Dua minggu lalu, database 600 ribu klien layanan Avito dan Yula ditemukan di forum, di antaranya adalah alamat asli dan nomor telepon. Basis datanya masih tersedia secara bebas dan siapa pun dapat mengunduhnya. Bayangkan saja berapa banyak orang yang telah mengunduh database dengan tujuan untuk mengirim spam atau, lebih buruk lagi, untuk memancing data kartu pembayaran pengguna. Sejak itu, administrasi forum tidak menghapus database Mereka tidak melihat adanya masalah dalam situasi ini, apalagi pelanggaran, dan mengatakan bahwa ini bukanlah pencurian data pribadi, namun pengumpulan data terbuka.
Berita tentang kebocoran data tidak lagi mengejutkan siapa pun.
Juli dan Agustus 2020 dipenuhi dengan berita tentang TikTok yang diblokir karena pengumpulan data tanpa izin. Dan tugas saya bukan untuk mengejutkan, tapi memahami permasalahannya, dan menepati janji yang saya buat kepada salah satu pembaca Habr. Ngomong-ngomong, nama saya Vyacheslav Ustimenko, saya menulis artikel itu bersama Bella Farzalieva, seorang pengacara IT dari firma hukum internasional Icon Partners.
Mengapa itu penting?
Masalah perlindungan dan pemrosesan data pribadi semakin meningkat setiap tahunnya. Perlindungan data pribadi adalah tentang kebebasan memilih seseorang, budaya masyarakat dan demokrasi. Orang yang mandiri sulit diatur, sulit ditipu, dan tidak mungkin ditiru. Ide ini disampaikan oleh peraturan perlindungan data terkenal di UE (GDPR) dan Amerika Serikat (CCPA). Secara pribadi melakukan survei, bahkan pengacara (90% pelanggan saya) masih kurang berpengalaman dalam masalah perlindungan data.
Pertanyaannya seperti ini: “Manakah dari berikut ini yang merupakan data pribadi.”
Saya lampirkan screenshot hasil surveynya.
Sekitar 20% pemilih memilih jawaban yang benar.
PS Fakta bahwa saya berasal dari Ukraina, dan artikel tentang hukum Federasi Rusia seharusnya tidak membingungkan Anda, para pembaca yang budiman, karena keahlian seorang pengacara IT tidak dapat dibatasi pada satu negara.
Apa itu data pribadi di Federasi Rusia
Definisi data pribadi menurut Undang-undang Federal tidak jauh berbeda dengan definisi Eropa atau Ukraina .
Data pribadi - informasi apa pun yang berkaitan langsung atau tidak langsung dengan individu yang teridentifikasi atau dapat diidentifikasi, kita berbicara tentang data apa pun yang dapat digunakan untuk mengidentifikasi seseorang.
Di Rusia, penggunaan dan perlindungan data pribadi diatur oleh banyak dokumen, khususnya, 152-FZ “Tentang Data Pribadi”, 149-FZ “Tentang Informasi, Teknologi Informasi, dan Perlindungan Informasi”, Kode Pelanggaran Administratif, Pidana Kode Federasi Rusia, Kode Perburuhan Federasi Rusia dan Kode Sipil Federasi Rusia.
Buka data pribadi. Hewan jenis apa ini?
#Mari kita lihat situasi melalui mata pengguna
Mungkin pembaca belum memikirkan bagaimana data pribadi bisa dibuka, karena pribadi terdengar seperti pribadi, dan terbuka seperti publik.
Pada saat yang sama, rasa percaya diri tidak hilang dari saya bahwa setelah percakapan lain dengan penjual telepon, kita masing-masing berpikir “dari mana dia mendapatkan nomor saya” atau “telepon aneh apa dari orang asing yang tahu lebih banyak tentang saya? dari yang diperlukan.”
Jadi, pengguna yang menjual sesuatu melalui Avito, jangan heran jika mereka berakhir di database peretas, menerima email spam, atau panggilan tidak dapat dipahami dari penipu atau "penjual dingin".
Anda hanya dapat menyalahkan diri sendiri dalam situasi seperti ini, karena ketidaktahuan akan hukum tidak membebaskan Anda dari tanggung jawab.
Segala sesuatu yang diposting oleh pengguna tentang dirinya untuk kepentingan publik, dengan kata lain, di Internet, menjadi tersedia untuk umum, yaitu data terbuka dan dapat disimpan, didistribusikan, dan digunakan tanpa persetujuan pengguna.
Konfirmasi dari undang-undang
Bagian 1 Pasal 152.2. Kode Sipil Federasi Rusia.
Kecuali ditentukan lain oleh undang-undang, pengumpulan, penyimpanan, pendistribusian, dan penggunaan informasi apa pun tentang kehidupan pribadinya, khususnya informasi tentang asal usulnya, tempat tinggal atau tempat tinggalnya, kehidupan pribadi dan keluarganya, tidak diperbolehkan tanpa persetujuan warga negara. .
Pengumpulan, penyimpanan, pendistribusian dan penggunaan informasi tentang kehidupan pribadi warga negara untuk kepentingan negara, publik atau kepentingan publik lainnya, serta dalam hal informasi tentang kehidupan pribadi warga negara sebelumnya tersedia untuk umum atau diungkapkan oleh dirinya sendiri, bukan merupakan pelanggaran terhadap peraturan yang ditetapkan oleh alinea pertama ayat ini warga negara atau atas kehendaknya.
Konfirmasi lain
Klausul 4 Pasal 7 Undang-Undang Federal Federasi Rusia No. 149-FZ “Tentang informasi, teknologi informasi, dan perlindungan informasi.”
Informasi yang diposting oleh pemiliknya di Internet dalam format yang memungkinkan pemrosesan otomatis tanpa perubahan manusia sebelumnya untuk tujuan penggunaan kembali adalah informasi yang tersedia untuk umum yang diposting dalam bentuk data terbuka.
#Kesimpulan
Administrasi Avito berhak mengklaim bahwa database di forum peretas seluruhnya terdiri dari informasi publik yang tersedia di situs web mereka dan dapat dikumpulkan dengan parsing (pengumpulan informasi otomatis menggunakan program khusus), yaitu, tidak ada pembicaraan tentang kebocoran data. Apakah data tersebut digunakan untuk tujuan hukum adalah pertanyaan lain yang tidak boleh ditanyakan kepada Avito.
Jika Anda tidak ingin orang lain menyusun, mengevaluasi, atau menggunakan profil konsumen Anda, tinggalkan lebih sedikit informasi tentang diri Anda di sumber daya publik.
Di bawah ini adalah komentar lucu (tapi tidak akurat) dari forum.
#Mari kita melihat situasi melalui kacamata bisnis
Mari kita ambil Avito yang sama sebagai contoh dan pertimbangkan pertanyaannya:
- apakah situs tersebut merupakan operator data pribadi,
- apakah dia perlu mendapatkan persetujuan untuk pemrosesan data dan menyatakan dirinya kepada Roskomnadzor untuk dimasukkan dalam daftar operator,
- Apakah Avito akan luput dari hukuman?
Dalam situasi kebocoran data, Avito sebenarnya tidak ada hubungannya dengan itu. Anda dapat membayangkan bahwa Avito adalah pagar di mana pengguna menulis “JUAL GARASI” dan menunjukkan namanya, nomor telepon atau data komunikasi lainnya, dan kemudian mulai marah mengapa setiap orang yang melewati pagar tersebut mengetahui, menyalin atau menggunakan data tersebut. .
Konfirmasi dari undang-undang
Pasal 10 UU No.152-FZ.
Perusahaan atau individu seseorang yang telah menerima persetujuan tertulis dari klien untuk memproses data menjadi operator data pribadi yang tersedia untuk umum, namun undang-undang tersebut memberlakukan persyaratan minimal untuk perlindungan data pribadi yang tersedia untuk umum, atau, lebih sederhananya, data terbuka, dibandingkan dengan kategori lainnya.
Konfirmasi lain
Ayat 4, bagian 2, pasal 22 “Tentang data pribadi”.
Operator berhak memproses data pribadi yang dipublikasikan oleh subjek data pribadi tanpa memberi tahu badan yang berwenang untuk melindungi hak subjek data pribadi.
#Kesimpulan
Avito adalah operator data pribadi. Mengenai pemberitahuan Roskomnadzor, ada pengecualian dalam undang-undang, tetapi tidak berlaku untuk Avito, karena situs ini tidak hanya mengumpulkan dan memproses data yang tersedia untuk umum. Namun jika situs tersebut hanya berfungsi dengan data terbuka, tidak perlu memberi tahu dan mendaftar ke Roskomnadzor. Avito tidak bersalah, dan karena itu tidak akan ada hukuman.
Data dapat dibocorkan atau diperoleh secara sah tidak hanya dari platform perdagangan, tetapi juga dari situs web mana pun atau dari operator seluler, dari jejaring sosial, bank, registrasi, dapat diambil dari urutan transaksi seluler pada kartu bank atau menggunakan fungsi tersembunyi dari aplikasi smartphone, ada sejuta pilihan.
Omong-omong, semua orang tahu bahwa Habr bukanlah sebuah forum, tetapi ada kemungkinan untuk berkomentar, dan tujuan artikel ini bukan untuk mengejutkan, tetapi untuk memahami masalahnya.
Pertanyaan
Dalam kenyataan tahun 2020, Anda perlu berhati-hati dalam memposting data pribadi di Internet dan bertindak seperti komentar lucu di atas, atau memperkenalkan undang-undang baru, atau mungkin era baru baru saja tiba dan ada baiknya menerima ketersediaan umum. data terbuka?
Sumber: www.habr.com