Fyrir tveimur vikum fundust gagnagrunnar um 600 þúsund viðskiptavina Avito og Yula þjónustunnar á spjallborðunum, þar á meðal raunveruleg heimilisföng og símanúmer. Gagnagrunnarnir eru enn lausir og allir geta hlaðið þeim niður. Ímyndaðu þér hversu margir hafa þegar hlaðið niður gagnagrunninum með það fyrir augum að senda ruslpóst eða, jafnvel verra, tæla út greiðslukortagögn notenda. Umsjón vettvangsins eyðir ekki gagnagrunnum, síðan Þeir sjá ekkert vandamál í þessu ástandi, því síður brot, og segja að þetta sé ekki þjófnaður á persónuupplýsingum, heldur söfnun opinna gagna.
Fréttir um gagnaleka munu ekki koma neinum á óvart lengur.
Júlí og ágúst 2020 voru full af fréttum um að TikTok væri lokað vegna óleyfilegrar gagnasöfnunar. Og verkefni mitt er ekki að koma á óvart, heldur að skilja málið og standa við loforðið sem ég gaf einum af lesendum Habr. Við the vegur, ég heiti Vyacheslav Ustimenko, ég skrifaði greinina ásamt Bella Farzalieva, upplýsingatæknilögfræðingi frá alþjóðlegu lögfræðistofunni Icon Partners.
Hvers vegna er það mikilvægt
Málið um vernd og vinnslu persónuupplýsinga færist aðeins í vöxt á hverju ári. Vernd persónuupplýsinga snýst um valfrelsi einstaklings, menningu samfélagsins og lýðræði. Sjálfstæður einstaklingur er erfitt að stjórna, erfitt að blekkja og ómögulegt að afrita. Þessari hugmynd er komið á framfæri í vel þekktum gagnaverndarreglugerðum í ESB (GDPR) og Bandaríkjunum (CCPA). Persónulega gerði könnun, jafnvel lögfræðingar (90% áskrifenda minna) eru enn illa kunnir í gagnaverndarmálum.
Spurningin hljómaði svona: „Hver af eftirfarandi eru persónuupplýsingar.
Ég læt fylgja með skjáskot af niðurstöðum könnunarinnar.
Um 20% kjósenda völdu rétt svar.
PS Sú staðreynd að ég er frá Úkraínu og greinin um lög Rússlands ætti ekki að rugla ykkur, kæru lesendur, þar sem sérfræðiþekking upplýsingatæknilögfræðings getur ekki takmarkast við eitt land.
Hvað eru persónuupplýsingar í Rússlandi
Skilgreining á persónuupplýsingum í samræmi við alríkislög er ekki mjög frábrugðin þeirri evrópsku eða úkraínsku, um hvaða .
Persónuupplýsingar - allar upplýsingar sem tengjast beint eða óbeint auðkenndan eða auðkennanlegan einstakling, við erum að tala um hvaða gögn sem hægt er að bera kennsl á einstakling með.
Í Rússlandi er notkun og vernd persónuupplýsinga stjórnað af mörgum skjölum, einkum 152-FZ „Um persónuupplýsingar“, 149-FZ „Um upplýsingar, upplýsingatækni og upplýsingavernd“, lögum um stjórnsýslubrot, glæpastarfsemi. Reglur Rússlands, vinnulögreglur Rússlands og borgaralegar reglur Rússlands.
Opna persónuleg gögn. Hvers konar dýr er þetta?
#Lítum á ástandið með augum notandans
Kannski hafa lesendur ekki enn hugsað um hvernig persónuleg gögn geta verið opin, því persónuleg hljómar eins og persónuleg og opin hljómar eins og opinber.
Á sama tíma skilur sjálfstraustið ekki eftir mér að eftir annað samtal við símasölumann hugsa hver og einn „hvaðan fékk hann númerið mitt“ eða „hvað er þetta skrítna símtal frá ókunnugum manni sem veit meira um mig en nauðsynlegt er."
Svo, notendur sem setja eitthvað á sölu í gegnum Avito, verða ekki hissa á því að þeir hafi endað í tölvuþrjótagagnagrunnum, fengið ruslpóst eða óskiljanlegt símtal frá svindlarum eða „kaldum seljendum“.
Þú getur bara sjálfum þér um kennt í slíkum aðstæðum því vanþekking á lögum leysir þig ekki undan ábyrgð.
Allt sem notandinn hefur sjálfur birt um sjálfan sig til opinberrar athugunar, með öðrum orðum á netinu, verður aðgengilegt almenningi, það er að segja opin gögn og hægt að geyma, dreifa og nota án samþykkis notanda.
Staðfesting frá lögum
1. hluti greinar 152.2. Civil Code Rússlands.
Söfnun, varðveisla, dreifing og notkun hvers kyns upplýsinga um einkalíf hans, einkum upplýsingar um uppruna hans, um dvalar- eða búsetustað, um persónulegt líf og fjölskyldulíf, er óheimil nema með samþykki nema annað sé sérstaklega tekið fram í lögum. af borgara.
Söfnun, varðveisla, dreifing og notkun upplýsinga um einkalíf borgara í ríkis-, almannahagsmunum eða öðrum almannahagsmunum, svo og í þeim tilvikum þar sem upplýsingar um einkalíf borgara urðu áður aðgengilegar eða voru birtar af honum sjálfum, er ekki brot á reglum sem settar eru í XNUMX. mgr.
Önnur staðfesting
Ákvæði 4 í 7. grein alríkislaga Rússlands nr. 149-FZ „Um upplýsingar, upplýsingatækni og upplýsingavernd“.
Upplýsingar sem eigendur þeirra setja á internetið á því formi sem gerir sjálfvirka vinnslu kleift án fyrri mannlegra breytinga í þeim tilgangi að endurnýta eru opinberar upplýsingar sem birtar eru í formi opinna gagna.
#Niðurstaða
Stjórnsýslan Avito heldur því réttilega fram að gagnagrunnurinn á tölvuþrjótaspjallborðum samanstandi eingöngu af opinberum upplýsingum sem eru aðgengilegar á vefsíðu þeirra og hægt er að safna þeim með parsing (sjálfvirk söfnun upplýsinga með sérstökum forritum), það er að segja að ekki sé talað um neinn gagnaleka. Hvort gögnin eru notuð í lagalegum tilgangi er önnur spurning sem ætti örugglega ekki að spyrja Avito.
Ef þú vilt ekki að neinn setji saman, meti eða noti neytendaprófílinn þinn skaltu skilja eftir minni upplýsingar um sjálfan þig á opinberum auðlindum.
Hér að neðan er fyndin (en ekki nákvæm) athugasemd frá spjallborðinu.
#Lítum á stöðuna með augum viðskiptalífsins
Við skulum taka sama Avito sem dæmi og íhuga spurningarnar:
- er vefsíðan rekstraraðili persónuupplýsinga,
- þarf hann að fá samþykki fyrir gagnavinnslu og lýsa því yfir að Roskomnadzor sé skráður á rekstraraðilaskrá,
- Verður Avito virkilega refsilaus?
Í aðstæðum með gagnaleka hefur Avito í raun ekkert með það að gera. Þú getur ímyndað þér að Avito sé girðing sem notandinn skrifaði „SELLING BÍLSKÚR“ á og gaf til kynna nafn sitt, símanúmer eða önnur samskiptagögn og fór síðan að vera reiður yfir því hvers vegna allir sem fóru fram hjá girðingunni vissu, afrituðu eða notuðu gögnin. .
Staðfesting frá lögum
10. grein laga nr. 152-FZ.
Fyrirtæki eða einstaklingur aðili sem fengið hefur skriflegt samþykki viðskiptavinarins til að vinna gögn gerist rekstraraðili aðgengilegra persónuupplýsinga en lögin gera lágmarkskröfur um vernd opinberra persónuupplýsinga, eða einfaldlega opnum gögnum, samanborið við aðra flokka.
Önnur staðfesting
Ákvæði 4, hluti 2, grein 22 „Um persónuupplýsingar“.
Rekstraraðili hefur rétt til að vinna með persónuupplýsingar sem einstaklingur persónuupplýsinga gerir opinberlega aðgengilegar án þess að tilkynna viðurkenndum aðila um vernd réttinda einstaklinga.
#Niðurstaða
Avito er rekstraraðili persónuupplýsinga. Hvað Roskomnadzor tilkynninguna varðar, þá eru undantekningar í lögum, en þær eiga ekki við um Avito, þar sem þessi síða safnar og vinnur ekki aðeins opinberlega aðgengileg gögn. En ef síðan virkar aðeins með opnum gögnum væri engin þörf á að tilkynna og skrá sig hjá Roskomnadzor. Avito er saklaus og því verður engin refsing.
Hægt er að leka gögnum eða fá löglega ekki aðeins frá viðskiptakerfum, heldur einnig frá hvaða vefsíðu sem er eða frá farsímafyrirtækjum, frá samfélagsnetum, bönkum, skrám, hægt er að draga þau úr röð farsímaviðskipta á bankakorti eða með því að nota faldar aðgerðir snjallsímaforrit, það eru milljón valkostir.
Við the vegur, allir vita að Habr er ekki vettvangur, en það er möguleiki á að gera athugasemdir, og tilgangur greinarinnar er ekki að koma á óvart, heldur að skilja málið.
Spurning
Í raunveruleika ársins 2020 þarftu að fara varlega í að setja persónuupplýsingar á Netið og haga þér eins og í fyndnu athugasemdinni hér að ofan, eða setja nýja löggjöf, eða kannski er ný tímabil runnið upp og það er þess virði að sætta sig við almennt framboð af opnum gögnum?
Heimild: www.habr.com