Dua minggu lalu, pangkalan data 600 ribu pelanggan perkhidmatan Avito dan Yula ditemui di forum, antaranya ialah alamat sebenar dan nombor telefon. Pangkalan data masih tersedia secara percuma dan sesiapa sahaja boleh memuat turunnya. Bayangkan berapa ramai orang telah memuat turun pangkalan data dengan niat untuk menghantar spam atau, lebih teruk lagi, untuk menarik keluar data kad pembayaran pengguna. Pentadbiran forum tidak memadam pangkalan data, kerana Mereka tidak melihat sebarang masalah dalam situasi ini, apalagi pelanggaran, dan mengatakan bahawa ini bukan pencurian data peribadi, tetapi pengumpulan data terbuka.
Berita tentang kebocoran data tidak akan mengejutkan sesiapa lagi.
Julai dan Ogos 2020 dipenuhi dengan berita tentang TikTok disekat untuk pengumpulan data tanpa kebenaran. Dan tugas saya bukanlah untuk mengejutkan, tetapi untuk memahami isu itu, dan untuk memenuhi janji yang saya buat kepada salah seorang pembaca Habr. By the way, nama saya Vyacheslav Ustimenko, saya menulis artikel itu bersama Bella Farzalieva, seorang peguam IT dari firma undang-undang antarabangsa Icon Partners.
Mengapa ia penting
Isu perlindungan dan pemprosesan data peribadi hanya mendapat momentum setiap tahun. Perlindungan data peribadi adalah mengenai kebebasan memilih seseorang, budaya masyarakat dan demokrasi. Orang yang berdikari sukar diurus, sukar ditipu dan mustahil untuk ditiru. Idea ini disampaikan oleh peraturan perlindungan data yang terkenal di EU (GDPR) dan USA (CCPA). Secara peribadi menjalankan tinjauan, malah peguam (90% daripada pelanggan saya) masih kurang mahir dalam isu perlindungan data.
Soalan itu berbunyi seperti ini: βAntara berikut yang manakah merupakan data peribadi.β
Saya melampirkan tangkapan skrin hasil tinjauan.
Kira-kira 20% pengundi memilih jawapan yang betul.
PS Hakikat bahawa saya dari Ukraine, dan artikel tentang undang-undang Persekutuan Rusia tidak seharusnya mengelirukan anda, pembaca yang dihormati, kerana kepakaran seorang peguam IT tidak boleh terhad kepada satu negara.
Apakah data peribadi di Persekutuan Rusia
Takrifan data peribadi mengikut Undang-undang Persekutuan tidak begitu berbeza dengan yang Eropah atau Ukraine, mengenainya .
Data peribadi - apa-apa maklumat yang berkaitan secara langsung atau tidak langsung dengan orang asli yang dikenal pasti atau boleh dikenal pasti, kami bercakap tentang sebarang data yang membolehkan seseorang itu dikenal pasti.
Di Rusia, penggunaan dan perlindungan data peribadi dikawal oleh banyak dokumen, khususnya, 152-FZ "Mengenai Data Peribadi", 149-FZ "Mengenai Maklumat, Teknologi Maklumat dan Perlindungan Maklumat", Kod Kesalahan Pentadbiran, Jenayah Kod Persekutuan Rusia, Kod Buruh Persekutuan Rusia dan Kod Sivil Persekutuan Rusia.
Buka data peribadi. Apakah jenis haiwan ini?
#Jom lihat situasi melalui kaca mata pengguna
Mungkin pembaca masih belum memikirkan bagaimana data peribadi boleh dibuka, kerana bunyi peribadi seperti peribadi, dan bunyi terbuka seperti awam.
Pada masa yang sama, perasaan yakin tidak meninggalkan saya bahawa selepas perbualan lain dengan jurujual telefon, masing-masing dari kita berfikir "dari mana dia mendapat nombor saya" atau "apakah panggilan aneh ini daripada orang yang tidak dikenali yang lebih mengenali saya. daripada yang diperlukan.β
Jadi, pengguna yang meletakkan sesuatu untuk dijual melalui Avito, jangan terkejut bahawa mereka berakhir dalam pangkalan data penggodam, menerima e-mel spam atau panggilan yang tidak dapat difahami daripada penipu atau "penjual sejuk".
Anda hanya boleh menyalahkan diri sendiri dalam keadaan sedemikian, kerana kejahilan undang-undang tidak mengecualikan anda daripada tanggungjawab.
Semua yang pengguna sendiri telah siarkan tentang dirinya untuk pertimbangan umum, dengan kata lain, di Internet, menjadi tersedia secara umum, iaitu, data terbuka dan boleh disimpan, diedarkan dan digunakan tanpa persetujuan pengguna.
Pengesahan daripada perundangan
Bahagian 1 Perkara 152.2. Kod Sivil Persekutuan Rusia.
Melainkan jika diperuntukkan sebaliknya secara nyata oleh undang-undang, pengumpulan, penyimpanan, pengedaran dan penggunaan apa-apa maklumat tentang kehidupan peribadinya, khususnya maklumat tentang asal-usulnya, tempat tinggal atau kediaman, kehidupan peribadi dan keluarga, tidak dibenarkan tanpa persetujuan seorang warganegara. .
Pengumpulan, penyimpanan, pengedaran dan penggunaan maklumat tentang kehidupan peribadi warganegara di negeri, awam atau kepentingan awam lain, serta dalam kes di mana maklumat tentang kehidupan peribadi warganegara sebelum ini tersedia secara umum atau didedahkan oleh dirinya sendiri, bukanlah melanggar peraturan yang ditetapkan oleh perenggan pertama perenggan ini.warganegara atau atas kehendaknya.
Satu lagi pengesahan
Fasal 4 Perkara 7 Undang-undang Persekutuan Persekutuan Rusia No. 149-FZ "Mengenai maklumat, teknologi maklumat dan perlindungan maklumat."
Maklumat yang disiarkan oleh pemiliknya di Internet dalam format yang membenarkan pemprosesan automatik tanpa perubahan manusia terlebih dahulu untuk tujuan penggunaan semula ialah maklumat yang tersedia secara umum yang disiarkan dalam bentuk data terbuka.
#Kesimpulan
Pentadbiran Avito berhak mendakwa bahawa pangkalan data di forum penggodam sepenuhnya terdiri daripada maklumat awam yang tersedia di laman web mereka dan boleh dikumpul dengan menghurai (pengumpulan maklumat automatik menggunakan program khas), iaitu, tidak ada perbincangan tentang sebarang kebocoran data. Sama ada data digunakan untuk tujuan undang-undang adalah satu lagi soalan yang pastinya tidak perlu ditanya kepada Avito.
Jika anda tidak mahu sesiapa menyusun, menilai atau menggunakan profil pengguna anda, tinggalkan kurang maklumat tentang diri anda pada sumber awam.
Di bawah adalah komen lucu (tetapi tidak tepat) dari forum.
#Mari kita lihat situasi melalui kaca mata perniagaan
Mari kita ambil Avito yang sama sebagai contoh dan pertimbangkan soalan:
- ialah tapak pengendali data peribadi,
- adakah dia perlu mendapatkan persetujuan untuk pemprosesan data dan mengisytiharkan dirinya kepada Roskomnadzor untuk dimasukkan ke dalam daftar pengendali,
- Adakah Avito benar-benar tidak dihukum?
Dalam situasi dengan kebocoran data, Avito benar-benar tiada kaitan dengannya. Anda boleh bayangkan bahawa Avito adalah pagar di mana pengguna menulis "JUAL GARAGE" dan menunjukkan namanya, nombor telefon atau data komunikasi lain, dan kemudian mula marah kerana semua orang yang melalui pagar mengetahui, menyalin atau menggunakan data itu. .
Pengesahan daripada perundangan
Perkara 10 Undang-undang No. 152-FZ.
Syarikat atau individu seseorang yang telah menerima kebenaran bertulis pelanggan untuk memproses data menjadi pengendali data peribadi yang tersedia untuk umum, tetapi perundangan mengenakan keperluan minimum untuk perlindungan data peribadi yang tersedia secara umum, atau, lebih mudah, data terbuka, berbanding dengan kategori lain.
Satu lagi pengesahan
Fasal 4, bahagian 2, artikel 22 "Mengenai data peribadi".
Pengendali mempunyai hak untuk memproses data peribadi yang disediakan secara terbuka oleh subjek data peribadi tanpa memberitahu badan yang diberi kuasa untuk melindungi hak subjek data peribadi.
#Kesimpulan
Avito ialah pengendali data peribadi. Bagi pemberitahuan Roskomnadzor, terdapat pengecualian dalam undang-undang, tetapi ia tidak terpakai kepada Avito, kerana tapak ini mengumpul dan memproses bukan sahaja data yang tersedia untuk umum. Tetapi jika tapak berfungsi hanya dengan data terbuka, tidak perlu memberitahu dan mendaftar dengan Roskomnadzor. Avito tidak bersalah, dan oleh itu tidak akan ada hukuman.
Data boleh dibocorkan atau diperoleh secara sah bukan sahaja daripada platform dagangan, tetapi juga dari mana-mana laman web atau daripada pengendali mudah alih, daripada rangkaian sosial, bank, pendaftaran, ia boleh diekstrak daripada urutan transaksi mudah alih pada kad bank atau menggunakan fungsi tersembunyi aplikasi telefon pintar, terdapat sejuta pilihan.
Dengan cara ini, semua orang tahu bahawa Habr bukan forum, tetapi ada kemungkinan untuk mengulas, dan tujuan artikel itu bukan untuk mengejutkan, tetapi untuk memahami isu itu.
Soalan
Dalam realiti 2020, anda perlu berhati-hati dengan menyiarkan data peribadi di Internet dan bertindak seperti dalam ulasan lucu di atas, atau memperkenalkan undang-undang baharu, atau mungkin era baharu baru sahaja tiba dan ia berbaloi untuk menyesuaikan diri dengan ketersediaan umum data terbuka?
Sumber: www.habr.com