Két héttel ezelőtt az Avito és a Yula szolgáltatások 600 ezer ügyfelének adatbázisát fedezték fel a fórumokon, amelyek között valódi címek és telefonszámok is voltak. Az adatbázisok továbbra is ingyenesen elérhetők, és bárki letöltheti őket. Képzeljük csak el, hányan töltötték már le az adatbázist azzal a szándékkal, hogy spameket küldjenek, vagy ami még rosszabb, a felhasználói kártyaadatokat kicsalogassák. A fórum adminisztrációja nem törli az adatbázisokat, mivel Ebben a helyzetben nem látnak problémát, még kevésbé jogsértést, és azt mondják, hogy ez nem személyes adatok ellopása, hanem nyílt adatok gyűjtése.
Az adatszivárgásról szóló hírek már senkit sem lepnek meg.
2020 júliusa és augusztusa tele volt azzal a hírrel, hogy a TikTok le van tiltva jogosulatlan adatgyűjtés miatt. És nem az a feladatom, hogy meglepjek, hanem hogy megértsem a kérdést, és betartsam azt az ígéretet, amit Habr egyik olvasójának tettem. Egyébként Vjacseszlav Ustimenko vagyok, a cikket Bella Farzalievával, az Icon Partners nemzetközi ügyvédi iroda informatikai jogászával együtt írtam.
Miért fontos
A személyes adatok védelmének és kezelésének kérdése évről évre egyre nagyobb lendületet kap. A személyes adatok védelme a személy választási szabadságáról, a társadalom kultúrájáról és a demokráciáról szól. Egy független embert nehéz irányítani, nehéz megtéveszteni és lehetetlen lemásolni. Ezt az elképzelést közvetítik az EU-ban (GDPR) és az USA-ban (CCPA) jól ismert adatvédelmi szabályozások. Személyesen felmérést végzett, még a jogászok (előfizetőim 90%-a) még mindig rosszul jártasak az adatvédelmi kérdésekben.
A kérdés így hangzott: "Az alábbiak közül melyik személyes adat."
Csatolok egy képernyőképet a felmérés eredményeiről.
A választók körülbelül 20%-a választotta a helyes választ.
PS Az a tény, hogy Ukrajnából származom, és az Orosz Föderáció törvényeiről szóló cikk nem zavarhatja meg Önöket, kedves olvasók, hiszen egy informatikai jogász szakértelme nem korlátozódhat egy országra.
Mik a személyes adatok az Orosz Föderációban
A személyes adatok szövetségi törvény szerinti meghatározása nem sokban különbözik az európai vagy az ukrán definíciótól, amelyről .
Személyes adat - minden olyan információ, amely közvetlenül vagy közvetve egy azonosított vagy azonosítható természetes személyre vonatkozik, olyan adatról beszélünk, amely alapján egy személy azonosítható.
Oroszországban a személyes adatok felhasználását és védelmét számos dokumentum szabályozza, különösen a 152-FZ „A személyes adatokról”, a 149-FZ „Az információról, az információs technológiákról és az információvédelemről”, a közigazgatási bűncselekmények kódexe, a büntetőjogi törvény. Az Orosz Föderáció törvénykönyve, az Orosz Föderáció Munka Törvénykönyve és az Orosz Föderáció Polgári Törvénykönyve.
Nyissa meg a személyes adatokat. Milyen állat ez?
#Nézzük a helyzetet a felhasználó szemével
Talán az olvasók még nem gondoltak arra, hogy a személyes adatok hogyan lehetnek nyíltak, mert a személyes hangok személyesnek, a nyitottak pedig nyilvánosak.
Ugyanakkor az a magabiztosság érzése sem hagy el, hogy egy újabb telefonos eladóval folytatott beszélgetés után mindannyian arra gondolunk, hogy „honnan vette a számomat”, vagy „mi ez a furcsa hívás egy idegentől, aki többet tud rólam mint szükséges.”
Tehát azok a felhasználók, akik az Aviton keresztül árulnak valamit, ne lepődjenek meg azon, hogy hacker-adatbázisokba kerültek, spam e-maileket kaptak, vagy érthetetlen hívást kaptak csalóktól vagy „hideg eladóktól”.
Ilyen helyzetben csak magadat hibáztathatod, mert a törvények ismerete nem mentesít a felelősség alól.
Nyilvánosan elérhetővé válik mindaz, amit a felhasználó maga tett közzé nyilvános megfontolás céljából, vagyis az interneten, azaz nyílt adat, és a felhasználó beleegyezése nélkül tárolható, terjeszthető, felhasználható.
Megerősítés jogszabályból
A 1. cikk 152.2. része. Az Orosz Föderáció Polgári Törvénykönyve.
Hacsak törvény kifejezetten másként nem rendelkezik, a magánéletére vonatkozó információk gyűjtése, tárolása, terjesztése és felhasználása, különösen a származására, tartózkodási vagy lakóhelyére, személyes és családi életére vonatkozó információk gyűjtése, tárolása, terjesztése és felhasználása a beleegyezés nélkül tilos. egy állampolgáré.
Az állampolgár magánéletére vonatkozó információk állami, köz- vagy egyéb közérdekből gyűjtése, tárolása, terjesztése és felhasználása, valamint azokban az esetekben, amikor az állampolgár magánéletére vonatkozó információ korábban nyilvánosan hozzáférhetővé vált vagy saját maga hozta nyilvánosságra, nem sérti az e bekezdés első bekezdésében megállapított szabályokat.polgár vagy akarata szerint.
Újabb megerősítés
Az Orosz Föderáció 4-FZ „Az információról, az információs technológiákról és az információvédelemről” szóló szövetségi törvénye 7. cikkének 149. szakasza.
A tulajdonosai által az interneten olyan formátumban közzétett információk, amelyek lehetővé teszik az automatizált, előzetes emberi változtatások nélküli feldolgozást az újrafelhasználás céljából, nyilvánosan elérhető, nyílt adat formájában közzétett információ.
#Következtetés
Az Avito adminisztrációja joggal állítja, hogy a hackerfórumok adatbázisa teljes egészében olyan nyilvános információkból áll, amelyek a honlapjukon elérhetők, és elemzéssel (automatikus információgyűjtés speciális programokkal) gyűjthetők, vagyis szó sincs adatszivárgásról. Az, hogy az adatokat jogi célokra használják-e fel, egy másik kérdés, amelyet semmiképpen sem szabad feltenni az Avitónak.
Ha nem szeretné, hogy bárki összeállítsa, értékelje vagy felhasználja fogyasztói profilját, hagyjon kevesebb információt magáról a nyilvános forrásokon.
Alább egy vicces (de nem pontos) megjegyzés a fórumról.
#Nézzük meg a helyzetet az üzleti élet szemével
Vegyük példának ugyanazt az Avitót, és vizsgáljuk meg a kérdéseket:
- az oldal a személyes adatok üzemeltetője,
- szükséges-e hozzájárulást kérnie az adatkezeléshez, és ki kell-e nyilatkoznia a Roszkomnadzornak, hogy felvegye az üzemeltetők nyilvántartásába,
- Tényleg büntetlen marad Avito?
Adatszivárgás esetén az Avitónak tényleg semmi köze hozzá. Elképzelhető, hogy az Avito egy kerítés, amelyre a felhasználó ráírta, hogy „GARÁZS ELADÁSA” és feltüntette a nevét, telefonszámát vagy egyéb kommunikációs adatait, majd elkezdett felháborodni, hogy mindenki, aki elhaladt a kerítés mellett, miért tudja, másolja vagy használja az adatokat. .
Megerősítés jogszabályból
A 10-FZ törvény 152. cikke.
Cég vagy magánszemély a nyilvánosan elérhető személyes adatok kezelőjévé válik az a személy, aki az ügyfél írásbeli hozzájárulását kapta az adatkezeléshez, de a jogszabály más kategóriákhoz képest minimális követelményeket támaszt a nyilvánosan elérhető személyes adatok, vagy egyszerűbben a nyílt adatok védelmére.
Újabb megerősítés
4. szakasz, 2. rész, 22. cikk „A személyes adatokról”.
Az üzemeltető jogosult a személyes adatok alanya által nyilvánosan hozzáférhetővé tett személyes adatokat az érintett jogainak védelmére felhatalmazott szerv értesítése nélkül kezelni.
#Következtetés
Az Avito a személyes adatok kezelője. Ami a Roskomnadzor értesítést illeti, vannak kivételek a törvényben, de ezek nem vonatkoznak az Avitóra, mivel ez az oldal nem csak nyilvánosan elérhető adatokat gyűjt és dolgoz fel. De ha az oldal csak nyílt adatokkal működik, akkor nem kell értesíteni és regisztrálni a Roskomnadzornál. Avito ártatlan, ezért nem lesz büntetés.
Adatok kiszivárogtathatók vagy legálisan beszerezhetők nemcsak kereskedési platformokról, hanem bármely weboldalról vagy mobilszolgáltatóktól, közösségi oldalakról, bankokból, nyilvántartásokból, kinyerhetők bankkártyán lévő mobiltranzakciók sorozatából vagy rejtett funkcióival. okostelefon alkalmazások, millió lehetőség van.
Amúgy mindenki tudja, hogy a Habr nem fórum, de van lehetőség hozzászólni, és a cikk célja nem a meglepetés, hanem a kérdés megértése.
Kérdés
A 2020-as valóságban óvatosan kell eljárni a személyes adatok internetes közzétételével, és úgy kell eljárni, mint a fenti vicces kommentben, vagy új jogszabályt kell bevezetni, esetleg új korszak köszönt be, és érdemes megbékélni az általános elérhetőséggel nyílt adatokról?
Forrás: will.com