Due settimane fa sui forum sono stati scoperti database di 600mila clienti dei servizi Avito e Yula, tra cui indirizzi e numeri di telefono reali. I database sono ancora disponibili gratuitamente e chiunque può scaricarli. Immagina quante persone hanno già scaricato il database con l'intento di inviare spam o, peggio ancora, di attirare i dati delle carte di pagamento degli utenti. Da allora l'amministrazione del forum non cancella i database Non vedono alcun problema in questa situazione, tanto meno una violazione, e affermano che non si tratta di furto di dati personali, ma di raccolta di dati aperti.
Le notizie sulle fughe di dati non sorprenderanno più nessuno.
Luglio e agosto 2020 sono stati pieni di notizie sul blocco di TikTok per raccolta di dati non autorizzata. E il mio compito non è sorprendere, ma comprendere la questione e mantenere la promessa che ho fatto a uno dei lettori di Habr. A proposito, mi chiamo Vyacheslav Ustimenko, ho scritto l'articolo insieme a Bella Farzalieva, un avvocato informatico dello studio legale internazionale Icon Partners.
Perché è importante?
La questione della protezione e del trattamento dei dati personali sta guadagnando slancio ogni anno. La protezione dei dati personali riguarda la libertà di scelta della persona, la cultura della società e la democrazia. Una persona indipendente è difficile da gestire, difficile da ingannare e impossibile da copiare. Questa idea è trasmessa dalle note norme sulla protezione dei dati nell’UE (GDPR) e negli Stati Uniti (CCPA). In personale condotto un sondaggio, anche gli avvocati (il 90% dei miei abbonati) sono ancora poco esperti in questioni di protezione dei dati.
La domanda era: "Quali dei seguenti sono dati personali."
Allego uno screenshot dei risultati del sondaggio.
Circa il 20% degli elettori ha scelto la risposta corretta.
PS Il fatto che io provenga dall'Ucraina e l'articolo sulle leggi della Federazione Russa non dovrebbero confondervi, cari lettori, poiché l'esperienza di un avvocato informatico non può essere limitata a un paese.
Cosa sono i dati personali nella Federazione Russa
La definizione di dati personali ai sensi della legge federale non è molto diversa da quella europea o ucraina, a proposito della quale .
Dati personali - qualsiasi informazione relativa direttamente o indirettamente a una persona fisica identificata o identificabile, si tratta di tutti i dati mediante i quali una persona può essere identificata.
In Russia, l'uso e la protezione dei dati personali sono regolati da numerosi documenti, in particolare 152-FZ “Sui dati personali”, 149-FZ “Sulle informazioni, tecnologie informatiche e protezione delle informazioni”, il Codice dei reati amministrativi, il Codice penale Codice della Federazione Russa, Codice del lavoro della Federazione Russa e Codice civile della Federazione Russa.
Apri i dati personali. Che razza di animale è questo?
#Guardiamo la situazione attraverso gli occhi dell'utente
Forse i lettori non hanno ancora pensato a come i dati personali possano essere aperti, perché personale suona come personale e aperto suona come pubblico.
Allo stesso tempo, la sensazione di fiducia non mi lascia che dopo un'altra conversazione con un venditore telefonico, ognuno di noi pensa "da dove ha preso il mio numero" o "cos'è questa strana chiamata di uno sconosciuto che sa di più su di me" del necessario."
Pertanto, gli utenti che mettono in vendita qualcosa tramite Avito, non sorprendetevi di essere finiti nei database degli hacker, di aver ricevuto e-mail di spam o una chiamata incomprensibile da truffatori o "venditori freddi".
Puoi solo incolpare te stesso in una situazione del genere, perché l'ignoranza delle leggi non ti esenta dalla responsabilità.
Tutto ciò che l'utente stesso ha pubblicato su se stesso per un esame pubblico, in altre parole, su Internet, diventa pubblicamente disponibile, cioè dati aperti e può essere archiviato, distribuito e utilizzato senza il consenso dell'utente.
La conferma dalla normativa
Parte 1 dell'articolo 152.2. Codice civile della Federazione Russa.
Salvo quanto espressamente previsto dalla legge, la raccolta, la conservazione, la diffusione e l'utilizzo di qualsiasi informazione sulla sua vita privata, in particolare informazioni sulla sua origine, luogo di soggiorno o residenza, vita personale e familiare, non è consentita senza il consenso di un cittadino.
La raccolta, l'archiviazione, la distribuzione e l'uso delle informazioni sulla vita privata di un cittadino nell'interesse statale, pubblico o di altro tipo, nonché nei casi in cui le informazioni sulla vita privata di un cittadino sono diventate precedentemente disponibili al pubblico o sono state divulgate da lui stesso, Non costituisce violazione delle norme stabilite dal primo comma del presente comma il cittadino o la sua volontà.
Un'altra conferma
Clausola 4 dell'articolo 7 della legge federale della Federazione Russa n. 149-FZ "Sulle informazioni, sulle tecnologie dell'informazione e sulla protezione delle informazioni".
Le informazioni pubblicate dai proprietari su Internet in un formato che consente l'elaborazione automatizzata senza previa modifica umana ai fini del riutilizzo sono informazioni disponibili al pubblico pubblicate sotto forma di dati aperti.
#Conclusione
L'amministrazione Avito afferma giustamente che il database sui forum degli hacker è costituito interamente da informazioni pubbliche disponibili sul loro sito Web e che possono essere raccolte mediante analisi (raccolta automatica di informazioni utilizzando programmi speciali), ovvero non si parla di perdita di dati. Se i dati vengano utilizzati per scopi legali è un'altra domanda che non dovrebbe assolutamente essere posta ad Avito.
Se non vuoi che nessuno compili, valuti o utilizzi il tuo profilo consumatore, lascia meno informazioni su di te nelle risorse pubbliche.
Di seguito è riportato un commento divertente (ma non accurato) dal forum.
#Guardiamo la situazione con gli occhi del business
Prendiamo come esempio lo stesso Avito e consideriamo le domande:
- il sito è un gestore di dati personali,
- ha bisogno di ottenere il consenso per il trattamento dei dati e dichiararsi a Roskomnadzor per essere inserito nel registro degli operatori,
- Avito resterà davvero impunito?
In una situazione di fuga di dati, Avito non ha davvero nulla a che fare con essa. Si può immaginare che Avito sia un recinto sul quale l'utente ha scritto "VENDO GARAGE" e ha indicato il suo nome, numero di telefono o altri dati di comunicazione, e poi ha iniziato a indignarsi per il motivo per cui tutti quelli che passavano accanto al recinto conoscevano, copiavano o utilizzavano i dati .
La conferma dalla normativa
Articolo 10 della legge n. 152-FZ.
Azienda o individuo una persona che ha ricevuto il consenso scritto del cliente al trattamento dei dati diventa un operatore di dati personali disponibili al pubblico, ma la legislazione impone requisiti minimi per la protezione dei dati personali disponibili al pubblico, o, più semplicemente, dei dati aperti, rispetto ad altre categorie.
Un'altra conferma
Clausola 4, parte 2, articolo 22 “Sui dati personali”.
L'operatore ha il diritto di trattare i dati personali resi pubblici dall'interessato senza avvisare l'organismo autorizzato per la tutela dei diritti degli interessati.
#Conclusione
Avito è il gestore dei dati personali. Per quanto riguarda la notifica Roskomnadzor, ci sono eccezioni nella legge, ma non si applicano ad Avito, poiché questo sito raccoglie ed elabora non solo dati disponibili al pubblico. Ma se il sito funzionasse solo con dati aperti, non sarebbe necessario avvisare e registrarsi presso Roskomnadzor. Avito è innocente e quindi non ci sarà alcuna punizione.
I dati possono essere divulgati o ottenuti legalmente non solo dalle piattaforme di trading, ma anche da qualsiasi sito web o da operatori di telefonia mobile, da social network, banche, registri, possono essere estratti dalla sequenza di transazioni mobili su una carta bancaria o utilizzando funzioni nascoste di applicazioni per smartphone, ci sono un milione di opzioni.
A proposito, tutti sanno che Habr non è un forum, ma c'è la possibilità di commentare, e lo scopo dell'articolo non è sorprendere, ma comprendere la questione.
domanda
Nelle realtà del 2020, bisogna stare attenti a pubblicare dati personali su Internet e agire come nel divertente commento sopra, o introdurre una nuova legislazione, o forse è appena arrivata una nuova era e vale la pena fare i conti con la disponibilità generale dei dati aperti?
Fonte: habr.com