego što je potrebno.”
Dakle, korisnici koji stave nešto na prodaju putem Avita, nemojte se iznenaditi što su završili u hakerskim bazama podataka, primili spam e-poštu ili nerazumljiv poziv od prevaranata ili "hladnih prodavača".
U takvoj situaciji možete kriviti samo sebe, jer nepoznavanje zakona vas ne oslobađa odgovornosti.
Sve što je korisnik sam objavio o sebi radi javnog uvida, odnosno na internet, postaje javno dostupno, odnosno otvoreni podatak i može se pohranjivati, distribuirati i koristiti bez pristanka korisnika.
Potvrda iz zakonodavstva
Dio 1. članka 152.2. Građanski zakonik Ruske Federacije.
Osim ako zakonom izričito nije drugačije određeno, prikupljanje, pohranjivanje, širenje i korištenje bilo kakvih podataka o njegovom privatnom životu, posebice podataka o njegovu podrijetlu, mjestu boravka ili boravišta, osobnom i obiteljskom životu, nije dopušteno bez pristanka građanin.
Prikupljanje, pohranjivanje, distribucija i korištenje podataka o privatnom životu građanina u državnom, javnom ili drugom javnom interesu, kao iu slučajevima kada su podaci o privatnom životu građanina prethodno postali javno dostupni ili ih je sam priopćio, nije povreda pravila utvrđenih stavkom prvim ovoga stavka.građanin ili po njegovoj volji.
Još jedna potvrda
Stavak 4. članka 7. Saveznog zakona Ruske Federacije br. 149-FZ „O informacijama, informacijskim tehnologijama i zaštiti informacija.”
Informacije koje su njihovi vlasnici objavili na internetu u formatu koji omogućuje automatiziranu obradu bez prethodne ljudske izmjene u svrhu ponovne uporabe javno su dostupne informacije objavljene u obliku otvorenih podataka.
#Zaključak
Administracija Avita s pravom tvrdi da se baza podataka na hakerskim forumima u potpunosti sastoji od javnih informacija koje su dostupne na njihovoj web stranici i mogu se prikupiti parsingom (automatskim prikupljanjem informacija pomoću posebnih programa), odnosno nema govora o curenju podataka. Koriste li se podaci u legalne svrhe drugo je pitanje koje nikako ne treba postavljati Avitu.
Ako ne želite da itko sastavlja, procjenjuje ili koristi vaš profil potrošača, ostavite manje informacija o sebi na javnim resursima.
Ispod je smiješan (ali ne i točan) komentar s foruma.
#Pogledajmo situaciju očima biznisa
Uzmimo isti Avito kao primjer i razmotrimo pitanja:
- je stranica operater osobnih podataka,
- treba li dobiti privolu za obradu podataka i prijaviti se Roskomnadzoru za upis u registar operatera,
- Hoće li Avito doista proći nekažnjeno?
U situaciji s curenjem podataka Avito zapravo nema ništa s tim. Možete zamisliti da je Avito ograda na kojoj je korisnik napisao “PRODAJEM GARAŽU” i naznačio svoje ime, broj telefona ili druge komunikacijske podatke, a zatim počeo negodovati zašto svi koji su prošli kraj ograde znaju, kopiraju ili koriste podatke .
Potvrda iz zakonodavstva
Članak 10. Zakona br. 152-FZ.
Tvrtka ili pojedinac osoba koja je od klijenta dobila pisanu suglasnost za obradu podataka postaje operater javno dostupnih osobnih podataka, ali zakonodavstvo nameće minimalne zahtjeve za zaštitu javno dostupnih osobnih podataka, ili jednostavnije, otvorenih podataka, u odnosu na druge kategorije.
Još jedna potvrda
Klauzula 4, dio 2, članak 22 "O osobnim podacima".
Operater ima pravo obrađivati osobne podatke koje je subjekt osobnih podataka učinio javno dostupnima bez obavještavanja ovlaštenog tijela za zaštitu prava ispitanika.
#Zaključak
Avito je operater osobnih podataka. Što se tiče obavijesti Roskomnadzora, postoje iznimke u zakonu, ali one se ne odnose na Avito, jer ova stranica prikuplja i obrađuje ne samo javno dostupne podatke. Ali ako stranica radi samo s otvorenim podacima, ne bi bilo potrebe za prijavom i registracijom u Roskomnadzoru. Avito je nevin i zato neće biti kazne.
Podaci mogu curiti ili se legalno dobiti ne samo s platformi za trgovanje, već i s bilo kojeg web mjesta ili od mobilnih operatera, iz društvenih mreža, banaka, registara, mogu se izvući iz niza mobilnih transakcija na bankovnoj kartici ili pomoću skrivenih funkcija aplikacije za pametne telefone, postoji milijun opcija.
Inače, svi znaju da Habr nije forum, ali postoji mogućnost komentiranja, a svrha članka nije iznenađenje, već razumijevanje problematike.
Pitanje
U stvarnosti 2020. treba biti oprezan s objavljivanjem osobnih podataka na internetu i ponašati se kao u smiješnom komentaru iznad, ili uvesti nove zakone, ili je možda tek stigla nova era i vrijedi se pomiriti s općom dostupnošću otvorenih podataka?
Izvor: www.habr.com