Pirms divām nedēļām forumos tika atklātas 600 tūkstošu Avito un Yula pakalpojumu klientu datu bāzes, starp kurām bija reālas adreses un tālruņu numuri. Datubāzes joprojām ir brīvi pieejamas, un tās var lejupielādēt ikviens. Iedomājieties, cik daudz cilvēku jau ir lejupielādējuši datubāzi ar nolūku sūtīt surogātpastu vai, vēl ļaunāk, izvilināt lietotāja maksājumu karšu datus. Foruma administrācija nedzēš datu bāzes, kopš Viņi šajā situācijā nesaskata nekādu problēmu, vēl jo mazāk pārkāpumu un saka, ka tā nav personas datu zādzība, bet gan atklātu datu vākšana.
Ziņas par datu noplūdēm vairs nevienu nepārsteigs.
2020. gada jūlijs un augusts bija piepildīti ar ziņām par TikTok bloķēšanu nesankcionētas datu vākšanas dēļ. Un mans uzdevums nav pārsteigt, bet gan izprast šo problēmu un turēt solījumu, ko devu vienam no Habra lasītājiem. Starp citu, mani sauc Vjačeslavs Ustimenko, rakstu rakstīju kopā ar starptautiskā advokātu biroja Icon Partners IT juristi Bellu Farzaļjevu.
Kāpēc tas ir svarīgi
Personas datu aizsardzības un apstrādes jautājums ar katru gadu tikai uzņem apgriezienus. Personas datu aizsardzība ir saistīta ar personas izvēles brīvību, sabiedrības kultūru un demokrātiju. Neatkarīgu cilvēku ir grūti vadīt, grūti maldināt un nav iespējams kopēt. Šo ideju pauž ES (GDPR) un ASV (CCPA) labi zināmie datu aizsardzības noteikumi. Personīgi veica aptauju, pat juristi (90% no maniem abonentiem) joprojām ir vāji orientēti datu aizsardzības jautājumos.
Jautājums izklausījās šādi: "Kuri no tālāk norādītajiem ir personas dati."
Es pievienoju aptaujas rezultātu ekrānuzņēmumu.
Apmēram 20% balsotāju izvēlējās pareizo atbildi.
PS Tas, ka esmu no Ukrainas, un rakstam par Krievijas Federācijas likumiem nevajadzētu jūs, dārgie lasītāji, mulsināt, jo IT jurista zināšanas nevar aprobežoties ar vienu valsti.
Kas ir personas dati Krievijas Federācijā
Personas datu definīcija saskaņā ar federālo likumu īpaši neatšķiras no Eiropas vai Ukrainas definīcijas, par kurām .
Personas dati - jebkura informācija, kas tieši vai netieši attiecas uz identificētu vai identificējamu fizisku personu, mēs runājam par jebkuriem datiem, pēc kuriem personu var identificēt.
Krievijā personas datu izmantošanu un aizsardzību regulē daudzi dokumenti, jo īpaši 152-FZ “Par personas datiem”, 149-FZ “Par informāciju, informācijas tehnoloģijām un informācijas aizsardzību”, Administratīvo pārkāpumu kodekss, Krimināllikums. Krievijas Federācijas kodekss, Krievijas Federācijas Darba kodekss un Krievijas Federācijas Civilkodekss.
Atveriet personas datus. Kas tas par dzīvnieku?
#Paskatīsimies uz situāciju ar lietotāja acīm
Iespējams, lasītāji vēl nav aizdomājušies par to, kā personas dati var būt atvērti, jo personīgie izklausās kā personiski, bet atvērti - kā publiski.
Tajā pašā laikā mani nepamet pārliecības sajūta, ka pēc kārtējās sarunas ar telefona pārdevēju katrs no mums domā “no kurienes viņš dabūjis manu numuru” vai “kas tas par dīvainu zvanu no svešinieka, kurš zina vairāk par mani nekā nepieciešams.”
Tātad lietotāji, kuri kaut ko izliek pārdošanai caur Avito, nebrīnās, ka nokļuvuši hakeru datu bāzēs, saņēmuši surogātpasta e-pastus vai nesaprotamu zvanu no krāpniekiem vai “aukstajiem pārdevējiem”.
Vainot šādā situācijā var tikai sevi, jo likumu nezināšana neatbrīvo no atbildības.
Viss, ko lietotājs pats par sevi ir ievietojis publiskai izskatīšanai, citiem vārdiem sakot, internetā, kļūst publiski pieejams, tas ir, atver datus un var tikt uzglabāts, izplatīts un izmantots bez lietotāja piekrišanas.
Apstiprinājums no likumdošanas
1. panta 152.2. daļa.XNUMX. Krievijas Federācijas Civilkodekss.
Ja likumā nav skaidri noteikts citādi, jebkādas informācijas par viņa privāto dzīvi vākšana, glabāšana, izplatīšana un izmantošana, jo īpaši informācija par viņa izcelsmi, uzturēšanās vai dzīvesvietu, personīgo un ģimenes dzīvi, nav atļauta bez pilsoņa piekrišanas. .
Informācijas par pilsoņa privāto dzīvi vākšanu, glabāšanu, izplatīšanu un izmantošanu valsts, sabiedriskās vai citās sabiedriskajās interesēs, kā arī gadījumos, kad informācija par pilsoņa privāto dzīvi iepriekš kļuvusi publiski pieejama vai to atklājis viņš pats, nav šā punkta pirmajā daļā noteikto noteikumu pārkāpums.pilsonis vai pēc viņa gribas.
Vēl viens apstiprinājums
Krievijas Federācijas Federālā likuma Nr. 4-FZ "Par informāciju, informācijas tehnoloģijām un informācijas aizsardzību" 7. panta 149. punkts.
Informācija, ko tās īpašnieki ievietojuši internetā formātā, kas ļauj veikt automatizētu apstrādi bez iepriekšējas cilvēka veiktām izmaiņām atkārtotas izmantošanas nolūkos, ir publiski pieejama informācija, kas ievietota atvērto datu veidā.
#Secinājums
Avito administrācija pamatoti apgalvo, ka hakeru forumu datubāze pilnībā sastāv no publiskas informācijas, kas ir pieejama viņu mājaslapā un ko var savākt parsējot (automātiska informācijas ievākšana, izmantojot īpašas programmas), proti, par datu noplūdi nav runas. Tas, vai dati tiek izmantoti likumīgiem mērķiem, ir vēl viens jautājums, ko noteikti nevajadzētu uzdot Avito.
Ja nevēlaties, lai kāds apkopo, vērtē vai izmanto jūsu patērētāja profilu, atstājiet mazāk informācijas par sevi publiskajos resursos.
Zemāk ir smieklīgs (bet ne precīzs) komentārs no foruma.
#Paskatīsimies uz situāciju ar biznesa acīm
Ņemsim to pašu Avito kā piemēru un apsvērsim jautājumus:
- vai vietne ir personas datu operators,
- vai viņam ir jāsaņem piekrišana datu apstrādei un jāpaziņo Roskomnadzor, lai viņš tiktu iekļauts operatoru reģistrā,
- Vai tiešām Avito paliks nesodīts?
Situācijā ar datu noplūdi Avito īsti ar to nav nekāda sakara. Varat iedomāties, ka Avito ir žogs, uz kura lietotājs uzrakstīja “PĀRDOD GARĀŽU” un norādīja savu vārdu, tālruņa numuru vai citus saziņas datus, un tad sāka sašutt, kāpēc visi, kas gāja garām žogam, zina, kopēja vai izmantoja datus. .
Apstiprinājums no likumdošanas
10-FZ 152. pants.
Uzņēmums vai privātpersona persona, kas saņēmusi klienta rakstisku piekrišanu datu apstrādei, kļūst par publiski pieejamo personas datu operatoru, taču normatīvie akti nosaka minimālās prasības publiski pieejamo personas datu jeb, vienkāršāk sakot, atvērto datu aizsardzībai, salīdzinot ar citām kategorijām.
Vēl viens apstiprinājums
4.punkta 2.daļas 22.panta “Par personas datiem”.
Operatoram ir tiesības apstrādāt personas datus, ko personas datu subjekts ir darījis publiski pieejamus, nebrīdinot par to pilnvarotajai personas datu subjektu tiesību aizsardzības iestādei.
#Secinājums
Avito ir personas datu operators. Kas attiecas uz Roskomnadzor paziņojumu, likumā ir izņēmumi, taču tie neattiecas uz Avito, jo šī vietne apkopo un apstrādā ne tikai publiski pieejamus datus. Bet, ja vietne darbojas tikai ar atvērtiem datiem, nebūtu jāziņo un jāreģistrējas Roskomnadzor. Avito ir nevainīgs, un tāpēc soda nebūs.
Datus var nopludināt vai legāli iegūt ne tikai no tirdzniecības platformām, bet arī no jebkuras mājas lapas vai no mobilo sakaru operatoriem, no sociālajiem tīkliem, bankām, reģistriem, tos var iegūt no mobilo darījumu secības bankas kartē vai izmantojot slēptās viedtālruņu lietojumprogrammas, ir miljons iespēju.
Starp citu, visi zina, ka Habrs nav forums, taču ir iespēja komentēt, un raksta mērķis nav pārsteigt, bet gan saprast jautājumu.
jautājums
2020. gada realitātē ir jābūt uzmanīgiem ar personas datu ievietošanu internetā un jārīkojas kā iepriekš smieklīgajā komentārā, vai jāievieš jauni tiesību akti, vai varbūt tikko ir pienācis jauns laikmets un ir vērts samierināties ar vispārējo pieejamību atvērtajiem datiem?
Avots: www.habr.com