Twee weken geleden werden op de forums databases van 600 duizend klanten van de Avito- en Yula-services ontdekt, waaronder echte adressen en telefoonnummers. De databases zijn nog steeds gratis beschikbaar en iedereen kan ze downloaden. Stelt u zich eens voor hoeveel mensen de database al hebben gedownload met de bedoeling spam te verzenden of, erger nog, om betaalkaartgegevens van gebruikers naar buiten te lokken. De forumadministratie verwijdert sindsdien geen databases Zij zien in deze situatie geen enkel probleem, laat staan een overtreding, en zeggen dat dit geen diefstal van persoonlijke gegevens is, maar het verzamelen van open data.
Nieuws over datalekken zal niemand meer verbazen.
Juli en augustus 2020 waren gevuld met nieuws over het blokkeren van TikTok wegens ongeoorloofde gegevensverzameling. En mijn taak is niet om te verrassen, maar om de kwestie te begrijpen, en om de belofte na te komen die ik aan een van de lezers van Habr heb gedaan. Mijn naam is trouwens Vyacheslav Ustimenko, ik schreef het artikel samen met Bella Farzalieva, een IT-jurist van het internationale advocatenkantoor Icon Partners.
Waarom is het belangrijk
De kwestie van de bescherming en verwerking van persoonsgegevens wint elk jaar aan momentum. Bescherming van persoonsgegevens gaat over de keuzevrijheid van een persoon, de cultuur van de samenleving en de democratie. Een onafhankelijk persoon is moeilijk te managen, moeilijk te misleiden en onmogelijk te kopiëren. Dit idee wordt overgebracht door de bekende gegevensbeschermingsregels in de EU (GDPR) en de VS (CCPA). Persoonlijk Ik heb een onderzoek uitgevoerd en zelfs advocaten (90% van mijn abonnees) zijn nog steeds slecht op de hoogte van kwesties op het gebied van gegevensbescherming.
De vraag ging als volgt: “Welke van de volgende gegevens zijn persoonlijke gegevens.”
Ik voeg een screenshot toe van de resultaten van de enquête.
Ongeveer 20% van de kiezers koos het juiste antwoord.
PS Het feit dat ik uit Oekraïne kom, en het artikel over de wetten van de Russische Federatie, mogen u, beste lezers, niet in verwarring brengen, aangezien de expertise van een IT-advocaat niet beperkt kan blijven tot één land.
Wat zijn persoonlijke gegevens in de Russische Federatie
De definitie van persoonlijke gegevens in overeenstemming met de federale wetgeving verschilt niet veel van de Europese of Oekraïense .
Persoonlijke gegevens - alle informatie die direct of indirect betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon; we hebben het over alle gegevens waarmee een persoon kan worden geïdentificeerd.
In Rusland wordt het gebruik en de bescherming van persoonlijke gegevens geregeld door veel documenten, met name 152-FZ “Over persoonlijke gegevens”, 149-FZ “Over informatie, informatietechnologieën en informatiebescherming”, het Wetboek van administratieve overtredingen, het strafrecht Wetboek van de Russische Federatie, de Arbeidswet van de Russische Federatie en het Burgerlijk Wetboek van de Russische Federatie.
Persoonlijke gegevens openen. Wat voor soort dier is dit?
#Laten we de situatie bekijken door de ogen van de gebruiker
Misschien hebben lezers er nog niet over nagedacht hoe persoonlijke gegevens open kunnen zijn, omdat persoonlijk klinkt als persoonlijk en open klinkt als openbaar.
Tegelijkertijd laat het gevoel van vertrouwen mij niet los dat ieder van ons na weer een gesprek met een telefonische verkoper denkt “waar heeft hij mijn nummer vandaan” of “wat is dit vreemde telefoontje van een vreemde die meer over mij weet dan nodig.”
Gebruikers die via Avito iets te koop aanbieden, hoeven dus niet verbaasd te zijn dat ze in hackerdatabases terecht zijn gekomen, spam-e-mails hebben ontvangen of een onbegrijpelijk telefoontje hebben gekregen van oplichters of ‘coldsellers’.
In zo'n situatie kun je jezelf alleen maar de schuld geven, want onwetendheid over de wetten ontslaat je niet van verantwoordelijkheid.
Alles wat de gebruiker zelf over zichzelf heeft gepost voor publieke overweging, met andere woorden, op internet, wordt publiekelijk beschikbaar, dat wil zeggen, open data, en kan worden opgeslagen, gedistribueerd en gebruikt zonder toestemming van de gebruiker.
Bevestiging vanuit wetgeving
Deel 1 van artikel 152.2. Burgerlijk Wetboek van de Russische Federatie.
Tenzij uitdrukkelijk anders bepaald door de wet, is het verzamelen, opslaan, verspreiden en gebruiken van informatie over zijn privéleven, in het bijzonder informatie over zijn afkomst, verblijfplaats, privé- en gezinsleven, niet toegestaan zonder de toestemming van een burger. .
Het verzamelen, opslaan, verspreiden en gebruiken van informatie over het privéleven van een burger in staats-, publieke of andere publieke belangen, evenals in gevallen waarin informatie over het privéleven van een burger eerder openbaar beschikbaar werd of door hemzelf openbaar werd gemaakt, geen overtreding is van de regels gesteld in het eerste lid van dit lid door de burger of op zijn wil.
Nog een bevestiging
Clausule 4 van artikel 7 van de federale wet van de Russische Federatie nr. 149-FZ “Betreffende informatie, informatietechnologieën en informatiebescherming.”
Informatie die door de eigenaren op internet wordt geplaatst in een formaat dat geautomatiseerde verwerking mogelijk maakt zonder voorafgaande menselijke wijzigingen met het oog op hergebruik, is openbaar beschikbare informatie die wordt geplaatst in de vorm van open data.
#Conclusie
De administratie van Avito beweert terecht dat de database op hackerforums volledig bestaat uit openbare informatie die beschikbaar is op hun website en kan worden verzameld door parsing (automatisch verzamelen van informatie met behulp van speciale programma's), dat wil zeggen dat er geen sprake is van datalekken. Of de gegevens voor legale doeleinden worden gebruikt, is een andere vraag die zeker niet aan Avito gesteld mag worden.
Als u niet wilt dat iemand uw consumentenprofiel samenstelt, evalueert of gebruikt, laat dan minder informatie over uzelf achter op openbare bronnen.
Hieronder staat een grappige (maar niet nauwkeurige) opmerking van het forum.
#Laten we de situatie bekijken door de ogen van het bedrijfsleven
Laten we dezelfde Avito als voorbeeld nemen en de vragen bekijken:
- is de site een beheerder van persoonlijke gegevens,
- moet hij toestemming verkrijgen voor gegevensverwerking en zichzelf bij Roskomnadzor verklaren om te worden opgenomen in het register van exploitanten,
- Zal Avito echt ongestraft blijven?
In een situatie met een datalek heeft Avito er eigenlijk niets mee te maken. Je kunt je voorstellen dat Avito een hek is waarop de gebruiker “VERKOOP GARAGE” schreef en zijn naam, telefoonnummer of andere communicatiegegevens opgaf, en vervolgens verontwaardigd begon te worden over waarom iedereen die langs het hek liep de gegevens kende, kopieerde of gebruikte. .
Bevestiging vanuit wetgeving
Artikel 10 van wet nr. 152-FZ.
Bedrijf of particulier een persoon die de schriftelijke toestemming van de cliënt heeft gekregen om gegevens te verwerken, wordt beheerder van openbaar beschikbare persoonsgegevens, maar de wetgeving stelt minimale eisen aan de bescherming van openbaar beschikbare persoonsgegevens, of eenvoudiger gezegd, open data, vergeleken met andere categorieën.
Nog een bevestiging
Artikel 4, deel 2, artikel 22 “Over persoonsgegevens”.
De exploitant heeft het recht om persoonsgegevens die openbaar beschikbaar zijn gesteld door het onderwerp van de persoonsgegevens, te verwerken zonder de bevoegde instantie voor de bescherming van de rechten van de betrokkenen op de hoogte te stellen.
#Conclusie
Avito is de beheerder van persoonlijke gegevens. Wat de Roskomnadzor-melding betreft, zijn er uitzonderingen in de wet, maar deze zijn niet van toepassing op Avito, aangezien deze site niet alleen openbaar beschikbare gegevens verzamelt en verwerkt. Maar als de site alleen met open data werkt, is het niet nodig om Roskomnadzor hiervan op de hoogte te stellen en zich te registreren. Avito is onschuldig en daarom volgt er geen straf.
Gegevens kunnen worden gelekt of legaal worden verkregen, niet alleen van handelsplatforms, maar ook van elke website of van mobiele operators, van sociale netwerken, banken, registers, ze kunnen worden geëxtraheerd uit de reeks mobiele transacties op een bankkaart of met behulp van verborgen functies van smartphone-applicaties, er zijn een miljoen opties.
Trouwens, iedereen weet dat Habr geen forum is, maar er is de mogelijkheid om commentaar te geven, en het doel van het artikel is niet om te verrassen, maar om de kwestie te begrijpen.
Vraag
In de realiteit van 2020 moet je voorzichtig zijn met het plaatsen van persoonlijke gegevens op internet en handelen zoals in de grappige opmerking hierboven, of nieuwe wetgeving invoeren, of misschien is er net een nieuw tijdperk aangebroken en is het de moeite waard om in het reine te komen met de algemene beschikbaarheid van opendata?
Bron: www.habr.com